Dėl asmens duomenų tvarkymo tiesioginės rinkodaros ir lojalumo programos tikslais teisėtumo
2022 spalio 13
Pradedant užsiimti prekyba internetu, t.y. atidarant elektroninę parduotuvę, reikalingas šios veiklos įteisinimas. Įteisinant prekiaujant internetu gautas pajamas, svarbu užtikrinti Bendrojo duomenų apsaugos reglamento taikymą (toliau – BDAR).
BDAR Lietuvoje tiesiogiai taikomas daugiau nei keturis metus, tačiau daugelis verslo subjektų vis dar susiduria su sunkumais. Valstybinė duomenų apsaugos inspekcija (toliau - Duomenų inspekcija) tikrindama nuolat randa pažeidimų, susijusių su asmens duomenų rinkimu ir tvarkymu. Klientas kreipėsi po Duomenų inspekcijos tikrinimo dėl asmens duomenų tvarkymo tiesioginės rinkodaros ir lojalumo programos tikslais teisėtumo. Duomenų inspekcija kliento patikrinimo rezultatų apibendrinime nurodė, kad:
1) Tvarkydama asmens duomenis, bendrovė nepagrįstai remiasi bendrovės teisėtu interesu.
2) Bendrovė renka perteklinę informacija apie savo klientus;
3) Nėra konkrečiai nurodomi, kokie duomenų gavėjai gauna asmens duomenis;
4) Bendrovėje nėra nustatyti konkretūs asmens duomenų saugojimo terminai.
Elektroninė parduotuvė savo Privatumo politikoje turėtų aiškiai apibrėžti, kokie asmens duomenys, renkami tiesioginės rinkodaros tikslais. Būtina užtikrinti, kad asmuo, kuris suteikia sutikimą tvarkyti jo duomenis, tai supranta. Bendrovė turi išsisaugoti įrodymus apie asmens sutikimą dėl tokio duomenų tvarkymo. Su šiuo punktu yra neatsiejamai susijusi slapukų renkama informacija, kuri turi būti aprašyta svetainės slapukų politikoje.
Perteklinės informacijos rinkimas apie klientus suponuoja išvadą, kad duomenų kiekio mažinimo principo taikymas juridinio asmens veikloje vis dar problematiškas. Administracinėje byloje Nr. A-222-261/2022 Lietuvos Vyriausiasis administracinis teismas dar kartą pakartojo BDAR taikymo viršenybę prieš nacionalinę teisę ir konstatavo, kad duomenų kiekio mažinimo principas turi būti taikomas be išlygų. Nors apeliantas aktyviai gynė poziciją, argumentuodamas, kad rinkdamas duomenis taiko norminį administracinį teisės aktą, Duomenų inspekcija visus įmonės argumentus apibūdino kaip „bendro pobūdžio samprotavimais“, o teismas sprendime palaikė Duomenų inspekcijos poziciją.
Situaciją, kai nėra konkrečiai nurodoma, kas gauna asmens duomenis, gali išspręsti duomenų valdytojo ir duomenų tvarkytojo atskyrimas. Šios sąvokos vis dar yra maišomos tarpusavyje. Šių asmenų statusų atskyrimas yra ypatingai svarbus siekiant nustatyti kokios teisės, pareigos bei atsakomybės yra pritaikomos kiekvienam iš subjektų. Tikrasis šalies statusas turi būti identifikuojamas atsižvelgiant į tikslų ir priemonių nustatymo priskyrimą, tikrąjį šalies vykdomos kontrolės lygį bei duomenų subjektų atžvilgiu pristatomą informaciją. Interneto svetainės savininkas turi nurodyti savo statusą puslapyje, nurodyti, kas gali tvarkyti renkamus duomenis ir kiek jie bus saugomi.
Duomenų rinkėjams ir valdytojams nebeužtenka nurodyti šabloninės frazės, kad duomenys yra saugomi ne ilgiau nei to reikalauja teisės aktai, kadangi geroji ir VDAI reikalaujama praktika yra ta, kai yra nurodoma konkretus terminas – t.y. kiek metų bus saugomi asmens duomenys. Be to terminas turi būti adekvatus ir protingai pagrįstas.