Asmenų registracija COVID-19 ligos profilaktikos ir kontrolės priemonių įgyvendinimo tikslais

Asmenims ir organizacijoms kyla klausimų dėl asmens duomenų tvarkymo laisvalaikio ir pramogų vietose, viešojo maitinimo įstaigose, lošimo vietose, įsigaliojus Lietuvos Respublikos sveikatos apsaugos ministro – valstybės lygio ekstremaliosios situacijos valstybės operacijų vadovo sprendimams, susijusiems su šių vietų lankytojų registracija dėl COVID-19.

Vadovaujantis Lietuvos Respublikos Vyriausybės 2020 m. vasario 26 d. nutarimu Nr. 152 „Dėl valstybės lygio ekstremaliosios situacijos paskelbimo“ priimti Lietuvos Respublikos sveikatos apsaugos ministro – valstybės lygio ekstremaliosios situacijos valstybės operacijų vadovo 2020 m. birželio 16 d. sprendimo Nr. V-1468 „Dėl viešojo maitinimo įstaigoms būtinų sąlygų“, 2020 m. birželio 15 d. sprendimo  Nr. V-1462 „Dėl kultūros, pramogų bei kitų renginių ir susibūrimų organizavimo būtinų sąlygų“, 2020 m. birželio 16 d. sprendimo Nr. V-1473 „Dėl prekybos, paslaugų teikimo, veiklos laisvalaikio ir pramogų vietose vykdymo būtinų sąlygų“, 2020 m. birželio 16 d. sprendimo Nr. V-1467 „Dėl aukšto meistriškumo sporto varžybų organizavimo būtinų sąlygų“ bei 2020 m. birželio 16 d. sprendimo Nr. V-1485 „Dėl lošimo namų (kazino) ir lošimo automatų, bingo salonų veiklos būtinų sąlygų“ pakeitimai (toliau kartu – Sprendimai).

Pagal Sprendimus tokios organizacijos kaip viešojo maitinimo įstaigos, laisvalaikio ir pramogų paslaugų teikėjai, lošimo vietos įpareigotos tvarkyti (registruoti) lankytojų, o varžybų ir renginių organizatoriai žiūrovų ir (ar) dalyvių asmens duomenis.

Pagal Bendrąjį duomenų apsaugos reglamentą (6 straipsnio 1 dalies c punktas) asmens duomenų tvarkymas laikomas teisėtu, kai tokius duomenis būtina tvarkyti, kad „būtų įvykdyta duomenų valdytojui taikoma teisinė prievolė“. Taigi, jei duomenų valdytojui (viešojo maitinimo įstaigai, renginių organizatoriui ar kt.) galiojantys teisės aktai nustato pareigą tvarkyti asmens duomenis, ši prievolė turi būti vykdoma ją įtvirtinančio teisės akto nustatyta apimtimi.

Valstybinė duomenų apsaugos inspekcija pažymi, kad duomenų valdytojai, vykdydami Sprendimus ir siekdami laikytis asmens duomenų tvarkymo taisyklių, turėtų užtikrinti, kad:

• Tvarkys tik tuos asmens duomenis, kuriuos būtina tvarkyti. Kitaip tariant, asmens duomenys turi būti tvarkomi Sprendimuose nurodyta apimti: lankytojo, renginio ar varžybų žiūrovo ir (ar) dalyvio vardas, pavardė; telefono ryšio numeris (asmeninis, darbo, kitas);
• Asmens duomenis tvarkys tik Sprendimuose nustatytais tikslais – COVID-19 ligos (koronaviruso infekcijos) profilaktikos ir kontrolės priemonių įgyvendinimo tikslais. Todėl, pavyzdžiui, aptariamais tikslais surinkti asmens duomenys negali būti naudojami tiesioginės rinkodaros pranešimų siuntimui ar bet kokiam kitam tikslui, išskyrus įstatymų nustatytus atvejus;
• Surinktus asmens duomenis saugos tik tiek, kiek yra būtina, t. y. Sprendimuose nustatytą laikotarpį: 21 dieną nuo lankytojo apsilankymo dienos, o renginių ir varžybų atveju, 21 dieną nuo įvykusio renginio ar varžybų dienos. Po to asmens duomenys turi būti nedelsiant sunaikinami;
• Bus užtikrinamas tinkamas asmens duomenų saugumas (įvertinant tiek technines, tiek organizacines saugumo priemones). Atsižvelgiant į tai, kokiu būdu – automatizuotomis ar neautomatizuotomis priemonėmis, bus tvarkomi asmens duomenys, duomenų valdytojai turėtų įvertinti, kas ir kaip asmens duomenis rinks, kur ir kaip jie bus saugomi, kas turės prie jų prieigą, užtikrinti, kad prie surinktų asmens duomenų neprieitų įgaliojimų neturintys darbuotojai ar pašaliniai asmenys ir t. t. Pavyzdžiui, renkant Sprendimuose nurodytus duomenis naudojant popierines korteles, jas laikyti uždarose dėžutėse; sudarant popierinius sąrašus, uždengti kitų žmonių asmens duomenis; renkant duomenis naudojantis interneto svetaine, užtikrinti, kad joje būtų naudojamas HTTPS protokolas ar kt.;
• Prieš pradedant rinkti lankytojų, renginio ar varžybų žiūrovų ir (ar) dalyvių asmens duomenis, vadovaujantis Bendrojo duomenų apsaugos reglamento 13 straipsniu būtų pateikiama aiški, glausta ir lengvai suprantama informacija apie asmens duomenų tvarkymą, kuris bus atliekamas šiame kontekste. Pavyzdžiui, įmonės pavadinimas, kontaktai, kokiais tikslais tvarkomi asmens duomenys, informacija, kad asmens duomenys tvarkomi siekiant įvykdyti duomenų valdytojui taikomą teisinę prievolę, kokie asmens duomenys bus tvarkomi, kiek laiko jie bus saugomi ir kt. Šią informaciją galima pateikti tiek popieriniame dokumente, tiek elektronine forma. Taip pat ją galima skaidyti į „lygmenis“, t. y. pagrindinę informaciją pateikti viename „lygmenyje“, pavyzdžiui informaciniame stende, o likusią informaciją kitame „lygmenyje“.

Dėl nepilnamečių asmens duomenų tvarkymo

Atkreipiame dėmesį, kad Sprendimai nenustato atskirų reikalavimų nepilnamečių asmens duomenų tvarkymui, todėl, tuo atveju, jei vietose, kurioms taikomi Sprendimai, gali lankytis nepilnamečiai asmenys, duomenų valdytojai neturėtų rinkti tėvų ar globėjų sutikimų, siekdami pagrįsti asmens duomenų tvarkymą, nes šiuo atveju duomenų valdytojai, rinkdami nepilnamečių asmens duomenis, vykdo jiems taikomą teisinę prievolę.

Taip pat svarbu pabrėžti, kad, atsižvelgiant į tai, kad vaikams turi būti užtikrinta ypatinga apsauga, duomenų valdytojai turėtų užtikrinti, kad pranešimai apie asmens duomenų tvarkymą būtų suformuluoti vaikui lengvai suprantama, aiškia ir paprasta kalba.

Inspekcija, atsižvelgdama į tai, kad Sprendimais duomenų valdytojai įpareigoti tvarkyti asmens duomenis nauju asmens duomenų tvarkymo tikslu, rekomenduoja dėl Sprendimų įgyvendinimo papildomai konsultuotis su organizacijos duomenų apsaugos pareigūnu, jei toks yra, bei nepamiršti kitų BDAR nustatytų prievolių – pasitikslinti turimas asmens duomenų apsaugos politikas ar kitus panašaus pobūdžio dokumentus, duomenų tvarkymo veiklos įrašus (jei taikoma), dokumentuoti asmens duomenų saugumo pažeidimus ir pan.

Papildomai siūlome susipažinti su Lietuvos Respublikos sveikatos apsaugos ministerijos informacija „Registracija prekybos centruose reikalinga tik įeinant į laisvalaikio ir pramogų erdves“>>.

Valstybinės duomenų apsaugos inspekcijos informacija