Mokėjimų įstatymo pataisas, kurios leido bankams tvarkyti specialių kategorijų asmens duomenimis apie savo klientus, Seimas balsų dauguma priėmė praėjusią savaitę.
Bankai ir kiti mokėjimo paslaugų teikėjai turės teisę tvarkyti klientų duomenis, atskleidžiančius rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus ar narystę profesinėse sąjungose, taip pat genetinius duomenis, biometrinius duomenis, kai jie tvarkomi siekiant konkrečiai nustatyti fizinio asmens tapatybę, sveikatos duomenis arba duomenis apie fizinio asmens lytinį gyvenimą ir lytinę orientaciją.
Pagrindas duomenų tvarkymui – viešasis interesas
Pataisų aiškinamajame rašte teigiama, kad bankai ir kitos panašios įstaigos, teikdami paslaugas bei vykdydami sukčiavimo prevenciją, tyrimą ir nustatymą, užtikrina svarbų viešąjį interesą ir dėl to esą ir turi turėti teisę tvarkyti minėtus duomenis.
Pažymima, kad specialių kategorijų asmens duomenų tvarkymas teikiant mokėjimo paslaugas yra neišvengiamas.
„MPT (mokėjimo paslaugų teikėjai – Delfi) specialiai nerenka specialių kategorijų asmens duomenų – tokių duomenų gavimas ir tvarkymas priklauso tik nuo to, kokią informaciją pateikė mokėtojas arba gavėjas, kas ir kam tą mokėjimą vykdo, kokia informacija pateikiama automatiškai apie kitą sandorio šalį.
Pavyzdžiui, jei asmuo moka partijos nario mokestį arba paramą religinei bendruomenei, iš mokėjimo gavėjo galima nustatyti jo politines ar religines pažiūras, nors mokėjimo nurodyme nurodoma tik įprasta informacija – gavėjo pavadinimas; jei asmuo mokėjimo paskirtyje detaliai nurodo, už kokias medicinines paslaugas atsiskaitoma, gali būti identifikuojami jo sveikatos duomenys“, – dėstoma rašte.
Teigiama, kad bankai ir kitos panašios įstaigos turi užtikrinti priemones, kurios užkirstų kelią neteisėtai arba atsitiktinei prieigai prie minėtų duomenų ar jų perdavimui neįgaliotiems asmenims.
„Asmens duomenys, įskaitant specialių kategorijų asmens duomenis, gali būti teikiami teismams, valstybės institucijoms ir įstaigoms teisės aktuose, reglamentuojančiuose asmens duomenų teikimą, nustatytais pagrindais ir tvarka“, – priduriama pataisų aiškinamajame rašte.
Siekia ištaisyti teisinę spragą
Šias pataisas, atsižvelgiant į Europos duomenų apsaugos valdybos paskelbtas gaires, parengė Finansų ministerija, jas patvirtino ir Seimui pateikė Vyriausybė.
Projektas suderintas su Valstybine duomenų apsaugos inspekcija, Lietuvos bankų asociacija, vadovaudamasi Bendruoju duomenų apsaugos reglamentu (BDAR), atliko poveikio duomenų apsaugai vertinimą.
Tvarkyti specialių kategorijų asmens duomenimis Seimas bankams leido be didesnių diskusijų. Prieš tai – rugsėjo 28-ąją – pataisas apsvarstė ir balsų dauguma joms pritarė Seimo Biudžeto ir finansų komitetas.
Komiteto posėdyje dalyvavusi Finansų ministerijos Kredito ir mokėjimų rinkų skyriaus vedėja Akvilė Kalantaitė teigė, jog pataisomis siekiama panaikinti teisinę spragą, kuri esą kyla iš BDAR ir Antrosios mokėjimo paslaugų direktyvos suderinamumo trūkumo.
