Asmens duomenų apsaugos teisinis reguliavimas yra sudėtinga ir daugialypė sritis, apimanti įvairius duomenų tvarkymo aspektus. Vienas iš esminių principų, reglamentuojančių asmens duomenų tvarkymą, yra teisėtumo principas. Šis principas reikalauja, kad asmens duomenys būtų tvarkomi tik teisėtais pagrindais.
Asmens duomenų tvarkymo teisiniai pagrindai
Asmens duomenų teisėtam tvarkymui svarbiausi teisiniai pagrindai yra šie:
1. Asmens duomenų subjekto sutikimas
Vienas iš dažniausiai duomenų valdytojų naudojamų asmens duomenų teisėto tvarkymo pagrindų yra duomenų subjekto sutikimas. Tačiau, norint, kad sutikimas būtų teisėtas, jis turi atitikti tam tikrus Bendrojo duomenų apsaugos reglamento (BDAR) nustatytus reikalavimus ir kriterijus.
Sutikimui keliami reikalavimai
Pirma, sutikimas turėtų būti duotas laisva valia. Tai reiškia, kad duomenų subjektas turi turėti realią galimybę pasirinkti, ar duoti sutikimą, ar jo neduoti, nesant jokios apgaulės, bauginimo, prievartos ar reikšmingų neigiamų padarinių grėsmės. Jeigu sutikimo padariniai kenkia asmens pasirinkimo laisvei, sutikimas nelaikomas savanorišku.
Valstybinė duomenų apsaugos inspekcija (VDAI) pateikė rekomendaciją, iliustruojančią ne laisva valia duotą sutikimą. Pavyzdžiui, darbuotojo prašymas pateikti privačių interesų deklaraciją, kurioje būtų informacija apie jo ryšius su konkuruojančiomis bendrovėmis, šeimos narius ar draugus, negali būti laikomas savanorišku. Nesutikimas pateikti tokią informaciją gali lemti neigiamas pasekmes, tokias kaip atleidimas iš darbo dėl galimo nepatikimumo.
Didžiosios Britanijos duomenų apsaugos institucija (ICO) savo Gairėse dėl sutikimo nurodė, kad laisva valia duotas sutikimas nereiškia, jog negalima asmens paskatinti duoti sutikimą. Pavyzdžiui, sutikimas dalyvauti lojalumo programoje gali suteikti tam tikrų nuolaidų. Nenuolaidų nesuteikimas tiems, kurie nedavė sutikimo, nėra laikomas žala, tačiau būtina išlaikyti pusiausvyrą ir nesąžiningai nebloginti nedavusių sutikimo asmenų padėties.
Nesavanoriško sutikimo pavyzdžiai:
- Neleidžiama duoti atskiro sutikimo atskiroms asmens duomenų tvarkymo operacijoms, nors tai ir tikslinga.
- Sutikimo reikalavimas, nors sutarties vykdymas, įskaitant paslaugos teikimą, nepriklauso nuo tokio sutikimo.
- Duomenų subjektas faktiškai neturi laisvo pasirinkimo, negali atsisakyti sutikti arba sutikimo atšaukti, nepatirdamas žalos.
Antra, duomenų subjektas turi aiškiai patvirtinti savo sutikimą. Tyla, iš anksto pažymėti langeliai arba neveikimas neturėtų būti laikomi sutikimu. Sutikimas gali būti raštiškas, įskaitant elektroninėmis priemonėmis, arba žodinis. BDAR nurodo, kad sutikimas gali būti duodamas pažymint langelį interneto svetainėje arba kitu pareiškimu ar poelgiu, iš kurio aiškiai matyti, kad duomenų subjektas sutinka su siūlomu jo asmens duomenų tvarkymu.
Sutikimo formų variantai:
- Pasirašant pareiškimą dėl sutikimo.
- Pažymint langelį (varnele) dėl sutikimo popierinėje ar elektroninėje formoje.
- Paspaudžiant sutikimo nuorodą ar mygtuką internete.
- Atsakius „taip“ į žodinį prašymą dėl sutikimo.
- Elektroniniu laišku atsakius į elektroninį laišką su prašymu.
- Savanoriškai pateikiant papildomą neprivalomą informaciją konkrečiam tikslui.
Svarbu: Tyla, iš anksto pažymėti langeliai arba neveikimas NĖRA sutikimas tvarkyti asmens duomenis.
Trečia, duomenų subjektas turi būti tinkamai ir visapusiškai informuotas, kad jis duoda sutikimą ir dėl ko jį duoda. Jis turi suvokti, dėl kokių asmens duomenų tvarkymo jo prašoma duoti sutikimą ir norėti tą sutikimą duoti. Sutikimas turėtų apimti visą duomenų tvarkymo veiklą, vykdomą tuo pačiu tikslu ar tais pačiais tikslais. Kai duomenys tvarkomi ne vienu tikslu, sutikimas turėtų būti duotas dėl visų duomenų tvarkymo tikslų.
