lapkričio 3, 2020 / Finansų teisė, atitiktis ir AML, Duomenų apsauga

BDAR ir PSD2: kaip tvarkyti specialių kategorijų asmens duomenis?

Duomenų apsauga

+37052000777

Europos duomenų apsaugos valdyba (EDAV) paskelbė Gaires 06/2020 dėl Bendrojo duomenų apsaugos reglamento (BDAR) ir antrosios Mokėjimo paslaugų direktyvos (PSD2) sąveikos („Gairės“). Pagrindinis Gairių tikslas – pateikti išsamesnius paaiškinimus mokėjimo inicijavimo ir sąskaitos informacijos paslaugos teikėjams dėl duomenų tvarkymo. Vienas iš Gairėse aptariamų aspektų, keliančių daug klausimų, yra specialių kategorijų asmens duomenų tvarkymas, teikiant mokėjimo paslaugas.

Kas yra specialių kategorijų asmens duomenys?

EDAV pabrėžia, kad neskelbtinų mokėjimo duomenų apibrėžimas PSD2 kontekste itin skiriasi nuo BDAR specialių kategorijų asmens duomenų reikalavimų, kurie pabrėžia tokių asmens duomenų apsaugos svarbą. PSD2 kontekste „neskelbtinų mokėjimo duomenų“ sąvoka reiškia bet kokius duomenis, kuriuos panaudojus galima sukčiauti ir kurie apima personalizuotus saugumo požymius. O specialių kategorijų asmens duomenimis yra laikomi bet kokie duomenys, atskleidžiantys rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus, narystę profesinėse sąjungose, genetiniai duomenys, biometriniai duomenys, siekiant nustatyti fizinio asmens tapatybę, sveikatos duomenys arba duomenys apie fizinio asmens lytinį gyvenimą bei lytinę orientaciją.

Šis neaiškumas, kas yra neskelbtini mokėjimo duomenys, sukelia daug aiškinimo ir įgyvendinimo sunkumų ir padidina teisės aktų nesilaikymo riziką. Taigi, ar iš tiesų finansinių paslaugų teikėjai tvarko savo klientų specialių kategorijų asmens duomenis, kuriems taikytina ypatinga apsauga BDAR kontekste? Praktikoje tikriausiai yra nedaug atvejų (arba visai nėra), kai finansinių operacijų metu būtų tvarkomi specialių kategorijų asmens duomenys. Deja, EDAV yra kiek kitokios nuomonės.

Gairėse nurodoma, kad finansinių operacijų metu gali būti atskleidžiama neskelbtina informacija apie atskirus duomenų subjektus, įskaitant ir specialių kategorijų asmens duomenis. Pavyzdžiui, politinius ir (ar) religinius įsitikinimus gali atskleisti aukos politinėms partijoms ar organizacijoms, bažnyčioms ar parapijoms. Asmens duomenys apie sveikatą gali būti renkami analizuojant duomenų subjekto sumokėtas medicinos sąskaitas. Galiausiai informacija apie tam tikrus pirkinius gali atskleisti duomenis apie asmens seksualinį gyvenimą ar seksualinę orientaciją.

Nors iš tiesų mokėjimas ligoninei nebūtinai atskleidžia sveikatos duomenis apie duomenų subjektą, kadangi mokėjimas gali būti nesusijęs su medicinos paslaugomis ar gali būti atliktas kito asmens vardu ir pan. Analogiška situacija gali būti, kai asmuo moka tam tikrai bendrovei ir (ar) organizacijai už nežinomas paslaugas, kurios nėra susiję su sveikata, politine nuomone ir pan. Pavyzdžiui, pasikartojantys mokėjimai politinei partijai gali būti susiję su naudojimusi bendromis biuro patalpomis.

Kada galima tvarkyti specialių kategorijų asmens duomenis, teikiant finansines paslaugas?

