Valstybinė duomenų apsaugos inspekcija - DUOMENŲ SUBJEKTO TEISĖS IR JŲ ĮGYVENDINIMO TVARKA







Vertikalus


Naujienų prenumerata


 

Konsultacijos
tel. (8 5) 212 7532
Priimamasis
tel. (8 5) 271 2804
ŽINIASKLAIDAI
tel. (8 5) 262 6516
  

 
 
 
 
 


Pradžia

DUOMENŲ SUBJEKTO TEISĖS IR JŲ ĮGYVENDINIMO TVARKA

BDAR įtvirtina šias teises asmenims, kurių asmens duomenis įmonė renka ir toliau naudoja:

  • Teisė būti informuotam;
  • Teisė susipažinti su savo asmens duomenimis;
  • Teisė reikalauti ištaisyti duomenis;
  • Teisė reikalauti ištrinti duomenis („teisė būti pamirštam“);
  • Teisė reikalauti apriboti duomenų tvarkymą;
  • Teisė į duomenų perkeliamumą;
  • Teisė nesutikti;
  • Teisė reikalauti, kad asmeniui nebūtų taikomas automatizuotas atskirų sprendimų priėmimas, įskaitant profiliavimą.

 

BENDROSIOS DUOMENŲ SUBJEKTO TEISIŲ ĮGYVENDINIMO SĄLYGOS

Ar teisės įgyvendinamos nemokamai?

Įgyvendinant asmens teises visa informacija, pranešimai teikiami ir visi veiksmai atliekami nemokamai. Tačiau, jeigu asmens prašymai yra akivaizdžiai nepagrįsti arba neproporcingi, visų pirma dėl jų pasikartojančio pobūdžio, įmonė gali imti pagrįstą mokestį, atsižvelgdama į administracines išlaidas, už informacijos ar pranešimo teikimą arba prašomų veiksmų vykdymą, arba atsisakyti imtis veiksmų pagal prašymą.

Įmonei tenka pareiga įrodyti, kad prašymas yra akivaizdžiai nepagrįstas arba neproporcingas.

 

Asmens tapatybės nustatymas ir atstovavimas

Jei įmonė turi pagrįstų abejonių dėl prašymą pateikusio fizinio asmens tapatybės, įmonė gali paprašyti pateikti papildomos informacijos, reikalingos norint patvirtinti asmens, kurio duomenis tvarko, tapatybę (pvz., paspausti patvirtinimo nuorodą, įvesti vartotojo vardą ar slaptažodį).

Asmuo, kurio duomenys tvarkomi, savo teises gali įgyvendinti pats arba per atstovą. Jei asmens vardu kreipiasi asmens atstovas, jis savo prašyme turi nurodyti savo vardą, pavardę, gyvenamąją vietą, duomenis ryšiui palaikyti, taip pat atstovaujamo asmens vardą, pavardę, gyvenamąją vietą, informaciją apie tai, kokią asmens teisę ir kokia apimtimi pageidaujama įgyvendinti, ir pridėti atstovavimą patvirtinantį dokumentą ar jo kopiją, patvirtintą teisės aktų nustatyta tvarka.

 

Per kiek laiko įmonė turi įgyvendinti asmens teises?

Įmonė per vieną mėnesį nuo prašymo gavimo privalo atsakyti į asmens prašymą dėl teisės susipažinti su savo asmens duomenimis, teisės reikalauti ištaisyti duomenis, teisės reikalauti ištrinti duomenis („teisės būti pamirštam“), teisės reikalauti apriboti duomenų tvarkymą, teisės į duomenų perkeliamumą, teisės nesutikti, teisės reikalauti, kad asmeniui nebūtų taikomas automatizuotas atskirų sprendimų priėmimas, įskaitant profiliavimą įgyvendinimo.

Tam tikromis aplinkybėmis (pvz., didelė duomenų apimtis ar kt.) terminą galima pratęsti dar dviem mėnesiais. Jei terminą būtina pratęsti, tuomet per vieną mėnesį nuo prašymo gavimo privalu pranešti asmeniui, kad terminas bus pratęsiamas ir nurodyti termino pratęsimo priežastį.

