BDAR duomenų apsaugos dokumentai yra viena iš organizacinių duomenų saugumo priemonių. Pavyzdžiui, įmonė planuoja dideliu mastu filmuoti viešąją erdvę t. y. transporto priemonė važiuodama savo maršrutu filmuos ir išorę ir vidų. Iškilus pavojui vairuotojo sveikatai, gyvybei, įvykus eismo įvykiui, ar norint pašalinti viešojo transporto kliūtis kelyje, įrašą vairuotojas galės perduoti įmonei, o įmonė, esant poreikiui, perduos įrašą policijai, savivaldybei ar viešojo saugumo tarnybai. Atsakingiems asmenims kyla klausimas, kokie BDAR duomenų apsaugos dokumentai ir kaip turi būti paruošti, norint laikytis BDAR reikalavimų? Ar pakanka pasirengti ir pasitvirtinti Vaizdo duomenų tvarkymo taisykles?
Vaizdo duomenų tvarkymas
2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL 2016 L 119, p. 1) (toliau – Reglamentas) nenustato atskiro vaizdo duomenų tvarkymo, todėl vaizdo duomenų tvarkymas turi atitikti Reglamente įtvirtintus bendrus reikalavimus ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo (toliau – ADTAĮ) reikalavimus, susijusius su darbuotojų informavimu apie vaizdo ir (ar) garso duomenų tvarkymą darbo vietoje (ADTAĮ 5 straipsnio 3 dalis).
Taigi, vadovaujantis Reglamentu, asmens duomenys (įskaitant vaizdo stebėjimą) gali būti tvarkomi tik laikantis su asmens duomenų tvarkymu susijusių principų, įtvirtintų Reglamento 5 straipsnyje ir kai toks asmens duomenų tvarkymas gali būti pagrįstas bent viena teisėta asmens duomenų tvarkymo sąlyga, numatyta Reglamento 6 ir (ar) 9 straipsnyje, atsižvelgiant į tvarkomų asmens duomenų kategoriją. Tuo atveju, jei nėra nė vienos iš Reglamente nurodytos teisėtos asmens duomenų tvarkymo sąlygos ir teisėto asmens duomenų tvarkymo tikslo, asmens duomenys negali būti tvarkomi.
29 straipsnio duomenų apsaugos darbo grupės, įkurtos 1995 m. spalio 24 d. Europos Parlamento ir Tarybos Direktyvos 95/46 EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo pagrindu (toliau – Darbo grupė) parengtoje nuomonėje dėl asmens duomenų tvarkymo vaizdo stebėjimo priemonėmis Nr. WP 89 (2004) nurodyta, kad vaizdo duomenys turi būti adekvatūs ir proporcingi siekiamiems tikslams, t. y., kad vaizdo įrašymo sistemos būtų diegiamos, jei kitos fizinės ar loginės prevencijos, saugumo ar apsaugos priemonės, nereikalaujančios vaizdo atkūrimo, pasirodė nepakankamos ar netinkamos siekiant teisėtų tikslų. Kitaip tariant, atsižvelgiant į siekiamus tikslus kiekvienu konkrečiu atveju reikia taikyti adekvatumo principą, kuris iš valdytojo pusės reikalauja asmens duomenų tvarkymo mažinimo prievolės (Reglamento 5 straipsnio 1 dalies c punktas).
Taigi, vadovaujantis Reglamentu, manytina, kad, turi būti įvertinta, ar vaizdo stebėjimas planuojamu mastu atitiktų duomenų kiekio mažinimo principą. Pažymėtina, jog vaizdo stebėjimas pagal nutylėjimą nėra būtinybė, jei yra kitų priemonių tikslams pasiekti. Priešingu atveju kyla pavojus privatumo trūkumą priimti kaip įprastą situaciją.
Priklausomai nuo vaizdo stebėjimo tikslų, gali būti taikomi du teisės aktai, susiję su asmens duomenų tvarkymu, t. y. administracinių nusižengimų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už juos atvejais taikytinas Reglamentas, o nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas atvejais – Lietuvos Respublikos asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ar gynybos tikslais, teisinės apsaugos įstatymas (toliau – Teisėsaugos ADTAĮ).
Valstybinė duomenų apsaugos inspekcija
Atsižvelgiant į tai, vertinant asmens duomenų tvarkymo teisėtumą ir proporcingumą, būtina atsižvelgti į abu teisės aktus, jei konkrečiu atveju vaizdo duomenų tvarkymas yra susijęs su visais aukščiau nurodytais tikslais.
