Dažnai viešojoje erdvėje pasigirsta įspėjimų, kad su savo asmens duomenimis reiktų elgtis atsakingai ir nepatikėti jų bet kam. Ne ką mažiau yra pamokančių istorijų, kas nutinka, kai žmogaus asmens duomenimis pasinaudojama rinkodaros ar net nusikalstamais tikslais, bet, vargu, ar kada susimąstėte, kad jūsų asmens duomenys, kuriuos patikite valstybės institucijoms, taip pat ne visuomet saugūs?
Naujienų portalas Balsas.lt sulaukė skaitytojo laiško, kuriame aprašyta istorija iš pirmo žvilgsnio pasirodė neįtikėtina: žmogus, apsilankęs Valstybinėje mokesčių inspekcijoje, netrukus į asmeninį elektroninį paštą gavo sveikinimą tapus įmonės vadovu ir komercinį pasiūlymą.
Duomenys patikėti tik VMI
Laiške skaitytojas rašė: „Neseniai teko lankytis Vilniaus apskrities valstybinėje mokesčių inspekcijoje (VMI), pats jokios įmonės nesteigiau tik padėjau sutvarkyti dokumentus, todėl mokesčių inspekcijoje, registruojant uždarąją akcinę bendrovę kaip naują mokesčių mokėtoją, buvo nurodytas mano elektroninis paštas, bet jis be VMI niekam niekur neturėjo būti atskleistas. Registrų centrui, registruojant bendrovę, nebuvo šis elektroninis paštas iš viso nurodytas, bet netrukus į mano elektroninį paštą „atskriejo“ laiškas su komerciniu pasiūlymu dėl privalomų darbuotojų saugos ir sveikatos dokumentų parengimo.“
„Buvau nemaloniai nustebęs dėl tokio mano duomenų panaudojimo, nes duomenis įrašiau tik į įstatymo numatytas dokumentų formas ir jokių kitų anketų ar papildomų dokumentų nepildžiau. Norėčiau sužinoti, ar Vilniaus apskrities VMI nepažeidė Asmens apsaugos duomenų įstatymo, perduodama mano elekroninio pašto adresą verslo įmonei, kuri šiuos panaudojo savo komerciniams tikslams? – laiške klausė skaitytojas.
Įmonė adresų šaltiniu nurodo VMI
Naujienų portalas susisiekė su komercinį pasiūlymą skaitytojui pateikusia UAB „Redasa“. Komerciniame pasiūlyme savo kontaktus palikusi šios įmonės specialistė Vaida Virštutytė, paklausta, iš kur surenkami kontaktiniai adresai, sakė: „Veikiausiai to žmogaus elektroninis paštas yra internete. Viskas priklauso nuo to, kas kaip moka surasti.“
Priminus pašnekovei, kad skaitytojas gavo sveikinimą tapus įmonė vadovu ir pasiklausus, ar įmonė visus potencialius klientus taip sveikina, V. Virštutytė sakė: „Ne visus, tik tuos, kurie įsteigia įmones.“
Paprašius patikslinti, kaip sužinoma, kad vienas ar kitas žmogus įsteigė įmonę, pašnekovė teigė, kad visi rinkodarai naudojami elektroninio pašto adresai surandami VMI svetainėje. Į klausimą, kaip vis tik surenkami būtent naujų įmonių adresai, V. Viršutytė nurodė dar vieną būdą: „Pagal įmonių pavadinimus, be to, yra tinklalapių, kur galima šiuos adresus pirkti, pasinaudokite interneto paieška“, – ragino pašnekovė.
Naujienų portalo Balsas.lt žurnalistai patys pabandė atrasti neva viešai sklebiamus duomenis, bet po nesėkmingų paieškų, nutarėme dar kartą paskambinti pašnekovei ir paprašyti, kad ji pagelbėtų surasti, kur internete galima surinkti naujų įmonių adresus, bet ši nebuvo nusiteikusi padėti: „Tikrai nepadėsiu, tai vieša informacija, mano toks darbas ir kiekvienas turi savo metodus“, – kalbėjo V. Viršutytė.
