Išanalizavus asmens duomenų tvarkymo principus bei jų tvarkymo teisinius pagrindus, pereikime prie asmens duomenų subjekto teisių.

BDAR numatytos šios asmens duomenų subjektų teisės:

Teisė į informaciją
Asmens duomenų subjektui turi būti pranešama apie vykdomą duomenų tvarkymo operaciją ir jos tikslus, duomenų valdytojui pateikiant visą papildomą informaciją, kuri būtina tam, kad būtų užtikrintas sąžiningas ir skaidrus duomenų tvarkymas, atsižvelgiant į konkrečias asmens duomenų tvarkymo aplinkybes ir kontekstą.
Kai asmens duomenys renkami tiesiogiai iš duomenų subjekto, duomenų subjektas taip pat turėtų būti informuojamas, ar jis privalo pateikti asmens duomenis, taip pat apie tokių duomenų nepateikimo pasekmes. Ta informacija gali būti pateikiama kartu su standartizuotomis piktogramomis, siekiant lengvai matomai, suprantamai ir aiškiai įskaitomai pateikti prasmingą numatomo tvarkymo apžvalgą.
Pažymėtina tai, kad teisė į informaciją yra įgyvendinama ir vėlesnėje asmens duomenų tvarkymo stadijoje, t.y. po to, kai asmens duomenys buvo pradėti tvarkyti, kas pasireiškia asmens duomenų subjekto teise gauti pranešimus apie duomenų saugumo pažeidimus. Tokiais pažeidimais laikytinos atakos, kuomet duomenys patenka (arba gali patekti) į trečiųjų asmenų rankas.

Lietuvoje apie saugumo pažeidimus atskirais atvejais yra įpareigotos pranešti tik telekomunikacijos bendrovės, interneto tiekėjai ir kitos el. ryšių paslaugas teikiančios įmonės. Tuo tarpu BDAR šią pareigą nustato visoms įmonėms ir institucijoms tvarkančioms asmens duomenis, nepriklausomai nuo jų veiklos pobūdžio.
Duomenų subjektas turi teisę gauti tokią informaciją nedelsiant, aiškia ir paprasta kalba, tais atvejais, kai dėl saugumo pažeidimo gali kilti didelis pavojus asmenų teisėms ir laisvėms. Duomenų subjektas turi gauti informaciją ne tik apie pažeidimo pobūdį, bet ir apie jo pasekmes, priemones, kurių ėmėsi bendrovė bei asmenį, su kuriuo galima šiuo klausim bendrauti.

Teisė susipažinti su asmens duomenimis
Ši teisė reiškia, kad duomenų subjektas turi teisę susipažinti su apie jį surinktais asmens duomenimis, todėl smens-duomenys-apsauga-elektronine-erdve.jpgkiekvienas duomenų subjektas turėtų turėti teisę žinoti ir būti informuotas visų pirma apie tai, kokiais tikslais asmens duomenys tvarkomi, jei įmanoma – kokiu laikotarpiu jie tvarkomi, kas yra duomenų gavėjai, pagal kokią logiką asmens duomenys tvarkomi automatiškai ir kokios galėtų būti tokio asmens duomenų tvarkymo pasekmės bent jau tais atvejais, kai duomenų tvarkymas grindžiamas profiliavimu.
Pateikęs paklausimą duomenų valdytojui, asmuo turi teisę gauti:
patvirtinimą, ar su juo susiję duomenys yra tvarkomi;
tvarkomų duomenų kopiją;
papildomą informaciją.

Kad duomenų subjektai galėtų geriau kontroliuoti savo duomenis, tais atvejais, kai asmens duomenys tvarkomi automatizuotomis priemonėmis, duomenų subjektui taip pat turėtų būti leidžiama gauti su juo susijusius asmens duomenis, kuriuos jis pateikė duomenų valdytojui, susistemintu, paprastai naudojamu, kompiuterio skaitomu ir sąveikiu formatu ir persiųsti juos kitam duomenų valdytojui.

