ES investicijos UAB „DEVOLD“ energetiniam efektyvumui
Advokatų kontoros „Glimstedt” klientė UAB „DEVOLD” įgyvendina projektą „Atsinaujinančios energijos išteklių diegimas UAB „DEVOLD“ ga…
Vietos nustatymo įrenginiai montuojami transporto priemonėse siekiant jas naudoti efektyviai, saugoti patikėtą turtą ar pačią transporto priemonę nuo vagysčių. GSM/GPS sekimo įrenginiais dažniausiai fiksuojama transporto priemonės buvimo vieta, judėjimo kryptis, maršrutas ir greitis. Būtina turėti omenyje, kad visa ši informacija, kaip ir automobilio judėjimo trajektorija, sustojimai su įjungtu ir išjungtu varikliu, nuvažiuotas kelias, judėjimo pradžios ir pabaigos laikas, vidutinis ir didžiausias važiavimo greitis ir t.t. yra ne tik duomenys apie pačią transporto priemonę, bet ir ją vairuojančio asmens duomenys.
Kadangi GSM/GPS įrenginių naudojimas yra įprasta ir paplitusi praktika, transporto priemonės vairuotojo asmens duomenų apsaugai reikėtų skirti ypatingą dėmesį. 2018 m. įsigaliojus Bendrajam duomenų apsaugos reglamentui, baudos už netinkamą asmens duomenų tvarkymą sieks iki 20 mln. eurų arba iki 4 proc. bendrovės finansinių metų apyvartos.
Tam, kad tokie asmens duomenys galėtų būtų tvarkomi, pirmiausia reikalingas teisinis pagrindas. Paprastai tai būna sutartiniai santykiai arba asmens, kurio duomenys renkami, sutikimas.
Sutikimas kaip teisėtas pagrindas tvarkyti vietos nustatymo įrenginio duomenis
Iš esmės sutikimo forma nėra ribojama, išskyrus atvejus, kai renkami ypatingi asmens duomenys, tokie kaip duomenys apie sveikatą. Sutikimas gali apimti bet kokią valios išraišką, kuria duomenų subjektas (asmuo, kurio duomenys renkami) nurodo savo sutikimą. Tai gali būti popieriaus lape ranka pasirašytas parašas, žodiniai pareiškimai, rodantys sutikimą, arba, elgesys, iš kurio galima daryti pagrįstą išvadą apie sutikimą.
Tačiau, nepaisant formos, sutikimas turi būti pagrįstas išsamia informacija, o duomenų valdytojas (asmuo, tvarkantis GSM/GPS įrenginio asmens duomenis) turi galėti įrodyti, kad duomenų subjektas davė sutikimą, kad jo asmens duomenys būtų tvarkomi. Siekiant išvengti bet kokių nesusipratimų, tikslingiausia gauti rašytinį vairuotojo sutikimą, kuriame turi būti aiškiai nurodyta, kokiais tikslais ir kokius asmens duomenis duomenų valdytojai ketina tvarkyti, kad asmenys, kurių duomenys renkami, suprastų, dėl ko sutinka ir kokiais tikslais tai daro. Tuo atveju, jeigu sutikimas bus gautas ar juo naudojamasi netinkamai, sutikimas nebus tinkamas pagrindas tvarkyti duomenis.
Kokią informacija turi būti pateikiama duomenų subjektui?
Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas numato, jog duomenų valdytojas transporto priemonės vairuotojui, kurio asmens duomenis renka tiesiogiai iš jo, privalo suteikti šią informaciją (išskyrus atvejus, kai duomenų subjektas tokią informaciją jau turi):
1) savo ir savo atstovo, jeigu šis yra, tapatybę ir nuolatinę gyvenamąją vietą (jeigu duomenų valdytojas ar jo atstovas yra fizinis asmuo) ar rekvizitus ir buveinę (jeigu duomenų valdytojas ar jo atstovas yra juridinis asmuo);
2) kokiais tikslais ketinami tvarkyti duomenų subjekto asmens duomenys;
3) kitą papildomą informaciją: kam ir kokiais tikslais teikiami duomenų subjekto asmens duomenys; kokius savo asmens duomenis duomenų subjektas privalo pateikti ir kokios yra duomenų nepateikimo pasekmės, apie duomenų subjekto teisę susipažinti su savo asmens duomenimis ir teisę reikalauti ištaisyti neteisingus, neišsamius, netikslius savo asmens duomenis), kiek jos reikia, kad būtų užtikrintas teisingas asmens duomenų tvarkymas nepažeidžiant duomenų subjekto teisių ir t.t.