VMI: įstatymų laikomasi
Vilniaus apskrities valstybinės mokesčių inspekcijos Mokestinių prievolių departamento direktorius Dainoras Bradauskas, komentuodamas situaciją sakė: Vilniaus AVMI mokesčių mokėtojų duomenis tvarko ir teikia vadovaudamasi Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (Žin., 1996, Nr. 63-1479; 2008, Nr. 22-804), Lietuvos Respublikos mokesčių administravimo įstatymu (Žin., 2004, Nr. 63-2243, toliau – MAĮ) ir kitais teisės aktais. MAĮ 38 straipsnio 1 dalyje nustatyta, kad informacija apie mokesčių mokėtoją, pateikta mokesčių administratoriui, turi būti laikoma paslaptyje ir naudojama tik teisėtiems tikslams. Šio straipsnio 2 dalyje nurodyta, kad tam tikra informacija nėra laikoma paslaptyje (pvz., mokesčių mokėtojo identifikacinis numeris, įregistravimo į mokesčių mokėtojų registrą ir išregistravimo datos, kita pagal Lietuvos Respublikos įstatymus paslaptimi nelaikoma informacija). Paslaptyje nelaikomą informaciją mokesčių administratorius gali paskleisti be mokesčių mokėtojo sutikimo ar žinios.“
Pašnekovo tegimu, Vilniaus AVMI niekam (taip pat ir įmonėms) neteikia paslaptyje laikomos informacijos apie mokesčių mokėtoją, jeigu tam nėra vieno iš išvardintų pagrindų. „Atsižvelgiant į tai, kad elektroninio pašto adresą asmuo nurodė registruodamas naują mokesčių mokėtoją, šiuo atveju teikiant duomenis vadovaujamasi ne tik minėtais įstatymais, bet ir Mokesčių mokėtojų registro nuostatais (toliau – Nuostatai), patvirtintais Lietuvos Respublikos Vyriausybės 2000 m. rugsėjo 6 d. nutarimu Nr. 1059 (Žin., 2000, Nr. 77-2333; 2011, Nr. 113-5319). Jų 86 punkte nustatyta, kad šių nuostatų 93 punkte nurodyti duomenys yra skelbiami viešai (t. y., šie duomenys priskiriami paslaptyje nelaikomai informacijai).
Pagal minėtą 93 punktą, Valstybinės mokesčių inspekcijos interneto svetainėje skelbiami šie Mokesčių mokėtojų registre esantys Lietuvos juridinių asmenų duomenys: mokesčių mokėtojo identifikacinis numeris ir pavadinimas; buveinės adresas ir šiuo adresu esantys elektroninių ryšių rekvizitai (pagal Nuostatų 9 punktą, elektroninių ryšių rekvizitai – telefono ryšio numeris, fakso ryšio numeris, elektroninio pašto adresas, interneto svetainės adresas); mokesčių mokėtojo struktūrinio padalinio – biuro (kontoros) – adresas ir šiuo adresu esantys elektroninių ryšių rekvizitai; mokesčių mokėtojo tipo pavadinimas; įregistravimo į registrą data ir kt. Taigi jei registruojant mokesčių mokėtoją elektroninio pašto adresas nurodomas kaip bendrovės buveinės elektroninių ryšių rekvizitas, jis, vadovaujantis Nuostatų 93 punktu, yra skelbiamas Valstybinės mokesčių inspekcijos interneto svetainėje.“
Anot pašnekovo, mokesčių mokėtojų asmens duomenų saugumas užtikrinamas įgyvendinant Vilniaus AVMI visas Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme ir kituose teisės aktuose numatytas technines ir organizacines duomenų apsaugos priemones. Specialisto tegimu, anksčiau tokio pobūdžio skundų Vilniaus AVMI nėra gavusi.
Duomenų panaudojimui – būtinas sutikimas
Naujienų portalas Balsas.lt pasiteiravo Valstybinės duomenų apsaugos inspekcijos specialistų, ar tokiu atveju, jeigu paaiškėtų, kad asmens elektroninis paštas buvo gautas iš VMI ir panaudotas rinkodaros tikslais, ar tokiu atveju būtų pažeistas Asmens duomenų teisinės apsaugos įstatymas?
