Kokias teises asmenys turi pagal BDAR?
BDAR duomenų subjektams, t. y. asmenims, kurių duomenys tvarkomi, suteikiamos šios teisės:
- Teisė būti informuotam
- Teisė susipažinti su duomenimis
- Teisė reikalauti ištaisyti duomenis
- Teisė reikalauti ištrinti duomenis (teisė būti pamirštam)
- Teisė apriboti duomenų tvarkymą
- Teisė į duomenų perkeliamumą
- Teisė nesutikti
- Teisė būti subjektu, kurio duomenų tvarkymas grindžiamas ne vien automatizuotu sprendimu
Atkreipkite dėmesį, kad kai kurios iš šių teisių taikomos ne visais atvejais, daugiau informacijos rasite kiekvienoje teisinio pagrindo lentelėje.
Duomenų valdytojas privalo atsakyti į savo teisėmis besinaudojančių duomenų subjektų prašymus ir turi palengvinti naudojimąsi šiomis teisėmis. Duomenų tvarkytojas turi padėti duomenų valdytojui atlikti šią užduotį.
Kontrolinis sąrašas, ką daryti su duomenų subjektų teisėmis:
- Būkite pasirengę: sukurti sistemas ir procedūras, skirtas atsakyti į duomenų subjektų prašymus dėl teisių, ir išmokyti savo darbuotojus integruoti duomenų subjektų teisių prašymus į Jūsų vidaus darbo srautus.
- Palengvinkite naudojimąsi teisėmis: kad duomenų subjektams būtų lengviau žinoti, kokios yra jų teisės ir kaip su Jumis susisiekti, kad jomis galėtų pasinaudoti.
- Žinokite savo duomenų srautus: atnaujinkite savo registrą, kad galėtumėte greitai nustatyti Jūsų tvarkomus duomenis ir veiksmingai rasti bei gauti informaciją.
- Būkite skaidrūs: visada aiškiai ir suprantamai informuokite duomenų subjektus apie Jūsų tvarkomus asmens duomenis prieš juos tvarkydami (pvz., Jūsų privatumo politikoje) ir tvarkydami duomenis (pvz., vykdant duomenų subjekto prieigos prašymą).
- Atsakykite per 1 mėnesį: visada atsakykite į duomenų subjekto užklausą per vieną mėnesį. Jei Jums reikia daugiau laiko atsakyti arba jei negalite patenkinti prašymo – informuokite duomenų subjektą apie tai per vieną mėnesį.
- Perduokite jį: kai gaunate prašymą dėl asmens duomenų, kuriuos perdavėte kitiems gavėjams, nepamirškite, jei reikia, informuoti gavėjus apie prašymo rezultatą.
- Dokumentas: stebėkite duomenų subjektų užklausas ir užregistruokite savo atsakymus, taip pat stebėkite savo argumentus, kai neatsakote į užklausą.
Kaip tvarkyti prašymą dėl duomenų subjekto teisių
Skaidrumas yra labai svarbus duomenų apsaugai apskritai ir, žinoma, atsižvelgiant į duomenų subjekto teises.
Duomenų valdytojas privalo:
- bendrauti su duomenų subjektais aiškia ir suprantama kalba (tai ypač svarbu tais atvejais, kai organizacija kreipiasi į vaikus); ir
- palengvinti naudojimąsi šiomis teisėmis, visų pirma elektroninėmis priemonėmis. Pavyzdžiui, savo interneto svetainėje galite pateikti internetinę formą, kurią duomenų subjektai gali naudoti, kad galėtų lengvai pasinaudoti savo duomenų apsaugos teisėmis.
Atsakyti raštu
Bendra taisyklė yra ta, kad organizacija į asmens prašymą suteikti prieigą turėtų atsakyti taip pat, kaip prašymas buvo pateiktas, arba tokiu būdu, kuriuo duomenų subjektas konkrečiai paprašė atsakymo. Pageidautina atsakyti raštu, be kita ko, prireikus elektroninėmis priemonėmis. Atsakymas į duomenų subjekto prašymą dėl teisių gali būti pateiktas žodžiu, tačiau tai nerekomenduojama, nes turite sugebėti įrodyti, kad į užklausą atsakėte.
