Please update your Flash Player to view content.

Kada gali tekti susimokėti baudą dėl netinkamai tvarkomų asmens duomenų?

 

 

ATPK 21414 ir ATPK 21416 straipsniuose  nėra akcentuojama, kad atsakomybė kyla tik tuo atveju, jei dėl ADTAĮ pažeidimo atsiranda neigiamos pasekmės. ADTAĮ 2 str. 4 d. nurodyta, kad duomenų tvarkymas – bet kuris su asmens duomenimis atliekamas veiksmas: rinkimas, užrašymas, kaupimas, saugojimas, klasifikavimas, grupavimas, jungimas, keitimas (papildymas ar taisymas), teikimas, paskelbimas, naudojimas, loginės ir (arba) aritmetinės operacijos, paieška, skleidimas, naikinimas ar kitoks veiksmas arba veiksmų rinkinys. Duomenų subjektas pagal ADTAĮ 23 straipsnio 1 dalį turi šias teises: žinoti (būti informuotas) apie savo asmens duomenų tvarkymą, susipažinti su savo asmens duomenimis ir kaip jie yra tvarkomi, reikalauti ištaisyti, sunaikinti savo asmens duomenis arba sustabdyti, išskyrus saugojimą, savo asmens duomenų tvarkymo veiksmus, kai duomenys tvarkomi nesilaikant šio ir kitų įstatymų nuostatų; išreikšti nesutikimą, kad būtų tvarkomi jo asmens duomenys. Taigi, bet koks neteisėtai atliktas šiuose straipsniuose numatytas veiksmas turi būti traktuojamas kaip įstatymo pažeidimas.

Pažymėtina, kad ATPK 21414 str. l d. ir 21416 str. l d. įtvirtintos dvi savarankiškas administracinių teisės pažeidimų sudėtys, t.y. duomenų subjektų teisių pažeidimas ir neteisėtas asmens duomenų tvarkymas, todėl, inkriminuojant minėtas dvi normas, atitinkamai kiekvienoje iš jų numatytas administracinis teisės pažeidimas turi būti aiškiai įvardintas, nurodant objektyviuosius ir subjektyviuosius šio pažeidimo požymius, todėl asmens duomenų valdytojas, tvarkytojas vienu metu gali būti nubaustas pagal ATPK 21414 str. ir 21416 straipsnius.

 

Kas gali būti pažeidimo subjektu?

 

ADTAĮ 1 str. 3 d. numato, kad šisįstatymastaikomas asmens duomenų tvarkymui, kai asmens duomenis savo veikloje tvarko duomenų valdytojas, įsteigtas ir veikiantis Lietuvos Respublikos teritorijoje; kai asmens duomenis tvarko duomenų valdytojas, įsteigtas ne Lietuvos Respublikos teritorijoje, kuriam taikomi Lietuvos Respublikos įstatymaipagal tarptautinę viešąją teisę (įskaitant diplomatines atstovybes, konsulines įstaigas), ir kai asmens duomenis tvarko duomenų valdytojas, kuris yra įsteigtas ir veikia valstybėje, kuri nėra Europos Sąjungos valstybė narė ar kita Europos ekonominės erdvės valstybė, bet naudoja Lietuvos Respublikoje esančias asmens duomenų tvarkymo priemones.

Reikia pabrėžti, jog juridinis asmuo administracinėn atsakomybėn negali būti traukiamas, o už tokio asmens priešingą teisei veiklą administracinė atsakomybė paprastai taikoma juridinio asmens atstovui, kuriuo gali būti direktorius, valdytojas ar kitas asmuo, t. y. fizinis asmuo, einantis tarnybą ar dirbantis darbą, susijusį su organizacinių-tvarkymo arba administracinių-ūkinių pareigų vykdymu. LVAT (byla Nr. N261-1111/2012pažymėjo, kad už ADTAĮ pažeidimą atsakomybėn gali būti traukiami ir kiti asmenys (ne tik duomenų tvarkytojas ar valdytojas), tačiau toks atsakomybės taikymas turi būti pagrįstas. Kiekvienu atveju būtina įrodyti, kad toks asmuo pažeidė konkrečią elgesio taisyklę ir kad jis privalėjo, t. y. buvo teisiškai įpareigotas, jos laikytis.

Patarimas asmeniui, kurio teisės buvo pažeistos: rašant skundą nurodyti juridinio asmens atstovą, t.y. fizinį asmenį!

 

Kaip išvengti administracinės atsakomybės?

 

HOROS informuoja, kad asmens duomenų tvarkymas laikomas teisėtu tik tuo atveju, jeigu jis atitinka ADTAĮ irstraipsnių reikalavimus, t.y. asmens duomenys tvarkomi esant iš anksto apibrėžtam ir teisėtam tikslui, tik tokios apimties, kurios reikia nustatytam tikslui pasiekti, ir tik esant nors vienam iš ADTAĮ straipsnio 1 dalyje numatytų teisėto tvarkymo kriterijų (2A-1049-577/2015, Vilniaus apygardos teismas). ADTAĮ 5str. 1 dalis numato, jog asmens duomenys gali būti tvarkomi:

 

1) jeigu duomenų subjektas duoda sutikimąduomenų subjektas duoda sutikimą;

 

2) sudaroma arba vykdoma sutartis, kai viena iš šalių yra duomenų subjektas;

 

3) pagalįstatymusduomenų valdytojas yra įpareigotas tvarkyti asmens duomenis;

 

4) siekiama apsaugoti duomenų subjekto esminius interesus;

 

5) įgyvendinami oficialūs įgaliojimai,įstatymaisir kitais teisės aktais suteikti valstybės bei savivaldybių institucijoms, įstaigoms ir įmonėms arba trečiajam asmeniui, kuriam teikiami asmens duomenys;

 

6) reikia tvarkyti dėl teisėto intereso, kurio siekia duomenų valdytojas arba trečiasis asmuo, kuriam teikiami asmens duomenys, ir jei duomenų subjekto interesai nėra svarbesni.

 

 

Penktu ir šeštu atveju reikia supažindinti duomenų subjektą su jo teise nesutikti, kad būtų tvarkomi jo asmens duomenys. Vadinasi, kiekvienu atveju reikia įvertinti situaciją ir įsitikinti, kad asmens duomenis tvarkote nepažeisdami ADTAĮ nuostatų.

 

Apibendrinant galima teigti, kad asmens duomenų tvarkymas turi atitikti ADTAĮ reikalavimus, o ADTAĮ pažeidimai užtraukia administracinę atsakomybę.  Taigi, visų pirma ką turi padaryti duomenų valdytojai, norėdami teisėtai tvarkyti asmens duomenis, tai registruotis asmens duomenų valdytojais Valstybinėje duomenų asmens inspekcijoje. O užsiregistravus nepamiršti, kad asmenys turi teisę nesutikti, kad jų asmens duomenis būtų tvarkomi, perduoti kitiems asmenims, taip pat susipažinti, reikalauti ištrinti, pakeisti jų asmens duomenis. HOROS primena, kad specializuojasi asmens duomenų srityje ir teikia konsultacijas asmens duomenų apsaugos srityje, registruoja įmones Duomenų valdytojų valstybės registre. Taip pat yra apmokami įmonių darbuotojai, kad asmens duomenys būtų tvarkomi ir saugomi teisėtai. Iškilus klausimams dėl asmens duomenų tvarkymo, savo klientus HOROS konsultuoja nemokamai. 

 

Straipsnį parengė teisinių ir personalo paslaugų bendrovė HOROS.