Labiausiai tai buvo matoma kelios dienos prieš ir po BDAR įsigaliojimo, o vaizdingiausias to pavyzdys yra žinoma prašymas duoti sutikimą tiesioginei rinkodarai, tiksliau, “prašymas likti draugais” ar “prašymas pratęsti dabartinį bendravimą”, išskirtiniais atvejais dar papildytas dovanomis (prenumeruok naujienlaiškį – gauk puodelį kavos!). Tokių prašymų kiekis dešimtimis užplūdo turbūt kiekvieno el. pašto dėžutę, nors jų poreikis, o kartais ir turinys, neretai yra kvestionuotinas.

Paimkime dvi įmones, A ir B: jeigu įmonė A neturi jokių sutikimų rinkodarai, o jos vartotojai yra mugėse sutikti asmenys, kurių kontaktai buvo renkami ant popieriaus lapelio, tai įmonė B turi klientų sąrašą, kuriems yra teikusi savo paslaugas ar pardavinėjusi prekes. Šios įmonės yra absoliučiai skirtingose padėtyse, tačiau tikėtina, kad jos abi naudosis tuo pačiu „standartu“ – naudos tas priemones, kurias rinkoje taiko dauguma verslo subjektų, norėdami išlaikyti ryšį su potencialiu ar esamu klientu.

Šiuo „standartu“ tapo aiškiausiai suprantamas pagrindas – sutikimas tvarkyti asmens duomenis, tuo tarpu kiti teisiniai duomenų tvarkymo pagrindai tarsi buvo pamiršti. Būtina įsisąmoninti, kad nė vienas iš BDAR numatytų pagrindų neturi būti vertinamas kaip kažkoks standartas, gebėsiantis prisitaikyti prie bet kokio duomenų tvarkymo tikslo. Kiekviena situacija turi būti vertinama individualiai, todėl pritaikyti vieno sprendimo visiems gyvenimo atvejams, deja nepavyks.

Nors visi BDAR pristatyti teisiniai duomenų tvarkymo pagrindai turi vienodą svorį, siūlyčiau savo dėmesį atkreipti į paskutinį sąrašo numerį - teisėtą interesą. Tai itin lankstus, neorientuotas į konkretų tikslą pagrindas, todėl suteikia galimybę juo remtis skirtingose aplinkybėse. Kaip nurodo Didžiosios Britanijos informacijos ir duomenų apsaugos institucija (ICO), teisėtas interesas galėtų būti tinkamiausiu pagrindu duomenų tvarkymui, kai:

• tvarkymas nėra būtinas pagal įstatymą, bet jis yra aiškiai naudingas jums ar kitiems asmenims (pvz. jūsų klientams);

• poveikis asmens privatumui yra ribotas;

• asmuo turėtų pagrįstai tikėtis, kad jūs naudosite jo asmens duomenis tuo būdu;

• ir jūs negalite arba nenorite suteikti asmeniui pilnos išankstinės kontrolės (t.y., prašyti jo sutikimo) arba jo trukdyti erzinančiais sutikimo prašymais, kai mažai tikėtina, jog asmuo prieštarautų tokiam duomenų naudojimui.

Teisėto intereso pavyzdžiai

BDAR nurodo, jog teisėtu interesu galima remtis tik tuo atveju, kai duomenų tvarkymas yra būtinas siekiant duomenų valdytojo ar trečiųjų šalių interesų, o duomenų subjekto interesai arba jo pagrindinės teisės ir laisvės nėra viršesni. Tai reiškia, kad įmonėms visais atvejais reikės:

• įvertinti interesų teisėtumą ir veiklos tikslingumą, t.y. atsakyti į klausimą, koks duomenų tvarkymo tikslas ir kokių interesų yra siekiama. Pavyzdžiui, labdaros organizacijos interesas - ieškoti paramos savo vykdomiems projektams, kad organizacija galėtų vykdyti savo veiklą. Didelio masto projekto finansavimui organizacija gali nuspręsti vykdyti išankstinį potencialių rėmėjų surašymą, kad galėtų įsitikinti, ar apskritai realu pasiekti finansinius rodiklius per nustatytą laikotarpį.

• įsitikinti, jog identifikuotam tikslui pasiekti asmens duomenų tvarkymas yra būtinas. Tęsiant aukščiau pradėtą pavyzdį, labdaros organizacija mano, kad šis išankstinis potencialių rėmėjų surašymas yra būtinas, norint sėkmingai rasti projektu suinteresuotus asmenis (filantropus, mecenatus ir pan.). Nevykdant šio rinkos tyrimo, organizacijos pajėgumai surinkti reikalingas lėšas apsiriboja masiniais viešais lėšų rinkimo renginiais, kurie yra brangūs, netikslingi ir nešantys mažesnę vertę.