Atsakyti per vieną mėnesį
BDAR nurodoma, per kiek laiko duomenų valdytojas turi atsakyti į prašymą ir kokiais atvejais jis gali imti mokesčius.
Kai duomenų subjektai naudojasi viena iš savo teisių, duomenų valdytojas turi atsakyti per vieną mėnesį. Jei prašymas yra pernelyg sudėtingas ir į jį atsakyti reikia daugiau laiko, Jūsų organizacija gali pratęsti terminą dar dviem mėnesiais, jei duomenų subjektas informuojamas per vieną mėnesį nuo prašymo gavimo. Jei Jūsų organizacija gali įrodyti, kad prašymas yra akivaizdžiai nepagrįstas arba perteklinis, visų pirma dėl jo pasikartojančio pobūdžio, galite imti pagrįstą mokestį arba atsisakyti patenkinti prašymą.
Jei Jūsų organizacijai kyla pagrįstų abejonių dėl prašymą pateikusio asmens tapatybės (pvz., prašymas pateikiamas kitu e. pašto adresu nei tas, kuriuo paprastai naudojasi Jūsų klientas, arba jis pateikiamas ne kliento paskyroje, kurios autentiškumas patvirtintas), prieš atsakydami galite paprašyti papildomos informacijos, kad patvirtintų duomenų subjekto tapatybę.
Jei neketinate patenkinti konkretaus duomenų subjekto prašymo, per vieną mėnesį nuo prašymo gavimo turite informuoti duomenų subjektą apie priežastis, dėl kurių netenkinsite prašymo (pvz., kodėl neištrinate prašomų duomenų). Be to, turite informuoti duomenų subjektus apie galimybę pateikti skundą jų nacionalinei duomenų apsaugos institucijai ir imtis teisminių teisių gynimo priemonių.
Nerinkti mokesčio
Jūsų organizacija negali reikalauti jokio mokesčio iš duomenų subjekto, kuris prašo pasinaudoti viena iš jo teisių. Tačiau galite imti mokestį, jei duomenų subjekto prašymas yra akivaizdžiai nepagrįstas arba neproporcingas, visų pirma dėl jo pasikartojančio pobūdžio. Apskaičiuojant mokestį turi būti atsižvelgiama į administracines išlaidas, patiriamas atsakant į Jūsų organizacijos prašymą. Kaip paaiškinta pirmiau, taip pat galima atsisakyti patenkinti akivaizdžiai nepagrįstą arba perteklinį prašymą. Tokiu atveju turite sugebėti įrodyti, kad taip yra.
Praktika
- Duomenų subjektas kas du mėnesius pateikia prašymus susipažinti su duomenimis stalą pagaminusiam meistrui. Meistras pilnai atsakė į pirmąjį prašymą. Kadangi asmens duomenų tvarkymas nėra pagrindinė meistro veiklos dalis ir duomenų subjektui nesuteikė daugiau kaip vienos paslaugos, mažai tikėtina, kad su duomenų subjektu susijęs duomenų rinkinys pasikeitė. Duomenų subjektas paaiškino, kad naujas prašymas susijęs su ta pačia informacija kaip ir paskutinis prašymas. Todėl šis prašymas gali būti laikomas pertekliniu dėl jo pasikartojančio pobūdžio.
- Jei meistras nusprendžia pateikti asmens duomenis duomenų subjektui už tam tikrą mokestį, patartina apie tai iš anksto pranešti, tokiu būdu suteikiant jam galimybę atsiimti prašymą, kad jis nebūtų apmokestintas. Kita vertus, meistras gali informuoti duomenų subjektą apie priežastis, dėl kurių jis neatsakys į šį prašymą, taip pat apie galimybę pateikti skundą duomenų apsaugos priežiūros institucijai ir imtis teisminių teisių gynimo priemonių.
