Apie naujoves šioje srityje pasakoja Valdemaras Kovalevskis, advokatų profesinės bendrijos „Žabolienė ir partneriai METIDA“ advokato padėjėjas.
Po metų, 2018 m. gegužės 25 d., įsigalios naujas Asmens duomenų reglamentas, kuris numato aiškesnius ir kartu griežtesnius reikalavimus asmenų sutikimams dėl jų duomenų tvarkymo. Tam, kad būtų tinkamai pasiruošta jau greitai įsigaliojančioms naujovėms, būtina peržiūrėti šiuo metu naudojamas duomenų tvarkymo formas.
Svarbu pažymėti, kad žemiau aptariamos naujovės aktualios tik tais atvejais, kai asmens duomenis tvarkantis asmuo remiasi sutikimu. Jeigu asmens duomenys tvarkomi kitu pagrindu, taikomos kitos taisyklės.
Kokius reikalavimus sutikimui numato naujas Asmens duomenų apsaugos reglamentas?
Pirmiausia sutikimas turi būti duotas laisva valia. Ar sutikimas buvo duotas laisva valia, sprendžiama pagal sutikimo davimo aplinkybes bei duomenų valdytojo, t.y. asmens, kuriam duodamas sutikimas tvarkyti asmens duomenis, ir duomenų subjekto santykį. Pavyzdžiui, jeigu tarp duomenų valdytojo ir duomenų subjekto yra pavaldumas, kyla didelė rizika, kad toks sutikimas nebus laikomas laisvu. Vertinant sutikimo laisva valia davimą taip pat atsižvelgiama į galimas pasekmes asmeniui, jeigu jis neduos sutikimo, sutikimo reikšmę sutarties vykdymui ir galimybę duoti sutikimą atskiriems veiksmams su asmens duomenimis. Pavyzdžiui, jeigu nėra galimybės duomenų valdytojo paruoštoje formoje pažymėti atskirų veiksmų su asmens duomenimis, toks sutikimas nėra laisvas.
Sutikimas turi būti ne tik laisvas, bet ir konkretus ir nedviprasmiškas. Kitaip tariant, asmuo turi būti pakankamai detaliai informuotas apie duomenų rinkimo tikslus ir konkrečius renkamus duomenis. Be to, sutikimas turi būti duotas konkrečiam tikslui, pavyzdžiui, sutikimas tvarkyti duomenis tiesioginės rinkodaros tikslais, nesuteikia teisės automatiškai perduoti duomenis trečiajam asmeniui, nebent šis veiksmas buvo aiškiai išskirtas ir dėl jo buvo gautas atskiras sutikimas. Pastebėtina, kad asmens tylėjimas ar numanomas sutikimas nelaikomas nedviprasmišku sutikimu. Tie atvejai, kai sutikimas duodamas iš anksto konkrečiame langelyje pažymėjus sutikimą tvarkyti duomenis, taip pat nelaikomi tinkamu sutikimo davimu.
Tam, kad asmens sutikimas atitiktų Asmens duomenų apsaugos reglamente numatytus reikalavimus, turi būti aiškiai nurodyti duomenų tvarkymo tikslai, nurodyta, kas yra duomenų valdytojas bei kita informacija, kuri yra reikšminga konkrečiu atveju. Be kita ko, sutikime turėtų būti aiškiai nurodyta, kad duomenų subjektui yra išaiškinta, jog jis bet kuriuo metu gali atšauti sutikimą.
Kokie sutikimai bus laikomi negaliojančiais?
Prie atvejų, kai sutikimas yra duotas ne laisva valia ir jis laikomas negaliojančiu, priskiriami atvejai, kai sutarties vykdymas arba paslaugos teikimas priklauso nuo asmens sutikimo. Pavyzdžiui, jeigu asmuo neduoda sutikimo tvarkyti jo asmens duomenis, kita šalis nesuteiks tam tikros paslaugos. Sutikimas yra negaliojantis ir tais atvejais, kai jo negalima atšaukti nepatiriant žalos arba neleidžiama duoti atskiro sutikimo atskiroms asmens duomenų tvarkymo operacijoms.
Įdomi situacija yra darbo santykių atveju. Kadangi darbuotojas yra pavaldus darbdaviui, automatiškai peršasi mintis, kad jo sutikimas tvarkyti duomenis gali būti negaliojantis. Tačiau ši taisyklė nėra absoliuti, nes kiekvienu konkrečiu atveju reikia vertinti, ar darbuotojas gali patirti kažkokias neigiamas pasekmes, jeigu neduos sutikimo, o taip pat ar gali bet kada savo sutikimą atšaukti. Manytina, kad jeigu šie kriterijai nėra pažeidžiami, darbuotojo sutikimas nėra automatiškai negaliojantis.
Kada galima tvarkyti asmens duomenis be sutikimo?
Duomenis galima tvarkyti be asmens sutikimo, jeigu tai yra būtina ir proporcinga siekiant apginti viešąjį interesą, viešąjį saugumą. Tačiau net ir šiuo atveju, duomenų subjektas turi būti informuotas apie tikslus, kuriais duomenys tvarkomi ir apie jo teises, įskaitant teisę nesutikti, kad jo duomenys būtų tvarkomi.
Kokia forma gali būti duotas sutikimas tvarkyti duomenis?
Asmens sutikimas iš esmės gali būti duotas bet kokia forma, tiek žodžiu, tiek raštu ar kokiu nors veiksmu. Sutikimas gali būti duotas ir elektroninėmis priemonėmis, pažymint langelį interneto svetainėje. Visais atvejais svarbu, kad prašymas dėl sutikimo davimo būtų glaustas, aiškus, surašytas paprasta kalba, o elektroninių priemonių atveju neturi be reikalo nutraukti naudojimosi paslauga.
Svarbu, kad duomenų valdytojai ne tik peržiūrėtų savo turimas sutikimų dėl asmens duomenų tvarkymo formas ir, esant poreikiui, jas pakeistų dar iki Asmens duomenų apsaugos reglamento įsigaliojimo, bet taip pat, kad juos saugotų. Sutikimus svarbu saugoti, kad, esant poreikiui, būtų galima patikrinti, kokiems konkretiems veiksmams ir dėl kokių duomenų buvo duotas sutikimas. Tai padės apsisaugoti ne tik nuo duomenų subjektų pretenzijų, bet ir nuo priežiūros institucijos reikalavimų.