• pasverti, ar duomenų subjektų interesai ir pagrindinės teisės nėra viršesni ir šiuos interesus suderinti su savo interesais. Tęsiant tą patį pavyzdį, labdaros organizacija supranta, kad jokių santykių su potencialiais rėmėjais ji kol kas neturi, todėl šie asmenys gali nesitikėti, jog jų asmens duomenys bus tvarkomi šiais tikslais. Todėl organizacija nusprendžia naudotis tik viešai prieinamais informacijos šaltiniais (duomenų subjektai turėtų pagrįstai tikėtis, kad viešai prieinama informacija gali būti naudojama kontaktavimo tikslais) ir rinkti tik būtiniausius asmens duomenis. Organizacija taip pat imasi priemonių užtikrinti, kad kontaktuojama būtų tik su tais asmenimis, kurie nėra pažeidžiami ar jautrūs atitinkamos kampanijos ar projekto atžvilgiu (pvz., kampanija nukreipta į savižudybių prevenciją, o duomenų subjektų artimas šeimos narys neseniai nusižudė).
Praktikoje teisėto intereso pavyzdžiais taip pat galėtų būti:

Nr. 1 Profiliavimas siekiant identifikuoti socialinio tinklo vartotojus, kaip tam tikrus segmentus (ang. targets)

Knygynas nori pasinaudoti socialinio tinklo siūlomu algoritmu, kuris padeda tikslingiau nukreipti savo reklamą į panašius vartotojus (“look-a-like”), t.y., kitus asmenis, turinčius panašių savybių, kokias turi knygyno klientai. Šiam tikslui pasiekti knygynas įkelia į socialinį tinklą minimalų būtiną savo klientų asmens duomenų kiekį, bet neįtraukia tų klientų, kurie nesutiko su tiesiogine rinkodara. Profiliavimas atliekamas socialinio tinklo platformoje reklamos segmentavimui, išskirtinai rinkodaros tikslams. Knygynas taip pat įvertino, jog tai neturės jokio teisinio ar kito reikšmingo poveikio duomenų subjektams.

Nr. 2 Paramos paieškos

Siekdama gauti būtinų lėšų savo veiklai vykdyti, labdaros organizacija norėtų paštu siųsti informaciją apie savo įgyvendintus darbus, įskaitant prašymą paremti naujausią organizuojamą kampaniją. Šie pranešimai būtų siunčiami tiems asmenims, kurie yra parėmę organizaciją kelių paskutinių metų bėgyje. Savo siunčiamuose pranešimuose organizacija suteikia aiškią ir paprastą galimybę prieštarauti tokių pranešimų gavimui ateityje ir įsipareigoja pašalinti visų asmenų duomenis, kurie šia galimybe pasinaudoja.

Nr. 3 Svetainės analitika

Informacinis tinklapis vertina ir analizuoja lankytojų, įrašų, puslapių peržiūrų, atsiliepimų ir sekėjų skaičių, kad galėtų optimizuoti būsimas rinkodaros kampanijas ir aiškiai suprasti svetainės tobulinimo poreikį. Kol kas panašu, kad ši veikla gali būti vykdoma remiantis teisėtu interesu, ypač atsižvelgiant į planuojamo priimti naujo Reglamento e-privatumui projektą.

Tai tik keletas pavyzdžių, kur teisėtas interesas galėtų būti tinkamesnis duomenų tvarkymo pagrindas, nei sutikimas. Žinoma, kiekvienu atveju prieš priimant sprendimą juo remtis, reikėtų ne tik įvertinti aukščiau aptartą teisėtumą, būtinumą bei interesų balansą, bet ir atsižvelgti į šiuos rekomenduojamus aspektus (rekomendacijas pateikė Duomenų apsaugos tinklas (DPN):

• santykiai tarp duomenų valdytojo ir individų, t.y. ar yra kokia nors santykių istorija, ar tai buvę/esami įmonės klientai, ar tai pirmas kontaktavimas ir pan.;

• asmens duomenų jautrumas ir ar šie duomenys apima vaikus;

• asmenų pažeidžiamumas, t.y. kokį poveikį gali turėti duomenų tvarkymas jų subjektams, ar jiems gali būti sukelta žala, kokios teisės/interesai ir kokia apimtimi galėtų būti pažeisti;

• asmenų teisės ir laisvės;

• pagrįsti asmenų lūkesčiai, t.y. ar asmuo gali pagrįstai tikėtis, kad juo duomenys bus tvarkomi tokiu būdu, kokiu norite juos tvarkyti;

• ar tikėtina, kad asmenys gali prieštarauti šiam duomenų naudojimui arba palaikyti jį įžeidžiančiu?

• galimos apsaugos priemonės poveikiui sumažinti;

• ar sudaromos sąlygos asmenims paprastai ir greitai atsisakyti duomenų tvarkymo?
Nors duomenų apsauga ir ypač BDAR dažnai gali pasirodyti komplikuotas ir painus, kitų įmonių veiksmų atkartojimas dažniau bus žalingas, nei reikalingas. Kiekvienas verslas ir kiekviena situacija yra individuali, tad pritaikyti Reglamento nuostatas savo poreikiams yra nors ir sudėtingas, bet naudingas darbas.

Šaltinis
Temos
Griežtai draudžiama Delfi paskelbtą informaciją panaudoti kitose interneto svetainėse, žiniasklaidos priemonėse ar kitur arba platinti mūsų medžiagą kuriuo nors pavidalu be sutikimo, o jei sutikimas gautas, būtina nurodyti Delfi kaip šaltinį. Daugiau informacijos Taisyklėse ir info@delfi.lt
Prisijungti prie diskusijos Rodyti diskusiją (4)