Teisė būti informuotam
Teisė būti informuotam leidžia žmonėms suprasti, kas bus daroma su jų duomenimis, ir atitinkamai priimti pagrįstus sprendimus ir labiau kontroliuoti savo asmens duomenis. Visi duomenų subjektai turi teisę gauti informaciją, kai tvarkomi jų duomenys.
Jūs, kaip duomenų valdytojas, turite pareigą informuoti duomenų subjektus.
Kokia informacija?
Pateiktina informacija skiriasi priklausomai nuo to, ar surinkote asmens duomenis tiesiogiai iš duomenų subjekto (tiesioginis rinkimas vykdomas pagal BDAR 13 straipsnį), ar gavote juos iš kito šaltinio (netiesioginis rinkimas vykdomas pagal BDAR 14 straipsnį). Toliau pateiktose lentelėse apžvelgiama informacija, kurią turite pateikti duomenų subjektui:
Be to, BDAR reikalaujama, kad Jūsų organizacija, siekdama užtikrinti sąžiningą ir skaidrų duomenų tvarkymą, pateiktų šią informaciją:
Jei duomenys toliau tvarkomi kitu suderinamu tikslu, kuris skiriasi nuo pradinio tikslo, Jūsų organizacija turi pateikti šioje antroje lentelėje nurodytą informaciją. Ši informacija turi būti pateikta prieš tolesnį tvarkymą. Tokiu atveju taip pat turite pateikti duomenų subjektui paaiškinimą, kaip nauji ir ankstesni tikslai yra suderinami tarpusavyje.
Kada reikėtų pateikti informaciją?
Jei Jūsų organizacija renka asmens duomenis tiesiogiai iš duomenų subjekto, ji turi pateikti reikiamą informaciją rinkimo metu.
Netiesioginio asmens duomenų rinkimo atveju Jūsų organizacija privalo pateikti informaciją ne vėliau kaip per vieną mėnesį nuo asmens duomenų gavimo pradžios. Šis ilgiausias vieno mėnesio laikotarpis sutrumpinamas:
- jei asmens duomenys naudojami bendravimo su duomenų subjektu tikslu. Tokiu atveju privalote informuoti duomenų subjektą ne vėliau kaip pirmą kartą pranešdami duomenų subjektui;
- jei duomenys perduodami kitam gavėjui, organizacija apie tai informuoja duomenų subjektus ne vėliau kaip asmens duomenų perdavimo metu.
Jokiomis aplinkybėmis ilgiausias vieno mėnesio laikotarpis negali būti pratęstas.
Jei vėliau pasikeičia duomenų tvarkymas (pvz., nauji gavėjai, suderinamas tikslas, perdavimas už EEE ribų ir t. t.), Jūsų organizacija bet kuriuo atveju turi informuoti duomenų subjektą prieš įsigaliojant pakeitimui ir tai turėtumėte padaryti gerokai iš anksto. Kuo didesnis pokytis, tuo anksčiau Jūsų organizacija turėtų informuoti duomenų subjektą, kad jis turėtų pakankamai laiko įvertinti šio pakeitimo poveikį ir pasinaudoti savo teisėmis.
Kada Jūsų organizacija neprivalo perduoti informacijos?
Jūsų organizacija neprivalo informuoti duomenų subjekto, jei šis asmuo jau gavo reikiamą informaciją.
Netiesioginio asmens duomenų rinkimo atveju taikomos papildomos išimtys. Tokiu atveju informacijos pateikti nebūtina, jei:
- tokios informacijos teikimas yra neįmanomas arba tam reikėtų neproporcingų pastangų. Tačiau šios išimties riba yra labai aukšta, o tai reiškia, kad duomenų valdytojas gali remtis šiuo kriterijumi tik išimtiniais atvejais;
- duomenų gavimas ar atskleidimas yra aiškiai numatytas teisės aktuose;
- asmens duomenys turi būti laikomi konfidencialiais, remiantis teisine profesine paslaptimi.
