Situacijos esmė
Asmuo apskundė draudimo įmonės veiksmus, teigdamas, kad jo asmens duomenys buvo perduoti skolų išieškojimo įmonei; nebuvo įrodyta jo atsakomybė už žalą; nebuvo tinkamai pateikta informacija pagal BDAR 14 straipsnį; buvo tvarkoma perteklinė asmens duomenų apimtis.
Pasak R.Joskaudienės, situacija kilo po buto užliejimo incidentų, kai draudimo bendrovė išmokėjo draudimo išmoką nukentėjusiajam ir vėliau regresine tvarka siekė išsiieškoti žalą iš, jos vertinimu, atsakingo asmens.
Ką pasakė VDAI?
Pirma, anot R.Joskaudienės, vien tai, kad žmogus nesutinka su skola, dar nereiškia, kad jo duomenų negalima perduoti skolų administravimui
VDAI pabrėžė itin svarbų principą: BDAR nereglamentuoja civilinio ginčo dėl pačios skolos pagrįstumo. VDAI netiria, ar žmogus tikrai kaltas dėl žalos padarymo. Tai nėra duomenų apsaugos institucijos kompetencija.
Tai, pasak R.Joskaudienės, reiškia, kad jei egzistuoja teisinis pagrindas vykdyti regresinį reikalavimą, draudimo bendrovė gali organizuoti skolos administravimą, o duomenys gali būti perduodami duomenų tvarkytojui.
Praktikoje, pasak teisininkės, tai labai aktualu: žmonės dažnai bando ginčyti patį duomenų perdavimą vietoje to, kad ginčytų civilinę atsakomybę ar pačią skolą.
Antra, duomenų perdavimas skolų išieškojimo įmonei gali būti visiškai teisėtas.
VDAI nustatė, kad tarp draudimo bendrovės ir skolų administravimo įmonės buvo sudarytos BDAR 28 straipsnį atitinkančios duomenų tvarkymo sutartys.
Todėl, anot R.Joskaudienės, skolų administravimo įmonė veikė kaip ne savarankiškas duomenų valdytojas, o duomenų tvarkytojas draudimo bendrovės vardu.
„Tai labai svarbus skirtumas praktikoje. Dalis asmenų klaidingai mano, kad jų duomenų negalima perduoti tretiesiems asmenims. Tačiau BDAR leidžia perduoti duomenis duomenų tvarkytojams, jei yra teisėtas tikslas, sudaryta tinkama sutartis, laikomasi BDAR reikalavimų“, – aiškino teisininkė.
Trečia, draudimo bendrovė vis dėlto padarė BDAR pažeidimą. Nors pats duomenų perdavimas buvo pripažintas teisėtu, VDAI nustatė kitą pažeidimą: asmeniui pavėluotai buvo pateikta informacija apie duomenų kilmės šaltinius ir duomenų tvarkymą pagal BDAR 14 straipsnį.
„BDAR 14 straipsnis taikomas tada, kai duomenys gaunami ne iš paties žmogaus, o iš kitų šaltinių, pvz.: Registrų centro, kitų asmenų, partnerių, klientų, draudėjų ir pan. Tokiu atveju žmogus turi būti laiku informuotas iš kur gauti jo duomenys, kokiu tikslu jie tvarkomi, kam perduodami, kokios jo teisės“, – pabrėžė R.Joskaudienė.
Šioje byloje problema, anot jos, buvo ta, kad dalis informacijos buvo pateikta tik po kelių mėnesių ir ne pirmojo kontakto metu. Todėl VDAI konstatavo BDAR 14 straipsnio 3 dalies pažeidimą.
Ketvirta, VDAI pasisakė ir dėl „perteklinių duomenų“.
Pareiškėjas teigė, kad buvo tvarkoma per daug jo duomenų, tačiau VDAI pripažino, kad skolų administravimo kontekste gali būti būtina tvarkyti: vardą, pavardę, asmens kodą, gimimo datą, adresą, telefono numerį, skolos informaciją.
Inspekcija pažymėjo, kad vien vardo ir pavardės nepakaktų tinkamai identifikuoti asmens.
Kodėl šis sprendimas itin svarbus praktikoje?
„Ši byla labai aiškiai parodo kelias dažnas klaidas: žmonės painioja civilinį ginčą dėl skolos su BDAR pažeidimu; manoma, kad bet koks duomenų perdavimas tretiesiems asmenims yra neteisėtas; organizacijos dažnai pamiršta tinkamai įvykdyti BDAR 14 straipsnio informavimo pareigą“, – teigė R.Joskaudienė.
Tuo tarpu verslams šis sprendimas, pasak jos, yra priminimas, kad net jei pats duomenų tvarkymas yra teisėtas, formalūs BDAR informavimo terminų pažeidimai vis tiek gali būti konstatuoti.
