apieasmensduomenis.popo.lt

Būtina sąlyga, kad galiotų duomenų subjekto sutikimas tvarkyti asmens duomenis, – šio sutikimo gavimas po to, kai duomenų subjektas buvo supažindintas su duomenų valdytojo ketinamu vykdyti asmens duomenų tvarkymu. Duomenų subjektui privalo būti suteikta informacija apie visus esminius ketinamo vykdyti asmens duomenų tvarkymo aspektus, kad duomenų subjektas turėtų realią galimybę įvertinti, kokią įtaką ši veikla turės jo privačiam gyvenimui, informacijos apie jį saugumui ir paplitimui, taip pat kitus duomenų subjektui aktualius niuansus. Todėl duomenų valdytojas privalo sąžiningai nurodyti duomenų subjektui, kokius asmens duomenis ir kokiais konkrečiais tikslais jis tvarkys, kaip ilgai truks asmens duomenų tvarkymas, kokius veiksmus su asmens duomenimis atliks, kaip naudos asmens duomenis, kam teiks asmens duomenis, ar asmens duomenis viešins. Duomenų valdytojas privalo nurodyti ir kitus svarbius asmens duomenų tvarkymo aspektus bei supažindinti duomenų subjektą su jo teise atšaukti duotą sutikimą.

Visa informacija apie planuojamą asmens duomenų tvarkymą privalo būti pateikta duomenų subjektui aiškiai ir suprantamai, duomenų subjektas negali būti verčiamas pats šios informacijos ieškoti – kreiptis į duomenų valdytojo nurodytus asmenis, ieškoti informacijos duomenų valdytojo nurodytame interneto puslapyje ar pan. Be to, teikiama informacija turi būti adaptuota duomenų subjekto gebėjimui ją suprasti: negali būti vartojami tik specialistams suprantami terminai, juo labiau, informacija negali būti pateikiama duomenų subjektui nepriimtina kalba. Jeigu siekiama gauti nepilnamečio sutikimą dėl jo asmens duomenų tvarkymo, pateikiamos informacijos tekstas turėtų būti dar labiau supaprastinamas ir padaromas suprantamu vaikams. Nutylėjus svarbią informaciją apie duomenų valdytojo planuojamą asmens duomenų tvarkymą ar nepasirūpinus, kad teikiama informacija duomenų subjektui būtų suprantama, duomenų subjekto duotas sutikimas laikomas negaliojančiu, o jo asmens duomenų tvarkymas – vykdomu neteisėtai.

Kad duomenų subjekto sutikimas galiotų ir būtų teisėtu pagrindu tvarkyti duomenų subjekto asmens duomenis, sutikimas turi būti duotas laisva valia, tai yra duomenų subjektui turint realų laisvą pasirinkimą tokį sutikimą duoti arba jo neduoti. Sutikimas nelaikomas duotu laisva valia, jeigu jis gautas apgaulės, grasinimo ar prievartos pagalba. Prievarta neturėtų būti tapatinama tik su tiesiogine fizine prievarta. Sukūrimas tokios situacijos, kai duomenų subjektas neturi kitokios išeities tik sutikti su jo asmens duomenų tvarkymu, taip pat laikytinas prievarta, kurios pagalba gautas duomenų subjekto sutikimas dėl jo asmens duomenų tvarkymo. Pavyzdžiui, jeigu visuomeniniu transportu būtų galima pasinaudoti tik turint specialų bilietą, o įsigyjant šį bilietą būtų privaloma pateikti savo asmens duomenis, kurie būtų renkami ir toliau tvarkomi tam tikrais tikslais, šis asmens duomenų tvarkymas negalėtų būti grindžiamas duomenų subjekto sutikimu, nes sutikimas būtų duodamas, duomenų subjektui neturint realios pasirinkimo sutikti ar nesutikti su jo asmens duomenų tvarkymu laisvės.