Praktika
- Kai kuriose ES šalyse pagal nacionalinius teisės aktus mokesčių administratoriai gali būti įpareigoti prašyti darbdavių pateikti tam tikrą informaciją apie darbuotojus. Tokiu atveju mokesčių administratorius neprivalo informuoti darbuotojo. Tačiau vykdydamas pareigą informuoti darbdavys informuos darbuotoją, kad mokesčių administratorius yra vienas iš asmens duomenų gavėjų.
Kaip informacija turėtų būti teikiama duomenų subjektui?
Geras informacijos teikimo būdas yra dirbti su įvairiais informacijos lygmenimis. Taip išvengiama, kad vienu metu būtų teikiama pernelyg daug informacijos, o tai gali pakenkti skaidrumui ir perkrauti duomenų subjektą informacija. Teikite informaciją keliais lygmenimis, t. y. glaustesnę ir visą būtiną informaciją. Tai ne tik supaprastina duomenų valdytojo užduotį, bet ir leidžia duomenų subjektui greitai ir veiksmingai suvokti esminę informaciją. Informacija galėtų būti pateikiama taip:
- Pirmasis pagrindinės informacijos lygmuo
- KĄ? Organizacija pateikia pagrindinės informacijos, kurios reikia duomenų subjektui, kad galėtų įvertinti duomenų tvarkymo poveikį ir apimtį (t. y. duomenų valdytojo tapatybę, duomenų tvarkymo tikslus, duomenų gavėjų kategorijas, duomenų šaltinį, duomenų subjekto teises ir t. t.), santrauką.
- KAIP? Pavyzdžiui, lentelės formatu, aiškiai matomoje vietoje su pavadinimu „Pagrindinė duomenų apsaugos informacija“ arba iššokančiais langais, kuriuose pateikiami paaiškinimai, kada renkami asmens duomenys. Jei duomenų tvarkymas grindžiamas sutikimu, šią informaciją pageidautina nurodyti toje vietoje, kurioje duomenų subjektas turi duoti sutikimą (šalia mygtuko „Sutikti“).
- KĄ? Organizacija pateikia pagrindinės informacijos, kurios reikia duomenų subjektui, kad galėtų įvertinti duomenų tvarkymo poveikį ir apimtį (t. y. duomenų valdytojo tapatybę, duomenų tvarkymo tikslus, duomenų gavėjų kategorijas, duomenų šaltinį, duomenų subjekto teises ir t. t.), santrauką.
- Antras papildomos ir išsamesnės informacijos lygmuo
- KĄ? Šioje dalyje suprantamai ir išsamiai pateikiama likusi informacija, kurią organizacija privalo pateikti pagal BDAR 13 ir 14 straipsnius.
- KAIP? Papildoma informacija gali būti teikiama keliais būdais, pavyzdžiui, pateikiant į pagrindinę informaciją įtrauktus hipersaitus arba parsisiunčiant dokumentą. Teikiant šią papildomą informaciją turėtų būti užtikrinta glaustumo ir išsamumo bei tikslumo pusiausvyra. Informacija turėtų būti struktūruota taip, kad ją būtų galima lengva perskaityti. Nepamirškite pritaikyti informacijos tikslinei grupei (pvz., jei Jūsų paslauga skirta vaikams, parašykite informaciją taip, kad jie galėtų suprasti).
Teisė susipažinti su duomenimis
Naudodamiesi savo teise susipažinti su duomenimis, duomenų subjektai gali patikrinti kiekvienos su jais susijusios duomenų tvarkymo veiklos teisėtumą.
