copyright

Siekdami užtikrinti geriausią Jūsų naršymo patirtį, šioje svetainėje naudojame slapukus (ang. cookies). Naršydami toliau Jūs patvirtinsite savo sutikimą naudoti slapukus. Savo sutikimą bet kada galėsite atšaukti pakeisdami interneto naršyklės nustatymus ir ištrindami įrašytus slapukus.


 • Jau įsigaliojus Bendrajam duomenų apsaugos reglamentui 16
  • 2.

   SOCIALINIAI TINKLAI. Ar BDAR nuostatos taikomos fiziniam asmeniui, paskelbusiam kito asmens duomenis socialiniuose tinkluose? (2018-06-19)

   Vadovaujantis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – BDAR) 2 straipsnio 2 dalies c punktu bei preambulės 18 punktu, fizinio asmens, paskelbusio tam tikrą informaciją, įskaitant kito fizinio asmens duomenis, socialiniuose tinkluose („Facebook“, „Instagram“, „LinkedIn“, „Twitter“ ir kt.) atžvilgiu BDAR nuostatos nebūtų taikomos, jeigu tas fizinis asmuo tvarko (skelbia) asmens duomenis užsiimdamas išimtinai asmenine ar namų ūkio veikla ir nesusiedamas to su profesine ar komercine veikla. Tokiu atveju kito asmens, kurio duomenys buvo paskelbti, teisė į privatų gyvenimą yra ginama vadovaujantis Lietuvos Respublikos civiliniu kodeksu.

   Jeigu asmens duomenis socialiniuose tinkluose tvarko (skelbia) fizinis asmuo, vykdydamas ne asmeninę ar namų ūkio priežiūros, o profesinę ar komercinę veiklą, pavyzdžiui, versdamasis individualia veikla, arba juridinis asmuo, tuomet tokiam asmens duomenų tvarkymui taikomos BDAR nuostatos.

   Pažymėtina, kad duomenų valdytojams arba duomenų tvarkytojams, kurie suteikia priemones asmens duomenų tvarkymui vykdant pirmiau nurodytą asmeninę ar namų ūkio priežiūros veiklą, pavyzdžiui, socialinių tinklų valdytojams, BDAR yra taikomas.

   Atnaujinta: 2020 05 05

  • 3.

   VAIZDO STEBĖJIMAS. Kaip duomenų valdytojui informuoti apie vykdomą vaizdo stebėjimą informacinėje lentelėje? (2018-07-23)

   Valstybinė duomenų apsaugos inspekcija sulaukia klausimų, kaip teisingai informuoti apie vykdomą vaizdo stebėjimą 2018 m. gegužės 25 d. pradėjus taikyti 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentą (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – BDAR).

   Atkreipiame dėmesį, kad BDAR nenumato atskiro vaizdo stebėjimo vykdymo reguliavimo, todėl jis turi atitikti bendrus reikalavimus dėl asmens duomenų tvarkymo. Kai vaizdo stebėjimas vykdomas BDAR 6 straipsnio 1 dalies f punktu, privaloma įvertinti, ar duomenų valdytojo teisėtas interesas yra viršesnis už duomenų subjektų interesus arba pagrindines teises ir laisves.

   BDAR preambulės 39 punkte nustatyta, kad bet kuris asmens duomenų tvarkymas turėtų būti teisėtas ir sąžiningas. Taikant skaidrumo principą, fiziniams asmenims turėtų būti aišku, kaip su jais susiję asmens duomenys yra renkami, naudojami, su jais susipažįstama arba jie yra kitaip tvarkomi, taip pat kokiu mastu tie asmens duomenys yra ar bus tvarkomi. Pagal skaidrumo principą informacija ir pranešimai, susiję su tų asmens duomenų tvarkymu, turi būti glausti, skaidrūs, lengvai prieinami ir suprantami, pateikiami aiškia ir paprasta kalba.

   Skaidrumo principas visų pirma susijęs su duomenų subjektų informavimu apie duomenų valdytojo tapatybę ir duomenų tvarkymo tikslus, taip pat su tolesniu informavimu, kad būtų užtikrintas sąžiningas ir skaidrus duomenų tvarkymas atitinkamų fizinių asmenų atžvilgiu, jų teise gauti patvirtinimą dėl su jais susijusių asmens duomenų tvarkymo ir teise tuos duomenis gauti. Fiziniai asmenys turėtų būti informuoti apie su asmens duomenų tvarkymu susijusius pavojus, taisykles, apsaugos priemones bei teises ir apie tai, kaip naudotis savo teisėmis tokio asmens duomenų tvarkymo srityje.

   BDAR preambulės 60 punkte pasisakoma, kad pagal sąžiningo ir skaidraus duomenų tvarkymo principus duomenų subjektui pranešama apie vykdomą duomenų tvarkymo operaciją ir jos tikslus. Duomenų valdytojas turėtų pateikti duomenų subjektui visą papildomą informaciją, kuri būtina tam, kad būtų užtikrintas sąžiningas ir skaidrus duomenų tvarkymas, atsižvelgiant į konkrečias asmens duomenų tvarkymo aplinkybes ir kontekstą.

   Taigi duomenų valdytojas, įgyvendindamas BDAR 5 straipsnio 2 dalyje įtvirtintą atskaitomybės principą, vykdydamas vaizdo stebėjimą yra atsakingas už tai, kad būtų laikomasi su asmens duomenų tvarkymu susijusių principų, ir turi sugebėti įrodyti, kad jų laikomasi.

   Duomenų valdytojas privalo užtikrinti, kad prieš patenkant į patalpas ar teritoriją, kurioje vykdomas vaizdo stebėjimas, būtų aiškiai ir tinkamai pateikiama bent ši informacija:

   • apie vykdomą vaizdo stebėjimą;
   • duomenų valdytojo juridinio asmens pavadinimas, duomenų valdytojo fizinio asmens vardas ir pavardė, jų kontaktinė informacija (adresas, el. pašto adresas ir (arba) telefono ryšio numeris);
   • asmens duomenų tvarkymo tikslas;
   • nuoroda į informacijos šaltinį, kur būtų galima gauti detalesnę informaciją apie vykdomą vaizdo stebėjimą (t. y. BDAR 13 straipsnio 1 ir 2 dalyse nurodytą informaciją, šio reglamento 15–22 ir 34 straipsniuose nustatytų duomenų subjektų teisių įgyvendinimo tvarką ir kt.), pavyzdžiui, nuoroda į interneto svetainę, kontaktinis telefonas ar kt.

   Informaciją apie tai, kad vykdomas vaizdo stebėjimas, rekomenduojama pateikti visais atvejais, nepriklausomai nuo to, kad kai kuriose tam skirtose vietose vaizdo stebėjimas tuo metu nėra vykdomas (pavyzdžiui, vaizdo kamera veikia ne visą laiką, veikia nustatytu periodiškumu ir pan.).

   Atkreipiame dėmesį, kad vien tik lentelės, kurioje pavaizduota vaizdo kamera, pakabinimas nėra laikomas tinkamu BDAR reikalavimus atitinkančiu duomenų subjekto informavimu.

   Toliau pateikiami keli galimi informavimo apie vykdomą vaizdo stebėjimą lentelių pavyzdžiai.

   Duomenų valdytojas gali pasirinkti, kokią kitą papildomą informaciją pateikti informacinėje lentelėje.

   Atnaujinta: 2020 05 05

  • 4.

   JURIDINIO ASMENS VALDYMO ORGANŲ NARIAI. Dėl Bendrojo duomenų apsaugos reglamento taikymo juridinio asmens valdymo organų narių duomenų tvarkymui (2018-08-30)

   Pastaruoju metu duomenų valdytojams taikant Bendrąjį duomenų apsaugos reglamentą (toliau – BDAR) kyla klausimas, ar BDAR yra taikomas ir juridinio asmens valdymo organų narių asmens duomenų tvarkymui.

   Atkreipiame dėmesį, kad BDAR preambulės 14 punkte numatyta, jog šiuo reglamentu užtikrinama apsauga turėtų būti taikoma fiziniams asmenims tvarkant jų asmens duomenis, tačiau jis neapima juridinių asmenų ir, visų pirma, su juridinio asmens statusą turinčių įmonių duomenų, įskaitant juridinio asmens pavadinimą, teisinę formą ir kontaktinius duomenis, tvarkymo. Atkreipiame dėmesį, kad Europos Sąjungos Teisingumo Teismas 2017 m. kovo 9 d. sprendime, priimtame byloje C‑398/15,  pažymėjo, kad su asmenų, kurie yra įgalioti atstovauti bendrovei jos santykiuose su trečiosiomis šalimis ir teisminiuose procesuose, taip pat su asmenų, kurie dalyvauja atliekant bendrovės administravimo, priežiūros ir kontrolės darbus, tapatybe susiję duomenys yra asmens duomenys, kaip jie suprantami pagal 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyvos 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir laisvo tokių duomenų judėjimo (OL L 281, 1995, p. 31). Minėtame sprendime Europos Sąjungos Teisingumo Teismas taip pat pastebėjo, kad iš Europos Teisingumo Teismo jurisprudencijos matyti, jog aplinkybė, kad ši informacija priskirtina prie profesinės veiklos srities nereiškia, jog ji nėra asmens duomenys (žr. Europos Sąjungos Teisingumo Teismo  2015 m. liepos 16 d. sprendimą byloje C-615/12).