Šie atsakė, kad Asmens duomenų tvarkymas (taip pat ir teikimas) laikomas teisėtu tik tuo atveju, jeigu jis atitinka Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo (Žin., 1996, Nr. 63-1479; 2008, Nr.22-804) (toliau – ADTAĮ) 3 ir 5 straipsnių nuostatas, t.y. asmens duomenys gali būti tvarkomi tik esant iš anksto apibrėžtam ir teisėtam asmens duomenų tvarkymo tikslui, tik tokios apimties, kurios reikia šiam tikslui pasiekti, ir tik esant nors vienam iš ADTAĮ 5 straipsnyje numatytų teisėto tvarkymo kriterijų.
Anot specialistų, vadovaujantis ADTAĮ 6 straipsnio nuostatomis, duomenų gavėjas, prašyme pateikti asmens duomenis (šiuo atveju – elektroninio pašto adresas) turi nurodyti asmens duomenų naudojimo tikslą, teikimo bei gavimo teisinį pagrindą ir prašomų pateikti asmens duomenų apimtį. „Kadangi iš Jūsų paklausimo nėra aiškios visos asmens duomenų tvarkymo aplinkybės (pvz., ar Valstybinei mokesčių inspekcijai buvo pateiktas oficialus prašymas pateikti asmens duomenis, ar asmens duomenis atskleidė darbuotojas; jei buvo teiktas prašymas, kokiu teisiniu pagrindu vadovaujantis buvo prašoma pateikti asmens duomenis, kokiam teisėtam tikslui pasiekti buvo prašoma šių duomenų ir pan.) įvertinti, ar asmens duomenų teikimas atitinka ADTAĮ reikalavimus, galima tik atlikus išsamų visų aplinkybių tyrimą“.
ADTAĮ 30 straipsnio 6 dalis numato, kad duomenų valdytojo, duomenų tvarkytojo ir jų atstovų darbuotojai, kurie tvarko asmens duomenis, privalo saugoti asmens duomenų paslaptį, jeigu šie asmens duomenys neskirti skelbti viešai. Ši pareiga galioja pasitraukus iš valstybės tarnybos, perėjus dirbti į kitas pareigas arba pasibaigus darbo ar sutartiniams santykiams. Atsižvelgiant į minėtas ADTAĮ nuostatas, visos įstaigos ir organizacijos privalo užtikrinti tvarkomų asmens duomenų saugą bei sudaryti galimybes darbuotojams laikytis asmens duomenų paslapties bei neatskleisti asmens duomenų tretiesiems asmenims nesant apibrėžto ir teisėto asmens duomenų tvarkymo tikslo bei teisinio pagrindo.
Verta atkreipti dėmesį į tai, kad vadovaujantis Lietuvos Respublikos elektroninių ryšių įstatymo (Žin., 2004, Nr. 69-2382) (toliau – ERĮ) 69 straipsnio 1 dalimi, naudoti elektroninių ryšių paslaugas, įskaitant elektroninio pašto pranešimų siuntimą, tiesioginės rinkodaros tikslu leidžiama tik gavus išankstinį abonento ar registruoto elektroninių ryšių paslaugų naudotojo sutikimą. Taigi duomenų valdytojas, ketinantis naudoti elektroninio pašto adresą tiesioginės rinkodaros tikslais, privalo gauti išankstinį abonento ar registruoto elektroninių ryšių paslaugų naudotojo sutikimą.
Draudžiama naudoti rinkodaros tikslais
Ar tai, kad elektroninio pašto adresas, kuris nėra viešai publikuojamas internete, galėjo būti paimtas iš oficialių dokumetų nėra minėto įstatymo pažeidimas? ADTAĮ 3 straipsnio 1 dalies 1 punktas nustato, kad asmens duomenys turi būti renkami apibrėžtais ir teisėtais tikslais ir toliau neturi būti tvarkomi tikslais, nesuderinamais su nustatytaisiais prieš renkant asmens duomenis. Atsižvelgiant į tai, darytina išvada, kad asmens duomenys, kuriuos tvarko valstybinė institucija vykdydama oficialius įgaliojimus neturi būti tvarkomi kitais nei veiklos vykdymo tikslais (pvz., valstybinės institucijos tvarkomi asmens duomenys neturi būti teikiami tretiesiems asmenims, ketinantiems naudoti šiuos duomenis tiesioginės rinkodaros tikslais).