„Europos duomenų apsaugos valdyba mato, kad pagal mokėjimų direktyvą, SEPA reglamentą mokėjimų paslaugų teikėjai tokius duomenis turi gauti. Bet BDAR nustato, kad tokių specialių kategorijų duomenų tvarkymui vis tiek reikia pagrindo. Šiuo atveju tinkamiausias pagrindas yra nustatyti viešąjį interesą Europos Sąjungos arba nacionaliniuose teisės aktuose. Europos Sąjungos teisės aktuose to kol kas nėra nustatyta <...> ir dar tas ilgai nenusimato. Tai mes pasižiūrėjom principingai į šią problemą ir norėtumėm išspręsti, kad pagrindas būtų“, – dėstė A. Kalantaitė.
Ji teigė, kad mokėjimo paslaugų teikėjai nesiekia specialiai rinkti specialių kategorijų asmens duomenų, bet esą tokią informaciją vis tiek gauna.
Bankai duomenų nerenka, tik tvarko
„Problema čia kyla iš to, kad mokėjimo paslaugų teikėjai, teikdami mokėjimo paslaugas, gauna specialių kategorijų asmens duomenis, nors jų specialiai ir nesiekia rinkti <...>. Pavyzdžiui, tokia informacija gali būti atskleista tiesiog iš mokėjimo pavadinimo ar mokėjimo paskirties lauko.
Tarkime, asmuo moka medicinos įstaigai ir paskirties laukelyje užrašo, kad tai – už tam tikrą operaciją, tai jau iš čia matome sveikatos duomenis. Arba, tarkime, perveda paramą religinei įstaigai, arba politinei partijai. Tai jau galima daryti išvadą apie asmens politines pažiūras arba religinius įsitikinimus vien iš mokėjimo gavėjo pavadinimo“, – vardijo A. Kalantaitė.
Mokėjimo paslaugų teikėjai, jos teigimu, jau dabar yra įpareigoti perduoti klientui minėtus duomenis, kad jis matytų, už ką atsiskaito, ir šių duomenų užkoduoti esą negalima.
„Mokėjimo paslaugų teikėjai su tais duomenimis tikrai negalės daryti, ką nori“, – pabrėžė Finansų ministerijos atstovė.
Posėdyje dalyvavusi Valstybinės duomenų apsaugos inspekcijos direktoriaus pavaduotoja Danguolė Morkūnienė akcentavo, kad teikiamomis pataisomis nesukuriamas naujas duomenų tvarkymas.
„Tai yra tiesiog teisinės spragos pašalinimas, – sakė ji. – Europinė nepriklausoma priežiūros institucija konstatavo, kad turėtų būti užtikrintas skaidrus duomenų tvarkymas būtent dėl to, kad netiesiogiai atsiskleidžia tie specialių kategorijų duomenys ir turėtų būti aišku, tarkime, banko klientui, kad bankas, nors ir nerenka, bet iš tiesų tvarko ir specialių kategorijų duomenis.“
Mano, kad reikia sulaukti europinių sprendimų
Iniciatyvą dėl teisės tvarkyti specialius duomenis sukritikavo Seimo opozicinių „darbiečių“ atstovas Vytautas Gapšys. Jo įsitikinimu, esamas reglamentavimas yra „normalus“ ir, anot politiko, šioje situacijoje geriau būtų sulaukti europinių, bendrai taikomų sprendimų.
V. Gapšys, balsuodamas dėl pataisų, nusišalino.
Kitas opozicionierius, „valstietis“ Valius Ąžuolas svarstė, ar bankai, gavę teisę tvarkyti specialius asmenims duomenis, tuo nepiktnaudžiaus. Balsuodamas dėl pataisų jis susilaikė.
Seimo Biudžeto ir finansų komitetas dėl pataisų suformulavo išvadą, kurioje pažymėjo, kad mokėjimo paslaugų teikėjai, tvarkydami specialių kategorijų duomenis, privalo vadovautis BDAR įtvirtinu duomenų kiekio mažinimo principu, tai yra tvarkyti tik tiek tokių duomenų, kiek būtina tikslui pasiekti.