   Europos Komisija, informuodama apie BDAR taikymą interneto svetainėje https://ec.europa.eu/info/law/law-topic/data-protection/reform_lt taip pat yra pažymėjusi, kad informacija, susijusi su vienanare įmone, gali būti laikoma asmens duomenimis, jeigu pagal ją galima nustatyti fizinio asmens tapatybę. Taisyklės taip pat taikomos visiems asmens duomenims, susijusiems su profesinę veiklą vykdančiais fiziniais asmenimis, pavyzdžiui, įmonės ar organizacijos darbuotojais, kaip antai, darbo el. pašto adresams, tokiems kaip vardas.pavardė@įmonė.eu, arba darbuotojų darbo telefono numeriams.

   Atsižvelgiant į tai, kas išdėstyta, juridinių asmenų valdymo organų narių asmens duomenų tvarkymui yra taikomos BDAR nuostatos.

   Atnaujinta: 2020 05 05

  • 5.

   VIEŠINIMAS. Asmens duomenų viešinimas – kas viešinama, kiek viešinama ir kokių tikslų tuo siekiama (2019-03-08)

   Nuolatos kylant klausimų dėl asmens duomenų viešinimo ir viešinamų duomenų apimties, valstybinės institucijos ir įstaigos raginamos peržiūrėti tai reglamentuojančius įstatymus ir kitus teisės aktus ir, esant poreikiui, inicijuoti jų pakeitimus.

   Asmens duomenų viešinimo internete klausimas dažnai kyla įvairioms institucijoms ir įstaigoms, kadangi neretai įstatymų projektuose ketinama nustatyti pareigą skelbti įvairius sąrašus, sprendimus, ataskaitas, pažymas ir pan. Šiuo atveju svarbu priminti, kad tokiam asmens duomenų tvarkymui yra taikomi visi Bendrajame duomenų apsaugos reglamente (BDAR) įtvirtinti reikalavimai.

   BDAR nedraudžia viešinti asmens duomenų, tačiau turi būti laikomasi visų su asmens duomenų tvarkymu susijusių principų. Tik tokiu atveju organizacijos galės užtikrinti BDAR įtvirtintą atskaitomybės principą, kuris reiškia, kad jos pačios yra atsakingos už principų laikymąsi.

   Taigi, asmens duomenys gali būti tvarkomi tik laikantis su asmens duomenų tvarkymu susijusių principų ir kai toks asmens duomenų tvarkymas gali būti pagrįstas bent viena BDAR numatyta teisėto asmens duomenų tvarkymo sąlyga. Tuo atveju, jei nėra nė vienos iš BDAR nurodytos asmens duomenų teisėto tvarkymo sąlygos ir teisėto asmens duomenų tvarkymo tikslo, asmens duomenys negali būti tvarkomi.

   BDAR kelia reikalavimus teisės aktams, kuriais siekiama įtvirtinti tam tikrus apribojimus, pvz., kai numatomas asmens duomenų viešinimas. Visų pirma teisės aktas, kuriuo įtvirtinami apribojimai, turi atitikti Europos Sąjungos Teisingumo Teismo ir Europos Žmogaus Teisių Teismo praktiką, pagal kurią tokie apribojimai galimi, laikomi pagrįstais, jeigu atitinka dvi sąlygas: 1) yra teisėti ir 2) būtinai reikalingi demokratinėje visuomenėje.

   Lietuvos Respublikos Konstitucinio Teismo 2002 m. kovo 14 d. nutarime taip pat nurodyta, kad „Pagal Konstituciją riboti žmogaus teises ir laisves galima, jeigu yra laikomasi šių sąlygų: tai daroma įstatymu; ribojimai yra būtini demokratinėje visuomenėje siekiant apsaugoti kitų asmenų teises bei laisves ir Konstitucijoje įtvirtintas vertybes, taip pat konstituciškai svarbius tikslus; ribojimais nėra paneigiama teisių ir laisvių prigimtis bei jų esmė; laikomasi konstitucinio proporcingumo principo.

   Sprendžiant, ar tam tikrus asmens duomenis, nurodytus institucijų ar įstaigų dokumentuose, galima skelbti viešai, turi būti įvertintos pasekmės, kurias sukels toks asmens duomenų tvarkymas. Viešai paskelbti asmens duomenys tampa prieinami neapibrėžtam ratui asmenų, t. y. ne tik tiems asmenims, kurie turi teisėtą interesą tokius asmens duomenis gauti. Taip pat turėtų būti įvertinta ir tai, kad tam tikrais atvejais viešas asmens duomenų paskelbimas gali sulaikyti asmenį nuo galimybės teisėtai pasinaudoti jam teisės aktais numatytomis teisėmis. Atsižvelgiant į tai, turi būti įvertinta, ar siekiamų tikslų negalima pasiekti viešai neskelbiant asmens duomenų. Europos Teisingumo Teismas 2010 m. lapkričio 9 d. sprendime sujungtose bylose C92/09 ir C-93/09 yra pažymėjęs, kad skaidrumo principas leidžia piliečiams artimiau dalyvauti sprendimų priėmimo procese, taip pat garantuoja didesnį valdymo teisėtumą ir veiksmingumą bei aukštesnį atskaitomybės piliečiams mastą demokratinėje sistemoje, tačiau tuo pačiu pažymėjo, kad automatiškai teikti pirmenybės skaidrumo tikslui, palyginti su teise į asmens duomenų apsaugą, negalima, net jei tai susiję su svarbiais ekonominiais interesais (68 ir 85 paragrafai).

   Be to, svarbu atkreipti dėmesį į tai, kad, kai teisės aktai numato prievolę asmens gyvenimo aprašymą skelbti viešai, gyvenimo aprašymas turėtų būti skelbiamas tik tokia apimtimi, kuri yra numatyta teisės akte. Taip pat pažymėtina, kad skelbiant gyvenimo aprašymą turėtų būti vadovaujamasi BDAR įtvirtintu duomenų kiekio mažinimo principu, pvz., kai gyvenimo aprašymuose yra nurodomas gyvenamosios vietos adresas, asmeninis telefono ryšio numeris ir pan., manytina, kad tokie duomenys neturėtų būti skelbiami viešai.

   Taigi institucijos ir įstaigos turi išgryninti šiuos aspektus: ar asmens duomenų viešinimas numatytas tinkamo lygio teisės akte, kokiu tikslu siekiama viešinti duomenis, kokie asmens duomenys turėtų būti skelbiami viešai atsižvelgiant į jų skelbimo tikslus, kur ir kaip tai bus daroma (pvz., numatyti papildomas apsaugos priemones, kad tokių duomenų kopijavimas būtų apribotas) ir kokį laikotarpį.

   Atnaujinta: 2020 05 05

  • 6.

   POVEIKIO DUOMENŲ APSAUGAI VERTINIMAS. Kokioms veikloms turi būti atliekamas poveikio duomenų apsaugai vertinimas? (2019-03-18)

   Valstybinė duomenų apsaugos inspekcija patvirtino tiek įmonių ir valstybės institucijų, tiek su asmens duomenų apsauga dirbančios teisinės bendruomenės nekantriai lauktą Duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, sąrašą.

   2018 m. gegužės 25 d. pradėjus taikyti Bendrąjį duomenų apsaugos reglamentą valstybių narių asmens duomenų apsaugos priežiūros institucijos dėl tam tikrų reglamente numatytų naujų veiklų privalėjo parengti nacionalinius tesės aktus. Jie turėjo būti patvirtinti tik suderinus su Europos duomenų apsaugos valdyba, kuri veiklą pradėjo praėjusių metų gegužę. Europos duomenų apsaugos valdyba yra Bendrajame duomenų apsaugos reglamente įtvirtinta nepriklausoma Europos Sąjungos įstaiga, padedanti užtikrinti nuoseklų duomenų apsaugos taisyklių taikymą visoje Europos Sąjungoje ir skatina duomenų apsaugos institucijų bendradarbiavimą. Valstybinė duomenų apsaugos inspekcija, kaip ir kitų Europos Sąjungos valstybių narių priežiūros institucijos, yra šios valdybos narė.

   Duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, sąrašas yra vienas iš tų dokumentų, kuriuos pradėjusiai veikti valdybai įvertinti pateikė visos valstybės narės. Ne išimtis ir Lietuva.

   Pagal Europos duomenų apsaugos valdybos pastabas patikslintas Duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, sąrašas patvirtintas Valstybinės duomenų apsaugos inspekcijos direktoriaus 2019 m. kovo 14 d. įsakymu Nr. 1T- 35 (1.12.E). Pasak Valstybinės duomenų apsaugos inspekcijos direktoriaus Raimondo Andrijausko: „Šio sąrašo jau senokai laukia ne tik verslas, bet ir valstybinės institucijos, nes jis suteiks daugiau aiškumo, kokiais atvejais tvarkant asmens duomenis reikės atlikti poveikio duomenų apsaugai vertinimą. Norėčiau atkreipti dėmesį, kad šis sąrašas nėra baigtinis. Pasitaikys ir kitų atvejų, kai organizacijos, atsižvelgdamos į Bendrojo duomenų apsaugos reglamento reikalavimus, turės atlikti poveikio duomenų apsaugai vertinimą“.