Sutikimo tekstas turi būti suprantamas, konkretus, nedviprasmiškas ir glaustas. Duomenų valdytojo iš anksto suformuluotas sutikimo pareiškimas turėtų būti pateiktas suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba, be nesąžiningų sąlygų. Jeigu sutikimo prašoma elektroniniu būdu, prašymas turi būti aiškus, glaustas ir nereikalingai nenutraukiantis naudojimosi paslauga. Kartu turi būti pateikta informacija apie teisę atsiimti sutikimą, o jį atšaukti turėtų būti taip pat lengva, kaip ir duoti.
Ketvirta, duomenų valdytojas turėtų galėti įrodyti, kad duomenų subjektas sutiko su duomenų tvarkymo operacija. Tai reiškia, kad duomenų valdytojo sistemoje turi išlikti ir išsisaugoti duomenų subjekto duotas sutikimas objektyvia forma.
BDAR numatomi papildomi reikalavimai vaiko asmens duomenų tvarkymui
BDAR numato papildomus reikalavimus sutikimui tvarkyti vaiko asmens duomenis, nes vaikams reikalinga ypatinga jų asmens duomenų apsauga. Jei vaikas yra jaunesnis, toks tvarkymas yra teisėtas, jei sutikimą davė arba leido tvarkyti vaiko duomenis vaiko tėvų pareigų turėtojas. Tačiau tėvų pareigų turėtojo sutikimo neturėtų būti reikalaujama tiesiogiai vaikui teikiant prevencijos ar konsultavimo paslaugas.
Atšaukti sutikimą turi būti taip pat lengva, kaip ir jį duoti.
Prašymas dėl sutikimo ir būtina informacija
BDAR numatyta konkreti informacija, kuri turi būti suteikta duomenų subjektui, užtikrinant jo informuotumo principą:
- Sutikimo siekiančio gauti subjekto tapatybė ir kontaktiniai duomenys bei visų trečiųjų šalių, kurios tvarkys ar gaus duomenis sutikimo pagrindu, pavadinimai.
- Duomenų apsaugos pareigūno, jeigu taikoma, kontaktiniai duomenys.
- Duomenų tvarkymo tikslai, dėl kurių ketinama tvarkyti asmens duomenis, bei duomenų tvarkymo teisinis pagrindas.
- Jei duomenys bus perduodami į trečiąją valstybę - informacija apie Komisijos sprendimo dėl tinkamumo buvimą ar nebuvimą arba tinkamas ar pritaikytas apsaugos priemones ir būdus, kaip gauti jų kopiją arba kur suteikiama galimybė su jais susipažinti.
- Asmens duomenų saugojimo laikotarpis arba, jei tai neįmanoma, kriterijai, taikomi tam laikotarpiui nustatyti.
- Teisė prašyti, kad duomenų valdytojas leistų susipažinti su duomenų subjekto asmens duomenimis ir juos ištaisytų arba ištrintų, arba apribotų duomenų tvarkymą, arba teisė nesutikti, kad duomenys būtų tvarkomi, taip pat teisė į duomenų perkeliamumą.
- Teisė bet kuriuo metu atšaukti sutikimą, nedarant poveikio sutikimu grindžiamo duomenų tvarkymo iki sutikimo atšaukimo teisėtumui.
- Teisė pateikti skundą priežiūros institucijai.
- Informacija apie tai, kad automatizuoto sprendimų priėmimo, įskaitant profiliavimą, ir bent tais atvejais, prasmingą informaciją apie loginį jo pagrindimą, taip pat tokio duomenų tvarkymo reikšmę ir numatomas pasekmes duomenų subjektui.
Duomenų valdytojas neturi teisės prašyti sutikimo dėl asmens duomenų tvarkymo, jeigu įstatymai draudžia tvarkyti tam tikrus duomenis. Pavyzdžiui, Lietuvos Respublikos draudimo įstatymas draudžia reikalauti genetinių tyrimų duomenų.
Sutikimo galiojimo terminas
BDAR nenustatytas konkretus sutikimo galiojimo laikas, nes negalima pritaikyti vienodo termino visiems atvejams. Duomenų valdytojai turi prižiūrėti ir kontroliuoti duoto sutikimo tinkamumą ir aktualumą bei užtikrinti, kad sutikimas būtų savalaikiai atnaujinamas. Gairėse pateiktas rekomendacinis sutikimo galiojimo terminas - dveji metai, tačiau jis gali būti trumpesnis arba ilgesnis priklausomai nuo aplinkybių.
