Asmens duomenų apsauga, 9-asis patarimas: pasirenkite įgyvendinti teisę į duomenų perkeliamumą

Nauja ir viena iš daugiausiai klausimų kelianti duomenų subjekto teisė Reglamente yra teisė į duomenų perkeliamumą. Ši teisė susideda iš dviejų elementų, t.y.

  • duomenų subjekto teisės gauti su juo susijusius asmens duomenis, kuriuos jis pateikė duomenų valdytojui, susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu, ir
  • duomenų subjekto teisės reikalauti persiųsti tuos duomenis kitam duomenų valdytojui (kai tai techniškai įmanoma).

Šios teisės įtvirtinimo tikslas – suteikti duomenų subjektui daugiau kontrolės savo asmens duomenų atžvilgiu bei užtikrinti lengvesnį perėjimą nuo vieno paslaugų teikėjo pas kitą, išsaugant su duomenų subjektu susijusią informaciją (ne tik kontaktinius duomenis, bet ir duomenis, susijusius su naudojimusi paslaugomis, pavyzdžiui, pirkinių krepšelio istoriją).

Tam, kad ši teisė būtų tinkamai įgyvendinama, duomenų valdytojai turi pasirengti prašymų perkelti duomenis nagrinėjimui ir vykdymui, t.y. nustatyti procedūras, supažindinti su jomis atsakingus darbuotojus ir parengti techninius įrankius duomenų perkėlimui.

1. NUSTATYKITE, KOKIAIS ATVEJAIS KYLA PAREIGA PERKELTI DUOMENIS

Pareigą perkelti duomenis duomenų valdytojas turi tada, kai:

  • Duomenų tvarkymas yra grindžiamas duomenų subjekto sutikimu arba sutarties vykdymu. Teisė į duomenų perkeliamumą netaikoma, kai asmens duomenų tvarkymas yra būtinas duomenų valdytojui siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas. Taip pat, pavyzdžiui, darbuotojas neturi teisės reikalauti įgyvendinti teisę į duomenų perkeliamumą darbuotojo telefono pokalbių įrašų atžvilgiu, jeigu telefono pokalbiai įrašomi siekiant įvertinti klientų skundų pagrįstumą, esant duomenų valdytojo teisėtam interesui. Kita vertus, negalimumas įgyvendinti teisę į duomenų perkeliamumą neužkerta kelio duomenų subjektui įgyvendinti teisę susipažinti su savo asmens duomenimis.
  • Duomenys yra tvarkomi automatizuotomis priemonėmis, y. tvarkomi elektroninėse duomenų bazėse, registruose ir pan. Tai reiškia, kad duomenys, tvarkomi popieriniu formatu, neprivalo būti perkeliami.

2. APIBRĖŽKITE, KOKIE DUOMENYS TURI BŪTI PERKELIAMI

Gavus duomenų subjekto prašymą, turi būti perkelti duomenys, kurie yra:

  • Gauti iš duomenų subjekto. Tokie duomenys apima paties duomenų subjekto sąmoningai ir aktyviais veiksmais pateiktus duomenis, pavyzdžiui, pašto adresas, vartotojo vardas, amžius ir kt. Prie tokių duomenų priskiriama ir informacija, kuri gauta stebėjimo būdu atsižvelgiant į naudojimąsi paslauga arba įrenginiu, pavyzdžiui, paieškos veiksmų istorija, pirkimo istorija.

Neperkeliamiems duomenims priskirtini duomenys, kurie sukurti išvestiniu būdu paties duomenų valdytojo (pavyzdžiui, duomenys, gauti atliekant vartotojo elgsenos analizę, vartotojo priskyrimas tam tikroms kategorijoms ir pan.), t.y. netiesiogiai nustatomi ir sukuriami duomenys.

  • Susiję su duomenų subjektu. Anoniminiai arba su duomenų subjektu nesusiję duomenys negali būti teisės į duomenų perkeliamumą objektas.

Duomenų perkeliamumas pats savaime nesukelia pareigos ištrinti duomenis iš duomenų valdytojo sistemų, saugoti asmens duomenų ilgiau, negu reikalinga.

