BDAR duomenų apsaugos dokumentai yra viena iš organizacinių duomenų saugumo priemonių. Pavyzdžiui, įmonė planuoja dideliu mastu filmuoti viešąją erdvę t. y. transporto priemonė važiuodama savo maršrutu filmuos ir išorę ir vidų. Iškilus pavojui vairuotojo sveikatai, gyvybei, įvykus eismo įvykiui, ar norint pašalinti viešojo transporto kliūtis kelyje, įrašą vairuotojas galės perduoti įmonei, o įmonė, esant poreikiui, perduos įrašą policijai, savivaldybei ar viešojo saugumo tarnybai. Atsakingiems asmenims kyla klausimas, kokie BDAR duomenų apsaugos dokumentai ir kaip turi būti paruošti, norint laikytis BDAR reikalavimų? Ar pakanka pasirengti ir pasitvirtinti Vaizdo duomenų tvarkymo taisykles?
Vaizdo duomenų tvarkymas
2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL 2016 L 119, p. 1) (toliau – Reglamentas) nenustato atskiro vaizdo duomenų tvarkymo, todėl vaizdo duomenų tvarkymas turi atitikti Reglamente įtvirtintus bendrus reikalavimus ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo (toliau – ADTAĮ) reikalavimus, susijusius su darbuotojų informavimu apie vaizdo ir (ar) garso duomenų tvarkymą darbo vietoje (ADTAĮ 5 straipsnio 3 dalis).
Taigi, vadovaujantis Reglamentu, asmens duomenys (įskaitant vaizdo stebėjimą) gali būti tvarkomi tik laikantis su asmens duomenų tvarkymu susijusių principų, įtvirtintų Reglamento 5 straipsnyje ir kai toks asmens duomenų tvarkymas gali būti pagrįstas bent viena teisėta asmens duomenų tvarkymo sąlyga, numatyta Reglamento 6 ir (ar) 9 straipsnyje, atsižvelgiant į tvarkomų asmens duomenų kategoriją. Tuo atveju, jei nėra nė vienos iš Reglamente nurodytos teisėtos asmens duomenų tvarkymo sąlygos ir teisėto asmens duomenų tvarkymo tikslo, asmens duomenys negali būti tvarkomi.
29 straipsnio duomenų apsaugos darbo grupės, įkurtos 1995 m. spalio 24 d. Europos Parlamento ir Tarybos Direktyvos 95/46 EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo pagrindu (toliau – Darbo grupė) parengtoje nuomonėje dėl asmens duomenų tvarkymo vaizdo stebėjimo priemonėmis Nr. WP 89 (2004) nurodyta, kad vaizdo duomenys turi būti adekvatūs ir proporcingi siekiamiems tikslams, t. y., kad vaizdo įrašymo sistemos būtų diegiamos, jei kitos fizinės ar loginės prevencijos, saugumo ar apsaugos priemonės, nereikalaujančios vaizdo atkūrimo, pasirodė nepakankamos ar netinkamos siekiant teisėtų tikslų. Kitaip tariant, atsižvelgiant į siekiamus tikslus kiekvienu konkrečiu atveju reikia taikyti adekvatumo principą, kuris iš valdytojo pusės reikalauja asmens duomenų tvarkymo mažinimo prievolės (Reglamento 5 straipsnio 1 dalies c punktas).
Taigi, vadovaujantis Reglamentu, manytina, kad, turi būti įvertinta, ar vaizdo stebėjimas planuojamu mastu atitiktų duomenų kiekio mažinimo principą. Pažymėtina, jog vaizdo stebėjimas pagal nutylėjimą nėra būtinybė, jei yra kitų priemonių tikslams pasiekti. Priešingu atveju kyla pavojus privatumo trūkumą priimti kaip įprastą situaciją.
Priklausomai nuo vaizdo stebėjimo tikslų, gali būti taikomi du teisės aktai, susiję su asmens duomenų tvarkymu, t. y. administracinių nusižengimų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už juos atvejais taikytinas Reglamentas, o nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas atvejais – Lietuvos Respublikos asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ar gynybos tikslais, teisinės apsaugos įstatymas (toliau – Teisėsaugos ADTAĮ).
Valstybinė duomenų apsaugos inspekcija
Atsižvelgiant į tai, vertinant asmens duomenų tvarkymo teisėtumą ir proporcingumą, būtina atsižvelgti į abu teisės aktus, jei konkrečiu atveju vaizdo duomenų tvarkymas yra susijęs su visais aukščiau nurodytais tikslais.
