Finansai

Covid-19 verčia kavines ir barus duomenų valdytojais – kaip neprisidaryti bėdų?

Trečiadienį Vyriausybė priėmė nutarimą, pagal kurį visos laisvalaikio, pramogų ir viešojo maitinimo įstaigos įpareigotos registruoti lankytojus. Su nauja prievole verslininkų pečius užgulė ir Bendrojo duomenų apsaugos reglamento (BDAR) reikalavimai, už kurių nesilaikymą gresia didesnės baudos nei už pačios registracijos nevykdymą. Teisės firmos „Sorainen“ teisininkas Paulius Mockevičius atkreipia dėmesį į svarbiausius asmens duomenų apsaugos aspektus vykdant lankytojų registraciją.

Svarbu gerai pasiruošti

„Nors dar nėra aiški tvarka, kaip ir kokius asmens duomenis įstaigos turės rinkti, ketvirtadienį popiet A. Veryga prasitarė, kad greičiausiai tai bus asmens vardas, pavardė ir telefono numeris. Tai reiškia, kad Vyriausybės nutarimą vykdantys verslai taps duomenų valdytojais, kuriems bus taikomos ir su duomenų apsauga susijusios BDAR nuostatos. Už jų nesilaikymą įmonėms gresia net iki 4 proc. metinės apyvartos arba iki 20 mln. eurų siekiančios baudos“, – sako P. Mockevičius.

Teisininko teigimu, norint išvengti tokių baudų, įmonėms svarbu suvokti, kad net ir toks Vyriausybės įpareigojimas ir neeilinė pandemijos situacija neatleidžia nuo prievolės laikytis duomenų apsaugos reikalavimų. Anot P. Mockevičiaus, lankytojus registruoti ketinančios įstaigos turėtų imtis tinkamų techninių ir organizacinių priemonių surinktiems duomenims apsaugoti.

„Tam svarbu iš anksto nustatyti ir dokumentuoti lankytojų registracijos bei su ja susijusių duomenų tvarkymo procedūras, paskirti už lankytojų duomenų rinkimą, saugojimą ir sunaikinimą atsakingus darbuotojus, užtikrinti, kad prie lankytojų duomenų neprieitų įgaliojimo neturintys personalo nariai ar pašaliniai asmenys“, – sako P. Mockevičius.

Lankytojai turi būti tinkamai informuoti

Teisininko teigimu, taip pat labai svarbu, kad įmonės, rinkdamos asmens duomenis, apie tai tinkamai informuotų lankytojus.

„Prieš registruojant lankytoją jam turėtų būti pateikiamas aiškus, glaustas ir lengvai suprantamas pranešimas, kuriame nurodoma duomenų valdytojo – šiuo atveju įmonės ar individualia veikla užsiimančio verslininko – tapatybė ir kontaktiniai duomenys. Pranešimu asmuo taip pat turėtų būti informuotas apie duomenų tvarkymo tikslą ir teisinį pagrindą, galimus duomenų gavėjus, duomenų valdytojo ketinimus perduoti asmens duomenis už ES ribų, duomenų saugojimo laikotarpį, asmens teises bei galimas duomenų nepateikimo pasekmes“, – vardina P. Mockevičius.

Teisininko teigimu, šią informaciją galima pateikti tiek popieriniame dokumente, tiek elektronine forma. Svarbiausia, kad verslas galėtų įrodyti, jog tokia informacija iš tiesų buvo pateikta. Jei duomenis ketinama rinkti ant popieriaus atspausdintoje anketoje, tokį pranešimą patogu pateikti pačioje duomenų pildymo anketoje ar kaip atskirą jos priedą. Jei duomenys renkami elektroniniu būdu, reikiamą informaciją galima pateikti elektroninėje duomenų rinkimo formoje.

„Labai rekomenduotina į duomenų rinkimo anketą įtraukti ir žymą, kurią pažymėdamas asmuo patvirtintų, kad su pateikta informacija susipažino ir ją suprato. Tai gali būti svarbu ginčo ar skundo atveju. Pareiga įrodinėti, kad duomenys buvo renkami ir saugomi pagal BDAR reikalavimus, tokiose situacijose tenka būtent duomenų valdytojui“, – pažymi P. Mockevičius.

Savivaliauti nereikėtų

„Sorainen“ teisininko teigimu, labai svarbus ir BDAR įtvirtintas duomenų kiekio mažinimo principas. Jis draudžia tvarkyti daugiau asmens duomenų, nei būtina nustatytiems tikslams pasiekti.

