Nemaloni istorija
Į "Kauno dienos" redakciją kreipėsi žinomos įmonės darbuotojų elgesiu nepatenkintas kaunietis Mantas.
Jam užkliuvo, kad "Apple" produktų garantiniu aptarnavimu besirūpinanti bendrovė "iDeal" nutekino kliento asmens duomenis trečiajai šaliai.
Pasak Manto, ši nemaloni istorija nutiko Kauno "Akropolyje" įsikūrusiame įmonės salone. Prieš keletą mėnesių salono darbuotojams atnešęs drėgmės pažeistą telefono aparatą, kaunietis paliko jį apžiūrai. Klientus aptarnaujančio vadybininko paprašytas, Mantas nurodė savo asmens ir kontaktinius duomenis.
Praėjus šiek tiek laiko, kauniečio teigimu, su juo susisiekė įmonės darbuotojas ir informavo apie numatomą remonto kainą. Kadangi paslaugos kaina kliento netenkino, neremontuotą įrenginį kartu su defektavimo aktu jis atsiėmė, o vėliau telefoną tiesiog pardavė.
Mojavo defektavimo aktu
Atrodė, kad istorija tuo ir baigėsi. Deja, praėjus beveik dviem mėnesiams po aparato pardavimo, Mantui teko gerokai nustebti, kai iš savo pažįstamų sužinojo, kad kažkoks pilietis viename Kauno lombardų mojuoja identišku jo turimam defektavimo aktu.
Paaiškėjo, kad lombarde įsigijęs, anksčiau Mantui priklausiusį telefoną, asmuo kreipėsi į "iDeal" saloną, prašydamas įrenginį patikrinti. Tame salone jis gavo defektavimo akto kopiją, su kuria grįžo į telefono įsigijimo vietą – lombardą ir pareiškė nebenorįs nekokybiško aparato.
Pasak "Kauno dienos" pašnekovo, telefoną įsigijęs asmuo kaip įrodymą nunešė lombardo darbuotojams defektavimo aktą.
Atsakymas pribloškė
Nieko čia gal ir nebūtų blogo, jei ne faktas, kad defektavimo akte yra nurodyti buvusio savininko asmens ir kontaktiniai duomenys.
Pasipiktinęs tokiu "iDeal" darbuotojų elgesiu, Mantas pats nuvyko į saloną paklausti, kodėl jo duomenys buvo perduoti trečiajai šaliai. Atsakymas jį pribloškė: pasak pašnekovo, įmonės darbuotojai pasiteisino, neva pats klientas jų neįspėjęs apie tai, kad duomenų negalima teikti.
Dienraščio žurnalistai paprašė bendrovės "iDeal" atstovų atsakyti į klausimą, ar tikrai įmonė be kliento sutikimo perdavė asmens duomenis tretiesiems asmenims.
Į klausimą buvo gautas aptakus atsakymas, kuriame teigiama, kad defektavimo akte buvo nurodyta informacija apie nustatytus telefono aparato gedimus. Apie akte užrašytus asmens duomenis įmonės atstovas neužsiminė, tačiau užtikrino, kad įmonė klientų pateikiamus asmens duomenis tvarko ir naudoja tik tiek, kiek reikalinga suteikti tinkamas ir kokybiškas paslaugas.
Duomenys buvo perduoti
"Visi darbuotojai, veikdami įmonės vardu, taip pat saugo asmens duomenų paslaptį ir gali juos tvarkyti tik tuo tikslu, kuriuo jie buvo surinkti. Mūsų įmonė neturi jokių siekių panaudoti ar paviešinti klientų asmeninius duomenis ir visapusiškai stengiasi užtikrinti jų saugumą", – bandė įtikinti bendrovės "iDeal-Apple Premium Reseller" atstovas Paulius Orinas.
Tiesa, jis patvirtino, kad naujai telefoną įsigijusio kliento prašymu defektavimo akto kopija jam išties buvo pateikta. Tokią pat akto kopiją gavo ir redakcija. Joje aiškiai matyti informacija apie buvusį telefono savininką: dokumente nurodytas vardas, pavardė, taip pat kontaktiniai duomenys. Kaip informacijos apie klientą pateikimas tretiesiems asmenims suderinamas su įmonės deklaruojamomis pastangomis užtikrinti duomenų saugumą, lieka neaišku.