Vaizdo duomenų teisėto tvarkymo sąlygos
Vaizdo duomenų tvarkymas paprastai nėra laikytinas specialiųjų kategorijų asmens duomenimis, todėl jų tvarkymas turi atitikti bent vieną Reglamento 6 straipsnio 1 dalyje įtvirtintą asmens duomenų teisėto tvarkymo sąlygą.
Pastebėtina, kad asmens duomenų teisėto tvarkymo sąlygos pasirinkimas iš esmės priklauso nuo duomenų tvarkymo tikslo, t. y., dėl kokios konkrečiai priežasties yra reikalinga atlikti tam tikrą duomenų tvarkymo operaciją, pavyzdžiui, jei konkrečią pareigą duomenų valdytojui nustato teisės aktai ir siekiant įvykdyti tokią pareigą yra būtina surinkti (pateikti) asmens duomenis, tuomet tokių duomenų rinkimas ir tolimesnis tvarkymas būtų vykdomas Reglamento 6 straipsnio 1 dalies c punkto pagrindu.
Detaliau kiekviena duomenų tvarkymo teisėtumo sąlyga yra aptarta Darbo grupės, 2014 m. balandžio 9 d. Nuomonėje Nr. 06/2014 „Dėl Duomenų valdytojo teisėtų interesų sampratos pagal Direktyvos 95/46/EB 7 straipsnį“ (toliau – Nuomonė dėl teisėtų interesų), kuri pasiekiama šia nuoroda: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_lt.pdf
Jei konkrečiu atveju siekiama remtis Reglamento 6 straipsnio 1 dalies f punkte įtvirtinta sąlyga – teisėtais duomenų valdytojo ar trečiųjų asmenų interesais,– tuomet pastebėtina, kad iš esmės šios sąlygos taikymas galimas tuomet, kai duomenų valdytojo ar trečiojo asmens interesai yra svarbesni nei duomenų subjekto interesai. Darbo grupė Nuomonėje dėl teisėtų interesų atkreipia dėmesį, kad šios sąlygos taikymas iš esmės suponuoja duomenų valdytojo pareigą atlikti pusiausvyros testą, palyginant duomenų valdytojo (ar trečiųjų asmenų) interesus su duomenų subjekto interesais arba jo pagrindinėmis teisėmis ir laisvėmis. Taikant šį pusiausvyros kriterijų gautas rezultatas iš esmės lemia, ar teisėto intereso sąlyga galima remtis konkrečios duomenų tvarkymo operacijos kontekste.
Techninės ir organizacinės priemonės vykdant vaizdo stebėjimą (prieigų suteikimas, kt.)
Primintina, kad prieš atliekant asmens duomenų tvarkymo operacijas, būtina įvertinti kiekvieno dalyvio, įskaitant galimai policijos ar kt. institucijų, statusą asmens duomenų tvarkymo kontekste. Pavyzdžiui, jei policija būtų bendras duomenų valdytojas, tuomet ji turėtų dalyvauti tiek susijusių sprendimų priėmime, tiek poveikio duomenų apsaugos vertinimo atlikime, tiek BDAR duomenų apsaugos dokumentų rengimo procese, tiek kituose susijusiuose procesuose. Be to, informuojame, kad teisės aktai nesuteikia teisės valstybės institucijoms, įskaitant teisėsaugos institucijas, keistis asmens duomenimis be apribojimų – bet koks asmens duomenų teikimas turi atitikti Reglamente ir (ar) Teisėsaugos ADTAĮ nustatytas sąlygas.
BDAR duomenų apsaugos dokumentai
Reglamentas ar jį aiškinantys dokumentai (gairės, rekomendacijos, kt.) nenustato nei konkrečių dokumentų, kuriuos duomenų valdytojas turėtų pasirengti ir naudotis savo veikloje, sąrašo, nei jų turiniui keliamų reikalavimų. Duomenų valdytojas tai turėtų nuspręsti savarankiškai, įvertindamas savo veiklą, jos specifiką, naudojamas priemones, technologijas ir kt., t. y. duomenų valdytojas savo veiklą išmano geriau, todėl turėtų būti aktyvus, sprendžiant, ką ir kokia forma jam būtina turėti, siekiant užtikrinti tvarkomų asmens duomenų apsaugą ir jos reguliavimą.