Apie tai, kur kreiptis žmogui tuo atveju, jei jo duomenys panaudojami be jo sutikimo, kalbinti specialistai teigė, kad ADTAĮ 23 straipsnio 1 dalies 1 punktas nustato, kad duomenų subjektas turi teisę žinoti (būti informuotas) apie savo asmens duomenų tvarkymą. Atsižvelgiant į tai, pažymėtina, kad duomenų subjektas turi teisę kreiptis į duomenų valdytoją bei prašyti pateikti paaiškinimus, kokiu teisėtu tikslu yra tvarkomi jo asmens duomenis, kokiu teisiniu pagrindu vadovaujantis, tai yra daroma, iš kokių šaltinių buvo surinkti jo asmens duomenys ir pan. Duomenų valdytojas, gavęs duomenų subjekto prašymą, ne vėliau kaip per 30 kalendorinių dienų nuo duomenų subjekto kreipimosi dienos turi pateikti jam atsakymą. Jeigu duomenų subjekto prašymas išreikštas rašytine forma, duomenų valdytojas turi pateikti jam atsakymą raštu. Duomenų subjektas taip pat gali skųsti duomenų valdytojo veiksmus (neveikimą) Valstybinei duomenų apsaugos inspekcijai (toliau – Inspekcija).
Baudos iki 2 tūkst. litų
Į klausimą, kokios sankcijos gresia įmonei, kuri siunčia komercinius pasiūlymus neaiškiais būdais gautai internetiniais adresais, inspekcijos specialistai teigė, kad Inspekcija įstatymų nustatyta tvarka turi teisę surašyti administracinių teisės pažeidimų protokolus (ADTAĮ 41 straipsnio 6 dalis, ERĮ 12 straipsnio 5 dalies 1 punktas). Vadovaujantis Lietuvos Respublikos administracinių teisės pažeidimų kodekso (Žin, 1985, Nr. 1-1) (toliau – ATPK) 259(1) straipsnio nuostatomis, Inspekcija administracinių teisės pažeidimų protokolą gali surašyti dėl 214(23) straipsnyje (Neteisėtas asmens duomenų tvarkymas ir privatumo apsaugos pažeidimas elektroninių ryšių srityje) numatyto pažeidimo. Šiame straipsnyje numatyta administracinė nuobauda yra bauda nuo penkių šimtų iki vieno tūkstančio litų, o tuo atveju, jei asmuo jau yra baustas administracine nuobauda už minėtame straipsnyje numatytą pažeidimą, administracinė nuobauda yra bauda nuo vieno tūkstančio iki dviejų tūkstančių litų. Pagal ATPK 224 straipsnį administracinių teisės pažeidimų bylas dėl minėtame straipsnyje numatyto pažeidimo nagrinėja rajonų (miestų) apylinkių teismai (apylinkių teismų teisėjai). Atsižvelgiant į tai, pažymėtina, kad administracines nuobaudas (baudas) skiria ne Inspekcija, o atitinkamas apylinkės teismas.
Vadovaujantis ADTAĮ 41 straipsnio 5 punktu, Inspekcija taip pat turi teisę duoti duomenų valdytojams nurodymus dėl asmens duomenų tvarkymo ir apsaugos. Asmuo, patyręs žalą dėl neteisėto asmens duomenų tvarkymo arba kitų duomenų valdytojo ar duomenų tvarkytojo, taip pat dėl kitų asmenų veiksmų (neveikimo), pažeidžiančių ADTAĮ nuostatas, turi teisę reikalauti atlyginti jam padarytą turtinę ir neturtinę žalą. Žalos dydį nustato teismas. Inspekcija dėl tiesioginės rinkodaros 2011 m. gavo 42 skundus.
Naujienų portalas „Balsas.lt“ dėkoja skaitytojui už atsiųstą naujieną, norėdami atsiųsti naujieną, tai galite padaryti čia.