Ar privačių asmenų kontaktai gali būti laikomi el. pašte?
Nors iš principo atsakymas į šį klausimą yra teigiamas, vis dėlto, galite tuos duomenis laikyti, jei tam turite teisinį pagrindą ir konkretų tikslą. Šiuo atveju tai gali būti jūsų pareigų vykdymas, įmonės ar įstaigos atstovo funkcijų plėtojimas. Paprastai tariant, jeigu bendraujate su partneriais ar klientais – turite teisę laikyti jų kontaktus el. pašte.
Tačiau jeigu šiuos duomenis norėsite laikyti ilgesnį laikotarpį, gali tekti atsižvelgti į Bendrųjų dokumentų saugojimo terminų rodyklės nuostatus. Jie tiksliai nurodo įvairių susirašinėjimų saugojimo terminus. Priklausomai nuo susirašinėjimo pobūdžio, jis turi būti saugomas trejus arba penkerius metus. Pvz., susirašinėjimo tarptautinio bendradarbiavimo klausimais dokumentai turi būti saugomi penkerius, o personalo klausimais – trejus metus. Kaip bebūtų, dažniausiai susirašinėjimai vyksta bendrovės viduje: žmogiškųjų išteklių valdymo, dokumentų tvarkymo ar panašiais klausimais.
Kalbant apie susirašinėjimą su klientais, tiekėjais ir partneriais, šių kategorijų susirašinėjimo saugojimo termino Bendrųjų dokumentų saugojimo terminų rodyklė nenustato. Todėl saugojimo terminą tektų nusimatyti patiems. Tokiu atveju svarbu laikytis saugojimo trukmės apribojimo principo, kuris nurodo, kad asmens duomenys turi būti saugomi ne ilgiau nei tai būtina konkrečiam tikslui pasiekti. Rekomenduotina saugojimo terminą nusistatyti siejant jį su galimo ieškinio teismui pareiškimo senaties terminu. Priklausomai nuo sutarties pobūdžio, senaties terminas gali skirtis, pavyzdžiui, 3 metai, 10 metų ir pan. Taigi, reikėtų patiems įvertinti saugojimo laiką, kurio ilgiau pratęsti jau nebūtų galima. Nebent atsirastų naujas tikslas, kurio siekiant turėtumėte toliau saugoti šį kontaktą ir turėtumėte teisinį pagrindą jam saugoti.
Ar tikrai galime gauti 20 mln. eurų dydžio maksimalią baudą už BDAR pažeidimą?
Bendrasis duomenų apsaugos reglamentas priimtas 2016 m., o pradėtas taikyti – 2018 m. gegužės 25 d. Ir nors BDAR taikymui pasiruošti buvo skirti dveji metai, daugelis įmonių Lietuvoje tam rengėsi paskutinę minutę arba pradėjo rengtis po Bendrojo duomenų apsaugos reglamento įsigaliojimo. Panašiai situacija klostėsi ir kai kuriose kitose valstybėse, pvz., Latvijoje, Ispanijoje ir Italijoje.
Šiose valstybėse ir Lietuvoje kol kas tokių didelių baudų dar nėra buvę. Vietinės inspekcijos labiau linkusios „paauklėti“ ir bausti tik tuomet, kai įmonė „neklauso“. Šiuo metu toks principas veikia, todėl panašu, kad jis bus taikomas ir toliau, o griežtesnių priemonių būtų imtasi tik sunkesnių pažeidimų atveju.
Nors baudos už Bendrojo duomenų apsaugos reglamento reikalavimų pažeidimą iš tiesų gali siekti iki 20 mln. eurų ir netgi daugiau, pačiame reglamente yra nustatyti pagrindiniai kriterijai, į kuriuos turi būti atsižvelgiama nustatant baudos dydį. Pavyzdžiui, pažeidimo pobūdis, sunkumas, trukmė, nukentėjusių asmenų skaičius, jų patirtos žalos dydis, duomenų tvarkymo pobūdis, tikslas ir aprėptis. Atsižvelgiama ir į tai, ar pažeidimas padarytas tyčia, ar dėl aplaidumo ir neatsargumo, ar buvo imamasi priemonių sumažinti asmenų patirtą žalą, ar yra įgyvendinamos techninės ir organizacinės saugumo priemonės, ar anksčiau buvo atlikta svarbių pažeidimų, ar bendradarbiaujama su priežiūros institucija, siekiant atitaisyti pažeidimą ir sumažinti jo galimą neigiamą poveikį.
