ES investicijos UAB „DEVOLD“ energetiniam efektyvumui
Advokatų kontoros „Glimstedt” klientė UAB „DEVOLD” įgyvendina projektą „Atsinaujinančios energijos išteklių diegimas UAB „DEVOLD“ ga…
2018 m. gegužės 25 d. įsigaliosiantis Bendrasis duomenų apsaugos reglamentas praplėtė fizinių asmenų – duomenų subjektų, vadinasi, kiekvieno iš mūsų, kurių asmens duomenys yra vienaip ar kitaip renkami ir tvarkomi, teises. Viena iš jų yra teisė į asmens duomenų perkeliamumą. Kiekvienas duomenų valdytojas, tiek juridinis, tiek fizinis asmuo, turintis klientų duomenų bazę, renkantis ir saugantis klientų asmens duomenis ar kitaip automatizuotomis priemonėmis tvarkantis asmens duomenis sutikimo ar sutarties vykdymo pagrindu, turės pasiruošti tinkamai įgyvendinti prašymus dėl duomenų perkeliamumo.
Ką reiškia teisė į asmens duomenų perkeliamumą ?
Trumpai tariant, ši teisė reiškia, kad duomenų valdytojas duomenų subjekto – tai yra fizinio asmens, kurio duomenys yra renkami ir tvarkomi – prašymu privalės pateikti jo asmens duomenis arba perduoti juos kitam duomenų valdytojui susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu.
Ši teisė gali būti įgyvendinta tada, kai duomenys tvarkomi sutikimo pagrindu arba vykdant sutartį, kurios šalis yra duomenų subjektas, ir tik tada, kai duomenys tvarkomi automatizuotomis priemonėmis.
Kai asmens duomenys tvarkomi, pavyzdžiui, vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas, duomenų subjektui teisė į duomenų perkeliamumą nebus suteikta.
Kokie duomenys gali būti perkeliami?
Vykdant prašymą perkeliami tik su duomenų subjektu susiję bei jo duomenų valdytojui pateikti duomenys ir tik tie, kuriuos tvarko duomenų valdytojas. Tokie duomenys apima ne tik kontaktinį el. paštą ar telefoną, bet ir lankymosi interneto svetainėje informaciją, užsakymų istoriją ir pan.
Į šios teisės sritį nepatenka duomenys, gauti jau apdorojus, išanalizavus tiesiogiai duomenų subjekto pateiktą informaciją bei fiksuotus duomenis, pavyzdžiui, vartotojo profilis, sukurtas remiantis išanalizuotais duomenimis. Tačiau tai nereiškia, kad su tokiais duomenimis asmuo negali susipažinti.
Kaip perkeliant duomenis nepažeisti trečiųjų asmenų teisių?
Perkeliant duomenis naujam duomenų valdytojui, reikia įvertinti, ar nebus daromas neigiamas poveikis kitų asmenų teisėms ir laisvėms. Jeigu perkeliamuose duomenyse yra trečiųjų asmenų duomenų, siekiant išvengti neigiamo poveikio jų interesams, duomenis perkelti galima tik tada, kai jie yra kontroliuojami išimtinai duomenų subjekto, kurio prašymas vykdomas, ir tik dėl asmeninių ar namų ūkio poreikių. Pavyzdžiui, perkeltus banko sąskaitos duomenis, kuriuose yra trečiųjų asmenų mokėjimų duomenų, arba gautų ir išsiųstų el. laiškų direktoriją galima naudoti tik tuo pačiu tikslu, kuriuo duomenys buvo naudojami ir anksčiau. Trečiųjų asmenų interesai bus neigiamai paveikti, jei naujasis duomenų valdytojas perkeltus trečiųjų asmenų kontaktinius duomenis naudos kitais tikslais, pavyzdžiui, siųsti pasiūlymams dėl savo paslaugų.
Duomenų pateikimo forma
Duomenys turi būti pateikti susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu. Tikėtina, kad daugelis duomenų valdytojų jau dabar be didesnių techninių adaptacijų galėtų įgyvendinti šią duomenų subjektų teisę ir problemų galėtų kilti tik tiems, kurie duomenims tvarkyti naudoja specifinį elektroninį formatą.
Duomenys gali būti pateikiami internetu arba įrašyti į CD, DVD ar kitą duomenų laikmeną. Rekomenduojama asmens duomenis pateikti naudojant atvirus formatus, tokius kaip XML, JSON, CSV, kartu su atitinkamais metaduomenimis. Kiekvienu atveju turi būti įvertinama, ar duomenų pateikimo forma neapsunkins duomenų subjekto atsižvelgiant į duomenų perkėlimo tikslą. Pavyzdžiui, el. pašto gautų laiškų pateikimas PDF formatu nebūtų laikomas tinkamu prašymo įvykdymu.
Prašymo vykdymo tvarka
Vertėtų detaliai aprašyti prašymo vykdymo procedūrą, nustatyti aiškias taisykles, siekiant užtikrinti tinkamą Reglamento vykdymą, ir apmokyti personalą. Tokios taisyklės turėtų apimti prašymo pateikimo fiksavimo, atsakingų asmenų paskyrimo, prašymą pateikusio asmens identifikavimo tvarką, vykdymo terminus ir kt.
Vykdant prašymą, visų pirma, bus svarbu įsitikinti, kad prašymą dėl duomenų perkeliamumo pateikia asmuo, veikiantis duomenų subjekto vardu. Prašymo pateikimas naudojant prisijungimo vardą ir slaptažodį yra laikomi tinkamu prašymą pateikiančio asmens identifikavimu.
Teisė į duomenų perkeliamumą turės būti įgyvendinta be nepagrįsto delsimo, bet ne vėliau, kaip per 1 mėnesį nuo prašymo gavimo. Šis terminas galės būti pratęstas dar 2 mėnesiais sudėtingų prašymų vykdymo atvejais.
Svarbu paminėti, kad šios teisės įgyvendinimas nereiškia, kad duomenų valdytojas turės perkeltus duomenis ištrinti.
Duomenų perkeliamumo paslauga bus nemokama, o duomenų valdytojas neturės teisės atsisakyti perkelti duomenis, kai prašymas atitinka Reglamento reikalavimus. Tačiau jei duomenų subjekto prašymai bus akivaizdžiai nepagrįsti arba neproporcingi, pavyzdžiui, bus nuolat prašoma perkelti tuos pačius duomenis, duomenų valdytojas galės arba atsisakyti vykdyti prašymą, arba jį apmokestinti.
Kaip tinkamai pasirengti?
Nors Reglamentas įsigalios tik daugiau nei po pusmečio, tačiau jau dabar vertėtų įvertinti savo technines bei organizacines galimybes užtikrinti teisę į duomenų perkeliamumą bei atsižvelgti į būsimus prašymus įgyvendinant naujus sprendimus. Jei asmens duomenis pagal sutartį tvarko duomenų tvarkytojas, sutartis dėl asmens duomenų tvarkymo turėtų turėti nuostatą dėl organizacinių ir techninių sąlygų duomenų subjekto prašymui įgyvendinti. Todėl jau dabar, sudarant sutartis su duomenų tvarkytojais, vertėtų apgalvoti, kokias atitinkamas duomenų tvarkytojų pareigas įtvirtinti, kad būtų tinkamai bei laiku įgyvendinti duomenų subjektų prašymai.
Asta Macijauskienė, advokatų kontoros GLIMSTEDT vyresnioji teisininkė, advokatė
Straipsnis publikuotas naujienų portale vz.lt