Kaip reikėtų elgtis? Bendras principas turbūt visiems aiškus ir ne kartą girdėtas. Kai asmuo prašo susipažinti su savo duomenimis, turite patvirtinti, ar tvarkote jo duomenis, o esant poreikiui – suteikti teisę susipažinti su šiais duomenimis (įskaitant teisę gauti šių duomenų kopiją) bei pateikti informaciją, kaip tvarkomi duomenys. Bet yra ir ribos, kai verslas gali pasakyti STOP. Apžvelgiame svarbiausius aspektus, į kuriuos reikėtų atkreipti dėmesį šiame kontekste.
Prašymo turinys ir jį pateikiančio asmens tapatybė
Bendrovė, gavusi prašymą, turi pirmiausia įvertinti asmens teisę pateikti prašymą ir šio prašymo turinį. Lengviausia tą padaryti atsakant sau į penkis klausimus.
- Ar prašymas susijęs su asmens duomenimis? Bendra informacija apie bendrovę, jos verslo modelį, asmens duomenų tvarkymo ypatumus nėra susijusi su konkretaus asmens duomenimis, todėl tokia informacija šiuo pagrindu negali ir neturėtų būti teikiama.
- Ar prašymas yra susijęs su prašančiu asmeniu (ar asmeniu, kurio vardu įgaliotas asmuo pateikia prašymą)? Paprastai prašymas gali būti susijęs tik su jį pateikusio asmens duomenimis. Prieigos prie kitų žmonių duomenų galima prašyti tik gavus atitinkamą leidimą, įgaliojimą ar esant įstatyminiam pagrindui (pvz., tėvai veikia kaip savo vaikų įstatyminiai globėjai).
- Ar taikomos kitos nuostatos (išskyrus Bendrojo duomenų apsaugos reglamento, BDAR), reglamentuojančios prieigą prie tam tikros kategorijos duomenų? Asmenys savo prašyme neprivalo nurodyti teisinio pagrindo, kuriuo remiasi prašydami savo asmens duomenų. Tačiau, jei prašymas grindžiamas kitais nacionaliniais teisės aktais, kurie reglamentuoja prieigą prie asmens duomenų, turi būti taikomos to teisės akto nuostatos. Pvz., Pacientų teisių ir žalos sveikatai atlyginimo įstatymas numato, kad psichikos ir elgesio sutrikimų turinčio paciento teisės susipažinti su paciento medicinos dokumentais ypatumus nustato Psichikos sveikatos priežiūros įstatymas.
- Ar prašymas patenka į BDAR 15 str. taikymo sritį? Prašymas susipažinti su savo asmens duomenimis neturi būti tenkinamas, jei prašyme neatsispindi bent vienas iš šios teisės elementų: teisė gauti patvirtinimą apie tvarkomus duomenis, teisė susipažinti su asmens duomenimis ir (ar) teisė gauti informaciją apie tvarkomus duomenis.
- Ar duomenų subjektai nori susipažinti su visa apie juos tvarkoma informacija, ar tik su jos dalimi? Bet koks duomenų subjektų pateiktas prašymo apimties ribojimas iš verslo pusės turi būti aiškus ir nedviprasmiškas. Pvz., jei asmuo prašo pateikti informaciją apie jo duomenų gavėjus, o ne duomenų gavėjų kategorijas, tokia informacija ir turėtų būti pateikiama.
Neigiamas poveikis kitų teisėms ir laisvėms
BDAR aiškiai numato, kad teisė gauti asmens duomenų kopiją negali turėti neigiamo poveikio kitų asmenų teisėms ir laisvėms, įskaitant komercinių paslapčių, intelektinės nuosavybės ir ypač programinės įrangos autorių teisėms.
Štai vienas pavyzdys. Prekybos centre atliekamas vaizdo stebėjimas. Stebėjimo kameros per dieną užfiksuoja tūkstančius žmonių. Jei asmuo prekybos centre pametė automobilio raktus ir prašo suteikti visus tos dienos įrašus, ką tai reiškia? Jei pateiksime tai, ko prašo automobilio raktus pametęs asmuo, tai turės neigiamą poveikį kitų tame įraše matomų asmenų teisėms ir laisvėms. Vis dėlto trečiųjų šalių teisių apsauga neturėtų būti naudojama kaip pasiteisinimas siekiant užkirsti kelią teisėtiems asmenų reikalavimams susipažinti su duomenimis. Tokiais atvejais verslas turėtų pasitelkti technines priemones (pvz., vaizdo redagavimas arba šifravimas), kad apsaugotų vienus asmenis ir patenkintų kito asmens prašymą.