Kalendorinis mėnuo pradedamas skaičiuoti kitą dieną po to, kai įmonė gauna prašymą, net jei ta diena yra savaitgalis arba valstybinė šventė. Terminas baigiasi kito mėnesio atitinkamą dieną. 

Pavyzdžiai

Įmonė gauna prašymą rugsėjo 3 d. Terminas pradedamas skaičiuoti kitą dieną, rugsėjo 4 d. Įmonė turi iki spalio 4 d. įvykdyti prašymą. Tačiau, jei pabaigos data yra ne darbo arba šventinė diena, terminas baigiasi kitą darbo dieną.

Įmonė gauna prašymą kovo 30 d. Terminas pradedamas skaičiuoti kitą dieną, kovo 31 d. Kadangi balandžio mėn. nėra lygiavertės datos, terminas baigiasi balandžio 30 d.

 

Ką įmonė turi padaryti, jeigu ji nusprendė neįgyvendinti asmens teisės?

Nedelsiant, tačiau ne vėliau kaip per vieną mėnesį nuo prašymo gavimo dienos informuoti asmenį apie:

  • Priežastis, dėl kurių nesiima veiksmų;
  • Teisę pateikti skundą VDAI arba teismui.

 

TEISĖ BŪTI INFORMUOTAM

Kai įmonė renka ir tvarko asmens duomenis, ji privalo pateikti duomenų subjektui šią informaciją:

  • Įmonės pavadinimą, kontaktinius duomenis;
  • Duomenų apsaugos pareigūno, jeigu taikoma, kontaktinius duomenis;
  • Duomenų tvarkymo tikslus, dėl kurių ketinama tvarkyti asmens duomenis;
  • Duomenų tvarkymo teisinį pagrindą;
  • Jei yra, asmens duomenų gavėjus arba asmens duomenų gavėjų kategorijas;
  • Kai taikoma, apie įmonės ketinimą asmens duomenis perduoti į trečiąją valstybę (nepriklausančią ES).

Taip pat kitą informaciją, būtiną duomenų tvarkymo sąžiningumui ir skaidrumui užtikrinti:

  • Asmens duomenų saugojimo laikotarpį arba, jei tai neįmanoma, kriterijus, taikomus tam laikotarpiui nustatyti;
  • Teisę prašyti, kad įmonė leistų susipažinti su savo asmens duomenimis ir juos ištaisytų arba ištrintų, arba apribotų duomenų tvarkymą, arba teisę nesutikti, kad duomenys būtų tvarkomi, taip pat teisę į duomenų perkeliamumą;
  • Teisę pateikti skundą VDAI ar teismui;
  • Ar asmens duomenų pateikimas yra teisės aktais arba sutartyje numatytas reikalavimas, taip pat tai, ar asmuo, kurio duomenys tvarkomi, privalo pateikti asmens duomenis, ir informaciją apie galimas tokių duomenų nepateikimo pasekmes.
  • apie automatizuotą sprendimų priėmimą, įskaitant profiliavimą, apie loginį jo pagrindimą, taip pat tokio duomenų tvarkymo reikšmę ir numatomas pasekmes asmeniui.

Informacija asmeniui turi būti pateikiama glausta, skaidria ir suprantama forma, aiškia ir paprasta kalba.

 

Kada įmonė turėtų pateikti asmenims informaciją apie jų duomenų tvarkymą?

Laikas, kada asmuo turi būti informuotas apie duomenų tvarkymą, priklauso nuo to, iš kur gaunami duomenys bei kokius veiksmus ketinama atlikti:

1)     Kai įmonė renka asmens duomenis iš asmens, informacija turi būti pateikta iš karto, duomenų gavimo metu.

2)      Kai įmonė gauna asmens duomenis iš kito šaltinio, informacija asmeniui turi būti pateikta:

  • Per pagrįstą laikotarpį, kai gaunami asmens duomenys, ir ne vėliau kaip per vieną mėnesį;
  • Jeigu asmens duomenys bus naudojami ryšiams su asmeniu palaikyti – ne vėliau kaip pirmą kartą susisiekiant su tuo asmeniu.
  • Jei planuojama atskleisti informaciją kitiems – ne vėliau kaip atskleidžiant duomenis pirmą kartą.