Kai duomenų subjektai naudojasi savo teise susipažinti su duomenimis, jie turėtų gauti duomenų valdytojo patvirtinimą, ar jų asmens duomenys yra tvarkomi. Tokiu atveju duomenų subjektai gali susipažinti su savo asmens duomenimis ir gauti šią informaciją apie:
- duomenų tvarkymo tikslus;
- atitinkamų asmens duomenų kategorijas;
- asmens duomenų gavėjus (arba gavėjų kategorijas);
- asmens duomenų saugojimo laikotarpį arba kriterijus, pagal kuriuos nustatomas tas laikotarpis;
- teisę reikalauti, kad duomenų valdytojas ištaisytų ar ištrintų asmens duomenis arba apribotų su duomenų subjektu susijusių asmens duomenų tvarkymą, arba nesutikti su tokiu tvarkymu;
- teisę pateikti skundą duomenų apsaugos priežiūros institucijai;
- duomenų šaltinį (kai asmens duomenys nėra renkami tiesiogiai iš duomenų subjekto);
- automatizuoto sprendimų priėmimo, įskaitant profiliavimą, buvimą, prasminga informacija apie logiką, taip pat tokio duomenų tvarkymo svarbą ir numatomas pasekmes duomenų subjektui;
- tai, kad tuo atveju, kai asmens duomenys perduodami iš Europos Sąjungos, taikomos visos tinkamos apsaugos priemonės (pagal BDAR 46 straipsnį, susijusį su duomenų perdavimu).
Be to, asmuo turi teisę gauti (nemokamai) su juo susijusių asmens duomenų, kuriuos tvarko Jūsų organizacija, kopiją. Jei asmuo prašo papildomų kopijų, Jūsų organizacija gali nuspręsti imti pagrįstą mokestį, apskaičiuotą remiantis administracinėmis kopijavimo išlaidomis. Atkreipkite dėmesį, kad daugeliu atvejų iš asmenų negali būti reikalaujama mokėti mokestį už prieigą prie jų asmeninės informacijos.
Jei prašymas pateikiamas elektroniniu būdu, Jūsų organizacija prašomą informaciją turėtų pateikti įprastai naudojamu elektroniniu formatu, išskyrus atvejus, kai atskiri prašymai pateikiami kitaip.
Svarbu atkreipti dėmesį
Prieš pateikdami asmens duomenų kopiją, turite patikrinti, ar tai neturės įtakos kitų teisėms ir laisvėms (pvz., jei toje pačioje byloje tvarkoma su daugiau nei vienu asmeniu susijusi informacija arba informacija, susijusi su komercinėmis paslaptimis ir intelektine nuosavybe).
Teisė reikalauti ištaisyti duomenis
Duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas ištaisytų netikslius duomenis ir užpildytų neišsamius duomenis. Jei Jūsų organizacija perdavė asmens duomenis trečiosioms šalims, turite jas informuoti apie ištaisymą, išskyrus atvejus, kai tai neįmanoma arba reikalauja neproporcingų pastangų.
Praktika
- Klientas informuoja Jūsų organizaciją, kad persikraustė į kitą miestą. Jūs turite pakeisti jo adresą savo klientų duomenų bazėje.
Teisė reikalauti ištrinti duomenis (teisė būti pamirštam)
Duomenų subjektas gali prašyti, kad organizacija ištrintų su juo susijusius asmens duomenis šiais atvejais:
- asmens duomenys nebereikalingi tuo tikslu, kuriuo jie buvo surinkti
- organizacija tvarko asmens duomenis neteisėtai
- organizacija turi ištrinti asmens duomenis dėl teisinės prievolės
- duomenų subjektas atšaukia sutikimą ir duomenų tvarkymas neturi jokio kito teisinio pagrindo
- duomenų subjektas sėkmingai pasinaudojo teise nesutikti
- nepilnamečiai, davę sutikimą naudotis internetine paslauga, visada gali prašyti ištrinti tokius asmens duomenis (neatsižvelgiant į jų dabartinį amžių)
Kai asmens duomenys, kurie turi būti ištrinti, anksčiau buvo perduoti kitoms organizacijoms, turite informuoti šiuos gavėjus, kad duomenų subjektas paprašė ištrinti duomenis, nebent tai būtų neįmanoma arba dėl to reikėtų neproporcingai didelių pastangų.
Kai Jūsų organizacija privalo ištrinti viešai paskelbtus asmens duomenis, ji turi imtis visų pagrįstų veiksmų, kad informuotų kitus šiuos duomenis tvarkančius duomenų valdytojus, kad duomenų subjektas paprašė ištrinti bet kokias nuorodas į tuos asmens duomenis arba jų kopijas ar dublikatus.