   Poveikio duomenų apsaugai vertinimas, tai Bendrojo duomenų apsaugos reglamento naujovė. Tam tikra procedūra, kuri turi būti atliekama tais atvejais, kai dėl duomenų tvarkymo rūšies, ypač kai naudojamos inovatyvios technologijos, ir atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, fizinių asmenų teisėms bei laisvėms gali kilti didelis pavojus. Pagal Valstybinės duomenų apsaugos inspekcijos parengtą sąrašą poveikio duomenų apsaugai vertinimo procedūra turi būti atlikta toliau pateiktais atvejais.

   • Asmens duomenų tvarkymas mokslinių ar istorinių tyrimų tikslais, kai be asmens sutikimo tvarkomi specialių kategorijų asmens duomenys arba asmens duomenų tvarkymas vykdomas susiejant ar derinant duomenų rinkinius; kai tvarkomi nepilnamečių asmenų duomenys; kai tvarkomas asmens kodas.
   • Asmens duomenų tvarkymas vykdomas dideliu mastu, kai asmens duomenys gauti ne iš asmens bei informacijos pateikimas tam tikrais atvejais yra neįmanomas arba tam reikėtų neproporcingų pastangų, arba jeigu dėl tokio informacijos pateikimo gali tapti neįmanoma arba jis gali labai sukliudyti pasiekti tvarkymo tikslus.
   • Asmens duomenų tvarkymas, kai duomenų gavėjų, kuriems buvo atskleisti asmens duomenys, informavimas apie asmens duomenų ištaisymą, ištrynimą arba tvarkymo apribojimą nėra įmanomas arba pareikalautų neproporcingų pastangų.
   • Biometrinių duomenų, kuriais siekiama konkrečiai nustatyti fizinio asmens tapatybę, tvarkymas asmenų stebėsenos ar kontrolės tikslais arba kai tvarkomi pažeidžiamų asmenų duomenys.
   • Genetinių duomenų tvarkymas vykdant asmens savybių vertinimą arba balų skyrimą, įskaitant profiliavimą ir prognozavimą.
   • Asmens vaizdo duomenų tvarkymas, kai vaizdo stebėjimas vykdomas patalpose ir (ar) teritorijose, kurios nėra duomenų valdytojo valdomos nuosavybės ar kitais teisėtais pagrindais; sveikatos priežiūros, socialinės globos, įkalinimo įstaigose ir kitose įstaigose, kuriose paslaugos yra teikiamos pažeidžiamiems asmenims; kartu su garso įrašymu.
   • Pokalbių telefonu įrašymas.
   • Asmens duomenų tvarkymas naudojant inovatyvias technologijas arba egzistuojančias technologijas panaudojant nauju būdu, kai tvarkomi pažeidžiamų duomenų subjektų asmens duomenys.
   • Vaikų asmens duomenų tvarkymas tiesioginės rinkodaros tikslais, vaikų asmeninių aspektų vertinimas, kuris yra grindžiamas automatizuotu tvarkymu, įskaitant profiliavimą, arba kai vaikams tiesiogiai yra siūlomos informacinės visuomenės paslaugos.
   • Darbuotojų asmens duomenų tvarkymas stebėsenos ar kontrolės tikslais: asmens vaizdo ir (ar) garso duomenų tvarkymas darbo vietoje ir (ar) duomenų valdytojo patalpose ar teritorijose, kuriose dirba jo darbuotojai; asmens duomenų, susijusių su darbuotojų, komunikacijos, elgesio, vietos ar judėjimo stebėsena, tvarkymas.

   Visas Duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, sąrašas      

   Išsamesnės informacijos apie tai, kaip tinkamai atlikti poveikio duomenų apsaugai vertinimą, galite rasti specialiose gairėse

   Atnaujinta: 2020 05 05

  • 7.

   SKOLININKŲ ASMENS DUOMENYS. Ar Bendrasis duomenų apsaugos reglamentas nedraudžia tvarkyti skolininkų asmens duomenų? (2019-04-08)

   Skolų išieškojimo procese neabejotinai tvarkomi asmens duomenys – vardas, pavardė, mokėtojo kodas, gimimo data, adresas ir kiti. Pasitaiko atvejų, kad skolų išieškojimo procedūros gali sukelti neigiamų finansinių pasekmių žmogui, todėl į tokį duomenų tvarkymą neretai reaguojama ypač jautriai. Bendrasis duomenų apsaugos reglamentas nedraudžia tvarkyti skolininkų asmens duomenų, tačiau Valstybinės duomenų apsaugos inspekcijos tiriami atvejai rodo, kad kartais nesusipratimų kyla tarp asmens, skolą patyrusios įmonės, įstaigos ar jos išieškojimą vykdančios bendrovės, todėl ypač svarbu visoms pusėms aiškiai suprasti savo teises ir pareigas.

   Tvarkant asmens duomenis skolų išieškojimo tikslu turi būti laikomasi Bendrajame duomenų apsaugos reglamente įtvirtintų bendrų asmens duomenų apsaugos principų. Konkrečiai skolų išieškojimo procedūros nėra aptartos šiame teisės akte, tačiau asmens duomenų apsaugos priežiūros institucija sulaukia nemažai asmenų skundų ir kreipimųsi pasikonsultuoti. Pasak Valstybinės duomenų apsaugos inspekcijos direktoriaus Raimondo Andrijausko: „Iš 2018 m. gautų 859 skundų 65 buvo pateikti skolininkų dėl galimai netinkamo jų asmens duomenų tvarkymo. Dalis skundų buvo pagrįsti, kitais atvejais buvo teisios skolą patyrusios organizacijos ar skolų išieškojimo bendrovės“.

   Neretai susiduriama su asmenų nepasitenkinimą sukeliančiomis situacijomis, kurios susijusios su konfidencialumo principo, įtvirtinto Bendrajame duomenų apsaugos reglamente, pažeidimu. Skolą išieškanti bendrovė turi pasirūpinti, kad jos pasirinktos techninės ir organizacinės priemonės padėtų užtikrinti ne tik asmens duomenų saugumą, bet ir užkirstų kelią neteisėtai prieigai prie asmens duomenų. Pavyzdžiui, skolininko informacija neturėtų būti atskleista ar sudaryta galimybė atskleisti asmenims, kurie neturi teisės jos gauti ar matyti, pavyzdžiui, kolegoms darbovietėje, paprašius perduoti pranešimą apie skolą kaimynų, giminaičių ar panašiai. Nevalia skolininkų asmens duomenų skelbti skelbimų lentose, socialinių tinklų grupėse ar daugiabučių gyvenamųjų namų bendrijų interneto svetainėse.

   Iš Valstybinės duomenų apsaugos inspekcijos nagrinėjamų atvejų matyti, kad skolininkai yra sunerimę, jog jie neinformuojami apie skolos susidarymą, taip pat, kad jų duomenys, nepaprašius sutikimo, pavedami tvarkyti skolų išieškojimo bendrovėms.

   Nors apie duomenų gavėjus, kuriems pavedama išieškoti skolą, asmenys privalo būti informuoti, tačiau sutikimas asmens duomenų perdavimui skolos išieškojimo įmonėms nėra privalomas. Neretai asmenys klysta tikėdamiesi, kad jų asmens duomenų tvarkymas, nesant jų sutikimo, yra neteisėtas ar net draudžiamas. Čia dar kartą reikėtų pabrėžti, kad sutikimas yra tik vienas iš galimų pagrindų tvarkyti asmens duomenis, tačiau ne vienintelis. Dažniausiai asmens duomenys skolų išieškojimo tikslu yra tvarkomi remiantis įmonės ar įstaigos, kuriam asmuo skolingas, teisėtu interesu. Tokiu atveju, asmuo privalo būti informuotas apie asmens duomenų perdavimą skolų išieškojimo įmonei, tačiau tokiam perdavimui jo sutikimo nereikia.

   Be kita ko, įmonės ar įstaigos, kurioms asmenys yra skolingi, turi teisę perduoti reikalavimą į skolą, pavyzdžiui, parduoti. Tai numato Lietuvos Respublikos civilinis kodeksas. Be jokios abejonės, kartu su skola perduodami ir asmens duomenys. Kaip ir pirmiau aptartu atveju, tokiam duomenų perdavimui skolininko sutikimas nėra reikalingas, tačiau asmuo turi būti informuotas apie tokį asmens duomenų perdavimą, tuo pačiu pateikiant ir sutartį dėl skolos perleidimo.

   Kitas dažnas Valstybinės duomenų apsaugos inspekcijos veikloje pasitaikantis atvejis, susijęs su asmens duomenų tvarkymu skolos išieškojimo tikslu, kai asmens duomenų tvarkymui šiuo tikslu yra pasitelkiama skolų išieškojimo veiklą vykdanti bendrovė (duomenų tvarkytojas). Taigi, įmonė ar įstaiga pagal Bendrąjį duomenų apsaugos reglamentą turi teisę tiek asmens duomenis tvarkyti pati, tiek pasitelkti kitą asmenį – duomenų tvarkytoją. Tokia duomenų valdytojo teisė nėra ribojama asmens duomenų tvarkymo sąlygomis ir tai reiškia, kad tokiam duomenų tvarkytojo pasitelkimui neprivaloma prašyti duomenų subjekto sutikimo, turėti teisėto intereso ar bet kurio kito teisinio pagrindo. Visgi, apie duomenų tvarkytojus, kaip apie duomenų gavėjus, skolininkai privalo būti informuoti.

