Daugiau nei pusė asmens duomenis internete renkančių įmonių tai daro neteisėtai

Triniti

Šiandien sunku būtų įsivaizduoti gyvenimą be internetinių paslaugų – taip skaitome naujienas, ieškome informacijos, įsigyjame buities, kosmetikos ir net maisto prekes, registruojamės pas gydytoją ir t.t. Bene kiekvienas mūsų veiksmas internete – jokia paslaptis asmens duomenų valdytojams, t.y. asmenims, kurie renka informaciją apie mūsų vartojimo įpročius, kontaktinius duomenis, amžių ir kt. Dažnu atveju tokia informacija yra panaudojama rinkodariniais tikslais, tačiau neretai nutinka taip, kad asmens duomenys yra renkami neturint teisės to daryti – tokiu atveju mūsų duomenų saugumui iškyla nemenka rizika.

 Kokia informacija laikoma asmens duomenimis

Asmens duomenys – tai bet kuri informacija, susijusi su fiziniu asmeniu, kurio tapatybė yra žinoma arba gali būti tiesiogiai ar netiesiogiai nustatyta. Taip sąvoką apibrėžia Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas. Taigi asmens duomenimis laikomi tiek duomenys, kurie tiesiogiai nurodo tam tikrą asmenį, pavyzdžiui, vardas, pavardė, el. pašto adresas, asmens kodas, tiek duomenys, kurie tiesiogiai nenurodo asmens, tačiau, remiantis jų visuma, galima šį tą sužinoti apie asmenį, pavyzdžiui, duomenys, kad asmuo naudoja tam tikrą įrangą, IP adresas, slapyvardis ar slapukų (angl. cookies) teikiama informacija.

Tam, kad asmens duomenys būtų renkami ir tvarkomi teisėtai, duomenų valdytojai (internete veikiančios įmonės) privalo pasirūpinti keliais labai svarbiais aspektais: parengti privatumo politiką, kur duomenų subjektai jiems suprantama ir paprasta kalba būtų informuojami, kaip yra tvarkomi jų asmens duomenys; paskelbti pranešimą, jog duomenų valdytojas naudoja slapukus; taip pat pateikti pranešimą(-us) Valstybinei duomenų apsaugos inspekcijai apie duomenų tvarkymą.

Daugiau nei pusė duomenis tvarko neteisėtai

 Balandžio-gegužės mėnesiais advokatų kontora „Triniti“ atliko 50 Lietuvoje registruotų internetinių portalų, teikiančių įvairias paslaugas, asmens duomenų tvarkymo analizę. Deja, tačiau tyrimo rezultatai nedžiugina – įstatymų pažeidimai fiksuojami didesnėje dalyje analizuotų tinklalapių.

Peržiūrėjus 50 įvairaus turinio internetinių portalų (nuo grupinio apsipirkimo, kosmetikos ir technikos iki teisines paslaugas teikiančių portalų), pastebėta, kad teisėtu asmens duomenų tvarkymu įmonės pasirūpina retai. Vos 22 internetiniai puslapiai vartotojus supažindina, kaip yra tvarkomi jų asmens duomenys, o iš jų tik 4 tai daro aiškia kalba. Atkreiptinas dėmesys, kad dažnai internetinio puslapio privatumo politikos būna parašytos taip, kad net teisininkams sunku jas skaityti ir suprasti, kaip duomenų valdytojas tvarko renkamus asmens duomenis.

Pusė peržiūrėtų internetinių portalų yra Valstybinės duomenų apsaugos inspekcijos registruoti duomenų valdytojais, tačiau ne visi tokia apimtimi, kaip turėtų. Tai reiškia, kad daugiau nei pusė internetinių portalų asmens duomenis tvarko neteisėtai. Paradoksalu, kad tarp neregistruotų, tačiau tvarkančių asmens duomenis, tokius kaip darbovietė, vardas, pavardė, asmens kodas ir pan., yra ir teisines paslaugas teikiančių įmonių. Remiantis Lietuvos įstatymais, tokios įmonės apskritai neturi teisės rinkti asmens duomenis.

Baudos net iki 20 mln. eurų

Asmens duomenis tvarkantys ūkio subjektai turėtų įsidėmėti, jog asmens duomenų tvarkymas pažeidžiant įstatymą pirmą kartą užtraukia baudą nuo 144 iki 289 EUR. Be to, nuo 2018 m., įsigaliojus Bendrajam duomenų apsaugos reglamentui, priežiūros institucija galės apsiriboti įspėjimu, tačiau galės skirti baudą iki 20 milijonų EUR ar 4 % proc. visos įmonės apyvartos, skaičiuojamos pasauliniu mastu.

Duomenų tvarkytojams reikėtų atkreipti dėmesį ir į tai, kiek duomenų ir kokiu pagrindu juos nusprendžiama rinkti – visos informacijos rinkimas turi būti pagrįstas. Pavyzdžiui, Lietuvos vyriausiasis administracinis teismas kaltu pripažino vienos įmonės direktorių už tai, kad lojalumo kortelei išduoti naudojamoje anketoje iš asmens reikalauta perteklinių duomenų. Nagrinėjamu atveju buvo prašoma pateikti vardą, pavardę, asmens kodą, lytį, gyvenamąją vietą, telefono numerį ir el. pašto adresą. Valstybinė duomenų apsaugos inspekcija, nagrinėdama asmens skundą, nustatė, kad valdytojas neturėjo teisės reikalauti pateikti asmens kodą, nes šis nėra naudojamas jokiam tikslui – jo nereikia nei mokesčių mokėjimo, nei jokiems kitiems pagrįstiems tikslams įgyvendinti. Dėl šios priežasties teismas duomenų valdytojo direktoriui skyrė baudą.

Sužinoti, ar asmens duomenys tvarkomi teisėtai ir kokia apimtimi tai leidžiama daryti, galima Asmens duomenų valdytojų registre.