Kas yra asmens duomenų tarpininkavimas?
Asmens duomenų tarpininkavimas apima informacijos apie fizinius asmenis (duomenų subjektus) rinkimą iš įvairių šaltinių, jos jungimą, gretinimą ir pardavimą kitiems subjektams. Paprastai tokia veikla yra susijusi su bent vienos iš šių paslaugų teikimu:
1. prekyba kontaktinių asmens duomenų sąrašais;
2. profiliavimu ir asmens duomenų sodrinimu (angl. enrichment)1;
3. asmens duomenų sujungimu (angl. data matching)2;
4. asmens duomenų atnaujinimu (angl. data cleansing and tracing)3;
5. asmens duomenų tikrinimu (angl. screening)4;
6. auditorijos segmentavimu (angl. audience segmenting) ar kitokiu profiliavimu.
Ar juridinių asmenų atstovų asmens duomenų tarpininkavimui yra taikomas Bendrasis duomenų apsaugos reglamentas?
Valstybinė duomenų apsaugos inspekcija pastebi, kad asmens duomenų tarpininkavimo atvejais neretai manoma, kad juridinių asmenų atstovų duomenys nėra laikomi asmens duomenimis, todėl Bendrasis duomenų apsaugos reglamentas (BDAR), vadovaujantis BDAR preambulės 14 konstatuojamąja dalimi, jiems nėra taikomas. Vis dėlto, Europos Sąjungos Teisingumo Teismas (ESTT) yra išaiškinęs5, kad „su asmenų tapatybe susiję duomenys, kaip duomenys, susiję su asmeniu, kurio tapatybė yra nustatyta arba gali būti nustatyta, yra „asmens duomenys“, kaip jie suprantami pagal Direktyvos 95/46 2 straipsnio a punktą. Iš Teisingumo Teismo jurisprudencijos matyti, kad aplinkybė, jog ši informacija priskirtina prie profesinės veiklos srities, nereiškia, kad ji nėra asmens duomenys“ (34 p.)6. Taigi juridinių asmenų atstovų, darbuotojų duomenys yra asmens duomenys.
Atsižvelgiant į ESTT suformuotą praktiką, aptariamu atveju, t. y. vykdant asmens duomenų tarpininkavimą, tokia veikla yra susijusi su konkretaus fizinio asmens (duomenų subjekto) asmens duomenų tvarkymu, todėl ja besiverčiantiems subjektams (duomenų valdytojams) taikomi BDAR reikalavimai. Tai taikytina ir asmens duomenų (ar jų rinkinių) pirkėjams, kurie įsigydami asmens duomenis (ar jų rinkinius) turi užtikrinti, kad:
1. būtų imtasi priemonių deramai patikrinti siūlomų įsigyti asmens duomenų (ar jų rinkinių) tvarkymo teisėtumą
Ką tai reiškia: prieš naudojant asmens duomenis, kuriuos įsigyti siūlo asmens duomenų tarpininkai, reikalinga patikrinti, ar šie asmens duomenys gauti ir teikiami, laikantis asmens duomenų tvarkymui keliamų reikalavimų, t. y. asmens duomenys surinkti teisėtai ir sąžiningai, fiziniai asmenys (kurių asmens duomenis siūloma įsigyti) apie tokį perleidimą ir tokio perleidimo tikslą (-us) buvo informuoti ir pan. Šiuo atveju vien asmens duomenimis prekiaujančio subjekto patvirtinimas, kad laikytasi visų reikalavimų, nebūtų pakankamas, nes asmens duomenų (ar jų rinkinių) pirkėjas (įgytų asmens duomenų rinkinių duomenų valdytojas), vadovaujantis BDAR 5 straipsnio 2 dalimi, turėtų sugebėti įrodyti, kad nupirktų asmens duomenų tvarkymas atitinka BDAR reikalavimus. Taigi, asmens duomenų (rinkinių) pirkėjas turi patikrinti, kas (asmens duomenis parduodantis subjektas ar kiti subjektai) ir kaip sudarė asmens duomenų rinkinius, iš kokių šaltinių (paties duomenų subjekto ar kitų šaltinių) ir kada asmens duomenų rinkiniai sudaryti, kokia informacija apie asmens duomenų tvarkymą buvo pateikta duomenų subjektams, ar yra tvarkomi asmenų sutikimų (jei asmens duomenys tvarkomi sutikimo pagrindu) patvirtinimo įrašai ir t. t.
Papildomai rekomenduojame susipažinti su metodine informacija „Pasiūlymai įsigyti juridinių asmenų duomenų bazes ir asmens duomenų tvarkymo reikalavimai“.
2. fiziniai asmenys buvo tinkamai informuoti
Ką tai reiškia: BDAR 14 straipsnis įpareigoja duomenų valdytojus, kurie fizinių asmenų asmens duomenis gauna ne tiesiogiai iš šių asmenų, informuoti apie jų asmens duomenų tvarkymą. Taigi, asmens duomenų (rinkinių) pirkėjas turėtų užtikrinti, kad fiziniai asmenys, kurių asmens duomenis įsigijo, būtų informuoti apie tai, kaip jis tvarkys jų asmens duomenis (laikantis BDAR 14 straipsnio 3 dalyje nustatytų terminų). Ši informacija neturėtų būti paslėpta asmens duomenų (rinkinių) pirkėjo privatumo politikoje ar joje pateikta sudėtingai ir neaiškiai (žr. BDAR 12 straipsnio 1 dalį).
3. jis turi teisinį pagrindą šiuos asmens duomenis tvarkyti
Ką tai reiškia: bet koks asmens duomenų tvarkymas turi būti paremtas bent viena teisėto asmens duomenų tvarkymo sąlyga, įtvirtinta BDAR 6 straipsnyje, o siekiant tvarkyti specialiųjų kategorijų asmens duomenis (pavyzdžiui, informaciją apie sveikatos būklę ar kt.) toks šių asmens duomenų tvarkymas taip pat turi būti pagrįstas ir draudimo tvarkyti specialiųjų kategorijų asmens duomenis išimtimi, įtvirtinta BDAR 9 straipsnio 2 dalyje. Taigi asmens duomenų (rinkinių) pirkėjas turi sugebėti įrodyti, kad įsigytus asmens duomenis jis tvarko laikantis šių reikalavimų ir siekdamas teisėtų tikslų.
Valstybinės duomenų apsaugos inspekcijos informacija
1 Papildomų asmens duomenų prijungimo prie jau sudarytų asmenų profilių.
2 Pavyzdžiui, turimus asmenų kontaktus (pavyzdžiui, korespondencijos adresą) papildant naujais kontaktiniais asmens duomenimis (pavyzdžiui, telefono ryšio numeriais).
3 Pavyzdžiui, iš turimos duomenų bazės pašalinant netikslius kontaktinius asmens duomenis ir juos pakeičiant iš naujo surinktais šių asmenų kontaktiniais asmens duomenimis.
4 Pavyzdžiui, sutikrinant turimus asmens duomenis su viešai paskelbtais asmens duomenimis.
5 ESTT 2017-03-09 sprendimas byloje C-398/15.
6 Taip pat žr. ESTT 2015-07-16 Sprendimo byloje C 615/13 P 30 punktą ir jame nurodytą teismų praktiką.
