Asmuo privalo išlaikyti kontrolę savo asmens duomenų atžvilgiu – tai vienas iš pagrindinių asmens duomenų teisinio reguliavimo tikslų. Tik ar įmonės ir kitos organizacijos tikrai žino, kaip reikia tinkamai elgtis, susidūrus su tokia asmens kontrole? Praktika rodo, kad neretai dar daroma klaidų, būdingų ne pavienei organizacijai, bet pasikartojančių visuose sektoriuose. Verta į jas atkreipti dėmesį, nes jų galima ir reikia išvengti.
Kokios pagrindinės klaidos?
Net ir tuo atveju, jei organizacija, gavusi asmens prašymą supažindinti jį su tvarkomais jo asmens duomenimis ir patikrinusi savo sistemas, dokumentus ir kitas laikmenas, kuriuose įprastai saugo asmens duomenis, įsitikina, kad jokių asmens duomenų besikreipusio asmens neturi, nereiškia, kad gautą prašymą galima ignoruoti ir į jį neatsakyti. Tokiu atveju asmuo turi teisę gauti organizacijos patvirtinimą, kad jo asmens duomenų netvarko (nerenka, nenaudoja, nesaugo ir pan.).
Atsargios organizacijos, suprasdamos asmens duomenų neįgaliotam asmeniui perdavimo riziką, kartais imasi perdėtų veiksmų, visais atvejais reikalaudamos pateikti asmens tapatybę patvirtinančio dokumento kopiją paštu ar elektroniniu paštu.
Tam tikrais atvejais toks reikalavimas yra pagrįstas ir net būtinas, tačiau toli gražu ne visais, ypač tuomet, kai dėl asmens tapatybės nekyla jokių abejonių, nes asmuo yra identifikuojamas pagal kitą asmens pateiktą ir organizacijos turimą informaciją. Organizacija, gavusi prašymą susipažinti su savo asmens duomenimis iš asmens elektroninio pašto, į kurį prieš tai jam siuntė laišką su savo paslaugų pasiūlymu, neturėtų reikalauti identifikavimosi pateikiant elektroniniu paštu asmens tapatybę patvirtinančio dokumento kopijos.
Teikiant organizacijos valdomus asmens duomenis duomenų gavėjui, privaloma įsitikinti, kad duomenų gavėjas turi tiek teisėtą ir konkretų tikslą, tiek tinkamą teisinį pagrindą tokiems duomenims gauti. Vis dėlto asmuo, kuris prašo supažindinti jį su jo paties asmens duomenimis ir pateikti jam jo asmens duomenų kopiją, nėra laikomas duomenų gavėju, todėl reikalauti jo nurodyti, kam jam reikia asmens duomenų ar kokiu teisiniu pagrindu jis kreipiasi, nederėtų. Vis dėlto jei nėra aišku, ar asmuo kreipiasi būtent dėl savo, kaip duomenų subjekto, teisių įgyvendinimo, galima prašyti asmens patikslinti, ar kreipiamasi būtent dėl to.
Nors atrodo, kad asmens duomenų sąvoka, pateikiama asmens duomenų teisiniame reguliavime, yra gana suprantama, praktika rodo, kad neretai ir čia paslystama.
Pavyzdžiui, organizacijos neįvertina, kad tokie duomenys, kaip asmens parašas, asmens rašysena, asmens atvaizdas skaidrėse ar prezentacijose, asmens duomenys, patenkantys į „šešėlinį“ asmens duomenų tvarkymą, pavyzdžiui, organizuojant neformalias veiklas darbuotojams (išvykas, neformalius renginius ir pan.), skelbiant įvairias nominacijas darbuotojams, taip pat patenka į teisės susipažinti su savo asmens duomenimis apimtį ir turi būti pateikiami asmenims, nurodoma, kokiu pagrindu tokie duomenys tvarkomi, kam jie buvo teikti, kiek laiko saugomi ir pan.
Teisė susipažinti su savo asmens duomenimis apima ne tik tokį asmens duomenų rinkimą, naudojimą, saugojimą, kuris yra teisėtas, bet ir tokį, kuris neteisėtas ar buvo paveiktas asmens duomenų saugumo pažeidimo. Jei įvykus asmens duomenų saugumo pažeidimui, asmens duomenys buvo atskleisti netinkamam duomenų gavėjui, asmuo, kreipęsis su prašymu susipažinti su savo asmens duomenimis, turi teisę gauti informaciją apie tokį duomenų gavėją, nors asmens duomenys jam buvo pateikti per klaidą ar netyčia.
O kaip elgtis tuomet, kai atrodo, kad asmuo prašo nedelsiant ištrinti jo asmens duomenis, bet kartu reikalauja pateikti informaciją apie tai, kaip tvarkomi jo asmens duomenys ir pateikti jam jo asmens duomenų kopiją? Priežiūros institucijų praktika rodo, kad šiuo atveju yra svarbus teisingas teisių įgyvendinimo eiliškumas, todėl neturėtų būti skubama ištrinti asmens duomenų tol, kol asmuo nėra supažindintas su jo asmens duomenų tvarkymu.