Informacija gali būti pateikiama sutartyje, interneto svetainėje ar kt., svarbiausia aiškiai ir lengvai asmeniui prieinama forma.

Gavus asmens duomenis ne iš paties asmens, nereikalaujama pateikti informacijos apie jų asmens duomenų tvarkymą, jei:

  • Asmuo jau turi informaciją;
  • Informacijos teikimas asmeniui būtų neįmanomas;
  • Informacijos teikimas asmeniui pareikalautų neproporcingų pastangų;
  • Įmonės pagal įstatymus reikalaujama gauti ar atskleisti asmens duomenis;
  • Įmonei taikomas profesinės paslapties reikalavimas, kurį reglamentuoja įstatymai, kurie apima asmens duomenis.

Asmuo turi būti informuojamas apie jo asmens duomenų tvarkymą, o įmonė turi pareigą įrodyti, kad ji tinkamai informavo asmenį, kurio duomenis tvarko.

Pavyzdys

Jei įmonė vykdo vaizdo stebėjimą, asmeniui, prieš patenkant į vaizdo stebėjimo lauką, turi būti pateikiama informacija apie vykdomą vaizdo stebėjimą, jį vykdančios įmonės (duomenų valdytojo) pavadinimas, kontaktinė informacija (adresas, el. pašto adresas ir (arba) telefono ryšio numeris, vaizdo stebėjimo tikslas, nuoroda į informacijos šaltinį, kur būtų galima gauti detalesnę informaciją apie vykdomą vaizdo stebėjimą, pvz., nuoroda į interneto svetainę ar kt.

Kita informacija gali būti pateikiama, pvz., įmonės interneto svetainėje, privatumo politikoje, asmens duomenų tvarkymo taisyklėse ar pan.


Jeigu įmonė ketina tvarkyti asmens duomenis kitu tikslu, negu tas, kuriuo asmens duomenys buvo surinkti, prieš tai privalu pateikti asmeniui, kurio duomenis tvarkys, informaciją apie tą kitą tikslą ir visą kitą atitinkamą papildomą informaciją.

Nurodyta informacija neteikiama tuo atveju, jeigu asmuo tokią informaciją jau turi.

Pavyzdys

Asmens duomenys buvo surinkti iš asmens ir tvarkomi elektroninės prekybos tikslu, tačiau, nusprendus asmens duomenis tvarkyti ir tiesioginės rinkodaros tikslu, būtina informuoti asmenį, kurio duomenys tvarkomi, kokiu tikslu asmens duomenys bus tvarkomi, kiek laiko bus saugomi, apie asmens teisę nesutikti, kad asmens duomenys būtų tvarkomi tiesioginės rinkodaros tikslu ir gauti atskirą sutikimą dėl asmens duomenų tvarkymo tiesioginės rinkodaros tikslu.

 

TEISĖ SUSIPAŽINTI SU SAVO DUOMENIMIS

Asmuo, kurio duomenis renkate ir tvarkote, turite teisę susipažinti su savo duomenimis ir gauti jų kopiją bei bet kokią susijusią papildomą informaciją (kaip antai, asmens duomenų tvarkymo priežastį, naudojamų asmens duomenų kategorijas ir pan.).

Asmuo turi teisę iš įmonės gauti patvirtinimą, ar su juo susiję asmens duomenys yra tvarkomi, o jei tokie asmens duomenys yra tvarkomi, turi teisę susipažinti su asmens duomenimis ir gauti informaciją apie:

  • Duomenų tvarkymo tikslus;
  • Apie asmenį turimą informaciją;
  • Duomenų gavėjus arba duomenų gavėjų kategorijas, kuriems buvo arba bus atskleisti asmens duomenys, visų pirma – duomenų gavėjus trečiosiose valstybėse arba tarptautinėse organizacijose;
  • Kai įmanoma, numatomą asmens duomenų saugojimo laikotarpį arba, jei neįmanoma, kriterijus, taikomus tam laikotarpiui nustatyti;
  • Teisę prašyti įmonės ištaisyti arba ištrinti asmens duomenis ar apriboti su asmeniu susijusių asmens duomenų tvarkymą arba nesutikti su tokiu tvarkymu;
  • Teisę pateikti skundą VDAI;
  • Kai asmens duomenys renkami ne iš asmens, visą turimą informaciją apie jų šaltinius;
  • Tai, kad naudojamas automatizuotas sprendimų priėmimas (įskaitant profiliavimą) ir informaciją apie loginį jo pagrindimą, taip pat tokio duomenų tvarkymo reikšmę ir numatomas pasekmes asmeniui.

 

Pavyzdys

Įmonė asmeniui, kurio duomenys tvarkomi, pagal jo prašymą turi pateikti visą saugomą informaciją. Pavyzdžiui, internetinė parduotuvė turi pateikti, kada asmuo, kurio duomenys tvarkomi, pirmą kartą pradėjo naudotis paslaugomis, kada ir ką pirko, kokias prekes grąžino bei kada ir kokia suma pinigų grąžinta ar atsisakyta priimti grąžintas prekes.

Privalu patikrinti asmens, prašančio leisti susipažinti su savo asmens duomenimis, tapatybę, ypač kai tai susiję su interneto paslaugomis ir interneto identifikatoriais, pvz., įmonė, administruojanti internetinę parduotuvę, gavusi asmens prašymą susipažinti su savo asmens duomenimis ir siekdama nustatyti asmens tapatybę, turėtų sutikrinti įmonėje tvarkomus šio asmens duomenis su prašyme pateiktais duomenimis (esant abejonėms, įmonė gali paprašyti asmens pateikti papildomos informacijos, reikalingos norint patvirtinti duomenų subjekto tapatybę).

 

TEISĖ REIKALAUTI IŠTAISYTI DUOMENIS

Asmuo, kurio duomenys tvarkomi, turi teisę reikalauti, kad įmonė nepagrįstai nedelsdama ištaisytų netikslius su juo susijusius asmens duomenis. Atsižvelgiant į tikslus, kuriais duomenys buvo tvarkomi, asmuo turi teisę reikalauti, kad būtų papildyti neišsamūs asmens duomenys, pateikdamas papildomą prašymą.

Pavyzdys

Jei prašymą asmuo, kurio duomenys tvarkomi, pateikia žodžiu, rekomenduotina užsirašyti bet kokį žodinį prašymą bei pateikti rašytinį atsakymą, nes tokiu būdu bus galima pateikti įrodymus apie informacijos keitimo priežastis.

 

TEISĖ REIKALAUTI IŠTRINTI DUOMENIS („TEISĖ BŪTI PAMIRŠTAM“)

Asmuo turi teisę reikalauti, kad įmonė nepagrįstai nedelsdama ištrintų su juo susijusius asmens duomenis, o įmonė yra įpareigota nepagrįstai nedelsdama ištrinti asmens duomenis (ši teisė, dažnai vadinama teise būti pamirštam, taikoma ir internetinėje erdvėje) šiais atvejais:

  • Kai asmens duomenys nebėra reikalingi, kad būtų pasiekti tikslai, kuriais jie buvo renkami arba kitaip tvarkomi;
  • Asmuo atšaukia sutikimą ir nėra jokio kito teisinio pagrindo tvarkyti duomenis;
  • Asmuo nesutinka su duomenų tvarkymu ir nėra viršesnių teisėtų priežasčių tvarkyti duomenis arba asmuo, kurio duomenys tvarkomi, nesutinka su duomenų tvarkymu tiesioginės rinkodaros tikslu.
  • Asmens duomenys buvo tvarkomi neteisėtai;
  • Asmens duomenys turi būti ištrinti laikantis įstatymuose nustatytos teisinės prievolės;
  • Asmens duomenys buvo surinkti iš vaiko, kuriam buvo siūlomos informacinės visuomenės paslaugos.