Specialių kategorijų asmens duomenys negali būti tvarkomi, išskyrus atvejus, kai juos tvarkyti leidžiama BDAR nurodytais konkrečiais atvejais. Gairėse laikomasi pozicijos, kad mokėjimo paslaugų teikėjai turi teisę tvarkyti specialių kategorijų asmens duomenis tik tuo atveju, jei BDAR 9 straipsnis leidžia nukrypti nuo bendro draudimo tvarkyti specialių kategorijų asmens duomenis. Be kita ko, kai duomenų subjektas su tuo aiškiai sutinka arba kai tvarkyti duomenis būtina dėl svarbaus viešojo intereso priežasčių, remiantis ES arba valstybės narės teise.

Specialių kategorijų asmens duomenis mokėjimo paslaugų teikėjai gali tvarkyti dėl svarbaus viešojo intereso priežasčių, jei ES ar valstybės narės teisėje yra numatytos tinkamos ir konkrečios duomenų subjekto pagrindinių teisių ir interesų apsaugos priemonės, kad būtų̨ apsaugoti asmens duomenys ir kitos pagrindinės teisės, kai tai pateisinama viešuoju interesu. Jei tokios priemonės nėra nustatytos, greičiausiai vienintelė išeitis prieš pradedant tvarkyti specialių kategorijų asmens duomenis gauti aiškų duomenų subjekto sutikimą.

Jeigu mokėjimo paslaugų teikėjui netaikoma nė viena nuostata, leidžianti nukrypti nuo draudimo tvarkyti specialių kategorijų asmens duomenis, toks duomenų tvarkymas yra negalimas.

Ką privalu atlikti, jei teikiant mokėjimo paslaugas tvarkomi specialių kategorijų asmens duomenys?

Visų pirma, svarbu įsivertinti, kokius asmens duomenis mokėjimo paslaugas teikianti bendrovė tvarko, suskirstyti juos pagal kategorijas ir nustatyti, ar yra tvarkomi specialių kategorijų asmens duomenys. Deja, kaip tą padaryti, EDAV nepateikia rekomendacijų. Bet atsižvelgiant į tai, kad tvarkant specialių kategorijų asmens duomenis būtina tvarkyti veiklos įrašus, kurie, be kita ko, apima, ir „asmens duomenų kategorijų aprašymą“, papildomų veiksmų, manytina, šiuo atveju nereikėtų imtis. Nepaisant to, mokėjimo paslaugų teikėjas turi užtikrinti: (i) kad, kai pasikeičia asmens duomenų tvarkymo veiksmai ar kita informacija, susijusi su asmens duomenų tvarkymu, atnaujinama duomenų tvarkymo veiklos įrašuose esanti informacija; (ii) duomenų tvarkymo veiklos įrašų pakeitimų atsekamumą (pvz., kas, kada buvo duomenų apsaugos pareigūnas, kada ir kokie buvo daryti pakeitimai ir t. t.).

Antra, nustačius, kad teikiant mokėjimo paslaugas yra tvarkomi specialių kategorijų asmens duomenys, atlikti poveikio duomenų apsaugai vertinimą. Poveikio duomenų apsaugai vertinime pateikiant duomenų tvarkymo operacijų aprašymus, duomenų tvarkymo tikslus, duomenų tvarkymo operacijų reikalingumo ir proporcingumo vertinimą, duomenų subjektų teisėms ir laisvėms kylančių pavojų vertinimą, pavojams pašalinti numatytas priemones ir pan. Tik įvertinus vykdomų duomenų tvarkymo operacijų poveikį, galima nuspręsti, ar vis dėlto gali mokėjimo paslaugų teikėjai tvarkyti specialių kategorijų asmens duomenis ir kokių operacijų.