„Specialių kategorijų duomenys atliekant mokėjimą gali būti tik mokėtojo ar gavėjo pavadinime arba mokėjimo paskirtyje. Tai minimali būtina informacija mokėjimui atlikti, atitinkanti BDAR įtvirtintus principus. Todėl siekiant užtikrinti proporcingumo principą, įstatymo projektu yra apibrėžiamas aiškus tokių duomenų panaudojimo tikslas – mokėjimų vykdymui bei sukčiavimo atliekant mokėjimus prevencijai“, – nurodė komitetas.
Be to, pasak jo, mokėjimo paslaugų teikėjams nustatoma pareiga taikyti tinkamas organizacines ir technines priemones, įskaitant saugios elektroninės aplinkos, kurioje užkertamas kelias neteisėtai arba atsitiktinei prieigai prie elektroninių duomenų ar jų perdavimui neįgaliotiems asmenims bei laikytis BDAR nustatytų duomenų apsaugos reikalavimų ir principų.
„Pažymėtina, kad būtų neįmanoma įvykdyti mokėjimo nenurodant konkretaus mokėtojo, ar jei tektų koduoti gavėją, pavyzdžiui, religinę bendruomenę, profesinę sąjungą ar kitą asmenį, kurio pavadinime slypi specialių kategorijų duomenys. Taigi, nebūtų galimybės vykdyti mokėjimo operacijų, jei mokėjimo paslaugų teikėjai ir mokėjimo sistemų operatoriai negalėtų tvarkyti mokėjimo šalių asmens duomenų“, – apibendrino komitetas.
Per pataisų priėmimą pataisas dėl teisės tvarkyti specialius duomenis kritikavo tik opozicijoje dirbančių Seimo socialdemokratų frakcijos seniūnas Gintautas Paluckas.
Paluckas: kodėl bankui reikia lįsti į mano miegamąjį?
Jo vertinimu, pakeitimais bus labai stipriai pažeista asmens teisė į privatumą, o finansų įstaigos ir bankai turės galimybę iš esmės neterminuotą laikotarpį saugoti itin specifinius duomenis apie savo klientus.
„Aš niekaip nesuprantu, kodėl bankui reikėtų lįsti į mano miegamąjį ir aiškintis, ką aš ten darau, su kuo aš ten darau? Kodėl reikėtų aiškintis ir rinkti informaciją apie įvairias politines pažiūras? Ar bus atsisakoma man paslaugas teikti dėl to, jeigu aš būsiu dešinysis ar kairysis?
Iš principo šia įstatymo nuostata tos pataisos stipriai išplečia bankų teises nesant poreikio. Tuo tarpu asmens teises tokią informaciją <...> reikalauti tokią informaciją panaikinti, išbraukti, ar nekaupti lieka reguliuoti tik europinis Bendrasis asmens duomenų apsaugos reglamentas. Mano galva, yra pažeistas balansas“, – kalbėjo tautos atstovas.
Kai teikiamos sąskaitos informacijos paslaugos, mokėjimo paslaugų vartotojo asmens duomenys saugomi 3 metus.
Duomenų subjektų duomenys dažniausiai saugomi 10 metų po mokėjimo įvykdymo, tačiau šis terminas gali skirtis, priklausomai nuo duomenų valdytojo.
Seimas aptariamas Mokėjimų įstatymo pataisas priėmė už balsavus 75 parlamentarams, prieš buvo 10, susilaikė 33.
Pataisos įsigalios gruodžio 1-ąją, jei jas pasirašys prezidentas.
Čipkutė: niekas nesikeis
Pirmadienį „Žinių radijo“ laidoje „Dienos klausimas“ dalyvavusi Lietuvos bankų asociacijos prezidentė Eivilė Čipkutė patikino, kad bankai specialiųjų kategorijų asmens duomenų specialiai nerenka ir žmonių pagal juos neprofiliuoja.
„Patiems žmonėms absoliučiai niekas nesikeis dėl šito įstatymo priėmimo ir žmonės jokios papildomos informacijos bankams nurodyti neturės“, – komentavo ji.
O kalbėdama apie mokėjimų pavedimus, E. Čipkutė paragino gyventojus nenurodyti kokios nors išsamios informacijos apie pavedimo paskirtį.
