Covid-19 verčia kavines ir barus duomenų valdytojais – kaip neprisidaryti bėdų?

Spalio 21 d. Vyriausybė priėmė nutarimą, pagal kurį visos laisvalaikio, pramogų ir viešojo maitinimo įstaigos įpareigotos registruoti lankytojus. Su nauja prievole verslininkų pečius užgulė ir Bendrojo duomenų apsaugos reglamento (BDAR) reikalavimai, už kurių nesilaikymą gresia didesnės baudos nei už pačios registracijos nevykdymą. Teisės firmos „Sorainen“ teisininkas Paulius Mockevičius atkreipia dėmesį į svarbiausius asmens duomenų apsaugos aspektus vykdant lankytojų registraciją.

Svarbu gerai pasiruošti

„Nors dar nėra aiški tvarka, kaip ir kokius asmens duomenis įstaigos turės rinkti, ketvirtadienį popiet A. Veryga prasitarė, kad greičiausiai tai bus asmens vardas, pavardė ir telefono numeris. Tai reiškia, kad Vyriausybės nutarimą vykdantys verslai taps duomenų valdytojais, kuriems bus taikomos ir su duomenų apsauga susijusios BDAR nuostatos. Už jų nesilaikymą įmonėms gresia net iki 4 proc. metinės apyvartos arba iki 20 mln. eurų siekiančios baudos“, – sako P. Mockevičius.

Teisininko teigimu, norint išvengti tokių baudų, įmonėms svarbu suvokti, kad net ir toks Vyriausybės įpareigojimas ir neeilinė pandemijos padėtis neatleidžia nuo prievolės laikytis duomenų apsaugos reikalavimų. Anot P. Mockevičiaus, lankytojus registruoti ketinančios įstaigos turėtų imtis tinkamų techninių priemonių surinktiems duomenims apsaugoti.

„Tam svarbu iš anksto nustatyti ir dokumentuoti lankytojų užrašymo bei su juo susijusių duomenų tvarkymo procedūras, paskirti už lankytojų duomenų rinkimą, saugojimą ir sunaikinimą atsakingus darbuotojus, užtikrinti, kad prie lankytojų duomenų neprieitų įgaliojimo neturintys darbuotojai ar pašaliniai asmenys“, – sako P. Mockevičius.

Lankytojams turi būti suteikiamos tinkamos žinios

Teisininko teigimu, taip pat labai svarbu, kad įmonės, rinkdamos asmens duomenis, apie tai tinkamai praneštų lankytojus.

„Prieš užrašant lankytoją jam turėtų būti pateikiamas aiškus, glaustas ir lengvai suprantamas pranešimas, kuriame nurodoma duomenų valdytojo – šiuo atveju įmonės ar individualia veikla užsiimančio verslininko – tapatybė ir susisiekimo duomenys. Pranešimu asmeniui taip pat turėtų būti pranešta apie duomenų tvarkymo tikslą ir teisinį pagrindą, galimus duomenų gavėjus, duomenų valdytojo ketinimus perduoti asmens duomenis už ES ribų, duomenų saugojimo laikotarpį, asmens teises bei galimas duomenų nepateikimo pasekmes“, – vardina P. Mockevičius.

Teisininko teigimu, šias žinias galima pateikti tiek popieriniame dokumente, tiek elektroniniu būdu. Svarbiausia, kad verslas galėtų įrodyti, jog tokios žinios iš tiesų buvo pateiktos. Jei duomenis ketinama rinkti ant popieriaus atspausdintoje anketoje, tokį pranešimą patogu pateikti pačioje duomenų pildymo anketoje ar kaip atskirą jos priedą. Jei duomenys renkami elektroniniu būdu, reikiamas žinias galima pateikti elektroninėje duomenų rinkimo formoje.

„Labai patartina į duomenų rinkimo anketą įtraukti ir žymą, kurią pažymėdamas asmuo patvirtintų, kad su pateiktomis žiniomis susipažino ir ją suprato. Tai gali būti svarbu ginčo ar skundo atveju. Pareiga įrodinėti, kad duomenys buvo renkami ir saugomi pagal BDAR reikalavimus, tokiose padėtyse tenka būtent duomenų valdytojui“, – pažymi P. Mockevičius.

Savivaliauti nereikėtų

„Sorainen“ teisininko teigimu, labai svarbus ir BDAR įtvirtintas duomenų kiekio mažinimo būdas. Jis draudžia tvarkyti daugiau asmens duomenų, nei būtina nustatytiems tikslams pasiekti.