Kitas pavyzdys – telefoninių pokalbių įrašų kopijų teikimas. Čia verslas taip pat susiduria su pareiga apsaugoti kitų pokalbio dalyvių asmens duomenis. Ir nors darbuotojas ar klientas prašo susipažinti su visu pokalbio įrašu, jo kaip duomenų subjekto teisė ne visada gali būti visiškai įgyvendinama, pvz., kai pokalbio metu yra atskleidžiama komercinė paslaptis arba informacija apie kito asmens privatų gyvenimą. Tokiu atveju turėtų būti pateikiama įrašo kopija su „iškirptais“ kito pokalbyje dalyvaujančio asmens kalbėjimo epizodais arba pokalbio stenograma.
Prašymas yra nepagrįstas ar perteklinis
BDAR taip pat suteikia galimybę verslui nepaisyti užklausų dėl teisės susipažinti su tvarkomais asmens duomenimis, jei jos yra akivaizdžiai nepagrįstos arba perteklinės. Žinoma, verslas turi sugebėti pagrįsti savo sprendimą.
Kad prašymas yra akivaizdžiai nepagrįstas, būtų galima sakyti tuo atveju, kai yra aišku, jog asmuo neturi rimtų ketinimų gauti informaciją, arba kai teise naudojasi tik tam, kad pakenktų organizacijos veiklai ir ją sutrikdytų. Pavyzdžiui, prašyme pateikia nepagrįstus kaltinimus bendrovei ar konkretiems darbuotojams arba sistemingai siunčia skirtingus prašymus. Bendrovė turi atidžiai išanalizuoti prašymą ir tik nustačiusi, jog asmuo tikrai neturi jokių realių ketinimų pasinaudoti savo teisėmis, jį atmesti.
Pertekliniai prašymai dažniausiai yra susiję su jų kiekiu (pvz., asmuo nuolat pateikinėja analogiškus ar panašius prašymus). Tačiau tai nėra vienintelė reikšminga aplinkybė. Vertinant, ar prašymas yra perteklinis, taip pat reikėtų atsižvelgti, pvz., ar atskleidus prašomą informaciją kitam asmeniui nekils žalos, ar pateikiami prašymai yra susiję su tos pačios rūšies informacija kaip ir ankstesni prašymai ir pan.
Nacionaliniais teisės aktais nustatyti ribojimai
Teisė susipažinti su asmens duomenimis gali būti apribota ir Europos Sąjungos ar valstybių narių teisės aktų, tačiau tam turi būti aiškus ir konkretus įstatyminis pagrindas. Šią išimtį taiko ir kartais tuo piktnaudžiauja viešojo administravimo subjektai, priimdami poįstatyminius teisės aktus, varžančius duomenų subjektų teises. Pavyzdžiui, poįstatyminiu teisės aktu pasitvirtina asmens duomenų tvarkymo taisykles, asmenų teisių įgyvendinimo tvarką ar kitus duomenų apsaugą reglamentuojančius teisės aktus.
Reikia turėti galvoje, kad poįstatyminiai teisės aktai negali varžyti teisės susipažinti su tvarkomais asmens duomenimis, kai nacionalinėje teisėje nėra nustatyto teisinio pagrindo, aiškiai apibrėžiančio atitinkamų viešojo administravimo subjekto funkcijų ir joms atlikti būtinų teisių. Vadinasi, jeigu įstatyme nėra įtvirtinta, kad viešojo administravimo subjektas poįstatyminiu teisės aktu gali reglamentuoti asmens duomenų tvarkymo teisinius aspektus, imdamasis tokios iniciatyvos viršys savo kompetenciją.
Apibendrinant galima teigti, kad teisė susipažinti su asmens duomenimis priklauso nuo konkrečios situacijos. Vis dėlto verslas visuomet turėtų stengtis įvykdyti prašymus, įvertinęs balansą tarp asmens teisės susipažinti su savo duomenimis ir tam tikrais atvejais verslui ir (ar) trečiosioms šalims galinčios kilti rizikos.