Duomenų valdytojas turėtų atlikti savalaikę duotų sutikimų peržiūrą, vertinti jų tinkamumą ir aktualumą, o esant poreikiui - iš naujo kreiptis į duomenų subjektą dėl sutikimo davimo.
Sutikimo santykis su kitais teisiniais duomenų tvarkymo pagrindais
Jeigu duomenų subjektui atsiėmus sutikimą, jo duomenys ir toliau tvarkomi remiantis kitu teisiniu pagrindu, gali kilti abejonių dėl sutikimo, kaip pirminio teisinio pagrindo, tinkamumo. Jeigu duomenis iš pradžių būtų buvę galima tvarkyti naudojantis kitu pagrindu, asmens prašymas sutikti, kad duomenys būtų tvarkomi, gali būti laikomas klaidinančiu.
Taigi, jeigu asmens duomenys gali būti tvarkomi kokiu nors kitu teisiniu pagrindu, sutikimo prašyti nereikia. Sutikimas reikalingas tik tada, kai negali būti taikomas joks kitas teisėto duomenų tvarkymo pagrindas.
2. Asmens duomenys yra būtini sutarties vykdymui
Tai pakankamai dažnai pasitaikantis asmens duomenų tvarkymo pagrindas, kadangi, sudarant sutartis, duomenų subjektas (klientas) neišvengiamai teikia duomenų valdytojui kai kuriuos savo asmens duomenis.
Pavyzdžiui, sudarant turto pirkimo-pardavimo išsimokėtinai sutartį, klientas perduoda pardavėjui savo vardą, pavardę, elektroninio pašto adresą ir kt. Sudarant kredito sutartį, asmuo pateikia bankui vardą, pavardę, gyvenamosios vietos adresą, elektroninio pašto adresą, šeiminę padėtį ir banko sąskaitos numerį.
Duomenų valdytojui šie duomenys yra reikalingi siekiant sudaryti ir vykdyti sutartį. Atskiras duomenų subjekto sutikimas dėl šių duomenų tvarkymo nėra reikalaujamas.
3. Duomenų valdytojui taikomos teisinės prievolės vykdymas
Tai yra teisės aktuose numatyta asmens duomenų valdytojo pareiga, susijusi su asmens duomenų operacijų atlikimu. Pavyzdžiui, notaras turi teikti duomenis vedybų sutarčių registrui apie jo biure sudarytą vedybų sutartį. Jis taip pat turi teikti teismui duomenis apie jo biure patvirtintą hipotekos lakštą.
Lietuvos Respublikos darbo kodeksas numato, kad darbdavys privalo pranešti SoDrai apie asmens darbo pradžią, pateikdamas naujo darbuotojo vardą ir pavardę, kodą, socialinio draudimo numerį ir kitus duomenis.
Aukščiau nurodytos pareigos tvarkyti asmens duomenis yra įtvirtintos Lietuvos Respublikos teisės aktuose, todėl asmens duomenų subjektas negali prieštarauti jo duomenų tvarkymo operacijoms, jeigu tai atliekama laikantis teisės aktuose numatytų reikalavimų.
4. Gyvybinių duomenų subjekto ar kito fizinio asmens interesų apsauga
Asmeniui dingus be žinios, jo paieškos tikslais viešai skelbiamas ir platinamas jo atvaizdas, vardas. Praradusio atmintį asmens nuotrauka viešai skelbiama, siekiant nustatyti jo tapatybę bei rasti artimuosius. Minėtais atvejais asmens duomenys tvarkomi, siekiant apsaugoti duomenų subjekto gyvybinius interesus.
5. Užduoties viešojo intereso labui įvykdymas
Prokuratūra, nagrinėdama pareiškimus dėl ikiteisminio tyrimo pradėjimo, tvarko pareiškėjų duomenis: vardą, pavardę, adresą, elektroninio pašto adresą. Atliekant ikiteisminį tyrimą, tvarkomi ir kiti asmens duomenys (asmens kodai, banko sąskaitos, IP numeriai, turto duomenys, pirštų antspaudai ir kt.).
6. Siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų
Pavyzdžiui, draudimo bendrovė, išmokėjusi apdraustajam draudimo išmoką, kreipiasi į teismą dėl žalos priteisimo iš įvykio kaltininko regreso tvarka, nurodydama jam žinomus atsakovo duomenis (vardą, pavardę, gyvenamosios vietos adresą ir kt.).