Taigi duomenų valdytojas turi užtikrinti, kad prieš patenkant į patalpas ar teritoriją, kurioje vykdomas vaizdo stebėjimas, būtų aiškiai ir tinkamai pateikiama ši informacijaapie vykdomą vaizdo stebėjimą: duomenų valdytojo juridinio asmens pavadinimas ir kodas ar duomenų valdytojo fizinio asmens vardas ir pavardė, jų kontaktinė informacija (adresas arba telefono ryšio numeris);asmens duomenų tvarkymo tikslas;nuoroda į informacijos šaltinį, kur būtų galima gauti detalesnės informacijos apie vykdomą vaizdo stebėjimą (t. y. Reglamento 13 straipsnio 1 ir 2 dalyse nurodytą informaciją, šio reglamento 15–22 ir 34 straipsniuose nustatytų duomenų subjektų teisių įgyvendinimo tvarką ir kt.). Inspekcija parengė informaciją, kaip teisingai informuoti apie vykdomą vaizdo stebėjimą pradėjus taikyti Reglamentą (ją galima rasti paspaudus šią nuorodą: „Dažniausiai užduodami klausimai“).
Vadovaujantis Reglamento 30 straipsniu, duomenų valdytojas privalo tvarkyti duomenų tvarkymo veiklos įrašus (susipažinkite su Inspekcijos parengta rekomendacija Dėl duomenų tvarkymo veiklos įrašų Inspekcijos interneto svetainės skiltyje „Rekomendacijos, gairės ir kt.“).
Duomenų valdytojas taip pat turi turėti ir kitą dokumentaciją, pvz., žurnalą, kuriame, vadovaujantis Reglamento 33 straipsnio 5 dalimi, būtų pateikiama informacija apie asmens duomenų saugumo pažeidimus (susipažinkite su Inspekcijos parengta rekomendacija dėl asmens duomenų saugumo pažeidimų nustatymo, tyrimo, pranešimo apie juos ir dokumentavimo tvarkos), vaizdo duomenų tvarkymo taisykles, duomenų subjektų teisių įgyvendinimo taisykles, pasižadėjimus dėl asmens duomenų paslapties saugojimo ar kt.
Tuo atveju, jei vaizdo duomenų tvarkymui bus pasitelkiami duomenų tvarkytojai, duomenų valdytojas taip pat turėtų užtikrinti Reglamento 28 straipsnio 3 dalies reikalavimų, susijusių su duomenų tvarkymo sutarčių parengimu, vykdymą.
Pastebėtina, kad duomenų valdytojas turi savarankiškai įvertinti, kokia dokumentacija yra aktuali konkrečiu atveju.
Poveikio duomenų apsaugai vertinimas
Svarbu atkreipti dėmesį į vieną iš Reglamente nustatytų pareigų duomenų valdytojui – atlikti poveikio duomenų apsaugai vertinimą (toliau – PDAV). PDAV – tai procesas, skirtas duomenų tvarkymui aprašyti ir tokio tvarkymo reikalingumui ir proporcingumui įvertinti, padedantis valdyti pavojų, kuris fizinių asmenų teisėms ir laisvėms kyla dėl asmens duomenų tvarkymo, jį įvertinant ir nustatant šio pavojaus pašalinimo priemones. Kitaip tariant, PDAV – tai atitikties užtikrinimo ir įrodymo procesas.
Reglamento 35 straipsnio 1 dalyje yra nustatyta, kad „Tais atvejais, kai dėl duomenų tvarkymo rūšies, visų pirma, kai naudojamos naujos technologijos, ir atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, fizinių asmenų teisėms bei laisvėms gali kilti didelis pavojus, duomenų valdytojas, prieš pradėdamas tvarkyti duomenis, atlieka numatytų duomenų tvarkymo operacijų poveikio asmens duomenų apsaugai vertinimą“. Pastebėtina, kad Reglamento 35 straipsnio 3 dalies c punkte yra akcentuojama, kad PDAV visų pirma turi būti atliekamas, kai vykdomas sistemingas viešos vietos stebėjimas dideliu mastu.
Atkreipiame dėmesį į tai, kad Inspekcija yra paskelbusi Duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, sąrašą, patvirtintą Valstybinės duomenų apsaugos inspekcijos direktoriaus 2019-03-14 įsakymu Nr. 1T-35(1.12.E). Jei duomenų valdytojo siekiamos vykdyti asmens duomenų tvarkymo operacijos patenka į šį sąrašą, jis privalo PDAV atlikti dar iki asmens duomenų tvarkymo pradžios. Siūlytina vertinti, ar konkrečiu atveju siekiamas asmens duomenų tvarkymas neatitiktų Sąrašo 6 ar 10 punkto.
