Keturi žingsniai, kuriuos būtina atlikti prieš pradedant tvarkyti asmens duomenis

Bendrovės savo veikloje dėl įvairių priežasčių kaupia bei naudoja asmens duomenis. Tai gali būti darbuotojų, klientų, interesantų ar kitų asmenų kategorijų asmens duomenys, tačiau tokie veiksmai su asmens duomenimis turi atitikti įstatymo keliamus reikalavimus. Tai ypač aktualu artėjant Bendrojo duomenų apsaugos reglamento (toliau – BDAR) įsigaliojimui, kuris ženkliai padidina baudas už asmens duomenų apsaugos pažeidimus.

Dažnai bendrovės pradėdamos kaupti asmens duomenis net nesusimąsto, kad toks asmens duomenų kaupimas yra reguliuojamas įstatymo, tad toliau bus aptariami keturi svarbiausi žingsniai, kas turi būti padaryta prieš pradedant asmens duomenų rinkimą. Šie žingsniai taip pat gali padėti įmonėms inventorizuoti jau sukauptus asmens duomenis, siekiant užtikrinti atitiktį BDAR reikalavimams.

Pirmas žingsnis – nustatykite tikslą, kuriam renkate asmens duomenis. BDAR reikalauja, kad visi duomenys būtų kaupiami konkrečiam tikslui, kurį teks atskleisti fiziniam asmeniui, kurio duomenis renkate. Papildomai pažymėtina, kad nusistačius tikslą, jo nebus galima pakeisti. Taip pat, sukauptų duomenų, su retomis išimtimis, nebus galima pradėti naudoti kitiems tikslams. Tokie veiksmai dažniausiai reikš BDAR reikalavimų pažeidimą. Nustatant tikslą, kuriam bus renkami asmens duomenis, svarbiausia jį aiškiai apsibrėžti bei įsitikinti, kad jis neprieštarauja įstatymams.

Antras žingsnis – nusistatykite kokių duomenų jums reikia išsikeltam tikslui įgyvendinti. Duomenų apsaugos reguliavime labai svarbią vietą užima duomenų kiekio mažinimo principas. Šis principas reiškia, kad reikėtų rinkti tik tokius asmens duomenis, kurių reikia nusistatytam tikslui pasiekti. Pavyzdžiui, jei nusistatėte tikslą rinkti asmens duomenis reklaminių el. pašto laiškų siuntimui, jums nėra reikalingi asmenų telefono numeriai, todėl telefono numerių rinkti neturėtumėte, kadangi jie nėra reikalingi nustatytam tikslui pasiekti. Atkreiptinas dėmesys, kad už principų pažeidimus gali būti taikoma atsakomybė.

Trečias žingsnis – nusistatykite duomenų saugojimo terminus. Duomenų negalima saugoti visiškai neribotą laikotarpį. Vadovaujantis saugojimo trukmės apribojimo principu, duomenis galima saugoti ne ilgiau, nei tai yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi. Atsižvelgiant į tai, reikėtų pasirinkti tokius duomenų saugojimo terminus, kurie nepažeistų fizinių asmenų teisių. Papildomai pažymėtina, kad apie surinktų duomenų saugojimo terminą bus privaloma pranešti fiziniams asmenims.

Ketvirtas žingsnis – pasirinkite vieną iš teisėtumo sąlygų, kuria remsite duomenų rinkimą. BDAR nustato šešias teisėtumo sąlygas asmens duomenų tvarkymui. Siekiant pradėti tvarkyti asmens duomenis, būtina remtis viena iš toliau nurodytų sąlygų:

• fizinis asmuo davė sutikimą asmens duomenų tvarkymui vienu ar keliais konkrečiais tikslais;
• tvarkyti duomenis yra būtina siekiant įvykdyti sutartį, kurios šalis yra duomenų subjektas, arba siekiant imtis veiksmų duomenų subjekto prašymu prieš sudarant sutartį;
• tvarkyti duomenis būtina, kad būtų įvykdyta duomenų valdytojui taikoma teisinė prievolė;
• tvarkyti duomenis būtina siekiant apsaugoti gyvybinius duomenų subjekto ar kito fizinio asmens interesus;
• tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant valdytojui pavestas viešosios valdžios funkcijas;
• tvarkyti duomenis būtina siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų, išskyrus atvejus, kai tokie fizinio asmens interesai ar pagrindinės teisės ir laisvės, dėl kurių būtina užtikrinti asmens duomenų apsaugą, yra už juos viršesni.

Pažymėtina, kad reikėtų išsirinkti vieną teisėtumo sąlygą, kuria remsitės rinkdami asmens duomenis. Jei asmens duomenys bus renkami nesiremiant nė viena iš teisėtumo sąlygų, asmens duomenų rinkimas bus pripažintas neteisėtu, kas gali lemti atsakomybės taikymą.

Atlikus visus šiuos keturis žingsnius galima pradėti rinkti asmens duomenis. Pažymėtina, kad kai duomenys renkami tiesiogiai iš fizinio asmens, reikėtų nepamiršti informavimo pareigos ir pranešti fiziniams asmenims, kurių duomenis yra renkami, visą BDAR reikalaujamą atskleisti informaciją. Atitinkamai, jei prieš pradedant rinkti asmens duomenis šie žingsniai nebus atlikti, asmens duomenų rinkimas bus pripažintas pažeidžiančiu asmens duomenų apsaugos reikalavimus, dėl ko, įsigaliojus BDAR, duomenų valdytojams gali būti taikoma atsakomybė, kuri gali siekti iki 20 mln. eurų arba 4 proc. metinės pasaulinės apyvartos.