Asmens duomenų apsauga, 8-asis patarimas: Ar turite teisės susipažinti su asmens duomenimis įgyvendinimo tvarką?

Bendrasis duomenų apsaugos reglamentas suteikia teisę bet kuriam fiziniam asmeniui kreiptis į bet kurį duomenų valdytoją su prašymu informuoti, ar tas duomenų valdytojas tvarko kokius nors šio fizinio asmens duomenis, o jei tvarko – pateikti tvarkomų asmens duomenų kopiją bei informaciją apie asmens duomenų tvarkymą. Dėl šios priežasties kiekvienas duomenų valdytojas, tiek siekdamas užtikrinti realų duomenų subjektų teisių įgyvendinimą, tiek ir pats nepasimesti tarp gaunamų prašymų ir tvarkomų duomenų, turėtų nustatyti teisės susipažinti su asmens duomenimis įgyvendinimo tvarką.

1. Nustatykite, kokiu būdu duomenų subjektai gali pateikti prašymus susipažinti su asmens duomenimis

Kad išvengtumėte skirtingiems darbuotojams pateikiamų skirtingo turinio prašymų susipažinti su asmens duomenimis, sukurkite standartizuotus prašymo susipažinti su asmens duomenimis pateikimo būdus. Privatumo politikoje, darbuotojams skirtose vidaus taisyklėse ir kituose dokumentuose nurodykite, kam turi būti pateikiamas prašymas (kokiu adresu ar elektroninio pašto adresu jis turi būti siunčiamas), kokia informacija turi būti nurodyta prašyme ir pan. Jei įmanoma, sukurkite užklausos dėl susipažinimo su asmens duomenimis formą ir patalpinkite ją savo interneto svetainėje. Jei tvarkote didelį kiekį asmens duomenų, užklausos formoje paprašykite duomenų subjektų nurodyti, su kokiais konkrečiais asmens duomenimis jie pageidauja susipažinti. Pavyzdžiui, jei vykdote nuolatinį vaizdo stebėjimą, paprašykite, kad, teikdami prašymą susipažinti su asmens duomenimis, duomenų subjektai iš anksto nurodytų, kada ir kokioje stebimos teritorijos ar patalpų dalyje jie lankėsi.

Taip pat svarbu, kad pateikdami prašymus duomenų subjektai pateiktų ir pakankamai juos identifikuoti leidžiančios informacijos. Vis dėlto ne visais atvejais būtina reikalauti duomenų subjekto kartu su prašymu pateikti ir asmens tapatybę patvirtinantį dokumentą. Prašymą teikiančio asmens tapatybė gali būti nustatoma ir tais atvejais, kai prašymas teikiamas prisijungus prie duomenų subjektui suteiktos paskyros (pavyzdžiui, elektroninės parduotuvės) ir pan.

(!) Jei nesiimsite protingų pastangų nustatyti prašymą susipažinti su asmens duomenimis pateikusio asmens tapatybę, jums gali būti taikomos sankcijos už neteisėtą asmens duomenų atskleidimą tretiesiems asmenimis.

2. Parenkite standartizuotas atsakymo formas, kuriose būtų nurodyta visa reikalaujama pateikti informacija

Atsakant į prašymą susipažinti su asmens duomenimis, duomenų subjektui taip pat turi būti pateikiama ši informacija apie tvarkomus asmens duomenis:

  • duomenų tvarkymo tikslai;
  • atitinkamų asmens duomenų kategorijos;
  • duomenų gavėjai arba duomenų gavėjų kategorijos, kuriems buvo arba bus atskleisti asmens duomenys;
  • kai įmanoma, numatomas asmens duomenų saugojimo laikotarpis arba, jei neįmanoma, kriterijai, taikomi tam laikotarpiui nustatyti;
  • teisė prašyti duomenų valdytojo ištaisyti arba ištrinti asmens duomenis ar apriboti su duomenų subjektu susijusių asmens duomenų tvarkymą arba nesutikti su tokiu tvarkymu;
  • teisė pateikti skundą priežiūros institucijai;
  • kai asmens duomenys renkami ne iš duomenų subjekto – visa turima informacija apie jų šaltinius;
  • jei tvarkant asmens duomenis yra priimami automatizuoti sprendimai – informacija apie automatizuoto sprendimų priėmimo priežastis ir galimas pasekmes duomenų subjektui.