Jūsų organizacija gali atsisakyti ištrinti asmens duomenis tik tam tikrais atvejais, pavyzdžiui:
- naudojimąsi teise į saviraiškos ir informacijos laisvę;
- teisinių reikalavimų nustatymą, vykdymą ar gynimą;
- organizacijai tenkančios teisinės prievolės vykdymas arba užduoties, susijusios su viešuoju interesu arba organizacijai patikėtų viešosios valdžios funkcijų vykdymu, vykdymas;
- viešojo intereso priežastys visuomenės sveikatos srityje;
- archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais (specifinėmis sąlygomis).
Praktika
- Jūsų organizacijos darbuotojas buvo atleistas. Darbuotojas prašo, kad jo asmens duomenys būtų ištrinti iš jo personalo bylos. Tačiau pagal darbo teisę reikalaujama tam tikrą laikotarpį saugoti kelis žmogiškųjų išteklių dokumentus (darbuotojų registrą, atlyginimų lapelių kopijas ir kt.). Šių dokumentų atveju turite atmesti prašymą ištrinti duomenis.
- Buvęs klientas nebenori gauti rinkodaros el. laiškų iš Jūsų organizacijos ir prašo ištrinti jų kontaktinius duomenis. Kadangi nėra įtikinamų priežasčių, dėl kurių galėtumėte toliau tvarkyti kontaktinius duomenis, turite juos ištrinti.
Teisė apriboti duomenų tvarkymą
Tam tikromis aplinkybėmis duomenų subjektai gali prašyti apriboti jų duomenų tvarkymą. Todėl Jūsų organizacija vis tiek gali saugoti asmens duomenis, tačiau privalo nutraukti bet kokią kitą duomenų tvarkymo veiklą.
Duomenų subjektas turi teisę reikalauti apriboti duomenų tvarkymą, kai:
- duomenų subjektas ginčija asmens duomenų tikslumą;
- duomenų tvarkymas yra neteisėtas: vietoj to, kad duomenys būtų ištrinti, duomenų subjektas gali prašyti apriboti asmens duomenų naudojimą;
- organizacijai asmens duomenų nebereikia, tačiau duomenys vis dar būtini, kad duomenų subjektas galėtų pareikšti ieškinį;
- duomenų subjektas pasinaudojo teise nesutikti. Apribojimas taikomas tiek laiko, kiek reikia patikrinti, ar organizacijos siekiamos teisėtos priežastys yra viršesnės už duomenų subjekto priežastis.
Jei duomenų subjektas sėkmingai pasinaudoja savo teise apriboti duomenų tvarkymą, Jūsų organizacija gali naudoti duomenis tik tam tikromis konkrečiomis aplinkybėmis, pavyzdžiui, gavusi duomenų subjekto sutikimą arba siekdama apginti teisinius reikalavimus. Ar anksčiau perdavėte „ribotus“ duomenis kitiems gavėjams? Tada turite informuoti šiuos gavėjus apie duomenų tvarkymo apribojimą, išskyrus atvejus, kai tai neįmanoma arba reikalauja neproporcingų pastangų.
Prieš panaikindami apribojimą, būtinai informuokite duomenų subjektą apie savo ketinimą tai padaryti.
Teisė į duomenų perkeliamumą
Teisė į duomenų perkeliamumą suteikia duomenų subjektams galimybę gauti savo asmens duomenis struktūruotu, įprastai naudojamu ir kompiuterio skaitomu formatu. Tokiu būdu jie gali lengvai pakartotinai naudoti duomenis ir, jei pageidauja, perduoti savo duomenis kitam duomenų valdytojui. Teise į duomenų perkeliamumą galima pasinaudoti tik tuo atveju, jei vienu metu įvykdomos šios trys sąlygos:
- duomenų tvarkymas grindžiamas sutikimu arba sutartimi;
- duomenų tvarkymas yra automatizuotas (t. y. nėra popierinių dokumentų);
- duomenų subjektai duomenis pateikė patys. Tai taip pat apima visus duomenis, kuriuos Jūsų organizacija pastebėjo pagal duomenų subjekto elgesį (pvz., su prijungtais priedais).
