Nuo spalio 26 dienos visoje Lietuvoje įsigaliojo reikalavimas maitinimo įstaigoms ir laisvalaikio bei pramogų paslaugų teikėjams registruoti visų savo klientų vardus, pavardes ir telefono numerius.
Kaip rašoma operacijų vadovo sprendime, duomenis renkančios įstaigos juos saugoti turi 21 dieną, o tuomet iš karto sunaikinti.
Lietuvos teisininkų draugijos pirmininkas Arnas Paliukėnas sako, jog tokie reikalavimai nėra realūs, o verslai, kurie su asmens duomenų tvarkymu iki šiol nėra susidūrę, gali ne tik sukelti pavojų duomenų saugumui, bet ir patys sulaukti milžiniškų baudų.
Jo nuomone, net ir tokie paprasti duomenys, kaip žmogaus vardas ar jo telefono numeris, patekę į netinkamas rankas gali būti panaudoti piktybiškais tikslais.
„Duomenų apsaugos požiūriu, tai duomenys yra jautrūs, bet kokiu atveju. Dabar kalbant apie situaciją, tai duomenų apsaugos prasme man neatrodo, kad tinkamai gali verslas pasiruošti per tiek laiko. Nei per dieną, nei per dvi, nei per tris. Gal nesakykime neįmanoma, bet tikrai labai sudėtinga.
Užtikrinti, kaip jie būtų tvarkomi, kad būtų paskiriamas atsakingas asmuo, kur jie būtų laikomi – ar fiziškai, ar laikmenose. Tai pakankamai sudėtinga procedūra“, – tv3.lt aiškina A. Paliukėnas.
Baudos gali būti šimtatūkstantinės
Pasak A. Paliukėno, dar 2018 m., kai visoje Europos Sąjungoje (ES) įsigaliojo Bendrasis duomenų apsaugos reglamentas (BDAR), Lietuvoje įsikūrę verslai ne vieną mėnesį mokėsi naują duomenų tvarkymo sistemą pritaikyti praktikoje.
„Mes labai neseniai turėjom tą stresinę situaciją, bent jau teisės specialistai tikrai tą patvirtintų, kad kai reikėjo verslui prisitaikyti prie duomenų apsaugos reglamento, tai tikrai buvo pakankama įtampa.
Buvo daug konsultacijų, seminarų, buvo pakankamai ilgas laikas iki jo įsigaliojimo. Nors duomenų apsaugos įstatymas nacionaliniu lygmeniu gyveno ir iki tol, bet, visgi, prieš reglamentą buvo daug daug visko ir tikrai reikėjo tam pasiruošti“, – teigia Teisininkų draugijos pirmininkas.
Kai kurie verslai, kaip, pavyzdžiui, daugelis viešojo maitinimo įstaigų, iki šiol niekada nėra susidūrę su savo lankytojų privačių asmens duomenų rinkimu ir tvarkymu. A. Paliukėno nuomone, dėl to dabartinė situacija yra puikus receptas nelaimei.
„Jeigu kažkurie (verslai – aut. past.) neturėjo, pasiruošti nuo nulio nesakyčiau, kad yra paprasta ir dėl to reglamentas gali ne visiškai atitikti duomenų apsaugos reikalavimus. O jeigu nepavyktų pasiruošti, tai gali būti ne tik tūkstantinės, bet ir šimtatūkstantinės baudos“, – sako teisininkas.
Registracijomis pasirūpinti gali ir kiti
Tačiau ne visi verslai renkasi registracijas vykdyti ir jautrius duomenis tvarkyti patys.
Štai, pavyzdžiui, Vilniaus mieste jau daugiau nei 200 viešų įstaigų jau naudoja specialiai lankytojų registracijai sukurtą sistemą „InBar“.
Jos sumanytojas Markas Adamas Haroldas teigia, jog supranta, kodėl žmonės gali nenorėti pateikti savo asmeninių duomenų. Tačiau, anot jo, dabar visi verslai yra paprasčiausiai priversti paklusti Vyriausybės nutarimams, tad vienintelė išeitis – imtis visų veiksmų, kad duomenys būtų laikomi saugiai.
„Mes tiesiog registruojame lankytojus, kaip ir sako operacijų vadovas. {...} Dabar nuomojamės serverius ir ten laikome duomenis, pagal visus saugumo reikalavimus“, – tv3.lt pasakoja sistemos kūrėjas.
Jo nuomone, toks duomenų kaupimo būdas yra pats saugiausias, o žmonės neturi galimybės nurodyti klaidingų duomenų.
„Yra kitų sistemų, kuriomis naudojasi verslai – internetiniai puslapiai, anketos. Bet mes nusprendėme to nedaryti. Yra įvairių priežasčių kodėl – visų pirma, žmonės į tokias sistemas dažnai talpina netikrus duomenis. Jie įrašo bet kokią gatvę ir netikrą telefono numerį.
Jeigu tai yra SMS sistema, tu gauni žinutę į telefoną ir gali tikrai žinoti, kad žmogus yra atsekamas“, – aiškina „InBar“ sumanytojas M. A. Haroldas.
Veryga: „duomenų saugos pažeidimų čia tikrai nėra“
Sveikatos apsaugos ministras Aurelijus Veryga spaudos konferencijoje žurnalistams teigė, jog visi duomenų rinkimo įpareigojimai yra suderinti su Valstybine duomenų apsaugos inspekcija (VDAI).
„Jokių tokių duomenų saugos pažeidimų čia tikrai nėra. Aišku, kiekvienas duomenų valdytojas yra įpareigotas duomenis atsakingai rinkti, neperduoti jų tretiems asmenims, o atėjus laikui juos sunaikinti”, – kalbėjo A. Veryga.
Pati VDAI taip pat išleido pranešimą, kuriame išaiškino, kaip turėtų tvarkomi registracijos duomenys.
Kaip pagrindines taisykles, kurių turėtų laikytis visi asmens duomenų registracijas vykdantys verslai, VDAI išskyrė šias: tvarkyti tik tuos duomenis, kuriuose būtina tvarkyti; tvarkyti juos operacijų vadovo sprendimuose numatytais tikslais; saugoti duomenis ne ilgiau nei 21 dieną; užtikrinti tinkamą asmens duomenų saugumą.
Visos įstaigos taip pat yra įpareigotos lankytojams pateikti glaustą informaciją apie tai, kas bus daroma su jų duomenimis.
„Pavyzdžiui, įmonės pavadinimas, kontaktai, kokiais tikslais tvarkomi asmens duomenys, informacija, kad asmens duomenys tvarkomi siekiant įvykdyti duomenų valdytojui taikomą teisinę prievolę, kokie asmens duomenys bus tvarkomi, kiek laiko jie bus saugomi ir kita. Šią informaciją galima pateikti tiek popieriniame dokumente, tiek elektronine forma”, – rašoma VDAI pranešime.
Nuo spalio 26 d. lankytojų registracija reikalinga įeinant į tokias atskiras laisvalaikio ir pramogų vietas kaip kino teatrai, šokių studijos, sporto klubai, vaikų karstynių erdvės, boulingas, lazerių arenos, pabėgimo kambariai ir pan., taip pat viešojo maitinimo įstaigas, restoranus, kavines, barus, naktinius klubus ir kitas pasilinksminimo vietas, lošimo namų (kazino) ir lošimo automatų, bingo salonų, lažybų ir totalizatorių punktus, esančius prekybos centruose.
