Ką NVO turi žinoti apie BDAR?
NVO teisės institutas, siekdamas padėti organizacijoms prisitaikyti prie Europos Sąjungos asmens duomenų apsaugos reformos, kreipėsi į Valstybinę duomenų apsaugos inspekciją. Šiame įraše dalinamės jų atsakymais į mūsų klausimus.
Valstybinė duomenų apsaugos inspekcija (toliau – Inspekcija) nėra įgaliota oficialiai aiškinti įstatymų, todėl gali pateikti tik savo nuomonę Jūsų paklausime pateiktais klausimais:
1. Ar naujas asmens duomenų reguliavimas darys įtaką asociacijos narių, viešųjų įstaigų bei labdaros ir paramos fondų dalininkų, NVO savanorių ir renginių dalyvių (toliau visi kartu – NVO dalyviai) asmens duomenų tvarkymui (ar yra specifiniai reikalavimai, reikalingos patvirtintos tvarkos ar panašiai) lyginant su šiandieniniu reglamentavimu?
2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL 2016 L 119, p. 1) (toliau – Reglamentas (ES) 2016/679), kuris bus pradėtas taikyti nuo š. m. gegužės 25 d., nenumato atskiro reglamentavimo skirto būtent asociacijos narių, viešųjų įstaigų bei labdaros ir paramos fondų dalininkų, nevyriausybinių organizacijų (toliau – NVO) savanorių ir renginių dalyvių (toliau – NVO dalyviai) asmens duomenų tvarkymui. Tvarkant NVO dalyvių, kaip ir kitų asmenų asmens duomenis turi būti laikomasi asmens duomenų tvarkymo principų, įtvirtintų Reglamento (ES) 2016/679 5 straipsnyje ir NVO dalyvių asmens duomenų tvarkymas turi būti pagrįstas bent viena teisėto asmens duomenų tvarkymo sąlyga, numatyta Reglamento (ES) 2016/679 6 ar 9 straipsnyje (atsižvelgiant į tai, ar tvarkomi specialių kategorijų duomenys ar ne).
Pažymėtina, kad Reglamentas (ES) 2016/679 nebenumato pareigos duomenų valdytojui, taip pat ir NVO, turėti asmens duomenų tvarkymo taisykles, kaip jos yra suprantamos pagal šiuo metu galiojančio Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo (toliau – ADTAĮ) 30 straipsnio 1 dalį ir kurios turi atitikti Bendrųjų reikalavimų organizacinėms ir techninėms asmens duomenų saugumo priemonėms, patvirtintų Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) „Dėl bendrųjų reikalavimų organizacinėms ir techninėms duomenų saugumo priemonėms patvirtinimo“ 8 punktą.
Atkreiptinas dėmesys, kad Reglamento (ES) 2016/679 5 straipsnio 2 dalyje įtvirtintas duomenų valdytojo atskaitomybės principas, kuris reiškia, kad duomenų valdytojas yra atsakingas už tai, kad būtų laikomasi Reglamento (ES) 2016/679 5 straipsnio 1 dalies, ir turi sugebėti įrodyti, kad jos laikomasi. Reglamento (ES) 2016/679 preambulės 82 punkte numatyta, kad duomenų valdytojas arba duomenų tvarkytojas, siekdamas įrodyti, kad laikosi šio reglamento, turėtų tvarkyti tvarkymo veiklos, už kurią yra atsakingas, įrašus. Kiekvienas duomenų valdytojas ir duomenų tvarkytojas turėtų būti įpareigotas bendradarbiauti su priežiūros institucija ir jos prašymu pateikti tuos įrašus, kad pagal juos būtų galima stebėti tas duomenų tvarkymo operacijas. Pažymėtina, kad duomenų tvarkymo veiklos įrašuose turi būti pateikiama visa informacija, nurodyta Reglamento (ES) 2016/679 30 straipsnio 1 dalyje.
Siekdamas įgyvendinti minėtą duomenų valdytojo atskaitomybės principą, duomenų valdytojas gali paruošti ir kitus dokumentus, reglamentuojančius jo atliekamą asmens duomenų tvarkymą (pvz., asmens duomenų tvarkymo taisykles, privatumo politiką ir kt.)
2. Ar naujas reguliavimas darys įtaką elektroninių laiškų siuntimui (pvz. kvietimai į renginį, paramos prašymas) – tiek NVO dalyviams, tiek kitiems asmenims, kurie nėra tiesiogiai susiję su NVO?