Ne visada yra įmanoma organizacijai įgyvendinti gautą prašymą ir surinkti asmens duomenis per 1 mėnesio terminą, ypač jei duomenų kopijos pateikimas reikalauja papildomų veiksmų dėl kitų asmenų, įskaitant organizacijos, teisių ir laisvių apsaugos. Teisinis reguliavimas leidžia 1 mėnesio terminą pratęsti dar 2 mėnesiams, tačiau apie tokį pratęsimą asmuo turi būti informuotas ne vėliau kaip per 1 mėnesį.
Ar visada privaloma vykdyti asmenų prašymus susipažinti su savo asmens duomenimis?
Paprastai organizacija, gavusi asmens prašymą susipažinti su savo asmens duomenimis, kaip rodo Valstybinės duomenų apsaugos inspekcijos praktika, turėtų patvirtinti tokio prašymo gavimą ir jį įgyvendinti. Visgi ne visais atvejais tai yra privaloma.
Bendrasis duomenų apsaugos reglamentas numato, kad tais atvejais, kai prašymas akivaizdžiai nepagrįstas arba neproporcingas, organizacija gali atsisakyti imtis veiksmų arba imti mokestį. Visais atvejais pareiga įrodyti, kad prašymas buvo tikrai akivaizdžiai nepagrįstas arba neproporcingas teks organizacijai. Tai reiškia, kad organizacijos atsisakymas imtis veiksmų turi turėti labai aiškius argumentus. Kita vertus, prašymo akivaizdus nepagrįstumas arba neproporcingumas, nors ir atleidžia nuo pareigos įgyvendinti pačią teisę susipažinti su savo asmens duomenimis, neatleidžia nuo pareigos informuoti asmenį apie tai, kad jokių veiksmų nebus imtasi.
Tai, kad nėra lengva spręsti, koks prašymas gali būti laikomas akivaizdžiai nepagrįstu arba neproporcingu, rodo, kad šie klausimai tampa Europos Sąjungos Teisingumo Teismo sprendimų objektu. Štai šis klausimas buvo išnagrinėtas šio teismo 2026 m. kovo 19 d. sprendime, priimtame byloje C-526/24, paaiškinant, kad asmens prašymas susipažinti su savo asmens duomenimis, pateiktas siekiant ne susipažinti su savo asmens duomenimis, o tik užsitikrinti Bendrojo duomenų apsaugos reglamento jam suteikiamų teisių apsaugą (reikalauti žalos atlyginimo), gali rodyti piktnaudžiavimą minėta teise.
Tampa svarbu įrodyti tikrąjį asmens ketinimą, atsižvelgiant į tai, ar asmuo pateikė savo asmens duomenis, su kuriais nori susipažinti, savo noru; koks šių asmens duomenų pateikimo tikslas; koks laikotarpis praėjo nuo duomenų pateikimo iki prašymo susipažinti su jais; kaip asmuo elgiasi.
Europos Sąjungos Teisingumo Teismo pozicija rodo, kad, nustatant tikrąjį asmens ketinimą, galima naudoti net ir viešą informaciją, rodančią, kad asmuo sistemingai teikia prašymus susipažinti su savo asmens duomenimis ir prašymus atlyginti žalą įvairiems duomenų valdytojams.
Organizacija taip pat gali turėti išimtį, leidžiančią neįgyvendinti asmens teisės susipažinti su savo asmens duomenimis, jei teisės aktai, nesvarbu, ar jie nacionaliniai, ar Europos Sąjungos, numato, tam tikrus šios teisės apribojimus, kai tai reikalinga nacionaliniam saugumui, gynybai, visuomenės saugumui, nusikalstamų veikų prevencijai, tyrimui, nustatymui ir patraukimui už jas baudžiamojon atsakomybėn ir kitais Bendrajame duomenų apsaugos reglamente nustatytais atvejais. Be kita ko, kartais asmens galima nesupažindinti su jo asmens duomenų tvarkymu jo paties labui, kai tai tiesiogiai numatyta teisės akte.
Pavyzdžiui, paciento atveju atsižvelgiama į Pacientų teisių ir žalos sveikatai atlyginimo įstatymo 7 straipsnio 1 dalies nuostatą, numatančią, kad medicinos dokumentai pacientui neteikiami, kai tai iš esmės gali pakenkti paciento sveikatai ar net sukelti pavojų jo gyvybei. Tokiais atvejais įvertinama, ar apie informacijos teikimo ribojimus yra pažymėta paciento medicinos dokumentuose gydančio gydytojo.
Kokia teisinė atsakomybė gresia, jei organizacija nesuteikia galimybės susipažinti su asmens duomenimis, tokius prašymus ignoruodama arba tinkamai jų nevykdydama?
