BDAR klaidos. Kaip dirbant su klientais nepažeisti Bendrojo duomenų apsaugos reglamento (3-jų atvejų analizė)
NEIŠMOKTOS PAMOKOS: BDAR
1 PAMOKA. Situacija: kuriu naują e-parduotuvę / internetinį puslapį. Aš:
a) su IT specialistais sukuriame internetinį puslapį. Tada, kai techninė internetinės svetainės dalis sutvarkyta, kreipiuosi į teisininką dėl asmens duomenų klausimų sutvarkymo (privatumo politikos parengimo, sutikimų/tekstų sudėliojimo ir pan.).
O GALBŪT:
b) pirmiausia sukuriu preliminarų internetinio puslapio planą. Internetinio puslapio funkcionalumus ir kitus esminius momentus suderinus su IT specialistais, kreipiuosi į teisininką dėl pirminio internetinio puslapio įvertinimo iš asmens duomenų apsaugos perspektyvos.
Pirmoji dažnai pasitaikanti klaida – asmens duomenų apsaugos klausimų nukėlimas paskutinei projekto įgyvendinimo stadijai. Produktas ar paslauga turi būti kuriami vadovaujantis ir asmens duomenų apsaugos reikalavimais. Todėl naivu tikėtis, kad asmens duomenų apsaugos klausimai ir atitinkami dokumentai bus lengvai priderinti prie jau turimo produkto / paslaugos.
Rekomenduotina apie duomenų apsaugos klausimus pagalvoti nuo pat projekto pradžios. Ne veltui BDAR kalba apie pritaikytąją duomenų apsaugą (data protection by design), pagal kurią duomenų valdytojas duomenų apsaugos principus turi įgyvendinti iškart, kai priimami su (būsimu) duomenų tvarkymu susiję sprendimai
Pamoka. Kodėl naudinga su duomenų apsaugos specialistais bendradarbiauti iš anksto:
Kaštų ir laiko taupymas. Kuo vėliau nustatoma, kad produktas / paslauga neatitinka esminių duomenų apsaugos principų ir reikalingi būtini pakeitimai, tuo sudėtingiau ir brangiau gali būti juos atlikti. Tarkim, renkama per daug duomenų arba atvirkščiai, yra pareiga rinkti tam tikrus duomenis bei atlikti veiksmus, bet apie juos nebuvo pagalvota pradžioje. Draugiški vartotojui (ir Jūsų verslui) sprendimai. Duomenų apsaugos specialistas ne tik konsultuoja kaip produktą ar paslaugą padaryti atitinkančią privalomus duomenų apsaugos reikalavimus. Tačiau taip pataria, kaip gerinti su duomenų apsauga susijusią vartotojo patirtį (dėl informacijos pateikimo vartotojui ir kt.) ar suteikia patarimų naudingų verslui ateityje (dėl išankstinių sutikimų gavimo, planuojant siųsti naujienlaiškius, ir kt.). Procesų efektyvumas ateityje (arba nice-to-have funkcionalumai). Į produktą / paslaugą iš anksto galima įtraukti funkcionalumus. Šie palengvintų bei automatizuotų tam tikras su duomenų apsauga susijusias pareigas. Pavyzdžiui, duomenų subjektų prašymų pateikimo ir jų teisių įgyvendinimo procesą, asmens duomenų trynimo procesus ateityje ir kt.
2 PAMOKA. Situacija: mano verslui reikalinga su asmens duomenų tvarkymu susijusi paslauga (pvz., naujienlaiškių siuntimo platforma ar serveriai duomenų saugojimui). Aš:
a) internete išsirenku populiariausią / rekomenduotą / ar kitą man patinkantį paslaugų teikėją ir užsisakau jo paslaugą. Toks tiekėjas turi užtikrinti mano tvarkomų duomenų apsaugą.
O GALBŪT:
b) internete išsirenku paslaugų teikėją. Savarankiškai arba pasitelkęs teisininkus įvertinu, ar toks teikėjas atitinka duomenų apsaugos reikalavimus. Jei taip, užsisakau jo paslaugą.
Atsiradus poreikiui pasitelkti su duomenų tvarkymu susijusių paslaugų teikėją, versle paprasčiausias ir greičiausias būdas tą padaryti – užsakyti atitinkamas paslaugas internetu. Užsakymo metu sutinkant su paslaugų teikėjo skelbiamomis paslaugų teikimo ir kitomis sąlygomis. Paprasta ir greita, BET ar atlikote namų darbus?