Svarbu pažymėti, jog Reglamentas (ES) 2016/679 panaikino 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyvą 95/46/EB dėl asmens duomenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (OL L 281, 1955 11 23, p.31), kuri įgyvendinta ADTAĮ, bet ne Europos Parlamento ir Tarybos direktyvas, kurios yra įgyvendintos Lietuvos Respublikos elektroninių ryšių įstatyme (toliau – ERĮ).
Atsižvelgiant į tai, pradėjus taikyti Reglamentą (ES) 2016/679, naudojant tiesioginės rinkodaros tikslu elektroninių ryšių paslaugas (pvz. elektroninio pašto adresą) ir toliau bus taikomas ERĮ. Pažymėtina, kad pagal ERĮ 69 straipsnio 1 dalį naudojant elektroninių ryšių paslaugas, įskaitant elektroninio pašto pranešimų siuntimą, tiesioginės rinkodaros tikslu leidžiama tik gavus išankstinį abonento ar registruoto elektroninių ryšių paslaugų naudotojo sutikimą.
Tiesiogine rinkodara yra laikoma veikla, kurios tikslas paštu, telefonu arba kitokiu tiesioginiu būdu siūlyti asmenims prekes ar paslaugas ir (arba) teirautis jų nuomonės dėl siūlomų prekių ar paslaugų. Manytina, kad Jūsų paklausime nurodyti atvejai (kvietimai į renginį, paramos prašymas) nebūtų laikomi tiesiogine rinkodara, tačiau pažymėtina, kad elektroninio pašto adresų naudojimas turėtų būti grindžiamas bent viena Reglamento (ES) 2016/679 6 straipsnio 1 dalyje numatyta sąlyga.
Rekomenduojame susipažinti su Inspekcijos parengta informacija apie asmens duomenų tvarkymą tiesioginės rinkodaros tikslu pradėjus taikyti Reglamentą (ES) 2016/679: [nuoroda].
3. Ar reikia NVO dalyvių (ypač asociacijos narių, viešųjų įstaigų bei labdaros ir paramos fondų dalininkų) leidimo tvarkyti jų asmens duomenis, pvz. narystės anketose įtraukti sutikimą leisti tvarkyti asmens duomenis?
NVO dalyvių (asociacijos narių, viešųjų įstaigų bei labdaros ir paramos fondų dalininkų) asmens duomenų tvarkymas turėtų būti grindžiamas viena iš Reglamento (ES) 2016/679 6 straipsnio 1 dalyje įtvirtintų sąlygų, pvz., duomenų subjektas davė sutikimą, tvarkyti duomenis būtina, kad būtų įvykdyta duomenų valdytojui taikoma teisinė prievolė ir kt. Kokia teisėto asmens duomenų tvarkymo sąlyga turėtų būti grindžiamas minėtų NVO dalyvių asmens duomenų tvarkymas galima būtų spręsti tik kiekvienu konkrečiu atveju, atsižvelgiant į asmens duomenų tvarkymo tikslą. Pažymėtina, kad ne visais atvejais duomenų subjekto sutikimas yra tinkamas asmens duomenų teisėto tvarkymo kriterijus, todėl neturi būti siekiama gauti duomenų subjekto sutikimo, jeigu asmens duomenų tvarkymas gali būti grindžiamas kitais asmens duomenų teisėto tvarkymo kriterijais, pvz., kai duomenų valdytojui yra taikoma teisinė prievolė tvarkyti asmens duomenis.
Vadovaujantis Reglamento (ES) 2016/679 4 straipsnio 11 punktu, duomenų subjekto sutikimas – bet koks laisva valia duotas, konkretus ir nedviprasmiškas tinkamai informuoto duomenų subjekto valios išreiškimas pareiškimu arba vienareikšmiais veiksmais kuriais jis sutinka, kad būtų tvarkomi su juo susiję asmens duomenys. Jūsų paklausime nurodytu atveju, manytina, kad nurodydamas asmens duomenis narystės anketoje, asmuo konkliudentiniais veiksmais sutinka, kad jo asmens duomenys būtų tvarkomi dalyvavimo NVO veikloje tikslais.
4. Ar reikia gauti naujus leidimus iš jau esamų NVO dalyvių tvarkyti jų asmens duomenis? Ar reikia jiems pateikti informaciją apie jau tvarkomus duomenis?
