Ką mus moko naujas LVAT sprendimas duomenų apsaugos byloje?
Lietuvos vyriausiasis administracinis teismas (LVAT) 2018-10-29 priėmė sprendimą byloje, kurioje buvo nagrinėjamas duomenų tvarkymo teisėtumo klausimas. Byloje buvo sprendžiama, ar asociacija, kuri yra pareiškėja kitame teisminiame procese, gali perduoti teisėtai gautus duomenis apie fizinį asmenį to fizinio asmens darbdaviui. Nors byla buvo sprendžiama dėl valstybės tarnautojo duomenų perdavimo savivaldybei, ir vienas iš asociacijos argumentų byloje dėl duomenų perdavimo asmens darbdaviui teisėtumo susijęs su viešo asmens statusu ir tariamai darbdavio (savivaldybės) teise žinoti apie galimus darbuotojo teisės aktų pažeidimus, vis dėlto LVAT turėjo kitą nuomonę. LVAT nurodė, kad nors duomenis asociacija gavo teisėtai t. y. tam, kad galėtų ginti atstovaujamojo pažeistas teises teisminiame procese, tačiau duomenų perdavimas savivaldybei, t.y. fizinio asmens, apie kurį duomenys buvo surinkti teisėtai, darbdaviui, pažeidė Asmens duomenų teisinės apsaugos įstatymą, kadangi toks duomenų perdavimas buvo už teisėto tikslo ribų (nepateko į atstovaujamojo teisių gynimą teismo procese) ir pažeidė pareigą duomenis tvarkyti skaidriai, sąžiningai ir teisėtai.
Taigi, teismas primena akivaizdžius, tačiau neretai pamirštamus reikalavimus asmens duomenų tvarkymui – duomenų teisinio pagrindo turėjimas svarbus ne tik informacijos gavimui, lygiai taip pat svarbus ir tolimesnis duomenų tvarkymo teisėtumas t. y. kiekviena tolesnė duomenų tvarkymo operacija (tiek gavimas, tiek naudojimas, tiek perdavimas tretiesiems asmenims) turi būti teisėtas. Tai reiškia, kad jeigu duomenys apie asmenį suteikti tam, kad užtikrinti tinkamą teisminį procesą, tokių duomenų negalima naudoti jokiais kitais tikslais. Ši taisyklė yra vienas iš BDAR (Bendrojo duomenų apsaugos reglamento) principinių reikalavimų, pritaikomų ir kitose kasdienėse situacijose, pavyzdžiui, vaizdo kamerų duomenų rinkimo darbdavio patalpose atvejis siekiant apsaugoti darbdavio turtą. Šiuo atveju duomenys užfiksuoti vaizdo kameromis (tame tarpe ir duomenys apie darbuotojų, kurie patenka į kamerų lauką, atvaizdas, elgesys ir pan.) yra tvarkomi teisėtai tol, kol tie duomenys naudojami siekiant apsaugoti darbdavio patalpose esantį turtą. Tačiau tokių duomenų panaudojimas siekiant kontroliuoti darbuotojų darbo kokybę, nebeatitiktų iškelto tikslo ir dėl to neturėtų teisinio pagrindo, dėl ko, būtų neteisėtas.
Pabrėžtina, kad duomenų tvarkymo teisėtumo sąvoka neatsiejama nuo duomenų tvarkymo laikotarpio – duomenys gali būti tvarkomi tik tiek, kiek reikia konkrečiam tikslui pasiekti arba, tiek kiek reikalauja įstatymas, o vėliau turi būti ištrinami. Priešingu atveju, duomenų tvarkymas neribotai ar viršijus įstatymo nustatytą laikotarpį gali būti laikomas kaip neteisėta tvarkymo operacija (primename, kad duomenų saugojimas arba tiesiog turėjimas savo žinioje irgi yra duomenų tvarkymo operacija).
Įsigaliojęs BDAR dar labiau akcentuoja verslo subjektams pareigą rūpintis asmenų duomenimis – duomenų valdytojai turėtų pergalvoti, ar jie turi teisinį pagrindą duomenis gauti, naudoti, perduoti ar kitaip tvarkyti, taip pat, kiek laiko tai galima daryti ir kokių saugumo priemonių imtis.