Todėl ši teisė netaikoma duomenims, kuriuos pati organizacija sukuria remdamasi minėtais duomenimis.
Konkrečiau, duomenų subjektai turi teisę:
- gauti savo asmens duomenis struktūruotu, įprastai naudojamu ir kompiuterio skaitomu formatu. Toks formatas turi leisti duomenų subjektui pakartotinai naudoti asmens duomenis kitai paslaugai.
Pavyzdys: XML, JSON ir CSV yra bendri formatai, atitinkantys šį kriterijų. Metaduomenys taip pat turi būti pateikti, kad duomenis būtų galima naudoti kitoje platformoje. PDF formato nepakanka. - reikalauti, kad jų asmens duomenys būtų tiesiogiai perduoti kitam duomenų valdytojui. Jūsų organizacija turėtų tai daryti tik tuo atveju, jei toks tiesioginis perdavimas yra techniškai įmanomas.
Praktika
- Jūsų organizacija teikia muzikos transliacijos internetu paslaugas. Jūsų klientai gali prašyti perkelti savo dainų sąrašus į kitą muzikos transliacijos paslaugą.
- Jūs esate įmonė, siūlanti internetinio pašto paslaugą. Jei Jūsų klientas, turintis el. pašto paskyrą, skirtą išimtinai asmeniniams ar namų ūkio poreikiams, to prašo, turite perkelti jo adresų sąrašą ir el. laiškus į kitą žiniatinklio pašto paslaugą, jei tai techniškai įmanoma. Jei tai neįmanoma, turite pateikti adresų sąrašą ir el. laiškus klientui daugkartinio naudojimo skaitmeniniu formatu.
Teisė nesutikti
Duomenų subjektai gali nesutikti, kad su jais susiję asmens duomenys būtų tvarkomi „dėl priežasčių, susijusių su jų konkrečia padėtimi“. Teise nesutikti galima pasinaudoti tik tuo atveju, jei duomenų tvarkymas grindžiamas vienu iš šių teisinių pagrindų:
- teisėtu organizacijos arba trečiosios šalies interesu; arba
- atliekama užduotis, vykdoma viešojo intereso labui, arba vykdomos viešosios valdžios funkcijos.
Kitais atvejais duomenų subjektas negali pasinaudoti teise nesutikti, nes kitais teisiniais pagrindais tam pačiam tikslui pasiekti yra alternatyvų: sutikimo atveju duomenų subjektas gali tiesiog atšaukti sutikimą. Duomenų subjektas negali prieštarauti įstatymų nustatytam duomenų tvarkymui.
Kai duomenų subjektai naudojasi savo teise nesutikti, Jūsų organizacija turi suderinti abiejų šalių interesus. Ji nutraukia bet kokį šių asmens duomenų tvarkymą, išskyrus atvejus, kai ji gali įrodyti įtikinamas teisėtas priežastis, kurios yra viršesnės už duomenų subjekto teises ir laisves (pvz., ji imasi teisinių veiksmų). Jūsų organizacija turi dokumentuoti šias priežastis ir apie jas pranešti duomenų subjektui.
Svarbu atkreipti dėmesį
Kai duomenys tvarkomi rinkodaros tikslais, duomenų subjektas turi teisę nesutikti su tokiu duomenų tvarkymu, nenurodydamas jokių priežasčių. Šiuo atveju priežastys, dėl kurių Jūsų organizacija tvarko šiuos duomenis, nėra svarbios, o dėl prieštaravimo turi būti nedelsiant nutrauktas duomenų tvarkymas šiuo tikslu.
Praktika
- Jūs esate nedidelė renginių rinkodaros įmonė. Kai asmuo perka bilietą į grupės koncertą internetu, jis gauna kitų panašių koncertų reklamą. Jei asmuo nebenori gauti šių pranešimų, organizacija privalo sustabdyti tiesioginę rinkodarą.