Visa ši informacija duomenų subjektui paprastai turi būti pateikta ne vėliau kaip per vieną mėnesį nuo duomenų subjekto prašymo gavimo. Siekiant užtikrinti, kad duomenų subjektui laiku bus pateikta visa reikalinga informacija, naudinga iš anksto būti parengus atsakymo į prašymą susipažinti su asmens duomenimis formą. Tokiu atveju už informacijos pateikimą atsakingam darbuotojui reikės tik užpildyti atsakymo formą ir bus išvengta situacijos, kai dėl žmogiškos klaidos duomenų subjektui pateikiama ne visa informacija.

(!) Jei prašymas susipažinti su asmens duomenimis yra pateiktas elektronine forma, elektronine forma turite pateikti ir informaciją apie tvarkomus asmens duomenis, nebent duomenų subjektas prašytų ją pateikti kita forma.

3. Tinkamai informuokite duomenų subjektą apie atsisakymą tenkinti jo prašymą

Reglamentas nustato bendrąją taisyklę, kad informacija apie tvarkomus asmens duomenis duomenų subjektui turi būti suteikiama nemokamai. Tai reiškia, kad iš duomenų subjekto negali būti reikalaujama net kompensacijos už prašymo nagrinėjimui ir informacijos rengimui sugaištą laiką bei panaudotus materialinius resursus (administracinių išlaidų).

Vis dėlto tais atvejais, kai prašymai susipažinti su asmens duomenimis yra akivaizdžiai nepagrįsti arba neproporcingi (visų pirma, dėl jų pasikartojančio turinio), duomenų valdytojas gali:

  • už informacijos pateikimą imti administracines išlaidas kompensuojantį mokestį

arba

  • atsisakyti teikti informaciją.

Tais atvejais, kai atsisakoma tenkinti duomenų subjekto prašymą, būtina ne vėliau kaip per vieną mėnesį nuo prašymo gavimo informuoti duomenų subjektą apie atsisakymo tenkinti prašymą priežastis (pavyzdžiui, prašymą teikiantis asmuo nepatikslino savo tapatybės) ir apie galimybę pateikti skundą priežiūros institucijai bei pasinaudoti teisių gynimo priemone.

Ar prašymas yra akivaizdžiai nepagrįstas arba neproporcingas, kiekvienu atveju reikėtų vertinti individualiai. Tais atvejais, kai duomenų valdytojas tvarko labai didelį kiekį asmens duomenų, neproporcingu gali būti laikomas prašymas pateikti informaciją apie visus tvarkomus asmens duomenis už visą jų tvarkymo laikotarpį. Vis dėlto, ir gavus neproporcingą prašymą, visų pirma, rekomenduotume paprašyti duomenų subjekto jį patikslinti, nurodant, dėl kokios priežasties duomenų subjektui yra būtina gaut tokį didelį kiekį informacijos, o jei tokios priežasties nėra – susiaurinti prašomų pateikti asmens duomenų apimtį.

(!) Tais atvejais, kai nusprendžiate atsisakyti suteikti informaciją apie tvarkomus asmens duomenis, taip pat būtina pateikti duomenų atsakymą, kuriame būtų nurodytos atsisakymo priežastys ir duomenų subjekto teisė paduoti skundą priežiūros institucijai (Valstybinei duomenų apsaugos inspekcijai).

visos įžvalgos
Sužinokite daugiau

Prenumeruokite mūsų naujienlaiškį

El. pašto adresas *
Pateikdama(s) savo elektroninio pašto adresą sutinkate, kad Advokatų profesinė bendrija Judickienė ir partneriai JUREX, kodas 3005573017, T. Kosciuškos 24, Vilnius, jį tvarkys tiesioginės rinkodaros tikslu.