Sutikimas taip pat nelaikomas savanorišku ir galiojančiu, jeigu jį duomenų subjektas davė, siekdamas išvengti neigiamų pasekmių, kurios galėtų kilti tuo atveju, jeigu jis neduotų sutikimo. Neretai sutikimas dėl asmens duomenų tvarkymo duodamas, siekiant išvengti galimų neigiamų pasekmių, tais atvejais, kai duomenų subjektą ir duomenų valdytoją sieja pavaldumo ar kitokie priklausomybės santykiai. Jeigu duomenų subjektas sutiko, kad jo asmens duomenys būtų tvarkomi, dėl tos priežasties, kad duomenų valdytojas turi valdingų įgaliojimų jo atžvilgiu, toks sutikimas negali būti laikomas galiojančiu. Dėl šios priežasties duomenų subjekto sutikimas paprastai negali būti pagrindas darbdaviui tvarkyti darbuotojų asmens duomenis, o valstybės ir savivaldybių institucijoms – tvarkyti gyventojų asmens duomenis. Tokia yra bendroji taisyklė, bet darbdavys, valstybės ir savivaldybių institucijos savo pačių veiksmais gali pasiekti, kad tam tikrais atvejais ši taisyklė nebūtų taikoma. Ribojimas sutikimo pagrindu tvarkyti darbuotojų asmens duomenis, kitų asmenų, kurių atžvilgiu turimi valdingi įgaliojimai, asmens duomenis nebūtų taikomas tuo atveju, jeigu darbuotojui ar kitam asmeniui būtų sudarytos sąlygos laisvai (be baimės dėl galimų neigiamų padarinių) pasirinkti sutikti ar nesutikti, kad būtų tvarkomi jo asmens duomenys. Pavyzdžiui, darbdaviui nusprendus diegti saugos sistemą, kai į darbo patalpas būtų patenkama, naudojant piršto atspaudus, darbdavys galėtų teigti gavęs savanorišką darbuotojų sutikimą tvarkyti jų pirštų atspaudų duomenis tuo atveju, jeigu darbuotojams būtų sudaryta galimybė pasirinkti patekti į darbo patalpas pirštų atspaudų arba kortelės pagalba ir tam tikri darbuotojai būtų pasirinkę pirmąjį variantą.

Neigiamomis pasekmėmis, kurios paneigia duomenų subjekto sutikimo savanoriškumą, laikomi ne visi duomenų subjektui nepriimtini padariniai. Antai negavimas tam tikrų privilegijų, kurias duomenų subjektas gautų, jeigu duotų sutikimą tvarkyti jo asmens duomenis, nelaikytinas spaudimu, dėl kurio duomenų subjekto duotas sutikimas turėtų būti laikomas negaliojančiu. Šios privilegijos tėra atlygis duomenų subjektui už savanorišką savo teisių apribojimą. Suvokimas, kad nedavęs sutikimo tvarkyti savo asmens duomenų, negaus tam tikrų lengvatų, visgi neatima iš duomenų subjekto laisvės pasirinkti sutikti ar nesutikti su jo asmens duomenų tvarkymu. Todėl susiviliojęs lojalumo kortele ir jos teikiamomis lengvatomis mainais į savo privatumo suvaržymą, duomenų subjektas negali ginčyti, kad jis sutikimą tvarkyti jo asmens duomenis davė ne laisva valia.

Ankstesniame tekste, skirtame bendrosioms duomenų subjekto sutikimo, kad būtų tvarkomi jo asmens duomenys, sąlygoms, buvo paminėta, kad duomenų subjekto sutikimas galioja ir legalizuoja duomenų valdytojo vykdomą asmens duomenų tvarkymą tik tuo atveju, jeigu sutikimas gautas, laikantis tam tikrų sąlygų. Buvo išskirtos šešios sąlygos, tarp kurių paminėtos ir šios trys: nėra abejonių, kad sutikimą davė būtent duomenų subjektas; sutikimas duotas, duomenų subjektui suvokiant sutikimo padarinius; sutikimas aiškiai išreiškia duomenų subjekto valią.

Atsakomybė už tai, kad duomenų subjekto sutikimas dėl jo asmens duomenų tvarkymo būtų gautas, laikantis nustatytųjų sąlygų, tenka duomenų valdytojui. Būtent jam tenka pareiga organizuoti duomenų subjekto sutikimo gavimo procesą tokiu būdu, kad gautas sutikimas galėtų būti traktuojamas teisėtu duomenų subjekto asmens duomenų tvarkymo pagrindu. Be to, kilus ginčui, būtent duomenų valdytojui teks pareiga įrodyti, kad duomenų subjekto sutikimas buvo gautas ir kad šis sutikimas galioja, tai yra atitinka visas nustatytas sąlygas.