Tam, kad asmens duomenų tvarkymas būtų teisėtas, jis turi būti atliekamas vienu iš aukščiau nurodytų teisinių pagrindų. Duomenų valdytojas turi aiškiai nustatyti, kokiu teisiniu pagrindu jis tvarko asmens duomenis ir, nesant 2-5 punktuose numatytų duomenų tvarkymo pagrindų, privalo gauti duomenų subjekto sutikimą bei įrodyti tokio sutikimo davimą.
Baudų už administracinius nusižengimus administravimas
Visos teisės saugomos. Paslaugos pavadinimas - **Baudų už administracinius nusižengimus (toliau - AN baudų) administravimas**. Ši paslauga apima asmens informavimą apie jam paskirtą AN baudą bei jos sumokėjimą, išieškojimą, AN baudų įskaitymą, sumokėjimo termino atidėjimą / išdėstymą, AN baudos sumokėjimą.
Paslaugos gavėjai - fiziniai asmenys.
Paslaugos apibūdinimas: Už administracinių nusižengimų padarymą įgaliotos institucijos priima nutarimą skirti baudą. Bauda už administracinį nusižengimą skiriama norminio akto, numatančio atsakomybę už padarytą teisės pažeidimą, nustatytose ribose. Valstybinė mokesčių inspekcija (VMI) administruoja AN baudas, vykdydama šių baudų apskaitą, įskaitymą, sumokėjimo atidėjimą ar išdėstymą, priverstinio išieškojimo inicijavimą ir priežiūrą.
Asmuo, padaręs pažeidimą ir esantis Mano VMI vartotoju, VMI portalo Mano VMI elektroninės Mokesčių mokėtojo kortelės dalyje "Administracinės baudos" gali peržiūrėti jam skirtas AN baudas, jų apmokėjimo terminus ir būklę. AN baudas apmokėti galima elektroniniu būdu, prisijungus prie VMI portalo Mano VMI ir pasirinkus paslaugą "Mokėjimo vykdymas" arba parengus mokėjimo pavedimo dokumentą, jį atsispausdinus ir pagal jį apmokant kitu patogiausiu būdu.
Asmuo, padaręs pažeidimą ir esantis Mano VMI vartotoju, elektroniniu būdu gauna pranešimus apie paskirtą baudą, priminimus apie artėjantį AN baudos apmokėjimo terminą, pranešimus apie praėjusį AN baudos sumokėjimo terminą, prievolių (AN baudų) visą padengimą. Taip pat jis gali teikti prašymą dėl AN baudų permokų (skirtumo) grąžinimo / įskaitymo bei dėl AN baudos sumokėjimo termino atidėjimo arba išdėstymo, sudarant mokestinės paskolos sutartį (MPS).
Asmuo, padaręs pažeidimą, yra informuojamas apie pradėtą AN baudos išieškojimą. Dėl AN baudos asmuo gali pateikti skundą per Policijos elektroninių paslaugų sistemą.
Paslaugos teikimo būdai: Prašymai priimami elektroniniu būdu per Valstybinės mokesčių inspekcijos portalo Mano VMI sritį, paštu, tiesiogiai.
Skundai dėl skirtų AN baudų nukreipiami per Policijos elektroninių paslaugų portalą www.epolicija.lt.
Paslaugos teikėjas: Valstybinė mokesčių inspekcija prie LR finansų ministerijos. Apskričių valstybinės mokesčių inspekcijos.
Teisės aktai: Lietuvos Respublikos mokesčių administravimo įstatymas; Lietuvos Respublikos Administracinių nusižengimų kodeksas; Lietuvos Respublikos finansų ministro 1998 m. lapkričio 17 d. įsakymas Nr. 268 „Dėl Mokestinės nepriemokos atidėjimo arba išdėstymo taisyklių patvirtinimo"; Valstybinės mokesčių inspekcijos prie Lietuvos Respublikos finansų ministerijos viršininko 2004 m. gruodžio 20 d. įsakymas Nr. VA-193 „Dėl mokesčių mokėtojo sumokėtų sumų įskaitymo ir mokėjimo prievolių dydžių skirtumo pagal patikslintas mokėjimų prievolių dokumentus tvarkymo taisyklių patvirtinimo"; Valstybinės mokesčių inspekcijos prie Lietuvos Respublikos finansų ministerijos viršininko 2004 m. gruodžio 7 d. įsakymas Nr. VA-186 „Dėl Mokesčio permokos (skirtumo) grąžinimo (įskaitymo)". Teisės aktus galima rasti Teisės aktų registro svetainėje www.e-tar.lt. Pasikeitus teisės aktui, žiūrėti aktualią dokumento redakciją.
Susijusios paslaugos: Mokestinės nepriemokos sumokėjimo atidėjimas arba išdėstymas. Mokesčių grąžinimas / įskaitymas pagal FR0781 formą.