Nėra paprasta ir lengva įgyvendinti asmenų prašymus susipažinti su savo asmens duomenimis, ypač jei organizacija nėra tam tinkamai iš anksto pasirengusi. Neretai kyla pagunda gautus prašymus ignoruoti. Kas tada?
Priežiūros institucija turi diskrecijos teisę, kokią poveikio priemonę taikyti, tai gali būti papeikimas, nurodymas įgyvendinti teisę susipažinti su savo asmens duomenimis arba skirti administracinę baudą, kuri gali būti iki 4 proc. ankstesnių finansinių metų bendros metinės pasaulinės apyvartos arba iki 20 mln. eurų dydžio, jei tai yra privati organizacija. Viešojo sektoriaus institucijoms taikomos žymiai mažesnės administracinės baudos.
Priežiūros institucijos praktika ir viešai skelbiami sprendimai rodo, kad teisės susipažinti su savo asmens duomenimis (ne)įgyvendinimas yra viena iš populiariausių skundų sričių, o nustačius pažeidimus taikomos visos poveikio priemonės, įskaitant ir administracinę baudą. Viena iš didžiausių baudų (2 385 276 Eur), skirtų Lietuvoje internetinę dėvėtų drabužių prekybos ir mainų platformą valdančiai bendrovei, susijusi ir su teisės susipažinti su asmens duomenimis pažeidimu.
Taip pat asmuo, kurio teisė susipažinti su savo asmens duomenimis buvo neįgyvendinta ar netinkamai įgyvendinta, turi teisę reikalauti materialinės arba nematerialinės žalos atlyginimo. Jei asmuo šiai teisei įgyvendinti ir ginti pasitelkė teisines paslaugas teikiantį asmenį, patirtos teisinės išlaidos dėl pažeistos teisės gynimo gali būti traktuojamos kaip patirta žala.
Vienoje iš bylų Europos Sąjungos Teisingumo Teismas pasisakė dėl neturtinės žalos vertinimo duomenų subjekto teisių pažeidimo kontekste, nurodydamas, kad asmuo gali patirti neturtinę žalą vien dėl to, kad negali kontroliuoti savo asmens duomenų ir netenka galimybės pasinaudoti savo teisėmis ir laisvėmis.
Ką svarbu padaryti organizacijoms, kad teisės susipažinti su savo asmens duomenimis įgyvendinimo procesas būtų sklandus?
Duomenų tvarkymo veiklos įrašai ir kita asmens duomenų apsaugos dokumentacija yra privalomi beveik kiekvienai organizacijai, net ir tuo atveju, kai tvarkomi „tik“ darbuotojų asmens duomenys.
Šie dokumentai tampa gana rimta atrama gavus asmens prašymą dėl jo asmens duomenų, jei jie buvo parengti atsakingai, įsitraukiant reikiamiems organizacijos atstovams ir darbuotojams, nepamirštant ir paslaugų teikėjų, kai jiems pavestas asmens duomenų tvarkymas. Neretai reikiamą informaciją turi tik paslaugos teikėjai (duomenų tvarkytojai), todėl būtina juos įtraukti į dokumentacijos rengimo procesą.
Asmens duomenų apsaugos dokumentacijoje taip pat turi būti aiškiai apibrėžtos darbuotojų atsakomybės prašymų susipažinti su asmens duomenimis įgyvendinimo proceso atžvilgiu, darbuotojai turi žinoti, kam perduoti gautą prašymą, koks yra kiekvieno jų indėlis įgyvendinant gautą prašymą, kas turi teisę bendrauti su prašymą pateikusiu asmeniu, kaip turi būti vertinamas prašymo proporcingumas, galiausiai per kiek laiko turi būti atsakyta į prašymą, kada ir kokiam laikotarpiui jo įgyvendinimą galima pratęsti ir pan.
Asmens duomenų apsaugos dokumentacija yra svarbu, tačiau ne ką mažiau svarbu įdiegti techninius sprendimus, kurie leistų lengvai ir greitai surinkti tvarkomus asmens duomenis. Jau kuriant ir diegiant sistemas, turi būti įvertintas jų „draugiškumas“ pritaikytosios ir standartizuotosios duomenų apsaugos principams, kad jos netaptų kliūtimi aptariamam procesui.
Na, ir žinoma – darbuotojų mokymas ir dar kartą mokymas. Darbuotojai turi gebėti atpažinti visų pirma prašymus, teikiamus dėl duomenų subjekto teisių įgyvendinimo, gerai suprasti, kas yra asmens duomenys ir kokia informacija patenka į šių teisių apimtį, bei tinkamai į juos reaguoti. Kaip yra nurodžiusi Valstybinė duomenų apsaugos inspekcija viename iš savo sprendimų, darbuotojų mokymas asmens duomenų apsaugos klausimais kartą per 2 metus nėra pakankamas – jis turėtų būti vykdomas bent kartą per metus.