   Kartais klystama ir mėginant rasti skolininkus, pavyzdžiui, aptikti jų pėdsakus socialiniuose tinkluose ar telefonu. Šiais kanalais ieškant įsiskolinusių asmenų ir neįsitikinus surasto asmens tapatybe, kyla rizika atskleisti asmens duomenis tretiesiems asmenims, su išieškoma skola neturintiems nieko bendra. Juk socialiniame tinkle paskyrą gali turėti keletas asmenų tuo pačiu vardu ir pavarde, pasivadinusių kitais vardais ar slapyvardžiais.

   Aptarta skolininkų asmens duomenų tvarkymo veikla yra ypač aktuali kasdieniniame gyvenime, todėl, siekiant išvengti praktinių problemų, rekomenduotina aiškesnė komunikacija tarp žmonių ir skolas patyrusių bei jų išieškojimą vykdančių organizacijų ar šios srities teisinės bazės tobulinimas.

   Atnaujinta: 2020 05 05

  • 8.

   BREXIT ir asmens duomenys. Svarbi informacija dėl asmens duomenų perdavimo ir gavimo iš Jungtinės Karalystės (2019-04-24)

   Asmens duomenų perdavimo į Jungtinę Karalystę (JK) ir tokių duomenų gavimo iš JK klausimas po to, kai JK sutarimas dėl pasitraukimo sąlygų („Brexit“ susitarimas) JK parlamente nebuvo patvirtintas, yra svarbus įmonėms, įstaigoms ir kitiems asmenims, kurie perduoda asmens duomenis į JK, įskaitant Šiaurės Airiją.

   Pateikiame aktualios informacijos Lietuvos organizacijoms, kurių veikla susijusi su asmens duomenų perdavimu į JK. Jeigu 2019 m. kovo 30 d. JK pasitrauks iš Europos Sąjungos (ES) be „Brexit“ susitarimo, juridiniai ar kiti asmenys turės būti pasiruošę asmens duomenų perdavimo mechanizmus, užtikrinančius asmens duomenų perdavimo į JK teisėtumą.

   Vadovaujantis Bendruoju duomenų apsaugos reglamentu, tarp ES valstybių narių yra užtikrinamas laisvas asmens duomenų judėjimas. Tuo atveju, kai asmens duomenų gavėjas yra įsisteigęs už Europos Ekonominės Erdvės (EEE) ribų, laikoma, kad asmens duomenys perduodami į „trečiąsias valstybes“, todėl juridiniai asmenys turi imtis papildomų apsaugos priemonių, siekiant užtikrinti nenutrūkstamą ES duomenų apsaugos standartų taikymą po duomenų perdavimo.

   Nuo 2019 m. kovo 30 d., jei JK pasitrauks iš ES be „Brexit“ susitarimo, ji taps trečiąja valstybe ir duomenų perdavimas į JK bus vertinamas kaip perdavimas į trečiąją valstybę. Tai turės pasekmių kiekvienam juridiniam ir kitam asmeniui, su kuriuo JK (įskaitant Šiaurės Airiją) įsteigti juridiniai asmenys ar kitos organizacijos vykdys prekybą ar bet kokio kito pobūdžio veiklą, nes Lietuvoje veikiantys juridiniai ir kiti asmenys, perduodantys asmens duomenis, turės įgyvendinti tinkamas asmens duomenų perdavimo į JK teisinės apsaugos priemones. Pavyzdžiui, jei šiuo metu Lietuvos įmonės darbuotojų darbo užmokestį apskaičiuoja (išmoka) JK įsteigtas duomenų tvarkytojas, tokia įmonė privalės užtikrinti tinkamą į JK perduodamų asmens duomenų teisinę apsaugą. Ta pati taisyklė galioja ir tuo atveju, jei Lietuvos įmonė ar valstybinė institucija naudojasi debesų infrastruktūra, kurią teikia JK įsteigtas teikėjas.

    

   Duomenų perdavimas iš Lietuvos į JK po 2019 m. kovo mėn., nesant „Brexit“ susitarimo

   Nuo JK pasitraukimo iš ES dienos Bendrojo duomenų apsaugos reglamento nuostatos dėl asmens duomenų perdavimo į trečiąsias valstybes bus pradėtos taikyti1 ir JK. Europos Komisijos interneto svetainėje yra išskirti teisiniai būdai, kurie gali būti naudojami vykdant duomenų perdavimą iš ES valstybės narės į trečiąją valstybę. Europos Komisija kai kurių valstybių (tokių kaip Izraelis ir Argentina) duomenų apsaugos sistemą yra pripažinusi kaip tinkamą. Toks sprendimas dėl tinkamumo reiškia, kad asmens duomenų iš EEE į tokią trečiąją valstybę judėjimas gali vykti be papildomų apsaugos priemonių. Tačiau, tokio pripažinimo JK reguliavimui 2019 m. kovo mėn. pabaigoje nebus2.

   Dažniausiai naudojamas alternatyvus perdavimo būdas – tai Europos Komisijos patvirtintos standartinės ar pavyzdinės sutarties sąlygos, įgyvendinančios sutartines apsaugos priemones tarp duomenų siuntėjo ir gavėjo.

    

   Papildomos informacijos apie teisinius asmens duomenų perdavimo į trečiąsias valstybes būdus galima rasti Europos Komisijos interneto svetainėje>>

    

   Europos duomenų apsaugos valdybos 2019 m. vasario 12 d. Informacinis pranešimas dėl duomenų perdavimo pagal Bendrąjį duomenų apsaugos reglamentą Jungtinės Karalystės išstojimo iš ES be susitarimo atveju>>

    

   JK asmens duomenų apsaugos priežiūros institucija – Informacijos komisionierių biuras (ICO), taip pat yra paskelbusi gaires anglų kalba apie asmens duomenų gavimą JK iš EEE šalių>>

    

   Tolimesni juridinių ir kitų asmenų, perduodančių duomenis į JK, įskaitant Šiaurės Airiją, žingsniai:

   - Nustatyti, kokie asmens duomenys yra perduodami į JK.

   - Jeigu būtų nuspręsta, kad asmens duomenų perdavimas į JK yra reikalingas, įvertinti Bendrajame apsaugos reglamente įtvirtintus skirtingus duomenų perdavimo būdus ir nuspręsti, kuris iš jų labiausiai atitinka konkrečią situaciją, bei imtis pasirinkto būdo įgyvendinimo dar iki 2019 m. kovo 30 d. duomenų perdavimo.

   Konsultacijų dėl asmens duomenų teikimo į trečiąsias šalis galite kreiptis į Valstybinę duomenų apsaugos inspekciją.

    


   1Bendrojo duomenų apsaugos reglamento V skyrius nustato asmens duomenų perdavimo į trečiąsias valstybes arba tarptautinėms organizacijoms reikalavimus.

   Atnaujinta: 2020 05 05

  • 9.

   DUOMENŲ APSAUGOS INSTITUCIJOS. Kokios institucijos Lietuvoje sprendžia asmens duomenų ir privatumo apsaugos problemas? (2019-06-21)

   Lietuvoje asmens duomenų apsaugos aktualumas ypač išaugo įgyvendinus europinę asmens duomenų apsaugos reformą ir pradėjus taikyti Bendrąjį duomenų apsaugos reglamentą. Žmonės vis aktyviau domisi savo duomenų apsauga ir gina savo teises. Per pastaruosius metus itin padaugėjo kreipimųsi į Valstybinę duomenų apsaugos inspekciją (VDAI) pasikonsultuoti, ištirti skundą ar duomenų saugumo pažeidimo atvejį.

   Siekdama veikti greičiau ir efektyviau VDAI atliko gautos informacijos analizę ir išskyrė tuos atvejus, kai veiksmų teisėtumą turi vertinti kitos institucijos.

   Kai asmens duomenys paskelbiami socialiniuose tinkluose, pavyzdžiui, „Facebook“, „LinkedIn, „Youtube“, „Instagram“ ir kitose visuomenės informavimo priemonėse – televizijos ir radijo laidose, tinklalaidėse (angl. podcast), žiniasklaidos portaluose, laikraščiuose, žurnaluose, knygose, kituose leidiniuose, interneto svetainėse ir kt. Tokiu atveju reikia kreiptis į Žurnalistų etikos inspektorių. Išsamiau apie dažniausiai pasitaikančius Žurnalistų etikos inspektoriaus kompetencijos atvejus

   Kai asmens duomenys teikiami teismų administracinėms, civilinėms, baudžiamosioms byloms, bet su jomis susijusiam asmeniui atrodo, kad teikiami asmens duomenys yra pertekliniai. Šiuo atveju veiksmų teisėtumą vertina tik patys teismai.