„Mūsų bendras patarimas žmonėms – nenurodyti jokios specialios informacijos apie save pavedimo paskirtyje, o tiesiog nurodyti, pavyzdžiui, dokumentą, pagal kurį atliekamas mokėjimas“, – sakė ji.
Laidoje dalyvavusi atstovė iš opozicijos, Seimo Lietuvos regionų frakcijos atstovė Agnė Širinskienė svarstė, kad bankai nuo šiol galės rinkti perteklinius duomenis apie savo klientus.
„Aš suprantu, kad garbingi bankai greičiausiai savanoriškai perteklinių duomenų nerinks, tačiau įstatymas suteikia bankams tokią teisę ir jie gali bandyti tuos duomenis rinkti“, – kalbėjo ji.
Jokubauskas: reguliavimas turėtų būti stipresnis
Tačiau Lietuvos Vartotojų organizacijų aljanso ekspertas Rytis Jokubauskas teigė, jog Seimo priimti pakeitimai yra daugiau techniniai.
„Tai nesukuria kažkokios situacijos, kad bankai kaups daugiau informacijos. Čia iš esmės mes kalbame apie tai, ką bankai darys su ta informacija, kurią bet kuriuo atveju gauna.
Tarkime, bankas turi mokėjimo pavedimą, ten asmuo moka politinei partijai ir įrašo „nario mokestis“. Akivaizdu, kad ši informacija tiesiogiai parodo to asmens priklausomybę politinei partijai <...>. Bankas saugo tai kaip mokėjimo informaciją, nes turi išsaugoti, kada buvo mokėjimas, kokiu pagrindu, kas buvo nurodyta mokėjimo pavedime“, – dėstė pašnekovas.
Visgi, tai, pasak jo, nepaneigia problemos, kad bankuose kaupiasi dideli kiekiai informacijos ir tai – didelis rizikos faktorius.
Be to, R. Jokubausko įsitikinimu, reguliavimas dėl to, ką dar bankai gali daryti su jautriais asmens duomenimis, turėtų būti stipresnis.
„Šiandieną bankai sako, kad jie tos informacijos daugiau niekam nenaudoja. Bet iš esmės mes turime pasitikėti bankų žodžiu ir stebėti, ar tokių atvejų nėra praktikoje“, – kalbėjo ekspertas.
Finansų ministerija komentare Delfi pabrėžė, kad specialių kategorijų duomenis bankai ir kiti mokėjimo paslaugų teikėjai gali tvarkyti „su griežtai nustatytais tokių duomenų tvarkymo tikslais ir pareiga taikyti tinkamas technines ir organizacines priemones bei laikytis Bendrojo duomenų apsaugos reglamento nustatytų duomenų apsaugos reikalavimų ir principų“.
Duomenų tvarkymas – tik pagal įstatymą ir BDAR
Analogiškai situaciją komentavo Valstybinė duomenų apsaugos inspekcija.
„Mokėjimų įstatymo pakeitimuose yra nustatytas ribojimas, kad specialių kategorijų asmens duomenis mokėjimo paslaugų teikėjai gali tvarkyti tik minėtame įstatyme nustatytais tikslais. Todėl bet koks specialių kategorijų asmens duomenų tvarkymas, įstatyme nenurodytais tikslais yra negalimas.
Be to, mokėjimų paslaugų teikėjams yra numatyta pareiga užtikrinti asmens duomenų saugumą, taikant tinkamas technines ir organizacines saugumo priemones. Ši pareiga galioja jau ir dabar.
Mokėjimų paslaugų teikėjai, tvarkydami specialių kategorijų asmens duomenis turi laikytis visų BDAR nustatytų su asmens duomenų tvarkymu susijusių principų, tarp jų ir saugojimo trukmės apribojimo principo (BDAR 5 straipsnio 1 dalies e punktas), kuris įpareigoja asmens duomenis saugoti tik tiek, kiek būtina asmens duomenų tvarkymo tikslams pasiekti. Aptariamu atveju, nurodytiems Mokėjimų įstatyme“, – atsakyme Delfi dėstė inspekcija.
Visą „Žinių radijo“ laidą galite rasti čia: