Verslams sparčiai keliantis į skaitmeninę erdvę, su fizinių asmenų duomenimis tenka susidurti kiekvieną dieną, o šios informacijos rinkimas, saugojimas bei perdavimas nėra absoliutus. Bendrasis duomenų apsaugos reglamentas (BDAR) vienas pagrindinių teisės aktų, saugantis ir ginantis fizinių asmenų duomenis bei numatantis griežtas sankcijas, kurios privalo būti taikomos visoms ES valstybėms narėms tiesiogiai ir pilna apimtimi. Reglamento nepaisymas įmonėms ir organizacijoms, kurios asmens duomenis renka ir saugo dėl tikslų, susijusių su jų vykdoma profesija ir / ar verslu, neretai užtraukia šimtatūkstantines baudas. Norint išvengti tokių sankcijų, pravartu žinoti BDAR taikymo ypatybes ir jų laikytis pilna apimtimi, – pažymi advokatų profesinės bendrijos „NEWTON LAW“ partnerė advokatė Asta Kederytė.

Ar verslininkas gali priverstinai reikalauti, kad klientai kurtų asmenines paskyras jo el. parduotuvėje?

2024 m. kovo 6 d. Suomijos Duomenų apsaugos ombudsmeno tarnyba savo sprendime bendrovei Verkkokauppa, kuri verčiasi elektronine ir fizine prekyba, paskyrė administracinę nuobaudą, siekiančią net 856 000 Eur dėl to, kad ši, pažeisdama BDAR, priverstiniu būdu rinko klientų asmens duomenis, t. y. priverstinai reikalavo, kad klientai kurtų savo asmenines paskyras pardavėjo el. parduotuvėje, bei duomenis saugojo neribotą laiką, t. y. nenustačiusi konkrečių asmens duomenų saugojimo terminų.

Klientai, norėdami įsigyti prekių pardavėjo el. parduotuvėje, privalėjo susikurti paskyras, kuriose buvo prašoma suvesti jų asmens duomenis. Apsipirkti Verkkokauppa el. parduotuvėje, nesukūrus paskyros, buvo neįmanoma. Verkkokauppatokiu būdu pažeidė BDAR reikalavimus, nes perkant internetu, klientai negali būti verčiami kurti paskyras ir priverstinai teikti savo asmens duomenis. El. parduotuvėje privalo būti galimybė klientams įsigyti prekę be paskyros (pvz., Guest Checkout), pateikiant tik tai vienai operacijai įvykdyti reikalingus asmens duomenis. Advokatė pažymi, kad paskyros kūrimas turi būti kliento pasirinkimas, o ne būtinybė.

Asmens duomenų saugojimo terminai privalo būti nustatyti

Vadovaujantis BDAR įtvirtintais asmens duomenų tvarkymo principais, o tiksliau saugojimo trukmės apribojimo principu, duomenis turime laikyti kiek įmanoma trumpesnį laiką arba tiek laiko, kiek reikia norint pasiekti nustatytą tikslą, dėl kurio tie duomenys apskritai renkami. Taigi, ne tik turi būti nustatytas asmens duomenų saugojimo terminas, bet šis terminas turi būti protingas ir pagrįstas, o jam suėjus, asmens duomenys turi būti sunaikinami.

Nagrinėjamu atveju Duomenų apsaugos ombudsmeno tarnyba nustatė, kad Verkkokauppa surinktų asmens duomenų saugojimui nebuvo nustačiusi jokių konkrečių saugojimo terminų. „Verkkokauppa“ bandė paaiškinti, kad asmens duomenų saugojimo terminą jų el. parduotuvėje nustato patys klientai, kadangi jiems palikta teisė prašyti ištrinti duomenis ir paskyras, kada to nori. Deja, tokia praktika yra ydinga ir dėl jos, klientų asmens duomenys buvo kaupiami labai ilgą laiką, pažeidžiant BDAR įtvirtintus principus. Duomenų apsaugos specialistės, advokatės Astos Kederytės teigimu, duomenų saugojimas negali būti pateisinamas tuo, kad vėliau klientai gali prašyti duomenis ištrinti. Pardavėjas turi ne tik nustatyti konkrečius saugojimo terminus, bet apie šiuos terminus informuoti savo klientus, kaip to reikalauja BDAR.

Taigi, verslams, vykdantiems elektroninę prekybą, būtina patikrinti, ar pirkėjams yra sudaryta galimybė įsigyti prekių be asmeninės paskyros sukūrimo bei ar jiems pateikiama visa pagal BDAR reikalaujama informacija, tokia kaip: duomenų valdytojo kontaktiniai duomenys, duomenų tvarkymo teisėtas pagrindas, asmens duomenų saugojimo laikotarpis ir kt., – nurodo advokatų profesinės bendrijos „NEWTON LAW“ partnerė advokatė Asta Kederytė.

Šis teisininko komentaras laikytinas bendro pobūdžio konsultacija. Siekiant individualios teisinės konsultacijos konkrečiu atveju turėtumėte kreiptis į advokatų profesinę bendriją „NEWTON LAW“ el. paštu info@newtonlaw.lt arba tel. +370 668 33866