Visų pirma, duomenų valdytojas privalo gauti duomenų subjekto sutikimą tokia forma, kuri neginčijamai patvirtintų, kad sutikimą pareiškė pats duomenų subjektas. Kuo jautresni asmens duomenys bus tvarkomi, remiantis duomenų subjekto sutikimu, tuo aukštesni reikalavimai keliami sutikimo įforminimui. Todėl, pavyzdžiui, ketinant tvarkyti duomenų subjekto finansinius duomenis, turėtų būti gaunamas rašytinis duomenų subjekto sutikimas, kuris turėtų būti įforminamas, tik prieš tai patikrinus sutikimą duodančio asmens tapatybę. Reikia pažymėti, kad Asmens duomenų teisinės apsaugos įstatymas nereikalauja rašytinio duomenų subjekto sutikimo. Įstatymo 2 straipsnio 12 dalyje tėra numatyta, kad sutikimas tvarkyti ypatingus asmens duomenis turi būti išreikštas aiškiai – rašytine, jai prilyginta ar kita forma, neabejotinai įrodančia duomenų subjekto valią. Tačiau aiškumo reikalavimas taikomas duomenų subjekto sutikimui tiek dėl ypatingų asmens duomenų, tiek ir dėl kitų asmens duomenų tvarkymo, todėl nepaisant Asmens duomenų teisinės apsaugos įstatyme parodyto didesnio dėmesio ypatingų asmens duomenų kategorijai, siekiant gauti galiojantį duomenų subjekto sutikimą dėl jo asmens duomenų tvarkymo, griežtai turėtų būti laikomasi aukščiau nurodytųjų sąlygų. Aptariamame kontekste skirtumas tarp ypatingų asmens duomenų ir kitų asmens duomenų tvarkymo duomenų subjekto sutikimo pagrindu galėtų būti įžvelgiamas nebent toks, kad ir nežymus nusižengimas keliamoms sąlygoms, gaunant duomenų subjekto sutikimą dėl ypatingų asmens duomenų tvarkymo, gali būti pagrindas traktuoti šį duomenų subjekto sutikimą negaliojančiu.

Antra, duomenų subjektas tą veiksmą, kurį duomenų valdytojas traktuos kaip sutikimą dėl asmens duomenų tvarkymo, pats turi suvokti ir vertinti kaip išreiškiantį jo valią dėl jo asmens duomenų tvarkymo. Duomenų valdytojas duomenų subjekto sutikimu dėl jo asmens duomenų tvarkymo negali laikyti tokių duomenų subjekto veiksmų, su kuriais pats duomenų subjektas nesiejo savo valios dėl būsimo asmens duomenų tvarkymo pareiškimo. Pavyzdžiui, duomenų valdytojas negali teigti, kad duomenų subjektas, pasidomėjęs duomenų valdytojo gaminama produkcija, jos kokybe ir kaina, pareiškė valią gauti pasiūlymus įsigyti šią produkciją, tai yra, kad duomenų subjektas davė sutikimą, jog jo asmens duomenys būtų tvarkomi tiesioginės rinkodaros tikslu.

Trečioji sąlyga yra itin svarbi, vertinant duomenų subjekto sutikimo galiojimą, – sutikimas turi būti aiškus, tai yra turi aiškiai išreikšti duomenų subjekto valią. Ši sąlyga reiškia, kad tas veiksmas, kuris traktuojamas esančiu duomenų subjekto valios pareiškimu dėl jo asmens duomenų tvarkymo, turi reprezentuoti neginčijamą duomenų subjekto pritarimą, kad būtų tvarkomi jo asmens duomenys. Aiškumo reikalavimas lemia, kad duomenų subjekto sutikimas negali būti išreiškiamas neveikimu, pavyzdžiui nereagavimu į duomenų valdytojo kreipimąsi. Todėl duomenų valdytojas, siekdamas gauti duomenų subjekto sutikimą dėl jo asmens duomenų tvarkymo, negali nurodyti, kad jei duomenų subjektas neatsakys į duomenų valdytojo pateiktą siūlymą per tam tikrą laiką, bus laikoma, kad duomenų subjektas davė sutikimą dėl jo asmens duomenų tvarkymo. Kad neveikimu negali būti išreiškiamas duomenų subjekto pritarimas jo asmens duomenų tvarkymui patvirtina ir kita duomenų subjekto sutikimui keliama sąlyga, kuri aptariama kitame tekste, – tai duomenų subjekto sutikimo konkretumas. Duomenų subjekto sutikimas turi išreikšti, kokio turinio asmens duomenų tvarkymui duomenų subjektas pritaria, o neveikimas, jeigu jis būtų traktuojamas duomenų subjekto sutikimu dėl jo asmens duomenų tvarkymo, nesuteiktų informacijos, su kokios apimties, kokio pobūdžio asmens duomenų tvarkymu duomenų subjektas sutinka.