Vaizdo duomenų teisėto tvarkymo sąlygos
Vaizdo duomenų tvarkymas paprastai nėra laikytinas specialiųjų kategorijų asmens duomenimis, todėl jų tvarkymas turi atitikti bent vieną Reglamento 6 straipsnio 1 dalyje įtvirtintą asmens duomenų teisėto tvarkymo sąlygą.
Pastebėtina, kad asmens duomenų teisėto tvarkymo sąlygos pasirinkimas iš esmės priklauso nuo duomenų tvarkymo tikslo, t. y., dėl kokios konkrečiai priežasties yra reikalinga atlikti tam tikrą duomenų tvarkymo operaciją, pavyzdžiui, jei konkrečią pareigą duomenų valdytojui nustato teisės aktai ir siekiant įvykdyti tokią pareigą yra būtina surinkti (pateikti) asmens duomenis, tuomet tokių duomenų rinkimas ir tolimesnis tvarkymas būtų vykdomas Reglamento 6 straipsnio 1 dalies c punkto pagrindu.
Detaliau kiekviena duomenų tvarkymo teisėtumo sąlyga yra aptarta Darbo grupės, 2014 m. balandžio 9 d. Nuomonėje Nr. 06/2014 „Dėl Duomenų valdytojo teisėtų interesų sampratos pagal Direktyvos 95/46/EB 7 straipsnį“ (toliau – Nuomonė dėl teisėtų interesų), kuri pasiekiama šia nuoroda: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_lt.pdf
Jei konkrečiu atveju siekiama remtis Reglamento 6 straipsnio 1 dalies f punkte įtvirtinta sąlyga – teisėtais duomenų valdytojo ar trečiųjų asmenų interesais,– tuomet pastebėtina, kad iš esmės šios sąlygos taikymas galimas tuomet, kai duomenų valdytojo ar trečiojo asmens interesai yra svarbesni nei duomenų subjekto interesai. Darbo grupė Nuomonėje dėl teisėtų interesų atkreipia dėmesį, kad šios sąlygos taikymas iš esmės suponuoja duomenų valdytojo pareigą atlikti pusiausvyros testą, palyginant duomenų valdytojo (ar trečiųjų asmenų) interesus su duomenų subjekto interesais arba jo pagrindinėmis teisėmis ir laisvėmis. Taikant šį pusiausvyros kriterijų gautas rezultatas iš esmės lemia, ar teisėto intereso sąlyga galima remtis konkrečios duomenų tvarkymo operacijos kontekste.
Techninės ir organizacinės priemonės vykdant vaizdo stebėjimą (prieigų suteikimas, kt.)
Primintina, kad prieš atliekant asmens duomenų tvarkymo operacijas, būtina įvertinti kiekvieno dalyvio, įskaitant galimai policijos ar kt. institucijų, statusą asmens duomenų tvarkymo kontekste. Pavyzdžiui, jei policija būtų bendras duomenų valdytojas, tuomet ji turėtų dalyvauti tiek susijusių sprendimų priėmime, tiek poveikio duomenų apsaugos vertinimo atlikime, tiek BDAR duomenų apsaugos dokumentų rengimo procese, tiek kituose susijusiuose procesuose. Be to, informuojame, kad teisės aktai nesuteikia teisės valstybės institucijoms, įskaitant teisėsaugos institucijas, keistis asmens duomenimis be apribojimų – bet koks asmens duomenų teikimas turi atitikti Reglamente ir (ar) Teisėsaugos ADTAĮ nustatytas sąlygas.
BDAR duomenų apsaugos dokumentai
Reglamentas ar jį aiškinantys dokumentai (gairės, rekomendacijos, kt.) nenustato nei konkrečių dokumentų, kuriuos duomenų valdytojas turėtų pasirengti ir naudotis savo veikloje, sąrašo, nei jų turiniui keliamų reikalavimų. Duomenų valdytojas tai turėtų nuspręsti savarankiškai, įvertindamas savo veiklą, jos specifiką, naudojamas priemones, technologijas ir kt., t. y. duomenų valdytojas savo veiklą išmano geriau, todėl turėtų būti aktyvus, sprendžiant, ką ir kokia forma jam būtina turėti, siekiant užtikrinti tvarkomų asmens duomenų apsaugą ir jos reguliavimą.