Komentaras
Gitana Butrimienė
Advokatė
Vertinant situaciją, reikėtų atkreipti dėmesį, kad "iDeal" nepagrįstai teigia, jog pats klientas jų neįspėjo apie tai, kad duomenų negalima teikti.
Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas (ADTAĮ), kurio tikslas – ginti žmogaus privataus gyvenimo neliečiamumo teisę tvarkant asmens duomenis, numato, kad asmens duomenys – tai bet kuri informacija, susijusi su fiziniu asmeniu – duomenų subjektu, kurio tapatybė yra žinoma arba gali būti tiesiogiai ar netiesiogiai nustatyta pasinaudojant tokiais duomenimis kaip asmens kodas, vienas arba keli asmeniui būdingi fizinio, fiziologinio, psichologinio, ekonominio, kultūrinio ar socialinio pobūdžio požymiai.
Iš esmės tapatus asmens duomenų apibrėžimas yra įtvirtintas ir 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyvos, su kuria suderintas ADTAĮ, 95/46/EB "dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo" 2 str. a dalyje.
Taigi, asmens duomenis sudaro bet kokia informacija, susijusi su fiziniu asmeniu, iš kurios galima identifikuoti konkretų asmenį: vardas ir pavardė, asmens kodas, gimimo data, gyvenamosios vietos adresas, telefono numeris, elektroninis paštas, įskaitant vaizdo stebėjimą ir panašiai. Šių duomenų teikimas, tai yra atskleidimas perduodant ar kitu būdu padarant juos prieinamus, o šių duomenų tvarkymas – tai bet kuris su asmens duomenimis atliekamas veiksmas: rinkimas, užrašymas, kaupimas, saugojimas, klasifikavimas, grupavimas, jungimas, keitimas (papildymas ar taisymas), teikimas, paskelbimas, naudojimas, loginės ir (arba) aritmetinės operacijos, paieška, skleidimas, naikinimas ar kitoks veiksmas arba veiksmų rinkinys.
ADTAĮ 5 str. nurodyta, kad asmens duomenys gali būti tvarkomi, jeigu duomenų subjektas duoda sutikimą. Todėl asmens duomenys apie klientą negalėjo būti teikti tretiesiems asmenims be kliento sutikimo. Taigi, nagrinėjamu atveju "iDeal" veiksmai, kai pašaliniam asmeniui pateikta defektavimo akto kopija su kliento asmens duomenimis, nesant nė vieno ADTAĮ 5 str. 1 d. nustatyto asmens duomenų teisėto tvarkymo kriterijaus, galėtų būti vertintini kaip neteisėti, tuo pažeidžiant ADTAĮ 3 str. 1 d. 2 d.
Asmenų skundus dėl asmens duomenų tvarkymo teisėtumo nagrinėja Valstybinė asmens duomenų inspekcija, o asmens duomenų tvarkymas pažeidžiant Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymą užtraukia baudą nuo 144 iki 289 eurų.
Pažymėtina, dar ir tai, kad ADTAĮ 27 str. 1 d. nustato, jog jei asmens duomenys teikiami minėto įstatymo 5 straipsnio 1 dalies 5 ar 6 punktuose nustatytais atvejais (t.y. kai įgyvendinami oficialūs įgaliojimai, įstatymais ir kitais teisės aktais suteikti valstybės bei savivaldybių institucijoms, įstaigoms ir įmonėms arba trečiajam asmeniui, kuriam teikiami asmens duomenys; reikia tvarkyti dėl teisėto intereso, kurio siekia duomenų valdytojas arba trečiasis asmuo, kuriam teikiami asmens duomenys, ir jei duomenų subjekto interesai nėra svarbesni), duomenų valdytojas privalo supažindinti duomenų subjektą su jo teise nesutikti, kad būtų tvarkomi jo asmens duomenys. Taigi, net ir tuo atveju, jei asmens duomenys tvarkomi teisėtai, asmens duomenų subjektas turi teisę nesutikti, kad būtų tvarkomi jo asmens duomenys, ir jeigu duomenų subjekto nesutikimas yra teisiškai pagrįstas, duomenų valdytojas privalo nedelsdamas neatlygintinai nutraukti asmens duomenų tvarkymo veiksmus, išskyrus įstatymų nustatytus atvejus, ir informuoti duomenų gavėjus.
Pateikiamas advokato komentaras yra bendrojo pobūdžio ir negali būti traktuojamas kaip individuali teisinė konsultacija.
Naujausi komentarai