Aiškumo reikalavimas taip pat suponuoja, kad rašte, kuriuo duomenų subjektas pareiškia sutikimą dėl jo asmens duomenų tvarkymo, būtų vartojami žodžiai „sutinku, kad mano asmens duomenys…“ arba panaši sutikimą išreiškianti formulė. Sutikimas negali būti išvedamas iš aptakaus duomenų subjekto pasirašyto teksto konteksto. Duomenų subjekto sutikimas privalo būti tiesiogiai išreikštas duomenų subjekto veiksmuose, negali būti tik šių veiksmų interpretavimo (visuomet subjektyvaus, įtakoto duomenų valdytojo siekių) padarinys.

Asmens duomenys gali būti renkami, kaupiami ir kitaip tvarkomi tik tuomet, jeigu tam egzistuoja teisinis pagrindas. Kada gali būti tvarkomi asmens duomenys, nustatyta Asmens duomenų teisinės apsaugos įstatyme. Šio įstatymo 5 straipsnyje (įvardintame „Asmens duomenų teisėto tvarkymo kriterijai“) pateiktas baigtinis sąrašas aplinkybių, sudarančių teisinį pagrindą asmens duomenų tvarkymui. Sąraše pirmuoju pagrindu, leidžiančiu tvarkyti asmens duomenis, nurodytas duomenų subjekto sutikimas, tai yra asmens duomenys gali būti tvarkomi, jeigu duomenų subjektas duoda sutikimą. Tačiau tiek teoriniu, tiek praktiniu požiūriu duomenų subjekto sutikimas minėtame sąraše turėtų būti nurodytas paskutiniuoju ir turėtų būti taikomas tik tuomet, kai negalima pasiremti jokiu kitu sąraše nurodytu pagrindu. Kodėl duomenų subjekto sutikimas turėtų būti laikomas kraštutine priemone, paaiškina keltas toliau pateikiamų aplinkybių.

Pirmiausia, visi kiti Asmens duomenų teisinės apsaugos įstatymo 5 straipsnio 1 dalyje minimi asmens duomenų tvarkymo pagrindai (asmens duomenų teisėto tvarkymo kriterijai) išreiškia vieną ar kitą aplinkybę, kuri pripažįstama tiek svarbia, kad pateisina duomenų subjekto teisių apribojimą ir jos pagrindu leidžiamas duomenų subjekto asmens duomenų tvarkymas. Tokios svarbos aplinkybėmis įstatyme laikoma, pavyzdžiui, paties duomenų subjekto esminių interesų apsauga, valstybės ar savivaldybės institucijai suteiktų oficialių įgaliojimų vykdymas, su duomenų subjektu sudarytos sutarties vykdymas.  Jeigu neegzistuoja minėtų Asmens duomenų teisinės apsaugos įstatyme nustatytų svarbių aplinkybių tvarkyti asmens duomenis, belieka kreiptis į duomenų subjektą, kad jis duotų sutikimą dėl jo asmens duomenų tvarkymo. Kreipimasis į duomenų subjektą dėl sutikimo savaime išreiškia, kad neegzistuoja svarbių ir teisiniu požiūriu pateisinamų priežasčių pradėti tvarkyti asmens duomenis. Vienintelė aplinkybė, kuri šiuo atveju leistų tvarkyti duomenų subjekto asmens duomenis, – tai paties duomenų subjekto sutikimas apriboti savo teisę į privatų gyvenimą bei kitas teises. Tai akivaizdžiai parodo, kad sutikimas – kraštutinė priemonė, norint tvarkyti asmens duomenis. Šis kraštutinumas itin aktualus duomenų subjektui – jeigu jis neduos sutikimo, jo asmens duomenys negalės būti tvarkomi, todėl duodamas sutikimą dėl jo asmens duomenų tvarkymo, duomenų subjektas tampa bendrininku veiksmų, kuriais apribojamos jo paties teisės.