   Kai pasisavinami elektroniniai asmens duomenys, pavyzdžiui, pasinaudojus kito asmens duomenimis, įvykdoma asmens tapatybės vagystė, neteisėtai prisijungiama prie el. banko paskyros, pasisavinami pinigai, perkamos ir parduodamos duomenų bazės su asmens duomenimis. Šiuo atveju reikia kreiptis į policijos įstaigą.

   Kai asmens duomenys naudojami siekiant asmenį apšmeižti. Šiuo atveju reikia kreiptis į policijos įstaigą, kuri atlieka ikiteisminį tyrimą.

   Kai asmens duomenys tvarkomi asmeniniais tikslais, pavyzdžiui, esate nufilmuojamas kito žmogaus vaizdo registratoriumi ar patenkate į kito žmogaus darytą fotografiją. Šiuo atveju savo privatumą galima apginti kreipiantis į teismą.

   Kai tvarkomi mirusių asmenų duomenys. Mirusių asmenų duomenų tvarkymo VDAI neprižiūri, tačiau mirusių asmenų teisę į privatumą gina Lietuvos teisės aktai, pavyzdžiui, Lietuvos Respublikos civilinis kodeksas ir Lietuvos Respublikos pacientų teisių ir žalos sveikatai atlyginimo įstatymas. Šiuo atveju dėl mirusiųjų asmenų asmens duomenų galimai netinkamo tvarkymo galima kreiptis į teismą arba atitinkamai į sveikatos priežiūros įstaigą.

   Atnaujinta: 2020 05 05

  • 10.

   TAPATYBĖS VAGYSTĖ. Kaip sumažinti asmens tapatybės vagystės riziką? (2019-07-04)

   Valstybinė duomenų apsaugos inspekcija, kaip ir kitos Lietuvos institucijos, susiduria su asmenų klausimais apie tapatybės vagystes ir kaip sumažinti galinčias kilti rizikas bei grėsmes. Asmens tapatybė yra vienas iš vertingiausių turtų. Jei asmens tapatybė yra pavogta, galima prarasti pinigus, gali būti sunku gauti paskolą, kreditinę kortelę, išvykti į užsienį ar pan.

   Jūsų vardas, adresas ir gimimo data suteikia pakankamai informacijos, kad būtų galima sukurti kitą „Jus“. Tapatybės vagis gali naudoti daugybę nuo paprasčiausių iki sudėtingų būdų, kad sužinotų konkretaus žmogaus asmeninę informaciją ir tuomet ją naudoti banko sąskaitai atidaryti, paimti kredito kortelę, kreiptis dėl paskolų, išmokų ir pan. kito asmens vardu.

   Yra keletas požymių, į kuriuos reikėtų atkreipti dėmesį, nes tai gali reikšti, kad asmuo yra arba gali tapti tapatybės vagystės auka:

   • Asmuo prarado arba buvo pavogti jo svarbūs dokumentai, pvz., pasas, vairuotojo pažymėjimas ir pan.;
   •  Asmuo kreipėsi dėl paskolų, išmokų, bet jam atsakoma, kad jis jau kreipėsi šiais klausimais, nors to nėra daręs;
   • Asmuo gauna sąskaitas ar kvitus už prekes ar paslaugas, kurių neužsisakinėjo;
   • Nepaisant to, kad asmuo turi gerą kredito reitingą, jam atsisakoma suteikti finansines paslaugas, kreditines korteles ar paskolą;
   • Asmuo gauna laiškus ar pranešimas dėl skolų apmokėjimo, nors nėra įsiskolinęs.

    

   Kaip sumažinti tapatybės vagystės riziką?

   • Saugoti visus dokumentus su asmenine informacija, pvz., vairuotojo pažymėjimą, pasą, banko sąskaitų išrašus, kvitus už komunalines paslaugas ir pan.
   • Sunaikinti senus ar nereikalingus dokumentus, iš kurių matosi asmens vardas, pavardė, adresas ar kita asmeninė informacija.
   • Stebėti savo kredito istorijos ataskaitą ir reguliariai tikrinti savo kredito kortelės ir banko sąskaitų išrašus apie atliktas operacijas.
   • Keičiant gyvenamąją vietą, apie adreso pasikeitimą reikėtų informuoti savo banką, kreditų kortelių, mobiliojo ryšio, televizijos ir kitų paslaugų tiekėjus, kad pranešimai ir laiškai su asmeninio pobūdžio informacija nepatektų kitiems asmenims.
   • Reikėtų prisiminti, kad kuo mažiau informacijos asmuo teiks apie save, tuo mažesnė rizika, kad informacija pateks į netinkamas rankas.
   • Perkant prekes internetu reikėtų būti atidiems: rinktis saugią internetinę svetainę, kurioje rodoma įmonės kontaktinė informacija, aiški privatumo politika, prekių ir paslaugų garantija bei grąžinimas, rinktis svetainę, kurioje būtų taikomas siunčiamų duomenų šifravimas (tinkamas ir galiojantis SLL sertifikatas), patikrinti, ar interneto svetainės adresas prasideda https.

    

   Kaip elgtis, jei tapote tapatybės vagystės auka?

   Jei asmuo mano, kad tapo tapatybės vagystė auka, reikėtų reaguoti greitai, kad būtų išvengta galimų finansinių ar kitų pasekmių:

   • Informuoti policiją ir kitas atitinkamas institucijas apie prarastus ar pavogtus dokumentus, pvz., pasą, vairuotojo pažymėjimą, kredito korteles ir pan.
   • Informuoti savo banką, kredito kortelių įmonę apie neįprastus sandorius ir operacijas, susijusias su asmeninėmis sąskaitomis.


   Papildomai rekomenduojame susipažinti su Lietuvos policijos interneto svetainėje pateikiama informacija, kaip atskleidus ar praradus asmens duomenis asmenys gali tapti sukčiavimo aukomis.

   Atnaujinta: 2020 05 05

  • 11.

   TIESIOGINĖ RINKODARA. Gavote elektroninio pašto pranešimą ar trumpąją žinutę (SMS) su tiesioginės rinkodaros pasiūlymu, bet sutikimo dėl to nebuvote davę? (2019-07-31)

   Tiesioginė rinkodara laikoma veikla, kurios tikslas – paštu, telefonu arba kitokiu tiesioginiu būdu siūlyti asmenims prekes ar paslaugas, teirautis jų nuomonės dėl siūlomų prekių ar paslaugų. Tiesioginė rinkodara padeda įmonėms atkreipti žmonių dėmesį į jų teikiamus produktus, tačiau netinkamai vykdoma ši veikla neretai sukelia potencialių klientų susierzinimą dėl galimai neteisėtai tvarkomų jų asmens duomenų. Vien per 2018 m. 20 proc. Valstybinės duomenų apsaugos inspekcijos nagrinėtų asmenų skundų buvo dėl tiesioginės rinkodaros, 2019 m. tokių skundų jau gauta apie 17 proc., palyginti su visų skundų skaičiumi.

   Norėdami padėti tiek žmonėms, tiek įmonėms geriau suprasti tiesioginės rinkodaros veiklą reguliuojančių teisės aktų nuostatas, juose įtvirtintas teises ir pareigas, paskatinti skaidriau veikti šioje srityje, atnaujinome informaciją dėl tiesioginės rinkodaros pagal Bendrąjį duomenų apsaugos reglamentą.

   Daugiau informacijos DUK „Gavote elektroninio pašto pranešimą ar trumpąją žinutę (SMS) su tiesioginės rinkodaros pasiūlymu, bet sutikimo dėl to nebuvote davę?“.

   Atnaujinta: 2020 05 05

  • 12.

   TEISĖS. Teisė susipažinti su duomenimis. Kaip duomenų subjektas gali ją įgyvendinti? (2019-08-14)

   Bendrojo duomenų apsaugos reglamento vienas iš pagrindinių uždavinių – ginti asmens duomenų apsaugos srities žmogaus teises. Šiame teisės akte jos numatytos net 7. Viena iš jų – teisė susipažinti su duomenimis. Kiekvienas asmuo turi teisę gauti iš organizacijos patvirtinimą, ar ji tvarko su juo susijusius asmens duomenis. Tuo atveju, jei duomenys yra tvarkomi, asmuo turi teisę susipažinti su savo duomenimis ir gauti detalesnę informaciją.

   Daugiau informacijos apie tai, kaip ją gali užsitikrinti kiekvienas asmuo ir ką turi daryti įmonės bei įstaigos, kad ją įgyvendintų, DUK „Teisė susipažinti su duomenimis. Kaip duomenų subjektas gali ją įgyvendinti?“>>

   Atnaujinta: 2020 05 05

  • 13.

   COVID-19. Aktualūs asmens duomenų tvarkymo aspektai dėl koronaviruso COVID-19 (2020-03-20)

   Valstybinės duomenų apsaugos inspekcijos informacija dėl asmens duomenų tvarkymo, susijusio su esama situacija dėl koronaviruso (COVID-19). Šioje situacijoje aktualūs asmens duomenų tvarkymo atvejai ir Bendrojo duomenų apsaugos reglamento (toliau – BDAR) taikymo ypatumai. Tai informacija, aktuali darbdaviams, ugdymo įstaigoms ir kitoms viešojo ir privataus sektoriaus organizacijoms.