Teisė reikalauti ištrinti duomenis ypač svarbi tais atvejais, kai asmuo savo sutikimą išreiškė būdamas vaikas ir nevisiškai suvokdamas su duomenų tvarkymu susijusius pavojus. Asmuo turi teisę reikalauti, kad informacija apie jį, kurią jis suteikė būdamas vaikas, būtų ištrinta ir tuo atveju, kai jis nebėra vaikas.

Pavyzdys

Vaikas, norėdamas žaisti internetinius žaidimus, užsiregistravo interneto svetainėje, teikiančioje tokias paslaugas. Taigi, vaiko pateiktus asmens duomenis tvarko šią svetainę administruojanti įmonė. Jeigu vaikas, tapęs pilnamečiu, išreikš norą sunaikinti savo asmens duomenis, interneto svetainę administruojanti įmonė privalės ištrinti asmens duomenis.


Kai įmonė asmens duomenis paskelbė viešai
ir šie duomenys nebėra reikalingi, kad būtų pasiekti tikslai, kuriais jie buvo renkami arba kitaip tvarkomi, privaloma asmens duomenis ištrinti. Įmonė privalo, atsižvelgdama į turimas technologijas ir įgyvendinimo sąnaudas, imtis pagrįstų veiksmų, įskaitant technines priemones, kad informuotų kitas duomenis tvarkančias įmones, jog asmuo paprašė, kad tokios įmonės ištrintų visas nuorodas į tuos asmens duomenis arba jų kopijas ar dublikatus.

 

Kada įmonė gali neištrinti asmens duomenų?

Reikėtų nepamiršti, kad teisė būti pamirštam nėra absoliuti teisė, t. y. kad turi būti saugomos ir kitos teisės bei įgyvendinamos nustatytos pareigos, todėl ši teisė gali būti neįgyvendinta:

  • Siekiant pasinaudoti teise į saviraiškos ir informacijos laisvę;
  • Įmonės įpareigotos tvarkyti asmens duomenis pagal teisės aktus siekiant atlikti užduotį, vykdomą viešojo intereso labui, arba vykdant įmonei pavestas viešosios valdžios funkcijas;
  • Kai tvarkyti duomenis būtina profilaktinės arba darbo medicinos tikslais, dėl viešojo intereso priežasčių visuomenės sveikatos srityje ir specialių kategorijų asmens duomenis;
  • Archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais;
  • Siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus.

Pavyzdys

Greitųjų kreditų bendrovė gauna kliento prašymą uždaryti visas sąskaitas ir ištrinti visus jo asmens duomenis, tačiau bendrovei yra taikomas įstatymas, įpareigojantis 10 metų saugoti visų klientų duomenis, todėl kliento duomenys galės būti ištrinti tik pasibaigus įstatyme nustatytam terminui.

 

Įmonei nusprendus, kad ištrinti asmens duomenis nėra pagrindo, ji vis tiek turi informuoti pareiškėją ir paaiškinti, kodėl ji mano, kad neturi ištrinti duomenų ir informuoti apie teisę pateikti skundą dėl šio sprendimo VDAI ar teismui.

 

Kam įmonė turi pranešti apie asmens duomenų ištaisymą ar ištrynimą?

Įmonės taip pat privalo imtis pagrįstų veiksmų, kad informuotų kitas įmones, kurios tvarko asmens duomenis, kad asmuo prašo ištrinti bet kokias nuorodas į savo asmens duomenis ar jų kopijas.

Informacija turėtų būti pateikiama kiekvienam duomenų gavėjui, kuriam buvo atskleisti asmens duomenys, įmonė praneša apie bet kokį asmens duomenų ištaisymą, ištrynimą arba tvarkymo apribojimą, nebent to padaryti nebūtų įmanoma arba tai pareikalautų neproporcingų pastangų. Asmeniui pageidaujant, įmonė informuoja asmenį apie tuos duomenų gavėjus.

 

TEISĖ APRIBOTI DUOMENŲ TVARKYMĄ

Duomenų tvarkymo apribojimas yra saugomų asmens duomenų žymėjimas siekiant apriboti jų tvarkymą ateityje.