Nustatant baudos dydį svarbu ir tai, su kokiomis asmens duomenų kategorijomis yra susijęs pažeidimas, kokiu būdu priežiūros institucija sužinojo apie įvykusį pažeidimą (Bendrasis duomenų apsaugos reglamentas numato informavimo apie pažeidimus tvarką). Atsižvelgiama ir į kitas sunkinančias ar lengvinančias aplinkybes.
Taigi, sprendžiant dėl baudos dydžio, turi būti atsižvelgiama į daugelį dalykų. Todėl akivaizdu, kad didžiausios baudos būtų skirtos tik už sunkius, tyčinius pažeidimus, kurių neigiamas poveikis paliestų daug žmonių. Taip pat turėtų būti atsižvelgiama ir į verslo subjekto finansinę būklę. Juk būtų nelogiška skirti maksimalias baudas tokioms bendrovėms, kurių metinė apyvarta siekia vos kelis milijonus eurų, kadangi tokios baudos nebūtų sumokamos, o norimas atgrasymo nuo pažeidimų efektas nebūtų pasiektas.
Kas yra klientų duomenų profiliavimas? Ar klientas gali jo atsisakyti?
Profiliavimu yra laikomas toks asmens duomenų tvarkymas, kai jie naudojami siekiant įvertinti tam tikrus su fiziniu asmeniu susijusius asmeninius aspektus, pavyzdžiui, pomėgius, interesus, darbo rezultatus, ekonominę situaciją ir pan. Profiliavimą apibrėžia trys elementai. Pirmiausia, jis yra atliekamas automatizuotomis priemonėmis. Antra, jis atliekamas su asmens duomenimis. Trečia, jo tikslas – įvertinti tam tikrus su fiziniu asmeniu susijusius aspektus, kad būtų galima prognozuoti fizinio asmens elgesį ir priimti sprendimą remiantis šia prognoze.
Profiliavimas dažniausiai atliekamas, kai įmonės surinktus pirkėjų duomenis sugrupuoja pagal tam tikrus požymius ir besiremdamos jais teikia komercinius pasiūlymus, siunčia naujienlaiškius, vykdo savo rinkodarą. Gyvenimiškas profiliavimo pavyzdys būtų, kai parduotuvė, stebėdama klientų apsipirkimus, fiksuoja jų pirkimų tendencijas, nustato perkamas nestandartines prekes, kurios atitinka tam tikrus pomėgių požymius (pavyzdžiui, asmuo dažnai perka žvejybos reikmenis). Profiliuojant parduotuvė prognozuoja, kad konkretus asmuo mėgsta žvejoti ir naujienlaiškį ar išskirtinį pasiūlymą jam siunčia būtent šia tema. Minėtas kliento požymis gali būti hobis, darbo vieta ir, apskritai, bet koks kitas objektyvus asmens ypatumas.
Taigi, klientui pasirašant sutartį ar duodant sutikimą dėl jo asmens duomenų naudojimo lojalumo programai, be kitos privalomos pateikti informacijos, turi būti nurodoma, ar su asmens duomenimis bus atliekami profiliavimo veiksmai. Vartotojas, norėdamas atsisakyti profiliavimo, gali remtis savo teisėmis – teise atšaukti duota sutikimą, teise reikalauti ištrinti duomenis, teise apriboti asmens duomenų tvarkymą ir teise nesutikti. Priklausomai nuo teisinio pagrindo, kurio pagrindu yra atliekamas profiliavimas, ta teisė gali būti įgyvendinama arba ne.
Svarbu tai, kad vykdant profiliavimą tiesioginės rinkodaros tikslu, asmuo gali bet kada pareikšti nesutikimą, kad jo duomenys būtų tvarkomi šiuo tikslu. Tokiu atveju toks asmens nesutikimas turi būti įgyvendinamas.