3. NUSTATYKITE PRAŠYMO PERKELTI DUOMENIS NAGRINĖJIMO TVARKĄ

  • Prašymą pateikusio asmens tapatybės nustatymas. Prieš atsakant į prašymą, jį pateikęs asmuo turėtų būti identifikuojamas, y. duomenų valdytojas turėtų įsitikinti, kad prašymą pateikęs asmuo tikrai yra duomenų subjektas, pavyzdžiui, pateikė prašymą, pasirašytą elektroniniu parašu, arba prisijungęs prie vartotojo paskyros su prisijungimo vardu ir slaptažodžiu.
  • Prašymo nagrinėjimo terminai. Prašymas perkelti duomenis turės būti išnagrinėtas ir į jį atsakyta nepagrįstai nedelsiant, bet ne vėliau kap per 1 mėnesį nuo prašymo gavimo. Šis terminas galės būti pratęstas dar 2 mėnesiams, atsižvelgiant į prašymo sudėtingumą.
  • Prašymo vykdymo tvarka. Duomenys turi būti pateikiami (persiunčiami) susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu. Tai neturėtų sukurti duomenų valdytojams prievolės nustatyti ar išlaikyti duomenų tvarkymo sistemas, kurios yra techniškai suderinamos, tačiau duomenų valdytojai turėtų naudoti sąveikius formatus, kad būtų užtikrinamas duomenų perkeliamumas. Atitinkamai Reglamentas draudžia kurti duomenų persiuntimo kliūtis, pavyzdžiui, nustatyti pernelyg ilgą arba sudėtingą viso duomenų rinkinio atsisiuntimo procesą, sukurti sąmoningą duomenų rinkinio sujaukimą, taip sumažinant galimybes duomenis naudoti pakartotinai ir pan.

Jei asmens duomenis pagal sutartį tvarko duomenų tvarkytojas, sutartyse dėl asmens duomenų tvarkymo turėtų būti nuostatos dėl sąlygų duomenų subjekto prašymui įgyvendinti.

  • Mokestis už prašymo vykdymą. Duomenų valdytojui draudžiama už asmens duomenų suteikimą imti mokestį, nebent duomenų subjekto prašymai yra akivaizdžiai nepagrįsti ar neproporcingi, pavyzdžiui, dėl nuolatinio jų pasikartojimo. Tokiu atveju duomenų valdytojas turi teisę atsisakyti imtis veiksmų arba imti pagrįstą mokestį, atsižvelgiant į išlaidas.

4. PARENKITE TECHNINES PRIEMONES DUOMENŲ PERKĖLIMUI

Įvertinkite turimas technines bei organizacines galimybes užtikrinti teisę į duomenų perkeliamumą ir parinkite tam tinkamą būdą:

  • tiesioginį viso perkeliamų duomenų rinkinio (arba keleto viso duomenų rinkinio dalių ištraukų) persiuntimą;
  • automatizuotą priemonę, suteikiančią galimybę atsisiųsti aktualius duomenis.

Asmens duomenų perkėlimui gali būti naudojamos ir kitos priemonės, pavyzdžiui, duomenų išsaugojimas CD, DVD ar kitose fizinėse laikmenose.

Turėtumėte užtikrinti perkeliamų asmens duomenų saugumą, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo, pavyzdžiui, siunčiant duomenis naudoti duomenų šifravimą, stabdyti persiuntimą, jeigu kyla įtarimas, kad paskyra buvo pažeista, prašyti papildomos autentiškumo patvirtinimo informacijos (vienkartinių slaptažodžių) ir pan. Dėl to būtina įvertinti su duomenų perkeliamumu susijusios rizikos rūšis ir imtis atitinkamų rizikos mažinimo priemonių.

5. APTARKITE APSIKEITIMO DUOMENIMIS FORMATĄ IR BŪDĄ SU RINKA

Reglamentu duomenų valdytojams nustatomi reikalavimai duomenų subjekto prašomus asmens duomenis pateikti tokiu formatu, kad juos būtų galima pakartotinai naudoti. Formatas visada turėtų būti pasirenkamas taip, kad duomenys būtų perskaitomi ir duomenų subjektui būtų suteiktos plačios galimybės perkelti duomenis. Kai konkrečioje šakoje arba konkrečiomis aplinkybėmis nėra įprastai naudojamų formatų, duomenų valdytojai asmeninius duomenis turėtų pateikti įprastai naudojamais atviraisiais formatais (pvz., XML, JSON, CSV ar pan.).

 

 

 

visos įžvalgos
Sužinokite daugiau

Prenumeruokite mūsų naujienlaiškį

El. pašto adresas *