Spalio 26-ąją įsigaliojo nauja  laisvalaikio, pramogų vietų ir viešojo maitinimo įstaigų lankymo tvarka – privaloma registracija. Tai reiškia, kad kiekvienas atėjęs į kino teatrą, restoraną, kavinę ar naktinį klubą nuo šiol privalo pateikti savo vardą, pavardę ir telefono numerį. Valstybinė duomenų apsaugos inspekcija atkreipė dėmesį, kad viešojo maitinimo įstaigos galės rinkti tik būtiniausius duomenis, juos privalės tvarkyti tik teisės akte nustatytu tikslu, bet ne tiesioginei rinkodarai. Be to, surinkti asmens duomenys turės būti saugomi tik tam tikrą laikotarpį, o įmonės privalės užtikrinti tinkamą jų apsaugą, nustatant, kas ir kaip duomenis rinks, kur ir kaip jie bus saugomi. Taip pat asmenims turės būti pateikta informacija apie jų asmens duomenų tvarkymą.

Aš sutinku duoti duomenis tik dėl COVID-19 atvejo informavimo, bet nenoriu, kad mano duomenis matytų kiti restorano lankytojai.

Jau pirmosiomis dienomis naujoji viešojo maitinimo įstaigų lankymo tvarka sulaukė žmonių nepasitenkinimo, mat registravimo būdą sprendė konkrečių vietų šeimininkai. Vieni jų pasirinko QR kodo skenavimą, kiti – registraciją mokamomis žinutėmis, treti – paprasčiausią popieriaus lapą. Pastarasis šią savaitę pateko ir į kaunietės Vitos (tikrasis vardas redakcijai žinomas – aut. past.) rankas. Atėjusiai į vieną Kauno restoranų moteriai, prieš įsitaisant prie stalo, buvo įbruktas A4 formato lapas, su visa eile viešojo maitinimo įstaigoje prieš ją pietavusių žmonių vardais ir telefono numeriais. 

„Jei tik būčiau turėjusi noro, galėjau nusirašyti visus esamus kontaktus“, – apsilankymą restorane prisiminė Vita. Ne mažiau nei asmens duomenų viešinimas svetimiems žmonėms, kaunietę nustebino kitą dieną gauta žinutė. Gerai žinomas restoranas, kuriame ji pietavo, prašė įvertinti apsilankymą.

Skaitytojos nuotr.

Moteris įsitikinusi – jei ne naujoji tvarka, tokio pobūdžio žinutės ji nebūtų gavusi. „Esu įsitikinusi, kad tokia tvarka pažeidžia Bendrąjį duomenų apsaugos reglamentą. Aš sutinku duoti duomenis tik dėl COVID-19 atvejo informavimo, bet nenoriu, kad mano duomenis matytų kiti restorano lankytojai. Taip pat nenoriu, kad man būtų siunčiamos trumposios žinutės. Gal dauguma restoranų taip bando išlaikyti savo klientus?“ – moteris neslėpė, kad eiti į viešojo maitinimo įstaigas dabar jai atrodo labiau nesaugu ne dėl viruso, o dėl neapsaugotų asmens duomenų.

Su restoranu, kuriame lankėsi miestietė, redakcijos žurnalistai susisiekė. Restorano atstovai žadėjo pakomentuoti situaciją – gavę atsakymą, publikaciją papildysime.

Paulius Mockevičius

Paulius Mockevičius, teisės firmos „Sorainen“ teisininkas, duomenų apsaugos specialistas

Nors daugelį kavinių ir barų pasiekė žinia apie privalomą lankytojų registraciją, dalis jų pamiršo, kad asmens duomenų tvarkymui taip pat taikomi griežti Bendrojo duomenų apsaugos reglamento (BDAR) reikalavimai.

Lankytojus registruojančios viešojo maitinimo, pramogų ir laisvalaikio įstaigos tampa duomenų valdytojomis, todėl rinkdamos, naudodamos ir naikindamos lankytojų duomenis privalo laikytis ne tik Vyriausybės nutarimo bei operacijų vadovo sprendimų, bet ir duomenų apsaugą reglamentuojančių teisės aktų.

Pagal BDAR, draudžiama rinkti daugiau asmens duomenų negu reikia konkrečiam tikslui, o surinktų duomenų negalima naudoti jokiais kitais su pirminiu tikslu nesuderinamais tikslais.

Vadovaujantis operacijų vadovo sprendimais, įstaigų administracijos privalo registruoti lankytojo vardą, pavardę ir telefono numerį, kad NVSC galėtų įgyvendinti koronaviruso infekcijos kontrolės priemones. Taigi, jei iš lankytojo reikalaujama pateikti daugiau asmens duomenų (pvz., el. pašto adresą) ar surinkti duomenys be lankytojo sutikimo panaudojami su COVID-19 kontrole nesusijusiais tikslais (pvz., rinkodaros apklausoms, naujienlaiškiams ar kitokio pobūdžio reklamai siųsti), tai yra šiurkštus BDAR pažeidimas.

BDAR taip pat įpareigoja duomenų valdytojus imtis techninių ir organizacinių priemonių, kad būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo neteisėto informacijos atskleidimo. Manytina, kad šio reikalavimo neatitiks asmenų registravimas viename lape, kuriame lankytojai gali matyti vieni kitų duomenis. Rekomenduojama lankytojų duomenis rinkti atskiromis anketomis arba saugiomis elektroninėmis priemonėmis.

Tenka pastebėti, kad dalyje įstaigų nesilaikoma ir skaidraus duomenų tvarkymo principo. Prieš registruojant lankytoją, jam turi būti pateiktas pranešimas apie tai, kas, kodėl, kokiu teisiniu pagrindu ir kiek laiko tvarkys asmens duomenis, kokias su duomenų tvarkymu susijusias teises turi lankytojas bei kita BDAR nurodyta informacija.

Pasiruošti privalomai lankytojų registracijai įstaigos turėjo ypač mažai laiko, tad ne visos spėjo gerai susipažinti su duomenų apsaugos teisės aktų reikalavimais. Todėl lankytojams, pastebėjusiems registracijos pažeidimus, pirmiausia rekomenduočiau geranoriškai informuoti įstaigos administraciją. Šiai nesiėmus veiksmų atitikčiai užtikrinti, galima kreiptis į Valstybinę duomenų apsaugos inspekciją. Už BDAR pažeidimus įmonėms gresia iki 4 proc. metinės apyvartos arba iki 20 mln. eurų siekiančios baudos, t. y. griežtesnė atsakomybė nei už pačios registracijos nevykdymą.