Nepriklausomi nuo to, ar asmens duomenys renkami tiesiogiai, ar netiesiogiai, duomenų valdytojas privalo informuoti asmenis, kurių duomenis renka, apie jų asmens duomenų rinkimo aplinkybes. Tiesioginiu duomenų rinkimu laikytini atvejai, kai duomenys gaunami iš duomenų subjekto, o netiesioginio duomenų rinkimo metu asmens duomenys gaunami iš kitų šaltinių, t. y. duomenų tvarkytojų arba trečiųjų asmenų.
Sutartis kaip teisėtas pagrindas tvarkyti asmens duomenis
Jei transporto priemonė fiziniam asmeniui yra perleidžiama sutarties, pavyzdžiui, automobilio nuomos, pagrindu ir joje yra įrengtas vietos nustatymo įrenginys, sutartyje taip pat aiškiai ir nedviprasmiškai turi būti nurodoma anksčiau pateikta informacija. Tokiu atveju sutartis taps teisėtu pagrindu tvarkyti asmens duomenis ir papildomo sutikimo gauti iš duomenų subjekto nereikia.
Tarnybinių automobilių „sekimas“
Bendrovės, vietos nustatymo įrenginius įdiegusios tarnybinėse transporto priemonėse, turėtų atkreipti ypatingą dėmesį. Tokių asmens duomenų tvarkymo operacijų teisėtumas neturėtų remtis tik „savanoriškai“ darbuotojo duodamu sutikimu, o duomenų rinkimas ir tvarkymas turėtų atitikti konkretų su darbuotojo veikla susijusį bendrovės poreikį. Pagal plačiai paplitusią nuomonę, vietos nustatymo duomenų tvarkymą galima pateisinti tik tokiu atveju, jeigu vykdoma transporto, asmenų ar prekių stebėsena ar išteklių paskirstymas atskirų vietovių tarnyboms arba kai siekiama apsaugoti patį darbuotoją arba jam patikėtas prekes ar paslaugas.
Žinoma, kiekvienas darbdavys turėtų imtis visų būtinų atsargumo priemonių ir užtikrinti, kad jo darbuotojo asmens duomenys nepateks pašaliniams asmenims. Prieigą prie vietos nustatymo duomenų gali turėti tik tie asmenys, kurie, vykdydami savo pareigas, gali teisėtai su jais susipažinti.
Taip pat darbdaviui draudžiama rinkti su darbuotoju susijusius vietos nustatymo duomenis po jo darbo valandų. Rekomenduojama, kad automobiliuose, kurie gali būti naudojami ir asmeniniais tikslais, būtų įdiegta sistema, leidžianti darbuotojams išjungti vietos nustatymo funkciją. Be to, reikia nepamiršti, kad su darbuotoju susiję vietos nustatymo duomenys turėtų būti saugomi ne ilgiau nei būtina. Laikomasi nuomonės, kad tai turėtų trukti ne ilgiau kaip du mėnesius.
Ką dar reikėtų žinoti?
Renkant asmens duomenis, privaloma įgyvendinti tinkamas organizacines ir technines priemones, kad asmens duomenys nebūtų atsitiktinai ar neteisėtai sunaikinti, pakeisti ir t.t. Minėtos priemonės turi užtikrinti saugumo lygį, atitinkantį saugotinų asmens duomenų pobūdį ir jų tvarkymo keliamą riziką, ir turi būti išdėstytos rašytinės formos dokumente (duomenų valdytojo patvirtintose asmens duomenų tvarkymo taisyklėse, duomenų valdytojo ir duomenų tvarkytojo sudarytoje sutartyje ir pan.). Reikalavimai rašytinio dokumento turiniui nustatomi Valstybinės duomenų apsaugos inspekcijos direktoriaus įsakymu.
Su asmens duomenų tvarkymą reglamentuojančiais dokumentais, pavyzdžiui, asmens duomenų tvarkymo taisyklėmis, privaloma supažindinti asmenis, kurių asmens duomenys renkami – pasirašytinai ar kitu būdu, įrodančiu susipažinimo su dokumentu (-ais) faktą.
Raminta Stravinskaitė, advokatų kontoros GLIMSTEDT teisininkė
Straipsnis publikuotas naujienų portale vz.lt