Atkreipiame dėmesį į Reglamento (ES) 2016/679 preambulės 171 punktą, numatantį, kad, kai duomenų tvarkymas grindžiamas sutikimu pagal Europos Parlamento ir Tarybos direktyvą 95/46/EB, duomenų subjektui nebūtina dar kartą duoti savo sutikimo, jei sutikimas duotas šio reglamento sąlygas atitinkančiu būdu, kad duomenų valdytojas galėtų tęsti tokį duomenų tvarkymą po šio reglamento taikymo pradžios dienos. Vadovaujantis šia Reglamento (ES) 2016/679 nuostata, manytina, kad duomenų valdytojai, kurie tvarko asmens duomenis remiantis duomenų subjekto sutikimu, gautu pagal galiojančiame ADTAĮ nustatytus reikalavimus, neprivalo automatiškai visų sutikimų gauti iš naujo. Sutikimas, kuris buvo gautas iki Reglamento (ES) 2016/679 taikymo dienos, galioja tiek, kiek duotas sutikimas atitinka minėto reglamento nustatytus reikalavimus. Pažymėtina, kad, remiantis Reglamento (ES) 2016/679 7 straipsnio 1 dalimi, duomenų valdytojas turi galėti įrodyti, kad duomenų subjektas davė sutikimą, kad būtų tvarkomi jo asmens duomenys.
Duomenų subjekto informavimą apie asmens duomenų tvarkymą reglamentuoja Reglamento (ES) 2016/679 13 ir 14 straipsniai. Tai, kokią informaciją duomenų valdytojas asmens duomenų gavimo metu turi pateikti duomenų subjektui, kai iš duomenų subjekto renkami jo asmens duomenys, reglamentuoja Reglamento (ES) 2016/679 13 straipsnio 1, 2 ir 3 dalys. Atkreipiame dėmesį, kad Reglamento (ES) 2016/679 13 straipsnio 4 dalis numato, kad šio straipsnio 1, 2 ir 3 dalys netaikomos, jeigu duomenų subjektas jau turi informaciją, ir tiek, kiek tos informacijos jis turi. Atsižvelgiant į tai, NVO dalyviams apie jau tvarkomus jų asmens duomenis turėtų būti pateikta tik tokia Reglamento (ES) 2016/679 13 straipsnyje nurodyta informacija, kuri jiems nebuvo pateikta asmens duomenų rinkimo metu ir kurios jie neturi.
5. Kokie yra specifiniai asmens duomenų apsaugos pokyčiai, kai su duomenimis dirba NVO, kurių dalyviai yra nepilnamečiai?
Nepilnamečių asmenų veiksnumas ir jų galimybė atlikti tam tikrus veiksmus yra reglamentuojami Lietuvos Respublikos civiliniame kodekse. Reglamentas (ES) 2016/679 nenumato atskiro reglamentavimo, skirto nepilnamečių asmens duomenų tvarkymui, išskyrus Reglamento (ES) 2016/679 8 straipsnį. Reglamento (ES) 2016/679 8 straipsnio 1 dalis numato, kad kai taikomas 6 straipsnio 1 dalies a punktas (t. y. duomenų subjekto sutikimas), kai tai susiję su informacinės visuomenės paslaugų tiesioginiu siūlymu vaikui, vaiko asmens duomenų tvarkymas yra teisėtas tik tuo atveju, jei vaikas yra bent 16 metų amžiaus. Kai vaikas yra jaunesnis nei 16 metų, toks tvarkymas yra teisėtas tik tuo atveju, jeigu tą sutikimą davė arba tvarkyti duomenis leido vaiko tėvų pareigų turėtojas, ir tokiu mastu, kokiu duotas toks sutikimas ar leidimas. Atkreipiame dėmesį, kad Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo Nr. I-1374 pakeitimo įstatymo projekte yra numatyta, kad jei vaikui tiesiogiai siūlomos informacinės visuomenės paslaugos, vaiko asmens duomenų tvarkymas yra teisėtas tuo atveju, jei sutikimą pagal Reglamento (ES) 2016/679 6 straipsnio 1 dalies a punktą duoda vaikas, vyresnis nei 14 metų.
Taip pat atkreiptinas dėmesys, kad Reglamento (ES) 2016/679 12 straipsnio 1 dalyje bei preambulės 58 punkte pažymėta, kad atsižvelgiant į tai, kad vaikams turi būti užtikrinta ypatinga apsauga, informacija ir pranešimai, kai duomenų tvarkymas orientuotas į vaiką, turėtų būti suformuluoti vaikui lengvai suprantama aiškia ir paprasta kalba.
6. Ar gali NVO dalyviai turėti laisvą prieigą prie kitų tos NVO dalyvių asmens duomenų, pvz. tik nariams prieinamame Intranete?
