Renginių dalyvių registravimas renginiuose: kaip tai liečia asmens duomenų apsaugą?
2020 m. birželio 15 d. sveikatos apsaugos ministro sprendime dėl kultūros, pramogų bei kitų renginių ir susibūrimų organizavimo būtinų sąlygų Nr. V-1462 (toliau – Sprendimas), nuo 2020 m. rugsėjo 1 d. atsirado prievolė renginių organizatoriams tam tikrais atvejais registruoti renginių žiūrovus (dalyvius).
Visų pirma, svarbu paminėti, kad žiūrovų (dalyvių) registracija į renginius nėra reikalinga visada. Registracija reikalinga tuomet, kai renginyje dalyvaus daugiau nei 300 žiūrovų (dalyvių) arba nėra galimybės užtikrinti bilietų platinimo elektroniniu būdu. Jei bilietai į renginį platinami elektroniniu būdu arba yra žinoma, kad dalyvių skaičius bus mažesnis nei 300, žiūrovų (dalyvių) registruoti nereikia. Taip pat, pažymėtina, kad jei bilietai į renginį platinami elektroniniu būdų, nors žiūrovų (dalyvių) registracija nėra privaloma, ją atlikti galima.
Sprendime nurodoma, kad registruojant renginio žiūrovus (dalyvius) turi būti surenkami šie asmens duomenys:
- vardas, pavardė;
- telefono numeris;
- nuolatinės gyvenamosios vietos adresas – gatvės pavadinimas, namo numeris, buto numeris, miestas, savivaldybė, šalis.
Pažymėtina, kad Sprendime nurodoma, kad šie asmens duomenys turi būti saugomi 21 kalendorinę dieną nuo įvykusio renginio dienos ir suėjus šiam terminui turi būti sunaikinti.
Taigi, kaip šis Sprendimas koreliuoja su asmens duomenų apsauga ir Bendruoju asmens duomenų apsaugos reglamentu (toliau – BDAR)? Visų pirma, kadangi iš fizinių asmenų tiesiogiai yra renkamai jų asmens duomenys, privaloma juos informuoti apie tai, kaip bus tvarkomi jų asmens duomenys, pagal BDAR 13 str. Taigi, tokiame informaciniame pranešime turi būti nurodyta ši informacija:
- duomenų valdytojo tapatybė ir kontaktiniai duomenys (renginio organizatoriaus pavadinimas, telefono numeris ir/ar el. pašto adresas);
- duomenų apsaugos pareigūno kontaktai, jei toks yra paskirtas;
- duomenų tvarkymo tikslas – COVID-19 ligos (koronaviruso infekcijos) profilaktikos ir kontrolės priemonių įgyvendinimas;
- duomenų tvarkymo teisinis pagrindas – vykdoma teisinė prievolė (BDAR 6 str. 1 d. c p.);
- asmens duomenų gavėjus, kuriems šie renginių žiūrovų (dalyvių) duomenys gali būti perduoti;
- asmens duomenų gavėjus trečiosiose valstybėse, kuriems šie renginių žiūrovų (dalyvių) duomenys gali būti perduoti;
- duomenų saugojimo terminas – 21 kalendorinė diena nuo renginio dienos;
- asmenų teisės asmens duomenų apsaugos srityje, įskaitant teisę pateikti skundą Valstybinei duomenų apsaugos inspekcijai;
- tai, kad asmens duomenų pateikimas yra teisės aktais numatytas reikalavimas, t. y., kad asmens duomenys renkami vadovaujantis 2020 m. birželio 15 d. sveikatos apsaugos ministro sprendimu dėl kultūros, pramogų bei kitų renginių ir susibūrimų organizavimo būtinų sąlygų Nr. V-1462.
Apart žiūrovų (dalyvių) informavimo taip pat vertėtų turėti omenyje ir bendruosius asmens duomenų apsaugos principus:
- COVID-19 ligos (koronaviruso infekcijos) profilaktikos ir kontrolės priemonių įgyvendinimo tikslu surinktų asmens duomenų nereikėtų tvarkyti jokiais kitais tikslais;
- iš renginio žiūrovų (dalyvių) nereikėtų rinkti daugiau asmens duomenų nei nurodyta Sprendime;
- surinkti asmens duomenys turėtų būti sunaikinami pasibaigus 21 kalendorinės dienos saugojimo terminui;
- turėtų būti užtikrinamas tinkamas šiuo tikslu surinktų asmens duomenų saugumas ir konfidencialumas – su surinktai asmens duomenimis neturi galėti susipažinti darbuotojai, kuriems šių asmens duomenų nereikia darbo funkcijų atlikimui. Taip pat, reikėtų užtikrinti, kad renginio žiūrovai (dalyviai) pateikdami informaciją apie save, negalėtų susipažinti su informacija apie kitus renginio žiūrovus (dalyvius). Rekomenduotina informaciją rinkti internetu ar elektroninėmis priemonėmis, kad būtų išvengta galimo konfidencialumo pažeidimo.