„Tai reiškia, kad šiuo atveju įstaigos privalo kaupti tik tuos lankytojų duomenis, kurių reikalaujama Valstybės lygio ekstremaliosios situacijos operacijų vadovo sprendimu. Jame turėtų būti aiškiai nurodyta, kokius konkrečiai asmens duomenis ir kiek laiko įstaigos turėtų saugoti. Bet kokios kitos informacijos rinkimas būtų laikomas pertekliniu, o ją kaupti būtų galima tik su atskiru asmens sutikimu“, – sako P. Mockevičius.

Teisininko teigimu, lygiai taip pat svarbu užtikrinti, kad surinkti duomenys būtų naudojami tik tam, kad būtų pateikti Nacionaliniam visuomenės sveikatos centrui, jei to prireiktų COVID-19 ligos židinio epidemiologinei diagnostikai. Surinktus lankytojų duomenis naudoti rinkodaros ar kitais tikslais draudžiama, nebent tam būtų kitas teisinis pagrindas, pavyzdžiui, atskiras lankytojo sutikimas.

Duomenis kaupti – tik saugiais būdais

P. Mockevičius atkreipia dėmesį ir į duomenų rinkimo priemonių saugumą. Nesvarbu, ar duomenys renkami popierinėje, ar elektroninėje formoje, jos turėtų užtikrinti renkamų duomenų saugumą.

„Kitaip tariant, neužtenka prie įstaigos durų prikabinti visiems atvirą bendrą anketą, kurioje kiekvienas lankytojas įrašytų savo kontaktus. Registruojami lankytojai neturėtų matyti kitų lankytojų duomenų. Jeigu duomenys renkami popierinėse anketose, svarbu nepalikti jų atviroje, lengvai prieinamoje vietoje. Bet kuri pasirinkta duomenų rinkimo forma turėtų užtikrinti duomenų apsaugą nuo neteisėto atskleidimo, netyčinio praradimo ar sunaikinimo“, – pažymi P. Mockevičius.

Jo teigimu, naudojant elektroninį duomenų rinkimo būdą svarbu pasirinkti patikimą IT paslaugų teikėją ir saugos reikalavimus atitinkančią sistemą. Be to, įrenginį ir sistemą būtina apsaugoti stipriu ir reguliariai keičiamu slaptažodžiu, o dar geriau – dvigubos autentifikacijos sprendimu.

Duomenis reikia ir tinkamai pašalinti

Teisininko teigimu, pasibaigus privalomam duomenų saugojimo terminui, informaciją apie lankytojus privaloma tinkamai ir negrįžtamai sunaikinti. Deja, anot P. Mockevičiaus, dar ne visi supranta, kad laikmenų su asmens duomenimis išmetimas į šiukšlių dėžę tam nėra tinkamas būdas.

„Prieš pašalinant bet kokią duomenų laikmeną, turi būti sunaikinti visi joje esantys duomenys. Tai galima padaryti naudojant tam skirtą programinę įrangą, kuri taiko patikimus duomenų naikinimo algoritmus. Jei to padaryti neįmanoma, laikmena turi būti sunaikinama tam skirtais smulkintuvais ar kitomis mechaninėmis priemonėmis“, – sako P. Mockevičius.

Anot P. Mockevičiaus, įstaigoms taip pat svarbu užtikrinti asmenų, kurių duomenys renkami, teises. Jos apima galimybę prašyti, kad duomenų valdytojas leistų susipažinti su duomenų subjekto asmens duomenimis ir, esant reikalui, juos ištaisytų. Be to, reikia atminti, kad duomenų valdytojas privalo atsakyti į asmenų užklausas ir prašymus, susijusius su jų asmens duomenų tvarkymu, ne vėliau kaip per vieną mėnesį nuo užklausos ar prašymo gavimo dienos. Jei asmens prašymų tenkinti neketinama, privalu nurodyti to priežastis.

Nauji reikalavimai įsigalios nuo pirmadienio

Vyriausybė nusprendė, kad nuo spalio 26 dienos veikla bus leidžiama tik tose laisvalaikio ir pramogų vietose, viešojo maitinimo įstaigose, restoranuose, kavinėse, baruose, naktiniuose klubuose ir kitose pasilinksminimo vietose, taip pat lošimo namuose, lažybų ir totalizatorių punktuose, kuriuose užtikrinama jų lankytojų registracija.

Nutarimas numato tik dvi išimtis, kai lankytojų registracija nėra privaloma. Kiekvieno apsilankiusiojo registruoti nebūtina, kai maistas tiekiamas išsinešti arba kai viešojo maitinimo paslaugos yra teikiamos įmonių darbuotojams šių įmonių teritorijose ar patalpose.

Pranešimą paskelbė: Kotryna Dzikaraitė, UAB „INK agency“
Covid-19 verčia kavines ir barus duomenų valdytojais – kaip neprisidaryti bėdų?

(Perskaityta per mėnesį: 5, iš jų šiandien: 1.)