Situacija: mano verslui reikalinga su asmens duomenų tvarkymu susijusi paslauga (pvz., naujienlaiškių siuntimo platforma ar serveriai duomenų saugojimui). Aš:

• internete išsirenku populiariausią / rekomenduotą / ar kitą man patinkantį paslaugų teikėją ir užsisakau jo paslaugą. Toks tiekėjas turi užtikrinti mano tvarkomų duomenų apsaugą.

O GALBŪT:

• internete išsirenku paslaugų teikėją. Savarankiškai arba pasitelkęs teisininkus įvertinu, ar toks teikėjas atitinka duomenų apsaugos reikalavimus. Jei taip, užsisakau jo paslaugą.

Atsiradus poreikiui pasitelkti su duomenų tvarkymu susijusių paslaugų teikėją, versle paprasčiausias ir greičiausias būdas tą padaryti – užsakyti atitinkamas paslaugas internetu. Užsakymo metu sutinkant su paslaugų teikėjo skelbiamomis paslaugų teikimo ir kitomis sąlygomis. Paprasta ir greita, BET ar atlikote namų darbus?

Prieš patikint savo tvarkomus asmens duomenis tvarkyti trečiajam asmeniui (paslaugų teikėjui, kuris bus laikomas duomenų tvarkytoju) būtina įsitikinti, kad tokio asmens pasitelkimas atitiks BDAR. Ne veltui BDAR numato, kad duomenų valdytojas turi pasitelkti tik tuos duomenų tvarkytojus, kurie pakankamai užtikrina, kad duomenų tvarkymas atitiktų BDAR reikalavimus.

Pamoka. Pagrindiniai indikatoriai, kuriuos pastebėjus reiktų suklusti ir detaliau įvertinti sprendimą dėl paslaugų teikėjo pasitelkimo:

• Duomenų tvarkymo sąlygų buvimas. Atkreipkite dėmesį, ar paslaugų teikėjas skelbia atskirą tokio pobūdžio dokumentą. Tai gali būti duomenų tvarkymo sąlygos, duomenų tvarkymo sutartis ir kt. Taip pat atitinkamos sąlygos gali būti įtrauktos į kitus dokumentus, su kuriais sutinkama užsisakant paslaugą (pvz., į paslaugų teikimo taisykles). Bendra taisyklė – duomenų tvarkytojo vykdomas duomenų tvarkymas turi būti reglamentuojamas sutartimi. Nesant tokio dokumento, paslaugų teikėjo pasitelkimas pažeidžia BDAR.
• Duomenų tvarkymo sąlygų turinys. Net jei paslaugų teikėjas turi duomenų tvarkymo sąlygas, reikia įvertinti jų turinį. BDAR 28 straipsnio 3 dalis numato minimalius reikalavimus tokio dokumento turiniui. Pvz., dokumente turi būti nurodyta, kas nutinka su asmens duomenimis tuomet, kai atsisakysite paslaugų teikėjo paslaugų, taip pat turi būti nurodyta pareiga paslaugų teikėjui asmens duomenis tvarkyti tik pagal užsakovo nurodymus ir kt.

SVARBU: jei užsisakant paslaugą reikia sutikti su būtent paslaugų teikėjo vienašališkai iš anksto parengtomis (duomenų tvarkymo) sąlygomis, kurių paslaugų teikėjas neleidžia koreguoti, tai nebus tinkamas pasiteisinimas ar priežastis išvengti pareigų, susijusių su tinkamų duomenų tvarkytojų pasitelkimu ar tokių sąlygų atitiktimi BDAR.

• Valstybė, kurioje paslaugų teikėjas įsikūręs (arba planuoja tvarkyti (saugoti, perduoti, kt.) asmens duomenis). Jei tai valstybė, nepriklausanti EEE, reikėtų pasitikrinti, ar BDAR leidžia pasitelkti tokį duomenų tvarkytoją be papildomų veiksmų. Jei ne, galbūt pakankamą duomenų apsaugą galima užtikrinti sudarant su paslaugų teikėjų papildomus dokumentus.

Visi atsakymai į Jūsų verslo BDAR klausimus:

Šarūnė Prankonytė-Segen, advokatų kontoros PRIMUS vyresnioji teisininkė, BDAR ekspertė