Sutikimas dėl asmens duomenų tvarkymo neturėtų būti itin patrauklus nei duomenų subjektui, nes padidėja jo paties atsakomybė už tinkamą jo asmens duomenų tvarkymą, nei duomenų valdytojui, nes galimybė tvarkyti asmens duomenis tampa visiškai priklausoma nuo duomenų subjekto valios. Ši priklausomybė neretai pamirštama, nors sudaro duomenų subjekto sutikimo esmę. Išimtinai nuo duomenų subjekto valios priklauso ne tik tai, ar bus pradėtas asmens duomenų tvarkymas, bet ir tai, kokia apimtimi, kokiomis sąlygomis jis galės būti vykdomas, kada turės būti nutrauktas. Duomenų subjekto sutikimas, kaip bus aptarta vėliau, kad galiotų, privalo būti konkretus. Tai yra, duomenų subjektas gali duoti sutikimą, kad tam tikras duomenų valdytojas tvarkytų tam tikrus jo asmens duomenis tam tikrais tikslais tam tikromis sąlygomis ir tam tikrą laikotarpį. Taigi, dėl asmens duomenų tvarkymo apimties ir turinio sprendžia duomenų subjektas. Jis, pavyzdžiui, gali kelti sąlygą, kad jo asmens duomenys nebūtų teikiami tretiesiems asmenims, kad nebūtų tvarkomi tiesioginės rinkodaros tikslais, kad būtų tvarkomi tik vienerius metus, kad kiekvieną kartą, prieš panaudojant jo asmens duomenis, būtų gaunamas papildomas jo sutikimas ir pan. Duomenų valdytojui belieka tik sutikti su duomenų subjekto keliamomis sąlygomis. Jeigu šios sąlygos duomenų valdytojo netenkintų – jam tektų atsisakyti ketinimo tvarkyti duomenų subjekto asmens duomenis. Taip pat svarbu pažymėti, kad duomenų subjektas turi teisę bet kuriuo metu atšaukti sutikimą dėl jo asmens duomenų tvarkymo. Kadangi sutikimas – laisvos valios aktas, tai duomenų subjektas savo paties nuožiūra sprendžia, kada tokį sutikimą duoti ir kada jį atšaukti. Todėl duomenų valdytojas, pradėdamas tvarkyti asmens duomenis duomenų subjekto sutikimo pagrindu, negali būti tikras, kad galės šiuos duomenis tvarkyti tiek laiko, kiek duomenys jam bus reikalingi. Dėl šios priežasties, prieš pradedant asmens duomenų tvarkymą, būtina įvertinti, ar neegzistuoja kuris nors kitas Asmens duomenų teisinės apsaugos įstatymo 5 straipsnio 1 dalies 2-6 punktuose numatytas asmens duomenų tvarkymo pagrindas, kuris garantuotų stabilesnį ir labiau planuojamą asmens duomenų tvarkymą.

Galiausiai, kad asmens duomenys galėtų būti tvarkomi duomenų subjekto sutikimo pagrindu, šis sutikimas turi būti gautas, laikantis tam tikrų sąlygų. Šių sąlygų neatitinkantis duomenų subjekto sutikimas laikomas negaliojančiu ir negali pateisinti duomenų subjekto asmens duomenų tvarkymo. Duomenų subjekto sutikimo galiojimo sąlygos yra šios: 1) nėra abejonių, kad sutikimą davė būtent duomenų subjektas; 2) sutikimas duotas laisva valia; 3) sutikimas duotas, duomenų subjektui suvokiant sutikimo padarinius; 4) sutikimas aiškiai išreiškia duomenų subjekto valią; 5) sutikimas duotas, turint pakankamai informacijos apie numatomą vykdyti asmens duomenų tvarkymą; 6) sutikimas yra konkretus. Detaliau šios sąlygos aptariamos kituose tekstuose.