Pažymėtina, kad vadovaujantis Reglamento (ES) 2016/679 32 straipsnio 1 dalimi, atsižvelgdamas į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas bei duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat duomenų tvarkymo keliamus įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas ir duomenų tvarkytojas įgyvendina tinkamas technines ir organizacines priemones, kad būtų užtikrintas pavojų atitinkančio lygio saugumas. Taip pat, Reglamento (ES) 2016/679 32 straipsnio 2 dalyje nurodyta, kad nustatant tinkamo lygio saugumą visų pirma atsižvelgiama į pavojus, kurie kyla dėl duomenų tvarkymo, visų pirma dėl netyčinio arba neteisėto persiųstų, saugomų ar kitaip tvarkomų duomenų sunaikinimo, praradimo, pakeitimo, atskleidimo be leidimo ar neteisėtos prieigos prie jų. Reglamento (ES) 2016/679 32 straipsnio 4 dalis numato, kad duomenų valdytojas ir duomenų tvarkytojas imasi priemonių, siekdami užtikrinti, kad bet kuris duomenų valdytojui arba duomenų tvarkytojui pavaldus fizinis asmuo, galintis susipažinti su asmens duomenimis, jų netvarkytų, išskyrus atvejus, kai duomenų valdytojas duoda nurodymus juos tvarkyti, nebent tas asmuo privalo tai daryti pagal Sąjungos arba valstybės narės teisę.
Atsižvelgiant į aukščiau paminėtas Reglamento (ES) 2016/679 nuostatas, darytina išvada, kad prieiga prie kitų NVO dalyvių asmens duomenų gali būti suteikta tik tiems asmenims, kuriems asmens duomenys yra reikalingi jų funkcijoms vykdyti, t. y. tik įgaliotiems NVO darbuotojams ar kitiems fiziniams asmenims.
7. Ar gali NVO dalyviai reikalauti ištrinti savo duomenis, jei jie lieka organizacijos nariais ar dalininkais?
Teisę reikalauti ištrinti duomenis („teisė būti pamirštam“) reglamentuoja Reglamento (ES) 2016/679 17 straipsnis, kuriame nurodyta, kad duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas nepagrįstai nedelsdamas ištrintų su juo susijusius asmens duomenis, o duomenų valdytojas yra įpareigotas nepagrįstai nedelsdamas ištrinti asmens duomenis, jei tai galima pagrįsti viena iš šių priežasčių:
a) asmens duomenys nebėra reikalingi, kad būtų pasiekti tikslai, kuriais jie buvo renkami arba kitaip tvarkomi;
b) asmens duomenų subjektas atšaukia sutikimą, kuriuo pagal 6 straipsnio 1 dalies a punktą arba 9 straipsnio 2 dalies a punktą grindžiamas duomenų tvarkymas, ir nėra jokio kito teisinio pagrindo tvarkyti duomenis;
c) asmens duomenų subjektas nesutinka su duomenų tvarkymu pagal 21 straipsnio 1 dalį ir nėra viršesnių teisėtų priežasčių tvarkyti duomenis arba duomenų subjektas nesutinka su duomenų tvarkymu pagal 21 straipsnio 2 dalį;
d) asmens duomenys buvo tvarkomi neteisėtai;
e) asmens duomenys turi būti ištrinti laikantis Sąjungos arba valstybės narės teisėje, kuri taikoma duomenų valdytojui, nustatytos teisinės prievolės;
f) asmens duomenys buvo surinkti 8 straipsnio 1 dalyje nurodyto informacinės visuomenės paslaugų siūlymo kontekste.
Pažymėtina, kad šio straipsnio 3 dalyje nurodyta, kada ši teisė gali būti neįgyvendinama, o būtent, jeigu duomenų tvarkymas yra būtinas:
a) siekiant pasinaudoti teise į saviraiškos ir informacijos laisvę;
b) siekiant laikytis Sąjungos ar valstybės narės teise, kuri taikoma duomenų valdytojui, nustatytos teisinės prievolės, kuria reikalaujama tvarkyti duomenis, arba siekiant atlikti užduotį, vykdomą viešojo intereso labui, arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas;
c) dėl viešojo intereso priežasčių visuomenės sveikatos srityje pagal 9 straipsnio 2 dalies h bei i punktus ir 9 straipsnio 3 dalį;
d) archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais laikantis 89 straipsnio 1 dalies, jeigu dėl 1 dalyje nurodytos teisės gali tapti neįmanoma arba ji gali labai sukliudyti pasiekti to tvarkymo tikslus; arba
e) siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus.
Atsižvelgiant į tai, kas išdėstyta, darytina išvada, kad NVO dalyviai gali reikalauti ištrinti savo asmens duomenis, jeigu tokį prašymą galima pagrįsti viena iš Reglamento (ES) 2016/679 17 straipsnio 1 dalyje nurodytų priežasčių ir nėra Reglamento (ES) 2016/679 17 straipsnio 3 dalyje numatytų išimčių.