   Lietuvos Respublikos viešojo ir privataus sektoriaus organizacijos atlieka itin reikšmingą darbą taikydamos įvairias priemones, skirtas valdyti ir sušvelninti COVID-19 pandemijos padarinius Lietuvoje. Suprantame, kad tokio masto pasaulinė pandemija kelia naujus iššūkius pasirenkant ir taikant įvairius šiuolaikinius būdus (įskaitant naujų technologijų panaudojimą) prognozuojant ir stabdant viruso plitimą. Kartu pripažįstame, kad daugelis efektyvių priemonių neatsiejamai gali būti susiję su skirtingų rūšių asmens duomenų tvarkymu bei poreikiu jais dalintis ne tik tarp sveikatos priežiūros įstaigų ir jų veiklą koordinuojančių institucijų, bet atitinkama apimtimi ir su visuomene.

   Kova su užkrečiamosiomis ligomis yra svarbus tikslas, bendras visoms valstybėms, todėl turėtų būti skatinamas ir palaikomas. Visgi, netgi tokiomis išskirtinėmis sąlygomis, turėtume nepamiršti, kad privaloma užtikrinti atitinkamo lygio duomenų subjektų asmens duomenų apsaugą, kad, be kita ko, būtų, užkirstas kelias galimam asmenų persekiojimui, šmeižimui ar net susidorojimui. Asmens duomenų apsaugos taisyklės, tokios kaip BDAR, netrukdo imtis priemonių kovoti su COVID-19 pandemija. Tačiau, siekiant garantuoti teisėtą asmens duomenų tvarkymą, turėtų būti atsižvelgiama į atitinkamas aplinkybes, ir visais atvejais reikėtų prisiminti, kad visos priemonės, kurių imamasi tokiu atveju, turi atitikti bendruosius teisės principus ir neturėtų būti negrįžtamos. Nepaprastoji padėtis yra ta teisinė sąlyga, kuri gali pateisinti žmogaus teisių ir laisvių apribojimus, tačiau tik tuomet, kai šie apribojimai yra proporcingi ir taikomi tik šios nepaprastosios padėties laikotarpiu.

   Atsižvelgdami į tai, primename:

   Dėl bendrųjų asmens duomenų apsaugos principų

   • Turėtų būti tvarkomi tik tie asmens duomenys, kurie yra būtini siekiamam tikslui pasiekti, o asmens duomenų tvarkymo tikslas turi būti konkretus ir nedviprasmiškas, kad jį vienodai suprastų visos suinteresuotos šalys, ypač duomenų subjektai;
   • Siekiant užtikrinti, kad asmens duomenys nebūtų atskleisti asmenims, kurie neturi teisės jų gauti, svarbu laikytis tinkamų saugumo priemonių. Tik darbuotojai, kuriems patikėta tvarkyti sveikatos duomenis ir kompetentingos institucijos turi turėti prieigą prie tokių duomenų;
   • Priemonės, kurių imamasi siekiant valdyti susidariusią nepaprastąją padėtį, ir sprendimų priėmimo procesas turėtų būti atitinkamai dokumentuojami, laikantis atskaitomybės principo. Tai suteiktų galimybę užtikrinti skaidrų asmens duomenų tvarkymą kaip to reikalauja BDAR.

   Kokius asmens duomenis galima tvarkyti?
   Siekiant užtikrinti, kad asmens duomenų tvarkymas nepažeistų BDAR įtvirtinto duomenų kiekio mažinimo principo, būtų galima tvarkyti vidinius asmens duomenų rinkinius apie darbuotojus, mokinius ar pan., įtraukiant tokią informaciją:

   • Ar asmuo buvo išvykęs į „rizikos valstybę“;
   • Ar asmuo kontaktavo su asmeniu, išvykusiu į „rizikos valstybę“, ar sergančiu COVID-19;
   • Ar asmuo yra namuose dėl karantino (nenurodant priežasties) ir karantino laikotarpis;
   • Ar asmuo serga (nenurodant konkrečios ligos ar kitokios priežasties).

   Informuojame, kad darbdavys ar kitas duomenų valdytojas turi teisę teirautis savo darbuotojų ar lankytojų apie tai, ar jiems yra pasireiškusių COVID-19 viruso simptomų, ar yra nustatyta COVID-19 diagnozė. Ši informacija yra svarbi darbdaviui vertinant, ar reikalinga imtis papildomų apsaugos priemonių – įpareigoti kartu dirbusius ar su sergančiu (turinčiu simptomus) asmeniu kontaktavusius darbuotojus laikytis karantino, sudaryti sąlygas nuotoliniam darbui ar sveikatos tikrinimui ir pan. Tačiau pabrėžtina, kad teisė gauti minėtą informaciją nereiškia, kad darbdaviai ar kiti duomenų valdytojai gali gautą informaciją dokumentuoti ar sudaryti atitinkamas duomenų rinkmenas.

   Darbdaviai taip pat gali tvarkyti tokius su darbuotoju susijusius asmens duomenis kaip darbo nuotoliniu būdu pasirinkimo faktas ir kiti darbuotojo darbui taikomi apribojimai.

   Ar tvarkomus sąrašus (kitus asmens duomenis) galima atskleisti valstybės įstaigoms visuomenės sveikatos užtikrinimo tikslu?

   Net ir esant pandeminei situacijai asmens duomenų apsaugos nevertėtų pamiršti. Bet kokie darbdavių ar kitų duomenų valdytojų tvarkomi asmens duomenys valstybės institucijoms visuomenės sveikatos užtikrinimo tikslu turi būti teikiami laikantis BDAR reikalavimų.

   Atkreipiame dėmesį, kad prašymai pateikti asmens duomenis turi būti vertinami kiekvienu konkrečiu atveju atskirai, pavyzdžiui, tais atvejais, kai prašoma pateikti statistiką, duomenų valdytojas (duomenų tvarkytojas) neturėtų teikti konkretų duomenų subjektą identifikuojančių duomenų.

   Rekomenduojame kiekvieną asmens duomenų teikimo atvejį dokumentuoti, siekiant vėliau užtikrinti atskaitomybės principo įgyvendinimą.

   Kokiomis teisėto asmens duomenų tvarkymo sąlygomis turi remtis kompetentingos visuomenės sveikatos priežiūros institucijos?
   BDAR leidžia kompetentingoms visuomenės sveikatos priežiūros institucijoms tvarkyti asmens duomenis epidemijos atveju be duomenų subjekto sutikimo. Asmens duomenų, įskaitant sveikatos duomenis, tvarkymas, kurį vykdo kompetentingos valdžios institucijos (visuomenės sveikatos priežiūros institucijos) ar kitos institucijos, veikiančios pagal visuomenės sveikatos priežiūros institucijų nurodymus, gali būti atliekamas remiantis BDAR 6 straipsnio 1 dalies c, d ir e punktais ir (ar) 9 straipsnio 2 dalies c (išimtiniais atvejais), g bei i punktais.

   Vietos nustatymo duomenų tvarkymas
   Vietos nustatymo duomenys turėtų būti tvarkomi pagal Lietuvos Respublikos elektroninių ryšių įstatyme (toliau – ERĮ) nustatytus reikalavimus:

   • Paprastai vietos nustatymo duomenys gali būti tvarkomi tik tada, kai jie yra anonimiški (iš jų nėra galima iš naujo nustatyti asmenų tapatybės) arba gavus asmens sutikimą (ERĮ 61 ir 68 straipsniai). Anoniminiai duomenys gali būti naudojami ataskaitoms apie mobiliųjų įrenginių koncentraciją tam tikroje vietoje („kartografija“);
   • 2002 m. liepos 12 d. Europos Parlamento ir Tarybos direktyva 2002/58/EB dėl asmens duomenų tvarkymo ir privatumo apsaugos elektroninių ryšių sektoriuje (Direktyva dėl privatumo ir elektroninių ryšių), kurios nuostatas įgyvendina ERĮ, papildomai leidžia Europos Sąjungos valstybėms narėms patvirtinti teisines priemones, kuriomis siekiama apsaugoti visuomenės saugumą. Tačiau tai turi būti daroma atitinkamomis teisinėmis priemonėmis ir tik tuo atveju, jeigu tai demokratinėje visuomenėje yra būtina, tinkama ir proporcinga priemonė. Šios priemonės turi atitikti Europos Sąjungos pagrindinių teisių chartiją ir Europos žmogaus teisių ir pagrindinių laisvių apsaugos konvenciją bei Europos Sąjungos Teisingumo Teismo ir Europos Žmogaus Teisių Teismo praktiką. Jei tokios priemonės įvedamos, valstybė narė privalo nustatyti tinkamas apsaugos priemones, įskaitant galimybę asmeniui kreiptis į teismą dėl tokio duomenų tvarkymo.

   Ar valstybės institucijų siunčiami pranešimai yra tiesioginė rinkodara?
   Ne. Informacinių pranešimų ir priminimų apie galimas grėsmes, vengtinas zonas, būtinas apsaugos priemones ar kitus būtinus atlikti veiksmus siuntimas išvykusiems į užsienio valstybes, grįžtantiems ar neseniai grįžusiems ar kitiems asmenims, taip pat svarbių susijusių informacinių pranešimų siuntimas Lietuvos gyventojams ar joje besilankantiems asmenims nėra laikytinas tiesiogine rinkodara.
    