Trečia, atlikus poveikio duomenų apsaugai vertinimą ir nustačius, kad galima tvarkyti specialių kategorijų asmens duomenis mokėjimo operacijų metu, nustatyti teisinį pagrindą, kuriuo vadovaujantis būtų tvarkomi specialių kategorijų asmens duomenys (viešojo intereso priežastys, sutikimas ar kt.). Nenustačius teisinio pagrindo, kuriuo vadovaujantis gali būti tvarkomi specialių kategorijų asmens duomenys, atsisakyti jų tvarkymo, siekiant išvengti PSD2 ir BDAR pažeidimų.

Susijusios įžvalgos

Visos įžvalgos

Samanta Blėdienė

Papildytas pinigų plovimo ir įtartinų piniginių operacijų ar sandorių atpažinimo kriterijų sąrašas

balandžio 17, 2024

Nuo 2024-05-01 įsigalioja naujos redakcijos galimo pinigų plovimo ir įtartinų piniginių operacijų ar sandorių atpažinimo kriterijų sąrašas. Tai jau šeštoji FNTT direktoriaus įsakymu tvirtinamo poįstatyminio teisės akto redakcija per beveik 10 metų laikotarpį (originalioji įsigaliojo dar 2014 m. gruodžio 10 d.).

Skaityti daugiau

Samanta Blėdienė

Griežtės finansinio sukčiavimo banko pavedimais prevencija

kovo 20, 2024

Nuo kitų metų griežtės finansinio sukčiavimo banko pavedimais prevencija – Lietuva turės įgyvendinti Europos Komisijos reikalavimą dėl automatinio lėšų gavėjo patikrinimo.

Skaityti daugiau

Samanta Blėdienė

Patvirtintos sukčiavimo prevencijos gairės – įpareigojimas stiprinti apsaugą nuo sukčių

kovo 8, 2024

Lietuvos bankas šių metų sausio 16 d. patvirtino sukčiavimo prevencijos gaires ragindamas mokėjimo paslaugų teikėjus stiprinti vartotojų apsaugą nuo sukčių.

Skaityti daugiau

Visos įžvalgos

Pavadinimas	Valdytojas	Aprašymas	Trukmė
rc::a	google.com	This cookie is used to distinguish between humans and bots. This is beneficial for the website, in order to make valid reports on the use of their website.	Persistent
rc::b	google.com	This cookie is used to distinguish between humans and bots.	Session
rc::c	google.com	This cookie is used to distinguish between humans and bots.	Session

Pavadinimas	Valdytojas	Aprašymas	Trukmė
_ga	google.com	Registers a unique ID that is used to generate statistical data on how the visitor uses the website.	2 years
_gat	google.com	Used by Google Analytics to throttle request rate.	1 day
_gid	google.com	Registers a unique ID that is used to generate statistical data on how the visitor uses the website.	1 day
_fbp	facebook.com	Used by Facebook to deliver a series of advertisement products such as real time bidding from third party advertisers.	3 months
bcookie	linkedin.com	Used by the social networking service, LinkedIn , for tracking the use of embedded services.	2 years
bscookie	linkedin.com	Used by the social networking service, LinkedIn, for tracking the use of embedded services.	2 years
d/px	adsymptotic.com	Collects data on visitors' preferences and behaviour on the website. This information is u sed make content and advertisement more relevant to the specific visitor.	Session
fr	facebook.com	Used by Facebook to deliver a series of advertisement products such as real time bidding from third party advertisers.	3 years
lidc	linkedin.com	Used by the social networking service, LinkedIn , for tracking the use of embedded services.	1 day
lissc	linkedin.com	Used by the social networking service, LinkedIn, for tracking the use of embedded services.	1 year
NID	google.com	Registers a unique ID that identifies a returning user's device. The ID is used for targeted ads.	6 months
tr	facebook.com	Used by Facebook to deliver a series of advertisement products such as real time bidding from third party advertisers.	Session
UserMatchHistory	linkedin.com	Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.	29 days
lang	linkedin.com	Remembers the user's selected language version of a website.	Session
lang	linkedin.com	Set by LinkedIn when a web page contains an embedded "Follow us" panel.	Session