VDAI apie siunčiamus pasiūlymus įsigyti juridinių asmenų duomenų bazes

Valstybinė duomenų apsaugos inspekcija (Inspekcija) gauna paklausimų, dėl asmenims siunčiamų elektroninio pašto pranešimų su pasiūlymais įsigyti juridinių asmenų duomenų bazes. Siekdama užtikrinti tinkamą Bendrojo duomenų apsaugos reglamento (BDAR) ir Lietuvos Respublikos elektroninių ryšių įstatymo (ERĮ) taikymą, Inspekcija parengė metodinę informaciją, kurioje juridinių asmenų duomenų bazės aptariamos dviem aspektais: įsigytų juridinių asmenų duomenų bazių naudojimas tiesioginės rinkodaros tikslais ir elektroninio pašto pranešimų siuntimas su pasiūlymais įsigyti juridinių asmenų duomenų bazes.

Asmenims siunčiamuose pasiūlymuose įsigyti juridinių asmenų duomenų bazes nurodoma, kad jose esantys kontaktiniai duomenys, pavyzdžiui, įmonės, jos vadovų ar atskirų darbuotojų elektroninio pašto adresai ar telefono ryšio numeriai, gali būti naudojami klientų ar partnerių paieškai.

Pirmiausia, svarbu prisiminti, kad įmonės vadovų ar atskirų darbuotojų (duomenų subjektai) elektroninio pašto adresai ar telefono ryšio numeriai yra asmens duomenys, todėl jų tvarkymui taikomos BDAR nustatytos taisyklės. Be to, ERĮ 69 straipsnio 1 dalyje nustatyta, kad elektroninių ryšių paslaugas, įskaitant elektroninio pašto pranešimų siuntimą, naudoti tiesioginės rinkodaros tikslu leidžiama tik gavus išankstinį abonento ar registruoto elektroninių ryšių paslaugų naudotojo (pavyzdžiui, konkrečios įmonės ar fizinio asmens) sutikimą, kuris turi atitikti BDAR keliamus reikalavimus.

Tiesioginė rinkodara Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo 2 straipsnio 1 dalyje apibrėžiama kaip veikla, kurios tikslas paštu, telefonu arba kitokiu tiesioginiu būdu siūlyti asmenims prekes ar paslaugas ir (arba) teirautis jų nuomonės dėl siūlomų prekių ar paslaugų.

Taigi, prieš įsigyjant duomenų bazę su juridinių asmenų, įskaitant vadovų ar atskirų darbuotojų, kontaktiniais duomenimis, reikėtų elgtis atsargiai ir atidžiai įvertinti, ar juridinių asmenų duomenų bazę parduodantis asmuo duomenis gavo teisėtai, sąžiningai, o duomenų subjektai aiškiai suprato, kad jų asmens duomenys bus teikiami kitiems asmenims ir jų naudojami tiesioginės rinkodaros tikslais bei dėl tokio asmens duomenų tvarkymo jie sutiko. Todėl duomenų bazę parduodantis asmuo turi sugebėti įrodyti, kad duomenys buvo gauti nepažeidžiant BDAR ir kad juos galima naudoti tiesioginės rinkodaros tikslais. Pavyzdžiui, jeigu juridinių asmenų duomenų bazę pardavinėjantis asmuo gavo šiuos duomenis remdamasis sutikimu, šis sutikimas turėtų numatyti galimybę perduoti duomenis kitiems gavėjams jų tiesioginės rinkodaros tikslais.

Pabrėžtina, kad sutikimas dėl kontaktinių duomenų tvarkymo tiesioginės rinkodaros tikslais turi būti gaunamas laikantis BDAR reikalavimų. Todėl tokie sutikimai, kuriuose nurodomos duomenis gausiančių asmenų kategorijos, pavyzdžiui, vaistinės, sporto klubai ir kt., nebus laikomi atitinkančiais BDAR reikalavimų. Sutikime turi būti nurodomas konkretus asmuo. Taigi, iš kitų asmenų įsigytos duomenų bazės, neatitinkančios šių reikalavimų, neturėtų būti naudojamos.

Inspekcija atkreipia dėmesį, kad už neteisėtą įsigytoje juridinių asmenų duomenų bazėje esančių asmens duomenų tvarkymą atsakomybė gali būti taikoma ne tik pagal ERĮ (dėl tiesioginės rinkodaros), bet ir pagal BDAR (dėl neteisėto asmens duomenų tvarkymo).

Elektroninio pašto pranešimus siųsti tiesioginės rinkodaros tikslu leidžiama tik gavus išankstinį abonento ar registruoto elektroninių ryšių paslaugų naudotojo sutikimą. Dėl šios priežasties elektroninio pašto pranešimais siunčiami tiesioginės rinkodaros pasiūlymai įsigyti juridinių asmenų duomenų bazes turėtų būti siunčiami su sutikimu ir atitikti ERĮ bei BDAR keliamus reikalavimus.

Valstybinės duomenų apsaugos inspekcijos informacija