   Kokių veiksmų reikėtų vengti?
   Jei yra nustatytos visuotinės priemonės esamai situacijai valdyti, pavyzdžiui, komandiruočių ir susitikimų ribojimas, renginių atšaukimas, tam tikrų higienos reikalavimų užtikrinimas, duomenų valdytojai neturėtų dėl to pažeisti savo darbuotojų ar kitų duomenų subjektų teisės į asmens duomenų apsaugą, pavyzdžiui, neturėtų reikalauti pateikti asmens duomenis, nebūtinus nustatytos tvarkos vykdymui užtikrinti.

   Svarbu pabrėžti, kad duomenų valdytojai turėtų susilaikyti nuo darbuotojų ar lankytojų temperatūros rodmenų, medicininių pažymų ar kt. rinkimo. Tai negali būti laikoma darbdavio pareiga.

   Duomenų valdytojas turėtų imtis aktyvių veiksmų, informuojant duomenų subjektus apie simptomus, galimas rizikas, jų valdymo būdus, taikytinas priemones, galimybes dirbti nuotoliniu būdu, darbuotojų pareigą informuoti apie pasireiškusius COVID-19 ar panašius simptomus ir kt.
    
   Kur galite gauti papildomos informacijos?
   Informacijos taip pat rekomenduojame kreiptis į Valstybinę darbo inspekciją prie Socialinės apsaugos ir darbo ministerijos ir Lietuvos Respublikos sveikatos ministeriją dėl informacijos apie kitas darbdavių pareigas, kylančias dėl paskelbtos pandemijos.

   Valstybinės duomenų apsaugos inspekcijos informacija:

   Europos Sąjungos ir kitų institucijų informacija:

    

    

    

    

    

   Atnaujinta: 2020 05 06

  • 14.

   DUOMENŲ BAZĖS. Pasiūlymai įsigyti juridinių asmenų duomenų bazes ir asmens duomenų tvarkymo reikalavimai (2019-10-24)

   Valstybinė duomenų apsaugos inspekcija (toliau – Inspekcija) gauna paklausimų, dėl asmenims siunčiamų elektroninio pašto pranešimų su pasiūlymais įsigyti juridinių asmenų duomenų bazes. Siekdama užtikrinti tinkamą Bendrojo duomenų apsaugos reglamento (toliau – BDAR) ir Lietuvos Respublikos elektroninių ryšių įstatymo (toliau – ERĮ) taikymą, Inspekcija parengė metodinę informaciją, kurioje juridinių asmenų duomenų bazės aptariamos dviem aspektais: įsigytų juridinių asmenų duomenų bazių naudojimas tiesioginės rinkodaros tikslais ir elektroninio pašto pranešimų siuntimas su pasiūlymais įsigyti juridinių asmenų duomenų bazes.

    

   Dėl iš trečiųjų asmenų gautų juridinių asmenų duomenų bazių naudojimo tiesioginės rinkodaros tikslais

   Asmenims siunčiamuose pasiūlymuose įsigyti juridinių asmenų duomenų bazes nurodoma, kad jose esantys kontaktiniai duomenys, pavyzdžiui, įmonės, jos vadovų ar atskirų darbuotojų elektroninio pašto adresai ar telefono ryšio numeriai, gali būti naudojami klientų ar partnerių paieškai.

   Pirmiausia, svarbu prisiminti, kad įmonės vadovų ar atskirų darbuotojų (duomenų subjektai) elektroninio pašto adresai ar telefono ryšio numeriai yra asmens duomenys, todėl jų tvarkymui taikomos BDAR nustatytos taisyklės. Be to, ERĮ 69 straipsnio 1 dalyje nustatyta, kad elektroninių ryšių paslaugas, įskaitant elektroninio pašto pranešimų siuntimą, naudoti tiesioginės rinkodaros tikslu leidžiama tik gavus išankstinį abonento ar registruoto elektroninių ryšių paslaugų naudotojo (pavyzdžiui, konkrečios įmonės ar fizinio asmens) sutikimą, kuris turi atitikti BDAR keliamus reikalavimus.

   Tiesioginė rinkodara Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo 2 straipsnio 1 dalyje apibrėžiama kaip veikla, kurios tikslas paštu, telefonu arba kitokiu tiesioginiu būdu siūlyti asmenims prekes ar paslaugas ir (arba) teirautis jų nuomonės dėl siūlomų prekių ar paslaugų.

   Taigi, prieš įsigyjant duomenų bazę su juridinių asmenų, įskaitant vadovų ar atskirų darbuotojų, kontaktiniais duomenimis, reikėtų elgtis atsargiai ir atidžiai įvertinti, ar juridinių asmenų duomenų bazę parduodantis asmuo duomenis gavo teisėtai, sąžiningai, o duomenų subjektai aiškiai suprato, kad jų asmens duomenys bus teikiami kitiems asmenims ir jų naudojami tiesioginės rinkodaros tikslais bei dėl tokio asmens duomenų tvarkymo jie sutiko. Todėl duomenų bazę parduodantis asmuo turi sugebėti įrodyti, kad duomenys buvo gauti nepažeidžiant BDAR ir kad juos galima naudoti tiesioginės rinkodaros tikslais. Pavyzdžiui, jeigu juridinių asmenų duomenų bazę pardavinėjantis asmuo gavo šiuos duomenis remdamasis sutikimu, šis sutikimas turėtų numatyti galimybę perduoti duomenis kitiems gavėjams jų tiesioginės rinkodaros tikslais.

   Pabrėžtina, kad sutikimas dėl kontaktinių duomenų tvarkymo tiesioginės rinkodaros tikslais turi būti gaunamas laikantis BDAR reikalavimų. Todėl tokie sutikimai, kuriuose nurodomos duomenis gausiančių asmenų kategorijos, pavyzdžiui, vaistinės, sporto klubai ir kt., nebus laikomi atitinkančiais BDAR reikalavimų. Sutikime turi būti nurodomas konkretus asmuo. Taigi, iš kitų asmenų įsigytos duomenų bazės, neatitinkančios šių reikalavimų, neturėtų būti naudojamos.

   Inspekcija atkreipia dėmesį, kad už neteisėtą įsigytoje juridinių asmenų duomenų bazėje esančių asmens duomenų tvarkymą atsakomybė gali būti taikoma ne tik pagal ERĮ (dėl tiesioginės rinkodaros), bet ir pagal BDAR (dėl neteisėto asmens duomenų tvarkymo).

    

   Dėl elektroninio pašto pranešimų siuntimo siūlant įsigyti juridinių asmenų duomenų bazes

   Kaip jau minėta, elektroninio pašto pranešimus siųsti tiesioginės rinkodaros tikslu leidžiama tik gavus išankstinį abonento ar registruoto elektroninių ryšių paslaugų naudotojo sutikimą. Dėl šios priežasties elektroninio pašto pranešimais siunčiami tiesioginės rinkodaros pasiūlymai įsigyti juridinių asmenų duomenų bazes turėtų būti siunčiami su sutikimu ir atitikti ERĮ bei BDAR keliamus reikalavimus.

   Daugiau informacijos apie tai, kokių veiksmų galite imtis, jeigu gavote elektroninio pašto pranešimą su tiesioginės rinkodaros pasiūlymu, bet sutikimo dėl to nebuvote davę, galima rasti Inspekcijos parengtoje informacijoje „Gavote elektroninio pašto pranešimą ar trumpąją žinutę (SMS) su tiesioginės rinkodaros pasiūlymu, bet sutikimo dėl to nebuvote davę?“.

    

    

   Atnaujinta: 2020 05 05

  • 15.

   BENDRIJOS NARIŲ SĄRAŠAI. Ar gali daugiabučių gyvenamųjų namų bendrijos nariai susipažinti su bendrijos narių sąrašu bei gauti informaciją bendrijos veiklos ir valdymo klausimais? (2019-09-20)

   Daugiabučiuose gyvenantiems asmenims neretai kyla klausimas, kodėl kaimynams leidžiama susipažinti su namo bendrijos narių sąrašu, ar tai teisėta.

    

   Iš tiesų tokia galimybė susipažinti su kaimynų sąrašu neprieštarauja asmens duomenų tvarkymo taisyklėms, numatytoms Bendrajame duomenų apsaugos reglamente (BDAR), nes Daugiabučių gyvenamųjų namų ir kitos paskirties pastatų savininkų bendrijų įstatymas aiškiai apibrėžia, kokius asmens duomenis gali gauti butų ir patalpų savininkai. Minėtu įstatymu leidžiama susipažinti su bendrijos narių sąrašu (įgaliotinių sąrašu) ir gauti bendrijos organų narių kontaktinius duomenis.
    

   Daugiau informacijos apie tai, kokią informaciją turime teisę gauti daugiabučio bendrijos veiklos ir valdymo klausimais, kokia forma informacija turi būti pateikta galite rasti Valstybinės duomenų apsaugos inspekcijos parengtame DUK Ar gali daugiabučių gyvenamųjų namų bendrijos nariai susipažinti su bendrijos narių sąrašu (įgaliotinių sąrašu) bei gauti informaciją bendrijos veiklos ir valdymo klausimais?>>

   Atnaujinta: 2020 05 05

  • 16.

