BDAR ir PSD2: kaip tvarkyti specialių kategorijų asmens duomenis?

Europos duomenų apsaugos valdyba (EDAV) paskelbė Gaires 06/2020 dėl Bendrojo duomenų apsaugos reglamento (BDAR) ir antrosios Mokėjimo paslaugų direktyvos (PSD2) sąveikos („Gairės“). Pagrindinis Gairių tikslas – pateikti išsamesnius paaiškinimus mokėjimo inicijavimo ir sąskaitos informacijos paslaugos teikėjams dėl duomenų tvarkymo. Vienas iš Gairėse aptariamų aspektų, keliančių daug klausimų, yra specialių kategorijų asmens duomenų tvarkymas, teikiant mokėjimo paslaugas.

Kas yra specialių kategorijų asmens duomenys?

EDAV pabrėžia, kad neskelbtinų mokėjimo duomenų apibrėžimas PSD2 kontekste itin skiriasi nuo BDAR specialių kategorijų asmens duomenų reikalavimų, kurie pabrėžia tokių asmens duomenų apsaugos svarbą. PSD2 kontekste „neskelbtinų mokėjimo duomenų“ sąvoka reiškia bet kokius duomenis, kuriuos panaudojus galima sukčiauti ir kurie apima personalizuotus saugumo požymius. O specialių kategorijų asmens duomenimis yra laikomi bet kokie duomenys, atskleidžiantys rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus, narystę profesinėse sąjungose, genetiniai duomenys, biometriniai duomenys, siekiant nustatyti fizinio asmens tapatybę, sveikatos duomenys arba duomenys apie fizinio asmens lytinį gyvenimą bei lytinę orientaciją.

Šis neaiškumas, kas yra neskelbtini mokėjimo duomenys, sukelia daug aiškinimo ir įgyvendinimo sunkumų ir padidina teisės aktų nesilaikymo riziką. Taigi, ar iš tiesų finansinių paslaugų teikėjai tvarko savo klientų specialių kategorijų asmens duomenis, kuriems taikytina ypatinga apsauga BDAR kontekste? Praktikoje tikriausiai yra nedaug atvejų (arba visai nėra), kai finansinių operacijų metu būtų tvarkomi specialių kategorijų asmens duomenys. Deja, EDAV yra kiek kitokios nuomonės.

Gairėse nurodoma, kad finansinių operacijų metu gali būti atskleidžiama neskelbtina informacija apie atskirus duomenų subjektus, įskaitant ir specialių kategorijų asmens duomenis. Pavyzdžiui, politinius ir (ar) religinius įsitikinimus gali atskleisti aukos politinėms partijoms ar organizacijoms, bažnyčioms ar parapijoms. Asmens duomenys apie sveikatą gali būti renkami analizuojant duomenų subjekto sumokėtas medicinos sąskaitas. Galiausiai informacija apie tam tikrus pirkinius gali atskleisti duomenis apie asmens seksualinį gyvenimą ar seksualinę orientaciją.

Nors iš tiesų mokėjimas ligoninei nebūtinai atskleidžia sveikatos duomenis apie duomenų subjektą, kadangi mokėjimas gali būti nesusijęs su medicinos paslaugomis ar gali būti atliktas kito asmens vardu ir pan. Analogiška situacija gali būti, kai asmuo moka tam tikrai bendrovei ir (ar) organizacijai už nežinomas paslaugas, kurios nėra susiję su sveikata, politine nuomone ir pan. Pavyzdžiui, pasikartojantys mokėjimai politinei partijai gali būti susiję su naudojimusi bendromis biuro patalpomis.

Kada galima tvarkyti specialių kategorijų asmens duomenis, teikiant finansines paslaugas?