„Tai reiškia, kad šiuo atveju įstaigos privalo kaupti tik tuos lankytojų duomenis, kurių reikalaujama Valstybės lygio ekstremaliosios padėties operacijų vadovo sprendimu. Jame turėtų būti aiškiai nurodyta, kokius konkrečiai asmens duomenis ir kiek laiko įstaigos turėtų saugoti. Bet kokios kitos žinių rinkimas būtų laikomas pertekliniu, o jas kaupti būtų galima tik su atskiru asmens sutikimu“, – sako P. Mockevičius.

Teisininko teigimu, lygiai taip pat svarbu užtikrinti, kad surinkti duomenys būtų naudojami tik tam, kad būtų pateikti Nacionaliniam visuomenės sveikatos centrui, jei to prireiktų COVID-19 ligos židinio epidemiologiniam nustatymui. Surinktus lankytojų duomenis naudoti rinkodaros ar kitais tikslais draudžiama, nebent tam būtų kitas teisinis pagrindas, pavyzdžiui, atskiras lankytojo sutikimas.

Duomenis kaupti – tik saugiais būdais

P. Mockevičius atkreipia dėmesį ir į duomenų rinkimo priemonių saugumą. Nesvarbu, ar duomenys renkami popierinėje, ar elektroninėje formoje, jos turėtų užtikrinti renkamų duomenų saugumą.

„Kitaip tariant, neužtenka prie įstaigos durų prikabinti visiems atvirą bendrą anketą, kurioje kiekvienas lankytojas įrašytų savo susisiekimo duomenis. Užrašomi lankytojai neturėtų matyti kitų lankytojų duomenų. Jeigu duomenys renkami popierinėse anketose, svarbu nepalikti jų atviroje, lengvai prieinamoje vietoje. Bet kuris pasirinktas duomenų rinkimo būdas turėtų užtikrinti duomenų apsaugą nuo neteisėto atskleidimo, netyčinio praradimo ar sunaikinimo“, – pažymi P. Mockevičius.

Jo teigimu, naudojant elektroninį duomenų rinkimo būdą svarbu pasirinkti patikimą IT paslaugų teikėją ir saugos reikalavimus atitinkančią sistemą. Be to, įrenginį ir sistemą būtina apsaugoti stipriu ir dažnai keičiamu slaptažodžiu, o dar geriau – dvigubo atpažinimo sprendimu.

Duomenis reikia ir tinkamai pašalinti

Teisininko teigimu, pasibaigus privalomam duomenų saugojimo laikotarpiui, žinias apie lankytojus privaloma tinkamai ir negrįžtamai sunaikinti. Deja, anot P. Mockevičiaus, dar ne visi supranta, kad laikmenų su asmens duomenimis išmetimas į šiukšlių dėžę tam nėra tinkamas būdas.

„Prieš pašalinant bet kokią duomenų laikmeną, turi būti sunaikinti visi joje esantys duomenys. Tai galima padaryti naudojant tam skirtą programinę įrangą, kuri taiko patikimus duomenų naikinimo algoritmus. Jei to padaryti neįmanoma, laikmena turi būti sunaikinama tam skirtais smulkintuvais ar kitomis mechaninėmis priemonėmis“, – sako P. Mockevičius.

Anot P. Mockevičiaus, įstaigoms taip pat svarbu užtikrinti asmenų, kurių duomenys renkami, teises. Jos apima galimybę prašyti, kad duomenų valdytojas leistų susipažinti su duomenų savininko asmens duomenimis ir, esant reikalui, juos ištaisytų. Be to, reikia atminti, kad duomenų valdytojas privalo atsakyti į asmenų užklausas ir prašymus, susijusius su jų asmens duomenų tvarkymu, ne vėliau kaip per vieną mėnesį nuo užklausos ar prašymo gavimo dienos. Jei asmens prašymų tenkinti neketinama, privalu nurodyti to priežastis.

Nauji reikalavimai įsigalios nuo pirmadienio

Vyriausybė nusprendė, kad nuo spalio 26 dienos veikla bus leidžiama tik tose laisvalaikio ir pramogų vietose, viešojo maitinimo įstaigose, restoranuose, kavinėse, baruose, naktiniuose klubuose ir kitose pasilinksminimo vietose, taip pat lošimo namuose, lažybų vietose, kuriose užtikrinamas jų lankytojų duomenų rinkimas.

Nutarimas numato tik dvi išimtis, kai lankytojų užrašymas nėra privaloma. Kiekvieno apsilankiusiojo registruoti nebūtina, kai maistas tiekiamas išsinešti arba kai viešojo maitinimo paslaugos yra teikiamos įmonių darbuotojams šių įmonių teritorijose ar patalpose.