Teisė nesutikti
Duomenų subjektas turi teisę dėl su jo konkrečiu atveju susijusių priežasčių bet kuriuo metu nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi. Šia teise galima pasinaudoti vienoje iš trijų situacijų:
• kuomet duomenys yra tvarkomi įgyvendinant oficialius institucijų įgaliojimus;
• kuomet duomenys yra tvarkomi dėl teisėto duomenų valdytojo ir trečiojo asmens intereso;
• kuomet duomenys yra tvarkomi tiesioginės rinkodaros tikslais.

Jeigu asmens duomenys tvarkomi tiesioginės rinkodaros tikslais, duomenų subjektas turi teisę bet kada nemokamai nesutikti su tokiu duomenų tvarkymu, įskaitant profiliavimą tiek, kiek jis susijęs su tokia tiesiogine rinkodara, nesvarbu, ar tai yra pirminis ar tolesnis duomenų tvarkymas. Apie tą teisę turėtų būti aiškiai informuojamas duomenų subjektas ir ši informacija pateikiama aiškiai ir atskirai nuo visos kitos informacijos.
Duomenų valdytojas nebetvarko asmens duomenų, jeigu duomenų subjektas nesutinka dėl jų tvarkymo, išskyrus atvejus, kai duomenų valdytojas įrodo, kad duomenys tvarkomi dėl įtikinamų teisėtų priežasčių, kurios yra viršesnės už duomenų subjekto interesus, teises ir laisves, arba siekiant pareikšti, vykdyti ar apginti teisinius reikalavimus.

Teisė reikalauti ištaisyti/papildyti asmens duomenis
Duomenų subjektas turi teisę reikalauti duomenų valdytojo ištaisyti jo asmens duomenis ir juos papildyti, jeigu nurodyti netikslūs/neišsamūs/neteisingi asmens duomenys. Kol duomenų valdytojas tikrina ir taiso neteisingus duomenis, asmuo gali prašyti, kad jo duomenys nebūtų tvarkomi.

Teisė ištrinti duomenis („teisė būti pamirštam“)
Duomenų subjektas turi teisę reikalauti, kad jo asmens duomenys būtų ištrinti ir toliau nebetvarkomi, asmens-duomenu-apsauga.jpgkai asmens duomenų nebereikia tiems tikslams, kuriais jie buvo renkami ar kitaip tvarkomi, kai duomenų subjektas atšaukė savo sutikimą ar nesutinka, kad jo asmens duomenys būtų tvarkomi, arba kai jo asmens duomenų tvarkymas dėl kitų priežasčių neatitinka BDAR.

Teisės ištrinti duomenis įgyvendinimo pavyzdys:

Asmuo savo tinklaraštyje aprašė triukšmaujančius kaimynus, nurodydamas jų vardus, darbovietes, amžių bei adresus. Kaimyno sutikimo tokių duomenų paviešinimui jis neturėjo. Tinklaraščio įrašu buvo pasidalinta socialiniame tinkle, o vėliau jis buvo publikuotas naujienų portaluose. Kaimynai gali pareikalauti, kad tinklaraštininkas ne tik panaikintų įrašą, bet ir kreiptųsi į kitus subjektus – socialinį tinklą, naujienų portalus – su reikalavimu ištrinti duomenis.

Teisė prašyti ištrinti duomenis yra išplėsta taip, kad duomenų valdytojas, kuris asmens duomenis paskelbė viešai, yra įpareigotas informuoti tokius asmens duomenis tvarkančius duomenų valdytojus, kad jie ištrintų visus saitus į tuos asmens duomenis, jų kopijas ar dublikatus. Tai darydamas, duomenų valdytojas, atsižvelgdamas į turimas technologijas ir jam prieinamas priemones, įskaitant technines priemones, turėtų imtis pagrįstų veiksmų, kad apie duomenų subjekto prašymą informuotų duomenis tvarkančius asmens duomenų valdytojus.
Visgi, ši teisė nėra absoliuti. Duomenų valdytojas gali atsisakyti tenkinti asmens prašymą, jeigu to reikalauja saviraiškos ar informacijos laisvės interesas, jeigu konkrečiu atveju asmens duomenys tvarkomi vykdant teisinę prievolę, atliekant pavestas viešosios valdžios funkcijas arba dėl viešojo intereso tenkinimo visuomenės sveikatos srityje, taip pat archyvavimo, mokslinių ir istorinių tyrimų bei statistinių tikslų įgyvendinimo, ar teisinių reikalavimų gynimo tikslais.