Prieš patikint savo tvarkomus asmens duomenis tvarkyti trečiajam asmeniui (paslaugų teikėjui, kuris bus laikomas duomenų tvarkytoju) būtina įsitikinti, kad tokio asmens pasitelkimas atitiks BDAR. Ne veltui BDAR numato, kad duomenų valdytojas turi pasitelkti tik tuos duomenų tvarkytojus, kurie pakankamai užtikrina, kad duomenų tvarkymas atitiktų BDAR reikalavimus.
Pamoka. Pagrindiniai indikatoriai, kuriuos pastebėjus reiktų suklusti ir detaliau įvertinti sprendimą dėl paslaugų teikėjo pasitelkimo:
Duomenų tvarkymo sąlygų buvimas. Atkreipkite dėmesį, ar paslaugų teikėjas skelbia atskirą tokio pobūdžio dokumentą. Tai gali būti duomenų tvarkymo sąlygos, duomenų tvarkymo sutartis ir kt. Taip pat atitinkamos sąlygos gali būti įtrauktos į kitus dokumentus, su kuriais sutinkama užsisakant paslaugą (pvz., į paslaugų teikimo taisykles). Bendra taisyklė – duomenų tvarkytojo vykdomas duomenų tvarkymas turi būti reglamentuojamas sutartimi. Nesant tokio dokumento, paslaugų teikėjo pasitelkimas pažeidžia BDAR. Duomenų tvarkymo sąlygų turinys. Net jei paslaugų teikėjas turi duomenų tvarkymo sąlygas, reikia įvertinti jų turinį. BDAR 28 straipsnio 3 dalis numato minimalius reikalavimus tokio dokumento turiniui. Pvz., dokumente turi būti nurodyta, kas nutinka su asmens duomenimis tuomet, kai atsisakysite paslaugų teikėjo paslaugų, taip pat turi būti nurodyta pareiga paslaugų teikėjui asmens duomenis tvarkyti tik pagal užsakovo nurodymus ir kt. SVARBU: jei užsisakant paslaugą reikia sutikti su būtent paslaugų teikėjo vienašališkai iš anksto parengtomis (duomenų tvarkymo) sąlygomis, kurių paslaugų teikėjas neleidžia koreguoti, tai nebus tinkamas pasiteisinimas ar priežastis išvengti pareigų, susijusių su tinkamų duomenų tvarkytojų pasitelkimu ar tokių sąlygų atitiktimi BDAR.
Valstybė, kurioje paslaugų teikėjas įsikūręs (arba planuoja tvarkyti (saugoti, perduoti, kt.) asmens duomenis). Jei tai valstybė, nepriklausanti EEE, reikėtų pasitikrinti, ar BDAR leidžia pasitelkti tokį duomenų tvarkytoją be papildomų veiksmų. Jei ne, galbūt pakankamą duomenų apsaugą galima užtikrinti sudarant su paslaugų teikėjų papildomus dokumentus.
3 PAMOKA. Situacija: dirbu B2B (verslas-verslui) sektoriuje. Greta darbo su esamais klientais, aktyviai ieškau ir naujų verslo klientų. Tokiam B2B verslui:
a) asmens duomenų tvarkymo klausimai nėra aktualūs, nes verslas dirba tik su juridiniais asmenimis ir asmens duomenų netvarko. Atitinkamai, į potencialius naujus verslo klientus galima kreiptis (pvz., juk viešai yra nurodyti telefonas ir el. paštas) ir siūlyti savo prekes/paslaugas be jokių apribojimų ar išankstinių sąlygų (sutikimų gavimo ar pan.).
O GALBŪT:
b) su esamais klientais (juridiniais asmenimis) susiję asmens duomenų tvarkymo klausimai, greičiausiai, bus aktualūs. Nors B2B verslas dirba su juridiniais asmenimis, tvarko ir fizinių asmenų (pvz., kliento darbuotojų, atstovų) asmens duomenis. Prieš kreipiantis į potencialius naujus verslo klientus (pvz., netgi viešai nurodytu telefonu ar el. paštu) ir siūlant savo prekes/paslaugas, reikia įsitikinti, kad yra laikomasi tiesioginei rinkodarai keliamų sąlygų (pvz., yra gauti sutikimai).