   ĮSILAUŽIMAI Į INTERNETO SVETAINES. Įsilaužimai į interneto svetaines – kaip reikėtų elgtis? (2019-09-17)

   Valstybinė duomenų apsaugos inspekcija, reaguodama į informaciją dėl įsilaužimų į 100 privataus ir viešojo sektoriaus interneto svetainių, primena, kaip reikėtų elgtis susidūrus su tokiu atveju.


   Įsilaužimą patyrusiems svetainių valdytojams

   Įvykus kibernetiniam incidentui svetainės valdytojas privalo:
   - Pirmiausia imtis skubių priemonių šiam incidentui suvaldyti ir galimoms neigiamoms pasekmėms užkardyti;
   - Tuomet jis turėtų detaliai išnagrinėti galimas kilusio kibernetinio incidento priežastis ir imtis atitinkamų veiksmų, kad jie nepasikartotų ateityje.

   Būtina prisiminti, kad, vadovaujantis Kibernetinio saugumo įstatymu, tam tikri subjektai, pavyzdžiui, teikiantys elektroninės prekyvietės paslaugas, apie įvykusius kibernetinius incidentus privalo nedelsdami informuoti ir Nacionalinį kibernetinio saugumo centrą.


   Asmens duomenų apsaugos požiūriu, svarbu įvertinti tai, kad:
   - Kibernetinis incidentas gali lemti asmens duomenų saugumo pažeidimą, pavyzdžiui, tuo atveju, jeigu svetainėje buvo tvarkomi ir asmens duomenys;
   - Ar kibernetiniu incidentu netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami persiųsti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų be leidimo gaunama prieiga;
   - Jeigu taip, tai svetainės valdytojui kyla Bendrajame duomenų apsaugos reglamente (BDAR) numatytos pareigos.


   Pagal BDAR svetainės valdytojas privalo:
   - Imtis veiksmų padėčiai ištaisyti ir tokį atvejį detaliai užfiksuoti savo vidiniuose dokumentuose;
   - Jeigu dėl duomenų saugumo pažeidimo gali kilti pavojus fizinio asmens teisėms ir laisvėms, svetainės valdytojas privalo per 72 val. pranešti apie asmens duomenų saugumo pažeidimą priežiūros institucijai – Valstybinei duomenų apsaugos inspekcijai, o jei kyla didelis pavojus, pranešti reikia ir patiems asmenims, kuriuos toks incidentas galėjo paveikti.

   Pranešimą Valstybinei duomenų apsaugos inspekcijai patariama pateikti užpildant „Pranešimo apie asmens duomenų saugumo pažeidimą rekomenduojamą formą“>>. Taip pat galite pasidomėti papildoma informacija>> apie duomenų saugumo pažeidimus ir inspekcijos rekomendacijomis>>.


   Interneto svetainių lankytojams

   Naršant internete, patariama:

   - Nenaršyti ir ypač nesuvedinėti jokių duomenų internetinėse svetainėse, kurios nenaudoja duomenų šifravimo, t.y. neturi adreso pradžioje „https“;

   - Visuomet įsitikinti, ar svetainėje paskelbta privatumo politika (angl. website privacy policy);

   - Įsitikinti, kad svetainės valdytojas skelbia savo kontaktinę informaciją;

   - Turėti įsidiegus programinę įrangą, kuri blokuotų neįprastą tinklalapių veiklą, „iššokančius“ langus bei siūlymus atsisiųsti ir įdiegti neaiškios kilmės dokumentus ar programas;

   - Užėjus į įtarimų keliančią interneto svetainę, nespausti jokių nuorodų, prie jų nesijungti naudojantis asmeninių paskyrų (pavyzdžiui, socialinių tinklų, el. pašto paslaugų ir pan.) prisijungimo duomenimis, nevesti jokios asmeninės informacijos;

   - Nepasitikėti pateikta informacija apie galimus laimėjimus ar kitus prizus, kai prašoma pateikti asmens duomenis, mokėjimų kortelių duomenis ar kitą asmeninę informaciją ar atsisiųsti papildomas aplikacijas, kad galėtumėte atsiimti savo laimėjimus ar prizus.


   Net jei svetainė turi SSL sertifikatą, privatumo politiką, kontaktinę informaciją, ji vis tiek gali būti nesaugi, jei yra užkrėsta kenkėjiška programine įranga. Apie tai, kad svetainė užkrėsta kenkėjiška programine įranga, galima sužinoti iš tam tikrų kibernetinių atakų požymių:

   - Turinio iškraipymo ataka (angl. defacement). Ši ataka lengvai atpažįstama – kibernetiniai sukčiai pakeičia svetainės turinį savo vardu, logotipu ir (arba) ideologiniais vaizdais, iššaukiančia reklama ar pan.;

   - Iššokantys langai (angl. suspicious pop ups). Reikia būti atsargiems dėl iššokančių langų, kurie pateikia su svetainės turiniu nesusijusią informaciją. Greičiausiai bandoma privilioti svetainės lankytoją spustelėti ir netyčia atsisiųsti kenkėjiškas programas;

   - Kenkėjiška reklama (angl. malvertising). Dažniausiai kenkėjišką reklamą nesunku atpažinti. Paprastai ji atrodo neprofesionali, joje yra rašybos, gramatikos klaidų, reklamuojami „stebuklingi“ išgydymai ar garsenybių skandalai. Svarbu atminti, kad ir tvarkingoje reklamoje ar skelbimuose, atitinkančiuose Jūsų naršymo istoriją, taip pat gali būti kenkėjiškų programų, todėl reikia būti atsargiems ir ieškoti dominančių dalykų patikimose paieškos sistemose;

   - „Fišingo“ rinkiniai (angl. phishing kits). Tai yra svetainės, imituojančios dažniausiai lankomas svetaines, pvz., bankininkystės svetaines, socialinių tinklų svetaines ir pan., siekiant apgauti vartotojus perimant privačią informaciją. Reikia atkreipti dėmesį į naršyklėje matomą svetainės adresą, ar svetainės vardas (URL adresas) neturi gramatinių klaidų, ar jis nėra neįprastos sandaros;

   - Kenkėjiškas peradresavimas (angl. malicious redirect). Jei įvedant URL adresą esate nukreipiami į kitą svetainę, ypač į tą, kuri atrodo įtartina, jus paveikė kenkėjiškas peradresavimas, kuris dažnai naudojamas kartu su „fišingo“ rinkiniais. Nenaršykite tokioje svetainėje, perkraukite naršyklę prieš tolimesnį naršymą internete;

   - Paieškos šlamštas (angl. SEO spam). Neįprastų nuorodų atsiradimas svetainėje, dažnai komentarų skiltyje, yra tikras paieškos šlamšto ženklas;

   - Įspėjimai paieškos sistemose. Populiarios paieškos sistemos tikrina svetaines dėl kenkėjiškų programų ir deda įspėjimą apie tai. Neverta ignoruoti šių įspėjimų, nes jie vienareikšmiškai parodo, kad svetainė užkrėsta kenkėjiška programine įranga.

   Atnaujinta: 2020 05 05

 • Iki Bendrojo duomenų apsaugos reglamento taikymo 1
  • 1.

   ELEKTRONINIAI RYŠIAI. Kaip parengti Valstybinei duomenų apsaugos inspekcijai atsakymą, kad esate registruotas elektroninių ryšių paslaugų naudotojas? (2014-09-10)

   Valstybinė duomenų apsaugos inspekcija (toliau – VDAI), nagrinėdama asmenų skundus dėl galimai neteisėto elektroninio pašto adreso tvarkymo tiesioginės rinkodaros pasiūlymams teikti, privalo įsitikinti, ar asmuo, pateikęs skundą, yra registruotas elektroninių ryšių paslaugų naudotojas.

   Pagal galiojančio Lietuvos Respublikos elektroninių ryšių įstatymo 3 straipsnio 49 dalį registruotas elektroninių ryšių paslaugų naudotojas – asmuo, kuris, nebūdamas viešųjų elektroninių ryšių paslaugų abonentas, identifikuojamas pagal elektroninių ryšių paslaugų naudotojo atpažinimo kodą ir registravimosi metu pateiktą informaciją. Todėl, siekiant patvirtinti, kad asmuo, pateikęs skundą, yra tas, kurį galima priskirti prie registruotų elektroninių ryšių paslaugų naudotojų, VDAI reikia gauti įrodymų, kad šis asmuo gali prisijungti prie elektroninio pašto paskyros (elektroninio pašto dėžutės), nurodyti, koks yra atpažinimo kodas (prisijungimo vardas), patvirtinti sėkmingą prisijungimo faktą, nurodyti duomenis, kurie buvo pateikti registruojant elektroninio pašto paskyrą (ne slaptažodį) ir naudojimosi šia paskyra istoriją.

   VDAI parengė instrukciją, kokios informacijos reikia. Šią instrukciją rasite čia.

   Jums gali būti naudinga instrukcija, kaip parengti elektroninio pašto pranešimo techninį aprašą.

   Atnaujinta: 2020 05 05