Pavyzdys

Informacinėje sistemoje konkretaus asmens byloje yra pažymima, kad asmens duomenų tvarkymas apribotas, tokiu būdu užblokuojama galimybė šio asmens duomenis ištrinti, pakeisti, pateikti kitoms įmonėms ir pan.


Asmuo, kurio duomenys tvarkomi, turi teisę reikalauti, kad įmonė apribotų duomenų tvarkymą, kai yra vienas iš šių atvejų:

  • Asmuo, kurio duomenys tvarkomi, užginčija duomenų tikslumą tokiam laikotarpiui, per kurį įmonė gali patikrinti asmens duomenų tikslumą;
  • Asmens duomenų tvarkymas yra neteisėtas ir asmuo, kurio duomenys tvarkomi, nesutinka, kad duomenys būtų ištrinti, ir vietoj to prašo apriboti jų naudojimą;
  • Įmonei nebereikia asmens duomenų nustatytais tvarkymo tikslais, tačiau jų reikia asmeniui, kurio duomenys tvarkomi, siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus;
  • Asmuo, kurio duomenys tvarkomi, paprieštaravo duomenų tvarkymui, kol bus patikrinta, ar įmonės teisėtos asmens duomenų tvarkymo priežastys yra viršesnės už asmens, kurio duomenys tvarkomi, priežastis.


Kai duomenų tvarkymas yra apribotas remiantis aukščiau nurodytais pagrindais, tokius asmens duomenis galima tvarkyti, išskyrus saugojimą, tik gavus asmens, kurio duomenys tvarkomi, sutikimą arba siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus, arba apsaugoti kito fizinio ar juridinio asmens teises, arba dėl svarbaus viešojo intereso.

 

Kokiu būdu įmonė gali apriboti asmens duomenų tvarkymą?


Būdai, kuriais ribojamas asmens duomenų tvarkymas, galėtų, būti tokie:

  • Laikinai perkelti atrinktus duomenis į kitą tvarkymo sistemą, padaryti atrinktus asmens duomenis neprieinamus naudotojams;
  • Laikinai išimti paskelbtus duomenis iš interneto svetainės;
  • Automatiniuose susistemintuose rinkiniuose duomenų tvarkymo ribojimas iš esmės turėtų būti užtikrinamas techninėmis priemonėmis taip, kad asmens duomenys nebūtų toliau tvarkomi ir jų nebebūtų galima pakeisti;
  • Tai, kad asmens duomenų tvarkymas yra apribotas, sistemoje turėtų būti aiškiai nurodyta.

 

Prieš panaikindama apribojimą kam ir kada įmonė turi pranešti?


Įmonė, prieš panaikindama apribojimą tvarkyti duomenis, informuoja asmenį, kurio duomenys tvarkomi.

 

TEISĖ Į DUOMENŲ PERKELIAMUMĄ


Ši teisė taikoma, kai asmuo duomenis pateikė savo sutikimu arba tvarkyti asmens duomenis reikia vykdant sutartį.

Teisė į duomenų perkeliamumą taikoma, kai duomenys yra tvarkomi automatizuotomis priemonėmis ir kai tai techniškai įmanoma. Asmuo, kurio duomenys tvarkomi, turi teisę gauti susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu su juo susijusius asmens duomenis, kuriuos jis pateikė įmonei, ir turi teisę persiųsti tuos duomenis kitai įmonei, o įmonė, kuriai asmens duomenys buvo pateikti, turi nesudaryti tam kliūčių.

Jei techniškai įmanoma, asmuo gali prašyti, kad jo asmens duomenys būtų tiesiogiai persiųsti kitai įmonei, kurios paslaugomis asmuo nori naudotis.

Pavyzdys

Įmonė, tvarkanti internetinį socialinį tinklą, esant asmens prašymui turi perkelti jo asmens duomenis naujajam internetiniam socialiniam tinklui, įskaitant nuotraukas.