- Esate draudimo sektoriuje veikianti įmonė. Šioje srityje asmens duomenys tam tikrais atvejais yra reikalingi siekiant kovoti su pinigų plovimu. Jūs, kaip draudimo brokeris, galite atsisakyti imtis tolesnių veiksmų dėl teisės nesutikti, nes Jūsų nacionaliniai kovos su pinigų plovimu įstatymai įpareigoja Jus tvarkyti duomenis.
Skaityti daugiau
Teisė būti subjektu, kurio duomenų tvarkymas grindžiamas ne vien automatizuotu sprendimu
Asmuo turi teisę į tai, kad jam nebūtų taikomas visiškai automatinis sprendimas (t. y. be žmogaus įsikišimo į sprendimų priėmimo procesą), kuris turi teisinių pasekmių arba turi didelį poveikį atitinkamam asmeniui.
Automatizuotas sprendimų priėmimas dažnai susijęs su profiliavimu, kuris BDAR apibrėžiamas kaip „bet kokios formos automatizuotas asmens duomenų tvarkymas, kai asmens duomenys naudojami siekiant įvertinti tam tikrus su fiziniu asmeniu susijusius asmeninius aspektus, visų pirma siekiant išanalizuoti arba numatyti aspektus, susijusius su to fizinio asmens darbo rezultatais, ekonomine padėtimi, sveikata, asmeniniais pomėgiais, interesais, patikimumu, elgesiu, vieta ar judėjimu“ (BDAR 4 straipsnio 4 dalis).
Kad būtų galima pasinaudoti šia teise, automatizuotas duomenų tvarkymas turi būti:
- sprendimas, pagrįstas tik automatizuotu duomenų tvarkymu be žmogaus įsikišimo. Tai reiškia, kad joks fizinis asmuo negali iš esmės kontroliuoti sprendimo ir negali, pavyzdžiui, pakeisti sprendimo;
- sprendimas, kuris turi teisinę galią duomenų subjektams arba kuris jiems daro didelį poveikį.
Praktika
- Teisinių pasekmių pavyzdys galėtų būti automatinis telefonijos sutarties nutraukimas, nes klientas nesumokėjo mėnesinės sąskaitos.
- Sprendimą, kuris turi didelį poveikį asmeniui, galima rasti šiuose pavyzdžiuose (nors, žinoma, visada reikia atsižvelgti į aplinkybes vertinant, ar poveikis duomenų subjektui yra reikšmingas):
- sprendimus, kurie daro poveikį žmonių finansinei padėčiai, pvz., jų teisę atsiimti kreditą;
- automatinis prašymų teikėjų, kurie teikia paraišką per internetinę platformą, atmetimas;
- kainų diferencijavimas pagal vartotojo naršymo istoriją ir pirkimo įpročius;
- sprendimai, turintys įtakos asmens galimybei gauti išsilavinimą, pavyzdžiui, priėmimas į universitetą.
- sprendimus, kurie daro poveikį žmonių finansinei padėčiai, pvz., jų teisę atsiimti kreditą;
Vis dar galima priimti automatizuotą individualų sprendimą trimis atvejais:
- jei tai leidžiama pagal teisės aktus (pvz., sukčiavimo ar mokesčių slėpimo prevencija);
- jei sprendimas grindžiamas aiškiu duomenų subjekto sutikimu; arba
- jei tai būtina sutarties sudarymui ar vykdymui. Tačiau atminkite, kad pastaruoju atveju tai visada priklauso nuo kiekvieno konkretaus atvejo vertinimo. Kai tik atsiranda mažiau privatumo invazinių metodų sutarčiai sudaryti ar vykdyti, automatizuotas sprendimas nebelaikomas būtinu.
Jei tai susiję su neskelbtinais duomenimis, automatizuotas sprendimų priėmimas įmanomas tik remiantis aiškiu sutikimu arba esminiu viešuoju interesu pagal Sąjungos ar nacionalinę teisę.
Duomenų subjekto teisės pagal kiekvieną teisinį pagrindą
