Atlikti nuomos paslaugas teikiančių bendrovių tikrinimai dėl asmens duomenų tvarkymo

Valstybinė duomenų apsaugos inspekcija (VDAI) patikrino 16 Lietuvos Respublikoje registruotų ir veiklą vykdančių bendrovių, užsiimančių nuomos paslaugų teikimu. Atliekant tikrinimus domėtasi bendrovių atliekamu asmens duomenų tvarkymu dviem aspektais: pirma, ar bendrovės tinkamai įgyvendina duomenų kiekio mažinimo principą tvarkydamos asmens duomenis nuomos sutarties sudarymo ir vykdymo tikslu, antra, ar tinkamai informuojama apie asmens duomenų tvarkymą.

Vadovaujantis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (BDAR) asmens duomenų tvarkymas laikomas teisėtu tik taikant BDAR 5 straipsnyje nustatytus su asmens duomenų tvarkymu susijusius principus. BDAR 5 straipsnio 1 dalies c punkte įtvirtintas duomenų kiekio mažinimo principas, kuris nustato, kad asmens duomenys turi būti adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi. Šis principas apriboja duomenų, kurie tvarkomi, apimtį. Tvarkomi asmens duomenys turi būti ne pernelyg didelės apimties, atsižvelgiant į nustatytus tikslus. Visi asmens
duomenys, kurie nėra reikalingi tam tikram tikslui pasiekti, neturi būti renkami ir (arba) toliau tvarkomi. Duomenų valdytojai turėtų siekti surinkti kuo mažiau duomenų apie kiekvieną asmenį ir tik tuos, kurių reikia, kad būtų tinkamai įgyvendinti jų tvarkymo tikslai.

Duomenų kiekio mažinimo principo įgyvendinimas
Atlikus tikrinimus nustatyta, kad 8 tinkamai įgyvendina duomenų kiekio mažinimo principą, o 8 šio principo neužtikrina ir jų tvarkomi asmens duomenys nėra adekvatūs, tinkami bei tvarkomi ne tie duomenys, kurių reikia siekiant nurodytų tikslų.

Nustatyti pažeidimai:
1. Neproporcingai siekiamiems tikslams, ypač kai nuomojama nedidelės vertės įranga, yra tikrinamas asmenų kreditingumas.
2. Nepagrįstai tvarkoma vairuotojo pažymėjimo antrosios pusės, kurioje neretai nurodomi sveikatos duomenys, kopija.
3. Bendrovės tvarko vairuotojo pažymėjimų kopijas, nors joms reikia tik dalies duomenų.
4. Bendrovės tvarko kitų asmens tapatybę patvirtinančių dokumentų kopijas, nors, pavyzdžiui, policijos pareigūnai aiškiai reikalauja pateikti būtent vairuotojo pažymėjimo kopiją.
5. Nors bendrovėms reikalinga nuomojančio asmens nuotrauka, jos nepagrįstai tvarko viso asmens tapatybę patvirtinančio dokumento kopiją.
Vadovaujantis Bendruoju duomenų apsaugos reglamentu, neproporcingas asmens duomenų tvarkymas gali sukelti didelį pavojų asmenų teisėms ir laisvėms, pavyzdžiui, dokumentai lengviau galėtų būti suklastoti panaudojant tikrus duomenis, todėl bendrovės turi būti atidžios ir tvarkyti tik tiek duomenų, kiek reikia siekiamiems tikslams.

Informavimas apie asmens duomenų tvarkymą
Vertinant bendroves informavimo apie asmens duomenų tvarkymą aspektu nustatyta, kad 14 iš šešiolikos tikrintų bendrovių duomenų subjektus apie jų asmens duomenų tvarkymą informuoja netinkamai.

Nustatyti pažeidimai:
1. Pateikiama ne visa arba netiksli informacija apie asmens duomenų tvarkymą.
2. Pateikiama informacija apie neatliekamą asmens duomenų tvarkymą.
3. Asmenys klaidinami prašant duoti sutikimą, nors iš tiesų jie turėtų tik patvirtinti, kad susipažino su informacija.
4. Kai duomenys renkami iš duomenų subjekto, bendrovės asmenims nepateikia informacijos duomenų rinkimo metu.
5. Kai duomenys gaunami ne iš duomenų subjekto, bendrovės asmenims nepateikia informacijos nustatytu laiku.
6. Bendrovės taiko mokestį už informacijos apie duomenų tvarkymą suteikimą, jeigu duomenų subjektas dėl šios informacijos suteikimo kreipiasi daugiau kaip 1 kartą per metus, nors neįrodo, kad toks prašymas yra akivaizdžiai nepagrįstas arba neproporcingas.

Bendrovėms pateikti nurodymai per 1–2 mėn. laikotarpį pašalinti Valstybinės duomenų apsaugos inspekcijos nustatytus pažeidimus. Neįvykdžius pateiktų nurodymų bendrovėms bus taikomos sankcijos, pavyzdžiui, skiriamos baudos.

Valstybinės duomenų apsaugos inspekcijos informacija