Menu Close

Naujienos

Asmens duomenų apsauga: Vaikų teisės ir Bendrasis duomenų apsaugos reglamentas

admin

Nuo 2018 m. gegužės 25 d. visose ES valstybėse narėse pradėtas taikyti Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (toliau - Reglamentas). Šis reglamentas taikomas ir teismų bei kitų teisminių institucijų veiklai, nors ir su tam tikrais ypatumais.

Asmens duomenų teisinės apsaugos įstatymas ir su juo susijusios taisyklės užtikrina, kad asmens duomenys būtų renkami, saugomi ir naudojami teisėtai, sąžiningai bei skaidriai, taikant tinkamas apsaugos priemones.

Asmens duomenų tvarkymo principai ir tikslai

Asmens duomenų tvarkymo principus, tikslus ir priemones, taip pat duomenų subjektų teises nustato asmens duomenų privatumo politika. Salako socialinės globos namuose asmens duomenų tvarkymas atitinka teisinius reikalavimus: duomenys saugomi ne ilgiau, nei tai būtina nustatytiems tikslams įgyvendinti arba numatytą laikotarpį pagal teisės aktus.

Duomenų tvarkymas apima bet kokius veiksmus su asmens duomenimis: rinkimą, susipažinimą, saugojimą, naudojimą, naikinimą ir kitus veiksmus. Duomenų subjektas yra kiekvienas žmogus, kurio asmens duomenys tvarkomi. Duomenų valdytojas - organizacija ar asmuo, naudojantis asmens duomenis profesiniais tikslais.

Įstaiga tvarko darbuotojų, paslaugų gavėjų ir kitų subjektų duomenis siekdama:

  • Darbuotojų įdarbinimo ir darbo santykių administravimo.
  • Viešųjų pirkimų vykdymo.
  • Sveikatos priežiūros ir socialinių paslaugų teikimo.

Kiekvienas duomenų tvarkymo tikslas grindžiamas teisiniu pagrindu, pavyzdžiui, sutarties vykdymu ar teisėtu duomenų valdytojo interesu. Duomenų subjektai turi teisę būti informuoti apie tvarkomus duomenis ir jų tikslus.

Schema: Asmens duomenų tvarkymo principai

Duomenų subjektų teisės

Reglamentas (ES) 2016/679 suteikia duomenų subjektams šias teises:

  • Gauti informaciją apie savo asmens duomenų tvarkymą.
  • Susipažinti su savo saugomais asmens duomenimis.
  • Atšaukti savo sutikimą tvarkyti asmens duomenis.
  • Prašyti ištaisyti netikslius ar papildyti neišsamius asmens duomenis.
  • Prašyti ištrinti asmens duomenis (teisė „būti pamirštam“) tam tikrais atvejais.
  • Prašyti apriboti asmens duomenų tvarkymą tam tikrais atvejais.
  • Teisę į duomenų perkeliamumą.
  • Nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi.

Duomenų subjektai taip pat gali atšaukti duotą sutikimą ar pateikti skundą Valstybinei duomenų apsaugos inspekcijai. Įstaiga užtikrina, kad visi prašymai būtų išnagrinėti per 30 dienų.

Prašymai įgyvendinti duomenų subjekto teises nagrinėjami pagal nustatytas taisykles. Siekiant įgyvendinti savo teises, prašymą ar skundą reikia teikti laisvos formos rašytiniu prašymu duomenų apsaugos pareigūnui.

Infografika: Duomenų subjektų teisės pagal GDPR

Vaikų asmens duomenų apsauga pagal BDAR

Bendrajame duomenų apsaugos reglamente (BDAR) ypatingas dėmesys skiriamas vaikų asmens duomenų tvarkymui. Nustatyta pareiga informacinės visuomenės paslaugų teikėjams užtikrinti, kad paslaugos vaikui būtų siūlomos tik jei jis yra bent 16 metų amžiaus. Lietuvos nacionalinis teisės aktas - Asmens duomenų teisinės apsaugos įstatymas - numato žemesnę šią ribą - 14 metų.

Didieji socialiniai tinklai ne visada spėjo užtikrinti šią apsaugą vaikams. Prieš keletą metų nuskambėjo liūdna istorija apie 10 metų mergaitę, mirusią po dalyvavimo socialiniame tinkle vykusiame iššūkyje.

Įmonės, siūlančios tiesiogiai informacinės visuomenės paslaugas vaikams, turi atkreipti dėmesį į amžiaus patikrinimą ir tėvų sutikimą, kai paslaugos siūlomos jaunesniems nei nustatytos ribos vaikams.

Nors Europos duomenų apsaugos valdyba aiškina, kad paslauga nelaikoma „tiesiogiai siūloma vaikui“, jei ji aiškiai nurodo, kad skirta tik asmenims nuo 18 metų, kai kurios institucijos, pvz., Airijos duomenų apsaugos komisija, teigia, kad negalima tiesiog atleisti savęs nuo pareigos tikrinti vaikų amžių.

