2026-07-12 16:04

Jūsų asmens duomenis naudojo be jūsų sutikimo: teisininkė paaiškina, kada tai teisėta

Daugelis žmonių vis dar mano, kad kiekvieną kartą, kai jų vardas, pavardė ar adresas panaudojami be jų sutikimo, automatiškai pažeidžiamas BDAR. Tačiau naujausias Valstybinės duomenų apsaugos inspekcijos (VDAI) sprendimas dar kartą primena – sutikimas nėra vienintelis teisėtas asmens duomenų tvarkymo pagrindas, primena teisininkė, mediatorė Raimonda Joskaudienė.
BNS nuotr. Vėjo jėgainė
BNS nuotr. Vėjo jėgainė

Tačiau tai nereiškia, kad duomenų valdytojas gali elgtis kaip panorėjęs.

Pažiūrėkime, kuo ši byla svarbi kiekvienam nekilnojamojo turto savininkui, verslui ir apskritai kiekvienam asmeniui.

Situacija

Žemės sklypo savininkė gavo registruotą laišką iš bendrovės, planuojančios statyti didesnės kaip 30 kW galios vėjo elektrinę.

Laiške buvo nurodyta:

  • pareiškėjos vardas ir pavardė;
  • gyvenamosios vietos adresas;
  • jos žemės sklypo adresas;
  • unikalus numeris;
  • Nekilnojamojo turto registro duomenys.

Pasak R.Joskaudienės, moteris kreipėsi į VDAI manydama, kad jos duomenys buvo surinkti be sutikimo; ji nebuvo tinkamai informuota; bendrovė nepateikė visos informacijos apie jos duomenų tvarkymą.

Ką nusprendė VDAI?

Inspekcija labai aiškiai išskyrė kelis skirtingus klausimus.

1. Ar reikėjo gauti žmogaus sutikimą?

Ne.

Ir tai daugeliui bus netikėta.

BDAR 6 straipsnio 1 dalies c punktas leidžia tvarkyti asmens duomenis tada, kai tai būtina vykdant teisės aktuose nustatytą pareigą.

„Šiuo atveju bendrovė vykdė pareigą, nustatytą Atsinaujinančių išteklių energetikos įstatymo 49 straipsnio 15 dalyje, kuri įpareigoja informuoti tam tikrų teritorijų žemės sklypų savininkus apie planuojamą vėjo elektrinės statybą.

Kad galėtų tai padaryti, bendrovė teisėtai gavo duomenis iš Registrų centro ir panaudojo juos pranešimui išsiųsti“, – aiškino R.Joskaudienė.

Todėl, pasak jos, sutikimo nereikėjo.

Svarbi BDAR pamoka

Tai, pasak teisininkės, vienas dažniausių visuomenėje pasitaikančių mitų.

BDAR nereiškia, kad kiekvienam asmens duomenų naudojimui būtinas sutikimas.

BDAR numato net šešis savarankiškus teisėto tvarkymo pagrindus.

„Sutikimas yra tik vienas iš jų. Praktikoje dažnai taikomi:

  • sutarties vykdymas;
  • teisinės prievolės vykdymas;
  • viešasis interesas;
  • teisėtas interesas.

Todėl vien argumentas:

„Aš nesutikau.“

dar nereiškia, kad duomenys buvo tvarkomi neteisėtai“, – paaiškino R.Joskaudienė.

2. Ar žmogus buvo tinkamai informuotas?

Ir čia VDAI taip pat nenustatė pažeidimo.

Kadangi duomenys buvo gauti ne iš pačios pareiškėjos, buvo taikomas BDAR 14 straipsnis.

Inspekcija konstatavo, jog pirmame pranešime buvo pateikta pakankamai informacijos:

  • kodėl ji gauna laišką;
  • kokiu įstatymu vadovaujamasi;
  • kas yra duomenų valdytojas;
  • kur galima kreiptis papildomos informacijos.

Todėl, pasak teisininkės, teisė būti informuotai nebuvo pažeista.

3. Tačiau bendrovė vis dėlto padarė klaidą

Ir būtent ši vieta, anot R.Joskaudienės, yra pati įdomiausia.

Pareiškėja pasinaudojo BDAR 15 straipsnyje įtvirtinta teise susipažinti su savo duomenimis.

Bendrovė:

  • pateikė tvarkomų duomenų kopiją;
  • paaiškino teisinį pagrindą;
  • nurodė duomenų tvarkymo tikslą.

Tačiau, anot R.Joskaudienės, ji nenurodė, kiek laiko ketina saugoti pareiškėjos asmens duomenis.

Asmeninio archyvo nuotr./Teisininkė, mediatorė Raimonda Joskaudienė
Asmeninio archyvo nuotr./Teisininkė, mediatorė Raimonda Joskaudienė

„Būtent dėl šios priežasties VDAI konstatavo BDAR 15 straipsnio 1 dalies d punkto pažeidimą.

Kodėl tai svarbu?

Labai dažnai organizacijos mano, kad pakanka parašyti:

„Jūsų duomenis tvarkome teisėtai.“

Tačiau BDAR reikalauja gerokai daugiau“, – pabrėžė teisininkė.

Pasak jos, duomenų subjektui turi būti pateikta visa įstatyme numatyta informacija, įskaitant:

  • kokie duomenys tvarkomi;
  • kokiais tikslais;
  • kokiu teisiniu pagrindu;
  • kam jie perduodami;
  • kiek laiko bus saugomi arba pagal kokius kriterijus nustatomas saugojimo terminas.

„Net jeigu pats duomenų rinkimas buvo visiškai teisėtas, informacijos nepateikimas apie saugojimo laikotarpį jau laikomas BDAR pažeidimu“, – teigė teisininkė.

Kokią poveikio priemonę pritaikė VDAI?

Kadangi pažeidimas buvo vienintelis ir nebuvo nustatyta kitų BDAR pažeidimų, VDAI neskyrė baudos.

„Tačiau įpareigojo bendrovę iki nustatyto termino tinkamai atsakyti pareiškėjai ir pateikti informaciją apie duomenų saugojimo laikotarpį.

Tai dar kartą parodo, kad VDAI taiko proporcingumo principą – ne kiekvienas pažeidimas automatiškai reiškia finansinę sankciją“, – pabrėžė R.Joskaudienė.

Praktinės išvados gyventojams

  • Ne kiekvienam Jūsų duomenų naudojimui būtinas sutikimas.
  • Prieš teigiant, kad pažeistas BDAR, verta išsiaiškinti, kokiu teisiniu pagrindu duomenys buvo tvarkomi.
  • Jeigu kreipiatės pagal BDAR 15 straipsnį, turite teisę gauti ne tik savo duomenų kopiją, bet ir visą įstatyme numatytą informaciją, įskaitant jų saugojimo laikotarpį.
  • Jeigu tokios informacijos negaunate, tai gali būti savarankiškas BDAR pažeidimas, net jei pats duomenų rinkimas buvo teisėtas.

„Ši VDAI byla yra puikus pavyzdys, kodėl BDAR negalima vertinti vien emocijomis ar vienu sakiniu: „Aš nesutikau, vadinasi pažeidimas.“ Pirmiausia reikia nustatyti teisinį duomenų tvarkymo pagrindą, o tik tada vertinti, ar duomenų valdytojas tinkamai įvykdė visas BDAR pareigas.

Praktikoje nemažai organizacijų koncentruojasi į teisėtą duomenų surinkimą, tačiau pamiršta kitą svarbią pareigų dalį – skaidrų informavimą ir visų duomenų subjekto teisių užtikrinimą. Būtent tokios, iš pirmo žvilgsnio nedidelės procesinės klaidos ir tampa VDAI nustatomų pažeidimų priežastimi“, – teigė R.Joskaudienė.

Pasak jos, VDAI sprendimas dar kartą primena: teisėtas duomenų rinkimas dar nereiškia, kad visi BDAR reikalavimai jau įvykdyti.

Pranešti klaidą
Sėkmingai išsiųsta
Dėkojame už praneštą klaidą