B2B santykiai: kada iškyla asmens duomenų apsaugos klausimas?

Dažnai manoma, kad kai įmonės veikla susijusi išimtinai su verslo santykiais, asmens duomenų apsaugos klausimų neturėtų būti. Tačiau net ir verslo santykiuose iškyla problemų, susijusių su tinkama asmens duomenų apsauga bei duomenų subjektų informavimu.

Verslininkai turėtų atkreipti dėmesį į kelis pagrindinius aspektus, kurie yra susiję su asmens duomenimis: kai tvarkomi priešingos sutarties šalies darbuotojų asmens duomenys; kai verslo partneriams siunčiami tiesioginės rinkodaros pasiūlymai ir kai priešinga sutarties šalis yra fizinis asmuo.

Darbuotojų kontaktų nurodymas sutartyse

Sutartyse naudinga nurodyti kiekvienos bendrovės darbuotojų, kurie bus kontaktiniai asmenys vykdant sutartį, vardus, pavardes ir kontaktinius duomenis. Kartais sutartyse įtvirtinama pareiga pranešti apie vadovybės pasikeitimą ir nurodyti vadovų vardus bei pavardes.

Toks darbuotojų paminėjimas jau yra verslo partnerio darbuotojų asmens duomenų tvarkymas ir viena sutarties šalis veikia kaip kitos sutarties šalies darbuotojų duomenų valdytojas.

Nors Bendrasis duomenų apsaugos reglamentas (BDAR) tokiu atveju imperatyviai nereikalauja sutikimo, nes duomenų tvarkymo pagrindas galėtų būti priešingos sutarties šalies teisėtas interesas, tačiau duomenų subjektai privalo būti informuoti apie tokių jų asmens duomenų tvarkymą.

Vienai sutarties šaliai gali būti sudėtinga informuoti kitos šalies darbuotojus apie jų duomenų tvarkymą, todėl rekomenduotina į sutartį įtraukti nuostatą, kad kiekviena šalis privalo informuoti savo darbuotojus apie kitos šalies atliekamą jų asmens duomenų tvarkymą. Darbuotojams turėtų būti pateikta informacija apie tai, kas yra duomenų valdytojas, duomenų tvarkymo tikslus, duomenų tvarkymo pagrindą, duomenų saugojimo laikotarpį ir kitą BDAR nurodytą informaciją.

Galima prie sutarties pridėti priedus, kuriuose būtų iš anksto suderinta kiekvienos šalies informacija, privaloma pateikti kitos šalies darbuotojams. Taip pat naudinga sutartyje įtvirtinti kiekvienos šalies pareigą išlaikyti įrodymus apie tai, kad atitinkami darbuotojai supažindinti su jų asmens duomenų tvarkymu. Kiekviena šalis turėtų turėti pareigą, kitai šaliai pareikalavus, pateikti pastarajai tokius įrodymus.

Tiesioginės rinkodaros pranešimų siuntimas partneriams

Svarbu pažymėti, kad tiesioginės rinkodaros pranešimai, nepriklausomai nuo to, ar juos gauna fiziniai, ar juridiniai asmenys, gali būti siunčiami elektroninių ryšių priemonėmis tik turint gavėjo sutikimą.

Gali būti tik viena išimtis iš šios taisyklės – kai tokie pranešimai siunčiami esamam klientui el. paštu. Naudojantis šia išimtimi, galima siūlyti panašias į kliento jau įsigytas prekes ar paslaugas, tačiau klientui turėjo būti suteikta galimybė paprieštarauti tokiam siuntimui ir turi būti suteikiama galimybė atsisakyti tokių pranešimų.

Pasekmės dėl tiesioginės rinkodaros pranešimų siuntimo neturint gavėjo sutikimo skiriasi priklausomai nuo to, ar buvo naudotasi asmens duomenimis, ar ne. Jei tiesioginės rinkodaros pranešimas išsiųstas įmonės el. paštu, iš kurio neįmanoma identifikuoti konkretaus fizinio asmens, pvz., [email protected] – siuntėjas atsakys už Reklamos įstatymo pažeidimą, už kurį gresia bauda nuo 289 EUR iki 8 688 EUR. Jei pranešimas išsiųstas el. paštu, pagal kurį galima identifikuoti konkretų fizinį asmenį, pvz., [email protected] – siuntėjas atsakys už BDAR pažeidimą ir rizikuos gauti net milijoninę baudą. Siekiant išvengti liūdniausių pasekmių, darbuotojai turėtų būti informuoti ir apmokyti apie tiesioginės rinkodaros vykdymo taisykles ir rizikas.

Kitos sutarties šalies – fizinio asmens – informavimas

Labai dažnai manoma, kad jei kita sutarties šalis yra verslininkas, nors ir fizinis asmuo, asmens duomenų apsaugos rizikų ir klausimų neturėtų kilti. Tačiau reikėtų nepamiršti, kad nepriklausomai nuo to, ar duomenų subjektas veikia kaip verslininkas, ar privatus asmuo, jis nepraranda duomenų subjekto statuso. Tokiam asmeniui mažų mažiausiai reikėtų pateikti informaciją apie jo duomenų tvarkymą, kurios jis neturi. Akivaizdu, kad asmuo neturės informacijos, kiek įmonė saugos jo duomenis, ar jo duomenys bus perduodami į trečiąsias valstybes ir kt. Tokia informacija gali būti pateikta pačioje sutartyje, jos priede, atskirame privatumo pranešime ar kitokiu būdu.

Taip pat reikėtų įvertinti, ar visų tvarkomų asmens duomenų pagrindas bus sutarties vykdymas, ar tam tikrais atvejais reikės remtis kitais duomenų tvarkymo pagrindais, pvz. sutikimu skambinti siūlant paslaugas.

 

Asta Macijauskienė, advokatų kontoros GLIMSTEDT vyresnioji teisininkė, advokatė, duomenų apsaugos ekspertė

Komentaras publikuotas naujienų portale vz.lt

Užsisakykite svarbiausias naujienas