VDAI patikrino autobusų parkus valdančias įmones dėl asmens vaizdo duomenų tvarkymo

Valstybinė duomenų apsaugos inspekcija patikrino 35 įmones, valdančias autobusų parkus dėl asmens vaizdo duomenų tvarkymo teisėtumo. Atliekant tikrinimus nustatyta, kad 19 įmonių vaizdo stebėjimo nevykdo, taigi netvarko ir asmens vaizdo duomenų, o visose 16 įmonių, vykdančių vaizdo stebėjimą, nustatyta Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo pažeidimų. Valstybinė duomenų apsaugos inspekcija įmonėms pateikė nurodymus pašalinti asmens duomenų ir privatumo apsaugos pažeidimus.

Atlikus tikrinimus nustatyta, kad 16 įmonių tvarkė asmens vaizdo duomenis prieš tai nepranešusios Valstybinei duomenų apsaugos inspekcijai (VDAI), kaip tai numato Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas (ADTAĮ). Jame nustatyta, kad asmens duomenys gali būti tvarkomi automatiniu būdu tik tuomet, kai duomenų valdytojas arba jo atstovas Lietuvos Respublikos Vyriausybės nustatyta tvarka praneša apie tai VDAI.

Įmonės turi užtikrinti, kad prieš patenkant į patalpas ar teritoriją, kurioje vykdomas vaizdo stebėjimas, pirmiausia būtų aiškiai ir tinkamai pateikiama informacija: kad vykdomas vaizdo stebėjimas; nurodomas duomenų valdytojo juridinio asmens pavadinimas, kodas ir kontaktinė informacija (adresas arba telefono ryšio numeris). 11 tikrintų įmonių netinkamai įgyvendino duomenų subjekto teisę žinoti apie jo asmens duomenų tvarkymą ir minėtos informacijos nenurodė.

6 įmonėse nebuvo nustatytas vaizdo duomenų saugojimo terminas, o 7 įmonėse nustatytas asmens duomenų saugojimo terminas neatitiko teisės aktų reikalavimų. VDAI atkreipė dėmesį, kad nėra tinkama vaizdo duomenis saugoti tol, kol, pvz., užsipildo diskas, ar nustatyti nepagrįstai ilgą asmens duomenų saugojimo terminą. ADTAĮ numatyta, kad asmens duomenys saugomi ne ilgiau, negu to reikalauja duomenų tvarkymo tikslai. Kai asmens duomenys nebereikalingi jų tvarkymo tikslams, jie turi būti sunaikinami, išskyrus tuos, kurie įstatymų nustatytais atvejais turi būti perduoti valstybės archyvams. Įmonės turi nustatyti konkretų (ne minimalų ar maksimalų) asmens duomenų saugojimo terminą.

Tikrinimo metu nustatyta, kad 6 autobusų parkus valdančios įmonės neturi dokumento, reglamentuojančio asmens vaizdo duomenų tvarkymą, kaip tai numatyta teisės aktuose. 10 patikrintų įmonių reglamentuotas asmens vaizdo duomenų tvarkymas neatitiko ir kitų tesės aktuose numatytų reikalavimų, pavyzdžiui:

• nebuvo nustatytas ir reglamentuotas konkretus ir pagrįstas vaizdo duomenų saugojimo terminas bei duomenų saugojimo tvarka, duomenų subjektų teisių įgyvendinimo tvarka (kokiu būdu ir kokia tvarka bus nustatoma duomenų subjekto tapatybė, kokiu būdu ir kokia konkrečiai tvarka vaizdo įrašo nuotraukų duomenys ir (ar) vaizdo įrašas bus teikiami duomenų subjektui, kaip bus vykdoma vaizdo peržiūra bei kaip užtikrinama trečiųjų asmenų, patekusių į vaizdo įrašą, apsauga);
• nebuvo nustatytos techninės duomenų saugumo priemonės, skirtos apsaugoti asmens duomenims nuo neteisėto atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo;
• nebuvo numatytas įpareigojimas darbuotojams, tvarkantiems asmens duomenis, saugoti asmens duomenų paslaptį;
• nebuvo numatytas įpareigojamas pasirašytinai supažindinti su asmens vaizdo duomenų tvarkymą reglamentuojančiu dokumentu įmonės darbuotojus tiek dirbančius, tiek patenkančius į vaizdo kamerų stebimą teritoriją (patalpas) ir kt.

Tikrinimo metu nustatyta, kad visose įmonėse nebuvo sudarytos sąlygos asmenims susipažinti su savo vaizdo duomenimis, nors kiekvienas asmuo turi teisę gauti visą informaciją apie save, įskaitant ir vaizdo duomenis.