 

Pavyzdys

Finansų įstaigos neprivalo atsakyti į prašymą perkelti asmens duomenis, tvarkomus vykdant jų prievoles užkirsti kelią pinigų plovimui bei kitiems finansiniams nusikaltimams ir juos aptikti, kadangi duomenys tokiu atveju yra tvarkomi įstatymų pagrindu.

 

Kokie yra pagrindiniai teisės į duomenų perkeliamumą elementai, kada galioja teisė į duomenų perkeliamumą, kaip asmuo, kurio duomenys tvarkomi teisės taikomos duomenų perkeliamumui, kaip turi būti suteikiami perkeliami duomenys, kada galima netaikyti teisės į duomenų perkeliamumą, plačiau aiškinama Direktyvos 95/46/EB 29 straipsnio duomenų apsaugos darbo grupės patvirtintose gairėse dėl duomenų perkeliamumo, kurias galima rasti adresu: http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611233.

 

TEISĖ NESUTIKTI

Asmuo (duomenų subjektas) turi teisę dėl su juo konkrečiu atveju susijusių priežasčių bet kuriuo metu nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi, kai toks duomenų tvarkymas vykdomas siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas valdžios funkcijas ar siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų, išskyrus, kai duomenų subjekto interesai yra viršesni, ypač, kai duomenų subjektas yra vaikas.

Įmonė turi informuoti asmenį apie teisę nesutikti, kad būtų tvarkomi jo asmens duomenys.

Asmeniui išreiškus nesutikimą dėl su juo susijusių asmens duomenų tvarkymo, įmonė privalo nutraukti asmens duomenų tvarkymą, išskyrus atvejus, kai įmonė įrodo, kad duomenys turi būti toliau tvarkomi dėl įtikinamų teisėtų priežasčių, kurios yra viršesnės už asmens, kurio duomenys tvarkomi interesus, teises ir laisves, arba siekiant pareikšti, vykdyti ar apginti teisinius reikalavimus. Pareiga įrodyti, kad įtikinamas teisėtas įmonės interesas yra viršesnis už asmens, kurio duomenys tvarkomi, interesus arba pagrindines teises ir laisves, tenka įmonei.

Asmuo, kurio duomenys tvarkomi, apie nurodytą teisę aiškiai informuojamas ne vėliau kaip pirmą kartą susisiekiant su asmeniu, ir ši informacija pateikiama aiškiai ir atskirai nuo visos kitos informacijos.

Pavyzdys

Kai asmens duomenys tvarkomi tiesioginės rinkodaros tikslais, asmuo, kurio duomenys tvarkomi,, turi teisę bet kuriuo metu nesutikti automatizuotomis priemonėmis, kad su juo susiję asmens duomenys būtų tvarkomi rinkodaros tikslais, įskaitant profiliavimą, kiek jis susijęs su tokia tiesiogine rinkodara.

Kai asmuo, kurio duomenys tvarkomi, prieštarauja duomenų tvarkymui tiesioginės rinkodaros tikslais, asmens duomenys tokiais tikslais negali būti tvarkomi.


Jeigu asmuo nesutinka, kad jo asmens duomenys būtų tvarkomi tiesioginės rinkodaros tikslais, įmonė privalo nemokamai patenkinti asmens prašymą ir nutraukti asmens duomenų tvarkymą.

Pavyzdys

Asmuo internetinėje bilietų pardavimo įmonėje nusipirko du bilietus į savo mėgstamos grupės koncertą. Vėliau jis informuojamas apie jo nedominančius koncertus ir renginius. Asmuo informuoja internetinę bilietų pardavimo įmonę, kad daugiau nebenori gauti reklaminės medžiagos. Įmonė turėtų nutraukti asmens duomenų tvarkymą tiesioginės rinkodaros tikslais ir nebesiųsti jokių pasiūlymų. Ši paslauga privalo būti nemokama.

 

Tačiau įmonė gali toliau tvarkyti asmens duomenis, nepaisydama asmens prieštaravimų, jeigu:

  • Duomenys tvarkomi mokslinių ar istorinių tyrimų ir statistinių duomenų rinkimo tikslais ir jie yra būtini vykdant užduotį viešojo intereso labui;
  • Duomenys tvarkomi remiantis teisėtais interesais arba vykdant užduotį viešojo intereso labui vykdant viešosios valdžios funkcijas ir įmonė gali įrodyti, kad įtikinamas teisėtas interesas yra viršesnis už asmens interesus, teises ir laisves.

 

NE VIEN AUTOMATIZUOTAS ATSKIRŲ SPRENDIMŲ PRIĖMIMAS, ĮSKAITANT PROFILIAVIMĄ

Asmuo, kurio duomenys tvarkomi, turi teisę reikalauti, kad jam nebūtų taikomas vien tik automatizuotu duomenų tvarkymu, įskaitant profiliavimą, grindžiamas sprendimas, dėl kurio jam kyla teisinės pasekmės arba kuris jam panašiu būdu daro didelį poveikį.

Sprendimų priėmimas tik automatizuotu būdu reiškia, kad sprendimai bus priimami technologinėmis priemonėmis, be jokio žmogaus įsikišimo.

Profiliavimas atliekamas tada, kai vertinami asmens asmeniniai aspektai, kad būtų padarytos prognozės, net jeigu nebus priimtas joks sprendimas. Pvz., jeigu įmonė vertina asmens savybes (kaip antai, amžių, lytį ar ūgį) arba skirsto į tam tikras kategorijas, tai reiškia, kad asmeniui taikomas profiliavimas.

Profiliavimas ir automatizuotas sprendimų priėmimas yra įprasta praktika įvairiuose sektoriuose, pvz., bankininkystės, finansų, mokesčių ir sveikatos priežiūros. Jis gali būti efektyvesnis, tačiau ne toks skaidrus.

Pavyzdžiai

Biotechnologijų bendrovė tiesiogiai vartotojams siūlo atlikti genetinius tyrimus, siekiant įvertinti ir prognozuoti su liga susijusį ir (arba) sveikatai gresiantį pavojų.

Bendrovė, remdamasi jos svetainės naudojimu arba naršymu joje, kuria asmenų elgesio arba rinkodaros profilius.

 

Automatizuotas atskirų sprendimų priėmimas, įskaitant profiliavimą, galimas, jeigu sprendimas:

  • Yra būtinas siekiant sudaryti arba vykdyti sutartį tarp asmens ir įmonės;
  • Yra leidžiamas teisės aktais, kurie taikomi įmonei ir kuriais taip pat nustatomos tinkamos priemonės asmens teisėms bei laisvėms ir teisėtiems interesams apsaugoti; arba
  • Yra pagrįstas aiškiu asmens, kurio duomenys tvarkomi, sutikimu.

Automatizuotas atskirų sprendimų priėmimas, grindžiamas specialių kategorijų asmens duomenų tvarkymu, galimas kai:

  • Asmuo davė savo aiškų sutikimą;
  • Tvarkyti duomenis būtina dėl svarbaus viešojo intereso priežasčių, remiantis įstatymais.

Abiem šiais atvejais priimtas sprendimas turi apsaugoti asmens teises ir laisves tinkamomis apsaugos priemonėmis. Įmonė turi bent jau informuoti apie asmens teisę reikalauti žmogaus įsikišimo ir sudaryti reikalingus procedūrinius susitarimus.

Išskyrus atvejus, kai automatizuotas sprendimas yra pagrįstas įstatymu, įmonė privalo:

  • Informuoti asmenį apie automatizuotą sprendimų priėmimą;
  • Suteikti asmeniui teisę reikalauti, kad automatizuotą sprendimą peržiūrėtų asmuo;
  • Suteikti asmeniui galimybę ginčyti automatizuotą sprendimą.

Pavyzdys

Jeigu greitųjų kreditų bendrovė automatizuotai priima sprendimą dėl vartojamosios paskolos suteikimo tam tikram asmeniui, tas asmuo turėtų būti informuojamas apie automatizuotą sprendimą bei jam turėtų būti suteikta galimybė ginčyti sprendimą ir prašyti, kad jį peržiūrėtų žmogus.


 




Paskutinis atnaujinimas: 2018-09-06 14:56:17