Teisė apriboti duomenų tvarkymą
Duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas apribotų duomenų tvarkymą kai taikomas vienas iš šių atvejų:
a) asmens duomenų subjektas užginčija duomenų tikslumą tokiam laikotarpiui, per kurį duomenų valdytojas gali patikrinti asmens duomenų tikslumą;
b) asmens duomenų tvarkymas yra neteisėtas ir duomenų subjektas nesutinka, kad duomenys būtų ištrinti, ir vietoj to prašo apriboti jų naudojimą;
technologijos-asmens-duomenu-apsauga.jpgc) duomenų valdytojui nebereikia asmens duomenų duomenų tvarkymo tikslais, tačiau jų reikia duomenų subjektui siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus; arba
d) duomenų subjektas paprieštaravo duomenų tvarkymui, kol bus patikrinta, ar duomenų valdytojo teisėtos priežastys yra viršesnės už duomenų subjekto priežastis.

Kai duomenų tvarkymas yra apribotas, tokius asmens duomenis galima tvarkyti, išskyrus saugojimą, tik gavus duomenų subjekto sutikimą arba siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus, arba apsaugoti kito fizinio ar juridinio asmens teises, arba dėl svarbaus Sąjungos arba valstybės narės viešojo intereso priežasčių.

Teisė į duomenų perkeliamumą
Duomenų subjektas turi teisę gauti su juo susijusius asmens duomenis, kuriuos jis pateikė duomenų valdytojui susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu, ir turi teisę persiųsti tuos duomenis kitam duomenų valdytojui, o duomenų valdytojas, kuriam asmens duomenys buvo pateikti, turi nesudaryti tam kliūčių, kai duomenys valdomi grindžiant sutikimu ar duomenys yra tvarkomi automatizuotomis priemonėmis.
Šia teise galima pasinaudoti vienu iš dviejų būdų:
• asmuo paprašo bendrovės perduoti jam duomenis susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu ir pats persiunčia juos kitai bendrovei;
• asmuo paprašo, kad viena bendrovė persiųstu kitai bendrovei jo duomenis (jeigu tai techniškai įmanoma.

Teisė į duomenų perkeliamumą yra nauja BDAR teisė – jos ADTAĮ nenumatė. Jos tikslas yra užtikrinti, kad asmenys galėtų laisvai perkelti savo duomenis tarp skirtingų paslaugų teikėjų, pavyzdžiui, tarp skirtingų socialinių tinklų ar el. pašto paslaugos teikėjų.

Teisių gynimas
Aukščiau apibrėžtos teisės nėra deklaratyvios – jos realiai yra įgyvendinamos, o jas pažeidus, duomenų subjektas gali naudotis asmens-duomenu-apsauga-kompiuteris.jpgteisių gynybos būdais. Jeigu asmuo mano, kad jo teisės buvo pažeistos, jis galės kreiptis į duomenų apsaugos priežiūros instituciją – Valstybinę duomenų apsaugos inspekciją.
BDAR numatytos „drakoniškos“ baudos – pažeidimo atveju – jos gali siekti iki 20 mln. Eurų arba iki 4 % bendrovės ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, priklausomai nuo to, kuri suma yra didesnė, kai tuo tarpu pagal seną reglamentavimą baudos siekė tik 3 000 eurų. Minimalios baudos dydžio BDAR nenustato, tai yra palikta sureguliuoti pačioms valstybėms.
Jeigu asmens duomenų subjektas nepatenkintas jo skundo nagrinėjimo rezultatu, jis turi teisę kreiptis į teismą su reikalavimu apginti jo teises.

Visos teisės saugomos. Cituojant arba kitaip platinant šią informaciją prašau nurodyti informacijos šaltinį.

Dalintis: