Valstybinė duomenų apsaugos inspekcija ragina elektronines parduotuves labiau pasirūpinti asmens duomenų apsauga.
Valstybinės duomenų apsaugos inspekcijos vyriausioji patarėja Dijana Šinkūnienė sako, kad tokių parduotuvių savininkai privalo įgyvendinti Asmens duomenų teisinės apsaugos įstatymą. Jos nuomone, elektroninių parduotuvių klientų duomenų saugojimas neturi viršyti vienų metų.
"Tam, kad galėtų naudotis elektroninės prekybos privalumais, žmogus turi pateikti tam tikrus savo asmens duomenis, kurie yra būtini, kad būtų galima suformuoti užsakymą, atlikti mokėjimą, pristatyti užsakytas prekes. Taigi elektroninių parduotuvių savininkai yra duomenų valdytojai ir turi įgyvendinti Asmens duomenų teisinės apsaugos įstatymo reikalavimus", - penktadienį spaudos konferencijoje Seime sakė D. Šinkūnienė.
Jos duomenimis, šiuo metu yra įregistruota 250 duomenų valdytojų - įmonių ir fizinių asmenų, tvarkančių asmens duomenis elektroninės prekybos tikslu.
2011 ir 2012 metais Valstybinė duomenų apsaugos inspekcija atliko asmens duomenų tvarkymo teisėtumo patikrinimus - iš viso buvo patikrinti 38 duomenų valdytojai.
"Patikrinimų metu buvo nustatyta, kad duomenų valdytojai netinkamai įgyvendina duomenų subjektų teisę susipažinti su savo asmens duomenimis ir teisę reikalauti ištaisyti, sunaikinti ar sustabdyti savo asmens duomenų tvarkymo veiksmus. Duomenų subjektui buvo sudaroma galimybė prisijungti su savo vartotojo vardu ir slaptažodžiu prie savo susikurtos paskyros ar užsakymo ir susipažinti su ten tvarkomais asmens duomenimis, tačiau to nepakanka tinkamam teisės susipažinti su savo asmens duomenimis įgyvendinimui, kadangi tokiu būdu duomenų subjektas negali gauti informacijos, iš kokių šaltinių ir kokie jo asmens duomenys surinkti, kokiu tikslu jie tvarkomi, kokiems duomenų gavėjams teikiami ar buvo teikti per paskutinius vienerius metus, kaip to reikalauja įstatymas. Panašią tvarką duomenų valdytojai taikė ir siekiant įgyvendinti teisę reikalauti ištaisyti, sunaikinti ar sustabdyti savo asmens duomenų tvarkymo veiksmus - duomenų subjektai galėjo keisti tik jų pačių pateiktus duomenis, tačiau neturėjo galimybės kreiptis į duomenų valdytoją dėl kitų asmens duomenų ištaisymo, sunaikinimo ar tvarkymo veiksmų sustabdymo", - sakė D. Šinkūnienė.
Ji atkreipė dėmesį ir į tai, kad duomenų valdytojai interneto svetainėse (privatumo politikoje, asmens duomenų tvarkymo taisyklėse ar kt.) turėtų pateikti informaciją apie minėtų teisių įgyvendinimo tvarką, taip pat ir kitą papildomą informaciją - pavyzdžiui, kam teikiami duomenų subjekto asmens duomenys (kurjerių tarnyboms, kitoms prekių pristatymo paslaugas teikiančioms įmonėms ir pan.), kokius duomenis duomenų subjektas privalo pateikti ir kokios yra duomenų nepateikimo pasekmės.
"Svarbu ir tai, kad būtų aiškiai pateikiama informacija apie duomenų valdytoją - įmonės pavadinimas, juridinio asmens kodas, buveinė, arba tapatybė (vardas, pavardė) ir nuolatinė gyvenamoji vieta (jei duomenų valdytojas yra fizinis asmuo)", - sakė D. Šinkūnienė.
Ji pastebi, kad duomenų valdytojai dažnai netinkamai nustato asmens duomenų saugojimo terminą - pavyzdžiui, iki elektroninės parduotuvės kliento pareikalavimo panaikinti asmens duomenis, iki elektroninės parduotuvės veiklos pabaigos ir pan.
"Pagal įstatymą duomenų valdytojas turi užtikrinti, kad asmens duomenys būtų saugomi ne ilgiau, nei reikia duomenų tvarkymo tikslams, taigi minėtas asmens duomenų saugojimo termino apibrėžimas yra netinkamas, nes nėra siejamas su konkrečiu asmens duomenų tvarkymo tikslu. Inspekcijos nuomone, tinkamas asmens duomenų, tvarkomų elektroninės prekybos tikslu, saugojimo terminas neturi viršyti 1 metų. Pažymėtina, kad, atsižvelgiant į konkrečios elektroninės parduotuvės specifiką (pavyzdžiui, parduodamų prekių pobūdį, prekėms suteikiamos garantijos terminą ar pan.), asmens duomenų saugojimo terminas gali būti atitinkamai ilgesnis. Taip pat svarbu apibrėžti momentą, nuo kada asmens duomenų saugojimo terminas skaičiuojamas - pavyzdžiui, 1 metai nuo paskutinio prisijungimo prie elektroninės parduotuvės, 1 mėnuo nuo prekės pristatymo ar pan.", - sakė D. Šinkūnienė.
Jos teigimu, vis dar aktualios asmens duomenų tvarkymo tiesioginės rinkodaros tikslu problemos. Inspekcija atkreipia dėmesį, kad duomenų valdytojas, tvarkantis asmens duomenis tiesioginės rinkodaros tikslais, privalo sudaryti aiškią, nemokamą ir lengvai įgyvendinamą galimybę duomenų subjektui išreikšti sutikimą ar nesutikimą dėl jo asmens duomenų tvarkymo tiesioginės rinkodaros tikslais, t. y. žmogui turi būti sudaryta galimybė aktyviais veiksmais išreikšti savo pasirinkimą (pavyzdžiui, pažymint varnele atitinkamą teiginį).
"Negalima siųsti naujienlaiškių ar kitokių tiesioginės rinkodaros pasiūlymų remiantis vien tuo, kad žmogus elektroninio pašto adresą ar kitus kontaktinius duomenis pateikė savo paskyroje, arba kad sutiko su elektroninės parduotuvės taisyklėmis, kuriose kaip viena iš sąlygų kartais būna nurodyti tiesioginės rinkodaros pasiūlymai. Kitas svarbus dalykas - duomenų valdytojas privalo supažindinti duomenų subjektą su jo teise nesutikti, kad jo asmens duomenys būtų tvarkomi tiesioginės rinkodaros tikslais, ir užtikrinti realų šios teisės įgyvendinimą", - spaudos konferencijoje Seime, skirtoje Europos duomenų apsaugos dienai, sakė Valstybinės duomenų apsaugos inspekcijos vyriausioji patarėja D. Šinkūnienė.
Sausio 28-ąją Europos Taryba yra paskelbusi Europos duomenų apsaugos diena.