Pabrėžtina, kad duomenų valdytojas (bendri duomenų valdytojai), atlikdamas PDAV, neturėtų apsiriboti formaliu Inspekcijos pateiktos pavyzdinės PDAV formos (kuri pasiekiama Inspekcijos interneto svetainės skiltyje „Rekomendacijos, gairės ir kt.“) užpildymu, tačiau turėtų išsamiai, objektyviai ir visapusiškai įvertinti galimus pavojus ir priemones, tokio pavojaus sumažinimui (suvaldymui). Atliekant poveikio duomenų apsaugai vertinimą duomenų valdytojas (bendri duomenų valdytojai), turi stengtis konsultuotis su paskirtu duomenų apsaugos pareigūnu, o taip pat su kitais asmenimis (informacinių technologijų specialistais ir pan.), tokiu būdu užtikrinant tinkamą PDAV atlikimą.
Jeigu poveikio duomenų apsaugai vertinimo metu būtų nustatyta, kad tvarkant duomenis kiltų didelis pavojus, jei duomenų valdytojas nesiimtų priemonių pavojui sumažinti, duomenų valdytojas turėtų konsultuotis su priežiūros institucija pagal Reglamento 36 straipsnį ir vadovautis Išankstinių konsultacijų teikimo taisyklėmis, patvirtintomis Inspekcijos direktoriaus 2018 m. rugpjūčio 29 d. įsakymu Nr. 1T-84(1.12.E). Manytina, kad savivaldybėse planuojamas vykdyti asmens duomenų tvarkymas sukeltų didelį pavojų, todėl, išsamiai ir visapusiškai atlikę PDAV, į Inspekciją reikėtų kreiptis dėl išankstinių konsultacijų pagal Išankstinių konsultacijų procedūrą (žr. Išankstinių konsultacijų teikimo taisyklės).
Pabrėžtina, kad duomenų valdytojai privalo nuolat vertinti dėl jų vykdomos duomenų tvarkymo veiklos kylančius pavojus, kad nustatytų atvejus, kai dėl duomenų tvarkymo rūšies „fizinių asmenų teisėms bei laisvėms gali kilti didelis pavojus“. Taigi, PDAV atlikimas yra tęstinis procesas, o ne vienkartinis veiksmas.
Darbuotojų informavimas
Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo 5 straipsnio 3 dalyje nurodyta, kad tvarkant vaizdo ir (ar) garso duomenis darbo vietoje ir duomenų valdytojo patalpose ar teritorijose, kuriose dirba jo darbuotojai, tvarkant asmens duomenis, susijusius su darbuotojų elgesio, buvimo vietos ar judėjimo stebėsena, šie darbuotojai apie tokį jų asmens duomenų tvarkymą turi būti informuojami pasirašytinai ar kitu informavimo faktą įrodančiu būdu pateikiant Reglamento 13 straipsnio 1 ir 2 dalyse nurodytą informaciją. Tai reiškia, kad duomenų valdytojas, atliekantis vaizdo stebėjimą, privalo pasirengti vaizdo stebėjimo taisykles ir su jomis supažindinti savo darbuotojus.
Pastebėtina, kad Reglamento 5 straipsnio 1 dalies a ir c papunkčiuose yra įtvirtinta, kad asmens duomenys turi būti duomenų subjekto atžvilgiu tvarkomi teisėtu, sąžiningu ir skaidriu būdu (teisėtumo, sąžiningumo ir skaidrumo principas), todėl duomenų valdytojas yra įpareigotas darbuotojams pateikti visą informaciją apie jų asmens duomenų tvarkymą, įskaitant ir tvarkymą vaizdo stebėjimo (fiksavimo) priemonėmis.
Rekomenduojame susipažinti su 29 straipsnio duomenų apsaugos darbo grupės, įkurtos 1995 m. spalio 24 d. Europos Parlamento ir Tarybos Direktyvos 95/46 EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo pagrindu 2018 m. balandžio 11 d. „Skaidrumo užtikrinimo pagal Reglamentą (ES) 2016/679 gairės“. Šias gaires galite rasti Inspekcijos interneto svetainės skiltyje „Metodinė pagalba“.[/pc-pvt-content]