Specialių kategorijų asmens duomenys negali būti tvarkomi, išskyrus atvejus, kai juos tvarkyti leidžiama BDAR nurodytais konkrečiais atvejais. Gairėse laikomasi pozicijos, kad mokėjimo paslaugų teikėjai turi teisę tvarkyti specialių kategorijų asmens duomenis tik tuo atveju, jei BDAR 9 straipsnis leidžia nukrypti nuo bendro draudimo tvarkyti specialių kategorijų asmens duomenis. Be kita ko, kai duomenų subjektas su tuo aiškiai sutinka arba kai tvarkyti duomenis būtina dėl svarbaus viešojo intereso priežasčių, remiantis ES arba valstybės narės teise.

Specialių kategorijų asmens duomenis mokėjimo paslaugų teikėjai gali tvarkyti dėl svarbaus viešojo intereso priežasčių, jei ES ar valstybės narės teisėje yra numatytos tinkamos ir konkrečios duomenų subjekto pagrindinių teisių ir interesų apsaugos priemonės, kad būtų̨ apsaugoti asmens duomenys ir kitos pagrindinės teisės, kai tai pateisinama viešuoju interesu. Jei tokios priemonės nėra nustatytos, greičiausiai vienintelė išeitis prieš pradedant tvarkyti specialių kategorijų asmens duomenis gauti aiškų duomenų subjekto sutikimą.

Jeigu mokėjimo paslaugų teikėjui netaikoma nė viena nuostata, leidžianti nukrypti nuo draudimo tvarkyti specialių kategorijų asmens duomenis, toks duomenų tvarkymas yra negalimas.

Ką privalu atlikti, jei teikiant mokėjimo paslaugas tvarkomi specialių kategorijų asmens duomenys?

Visų pirma, svarbu įsivertinti, kokius asmens duomenis mokėjimo paslaugas teikianti bendrovė tvarko, suskirstyti juos pagal kategorijas ir nustatyti, ar yra tvarkomi specialių kategorijų asmens duomenys. Deja, kaip tą padaryti, EDAV nepateikia rekomendacijų. Bet atsižvelgiant į tai, kad tvarkant specialių kategorijų asmens duomenis būtina tvarkyti veiklos įrašus, kurie, be kita ko, apima, ir „asmens duomenų kategorijų aprašymą“, papildomų veiksmų, manytina, šiuo atveju nereikėtų imtis. Nepaisant to, mokėjimo paslaugų teikėjas turi užtikrinti: (i) kad, kai pasikeičia asmens duomenų tvarkymo veiksmai ar kita informacija, susijusi su asmens duomenų tvarkymu, atnaujinama duomenų tvarkymo veiklos įrašuose esanti informacija; (ii) duomenų tvarkymo veiklos įrašų pakeitimų atsekamumą (pvz., kas, kada buvo duomenų apsaugos pareigūnas, kada ir kokie buvo daryti pakeitimai ir t. t.).

Antra, nustačius, kad teikiant mokėjimo paslaugas yra tvarkomi specialių kategorijų asmens duomenys, atlikti poveikio duomenų apsaugai vertinimą. Poveikio duomenų apsaugai vertinime pateikiant duomenų tvarkymo operacijų aprašymus, duomenų tvarkymo tikslus, duomenų tvarkymo operacijų reikalingumo ir proporcingumo vertinimą, duomenų subjektų teisėms ir laisvėms kylančių pavojų vertinimą, pavojams pašalinti numatytas priemones ir pan. Tik įvertinus vykdomų duomenų tvarkymo operacijų poveikį, galima nuspręsti, ar vis dėlto gali mokėjimo paslaugų teikėjai tvarkyti specialių kategorijų asmens duomenis ir kokių operacijų.

Trečia, atlikus poveikio duomenų apsaugai vertinimą ir nustačius, kad galima tvarkyti specialių kategorijų asmens duomenis mokėjimo operacijų metu, nustatyti teisinį pagrindą, kuriuo vadovaujantis būtų tvarkomi specialių kategorijų asmens duomenys (viešojo intereso priežastys, sutikimas ar kt.). Nenustačius teisinio pagrindo, kuriuo vadovaujantis gali būti tvarkomi specialių kategorijų asmens duomenys, atsisakyti jų tvarkymo, siekiant išvengti PSD2 ir GDPR pažeidimų.

Mūsų patirtis