Prancūzijos Nacionalinės informatikos ir laisvių komisija nustatė, kad didelė dalis vaikų meluoja apie savo amžių socialiniuose tinkluose. Esamos sistemos vaiko amžiaus patikrinimui dažnai yra nepatenkinamos: kai kurios grindžiamos masiniu duomenų rinkimu, kitos - neveiksmingos.

Europos duomenų apsaugos valdyba pabrėžia, kad dėl amžiaus patikrinimo neturėtų būti tvarkoma pernelyg daug duomenų. Kai rizika nedidelė, gali būti tikslinga reikalauti, kad naujas paslaugos užsakovas atskleistų savo gimimo metus arba deklaruotų, kad yra nepilnametis.

Lentelė: Amžiaus ribos vaikų duomenų apsaugai ES

Apibendrinant, duomenų valdytojams tenka pareiga užtikrinti, kad vaikų teisės ir interesai būtų apsaugoti, dedant pagrįstas pastangas įsitikinti, kad informacinės visuomenės paslaugos vaikams bus siūlomos tiesiogiai tik sulaukus nustatytos amžiaus ribos.

Vaikai prasčiau suvokia savo veiksmų pasekmes, įskaitant dalijimosi asmens duomenimis pasekmes, todėl jiems pagal duomenų apsaugos teisės aktus suteikiama papildoma apsauga. Nors Valstybinė duomenų apsaugos inspekcija dar nėra nagrinėjusi daug atvejų, susijusių su informacinės visuomenės paslaugų siūlymu vaikams, požiūris į vaikų asmens duomenų tvarkymo pažeidimus yra pakankamai griežtas.

BDAR numato milžiniškas baudas už nepilnamečių interneto naudotojų asmens duomenų tvarkymo pažeidimus. BDAR 8 straipsnyje nustatyta, kad vaiko asmens duomenų tvarkymas, remiantis sutikimu ir susijęs su informacinės visuomenės paslaugų tiesioginiu siūlymu vaikui, yra teisėtas tik jei vaikas yra bent 16 metų amžiaus. Jei vaikas jaunesnis, toks tvarkymas teisėtas tik gavus vaiko įstatyminių atstovų sutikimą.

Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas (ADTAĮ) apibrėžia, jog vaiko asmens duomenų tvarkymas yra teisėtas, jei sutikimą duoda ne jaunesnis nei 14 metų vaikas, o iki 14 metų sutikimą privalo duoti įstatyminiai atstovai.

Kaip apsaugoti vaikus internete?

Žingsniai siekiant užtikrinti vaikų duomenų apsaugą

Atsižvelgiant į didelę riziką pažeisti nepilnamečių asmens duomenis, būtina imtis tinkamų priemonių:

  1. Įvertinti paslaugos aktualumą nepilnamečiams: Atlikti rinkos tyrimus, analizuoti panašių programėlių naudotojų amžiaus ratą, kad būtų galima pagrįstai nuspręsti, ar nepilnamečiai nesinaudos paslaugomis, tokiu būdu atleidžiant nuo pareigos gauti sutikimus.
  2. Gauti tėvų sutikimus: Jei nustatoma, kad nepilnamečiai iki 14 metų naudosis paslaugomis, būtina pasirūpinti, kad būtų gauti pagal BDAR bei ADTAĮ reikalaujami vaikų atstovų sutikimai. Tai apima naudotojo amžiaus patikrinimą ir tinkamų IT priemonių naudojimą.
  3. Skaidriai informuoti vaikus: Imtis tinkamų priemonių pateikiant vaikams informaciją apie būsimą jų asmens duomenų tvarkymą glausta, skaidria, suprantama ir lengvai prieinama forma, naudojant vizualizaciją (karikatūras, vaizdo įrašus, lenteles ir pan.).
  4. Užtikrinti informacijos prieinamumą: Pateikti informaciją apie vykdomą asmens duomenų tvarkymą nepilnamečiams lengvai prieinamu būdu, pavyzdžiui, privatumo politikose.
  5. Vengti vietos nustatymo technologijų: Vengti technologijų, skirtų vaikų buvimo vietos duomenims nustatyti, nes tai kelia ypatingą pavojų vaikų saugumui. Jei tai neišvengiama, privaloma aiškiai informuoti nepilnametį apie sekimo aktyvavimą.
  6. Vengti vaikų profiliavimo: Vengti automatizuoto asmens duomenų tvarkymo, kuris sudaro vaikų profilius, o jei tai neišvengiama, profiliavimas turėtų būti pasirenkamas aktyviais vaikų ar jų tėvų veiksmais.
  7. Užtikrinti teisę reikalauti ištaisyti duomenis ir teisę būti pamirštam: Kiekvienas duomenų subjektas turi turėti teisę reikalauti ištaisyti jo asmens duomenis ir teisę būti pamirštam, ypač tais atvejais, kai duomenys buvo pateikti vaikystėje ir vėliau norima juos pašalinti.

Nors pilnamečiu tapusio asmens teisė nėra absoliuti, organizacijos privalo nustatyti ir gebėti įgyvendinti kliento norą atsiimti sutikimą dėl jo asmens duomenų tvarkymo.

tags: #asmens #duomenu #apsaugos #istatymas #vaikai