Dar viena dažnai pasitaikanti klaida: manoma, kad dirbant su verslo klientais, nėra tvarkomi asmens duomenys (juk asmens duomenys – fizinių asmenų duomenys). Kadangi BDAR tiesiogiai nurodo, kad jis „neapimama juridinių asmenų <...> duomenų, įskaitant <...> kontaktinius duomenis, tvarkymo“, lengvai padaroma išvada, kad nėra poreikio „tvarkytis“ BDAR klausimų, nes jis čia netaikomas.
Tokiu pačiu principu daroma išvada ir apie tiesioginę rinkodarą (pvz., savo prekių ir paslaugų siūlymą) juridinių asmenų atžvilgiu – BDAR netaikomas. Vadinasi, nėra apribojimų tokią rinkodarą vykdyti.
Vis tik, tokios išvados nėra teisingos.
Pamoka. Ko nepamiršti dirbant B2B sektoriuje su esamais ir būsimais klientais?
Nors tiesioginis klientas – juridinis asmuo, greičiausiai tvarkote ir kitų susijusių fizinių asmenų duomenis. Pvz.: kliento (juridinio asmens) atstovai, sutartyse nurodyti kontaktiniai asmenys, kiti darbuotojai. Tai tik kelios duomenų subjektų kategorijos, kurių asmens duomenis galimai tvarko B2B sektoriaus verslas. Atitinkamai, tokių duomenų atžvilgiu BDAR yra taikomas. Todėl reikalinga informaciją apie juos nurodyti duomenų tvarkymo veiklos įrašuose, papildyti sutartis su klientais / privatumo politiką dėl tokių asmens duomenų tvarkymo, bei vykdyti kitas iš BDAR kylančias pareigas.
Tiesioginei rinkodarai juridinių asmenų atžvilgiu taikomas ne tik BDAR. Padarius išvadą, kad BDAR netaikomas (nors, tais atvejais, kai el. pašte naudojami, pvz., kliento darbuotoją identifikuojantys duomenys, gali būti taikomas ir BDAR), pamirštamas LR elektroninių ryšių įstatymas. Jis numato, kad norint naudoti potencialių klientų, pavyzdžiui, el. paštą ar telefoną, tiesioginės rinkodaros tikslais yra būtinas išankstinis sutikimas. Šis reikalavimas taikomas ir juridinių asmenų atžvilgiu, net ir naudojant bendro pobūdžio el. pašto adresą, tokį kaip vilnius@primus.legal. Tad bet koks susisiekimas su juridiniu asmeniu šiuo tikslu pirmą kartą, pvz., el. paštu ar telefonu („šaltieji skambučiai“), yra negalimas be išankstinio sutikimo. Bet kuriuo atveju, jei sutikimas buvo gautas, reikia saugoti įrodymus, kad jis gautas prieš susisiekiant su asmeniu tiesioginės rinkodaros tikslais. Atminkite, kad sutikimą, duotą žodžiu, gali būti sunku įrodyti.
Duomenų paskelbimas viešai nereiškia sutikimo gauti tiesioginės rinkodaros pranešimus. Dažnas argumentas, norint įrodyti, kad reklaminis pranešimas buvo išsiųstas teisėtai, yra tai, kad naudoti kontaktiniai duomenys buvo juridinio asmens paskelbti viešai (pvz., jo interneto svetainėje). Visgi, toks duomenų paskelbimas savaime nereiškia leidimo minėtus duomenis naudoti tiesioginės rinkodaros tikslais. Teismai aiškina, kad kontaktinių duomenų paskelbimas internete, visų pirma, yra sietinas su kreipimusi į tokį subjektą jo vykdomos ūkinės veiklos klausimais, t. y. siekiant gauti jo teikiamas paslaugas ar prekes ir pan. Minėtas reguliavimas verčia verslą ieškoti kitokių sprendimų klientų paieškai (kurie leistų kontaktinius duomenis ir, atitinkamai, sutikimą gauti iš paties asmens) arba priimti sprendimą prisiimti tokio reguliavimo pažeidimo keliamas rizikas.
BDAR klausimais konsultuoja Šarūnė Prankonytė-Segen, advokatų kontoros PRIMUS vyresnioji teisininkė, duomenų apsaugos, e. komercijos ir įmonių teisės praktikė.
2022-11-08