VALSTYBINĖ DUOMENŲ APSAUGOS INSPEKCIJA

 

 

Lietuvos Respublikos ūkio ministerijai                           2019-01-      Nr. 2R-        (3.2. E) Siunčiama per TAIS                                                         Į 2018-12-17  Nr.(37.2-35)-3-5144

 

DĖL VALSTYBĖS VALDOMŲ ĮMONIŲ VEIKLOS SKAIDRUMO UŽTIKRINIMO GAIRIŲ

 

 

Valstybinė duomenų apsaugos inspekcija (toliau – Inspekcija), įvertinusi Lietuvos Respublikos Vyriausybės nutarimo „Dėl Lietuvos Respublikos Vyriausybės 2010 m. liepos 14 d. nutarimo Nr. 1052 „Dėl Valstybės valdomų įmonių veiklos skaidrumo užtikrinimo gairių aprašo patvirtinimo“ pakeitimo“ projektą, kuriuo yra tvirtinamas Valstybės valdomų įmonių veiklos skaidrumo užtikrinimo gairių aprašas (toliau – Aprašas), pagal kompetenciją teikia šias pastabas ir pasiūlymus:

1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL 2016 L 119, p. 1) (toliau – Reglamentas) 6 straipsnio 3 dalyje numatyta, jog tokiame teisiniame pagrinde galėtų būti išdėstytos konkrečios nuostatos pagal šį reglamentą taikomų taisyklių pritaikymui, įskaitant bendrąsias sąlygas, reglamentuojančias duomenų valdytojo atliekamo duomenų tvarkymo teisėtumą, tvarkytinų duomenų rūšis, atitinkamus duomenų subjektus, subjektus, kuriems asmens duomenys gali būti atskleisti ir tikslus, dėl kurių asmens duomenys gali būti atskleisti, tikslo apribojimo principą, saugojimo laikotarpius ir duomenų tvarkymo operacijas bei duomenų tvarkymo procedūras, įskaitant priemones, kuriomis būtų užtikrintas teisėtas ir sąžiningas duomenų tvarkymas. Taip pat Reglamento 6 straipsnio 3 dalyje nustatyta, jog teisės akte, kuriuo įtvirtinamas asmens duomenų teisėto tvarkymo pagrindas numatytas Reglamento 6 straipsnio 1 dalies c punkte, turi būti nustatomas asmens duomenų tvarkymo tikslas.

Vadovaujantis Reglamento 5 straipsnio 1 dalies b punktu asmens duomenys turi būti renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkomi su tais tikslais nesuderinamu būdu. Reglamento 5 straipsnio 1 dalies c punkte nustatyta, jog asmens duomenys turi būti adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi (duomenų kiekio mažinimo principas).

Taigi siūlome tikslinti Aprašo 7 punktą numatant, kokiu tikslu bus skelbiami Aprašo 7 punkte nurodomi asmens duomenys. Taip pat peržvelgti kitas Aprašo nuostatas šiuo aspektu (pavyzdžiui, Aprašo 8.6 papunktyje nustatyta, jog skelbiami metinių ir tarpinių finansinių ataskaitų rinkiniai, metinių finansinių ataskaitų auditoriaus išvados už ne trumpesnį kaip 5 metų laikotarpį. Taigi iš  Aprašo 8.6 papunkčio nėra aišku, ar bus skelbiami auditoriaus asmens duomenys, ar minėtose išvadose bus asmens duomenų,  jeigu taip, ar nebus skelbiami pertekliniai asmens duomenys bei kt.).

Reglamento 5 straipsnio 1 dalie e punkte nustatyta, kad asmens duomenys turi būti laikomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi.

Svarbu pastebėti, jog teisės aktuose, kurie reglamentuoja asmens duomenų skelbimą viešai, turėtų būti nustatyti asmens duomenų  apimtys, duomenų suformavimo laikas ir jų aktualumas, skelbimo ir saugojimo laikas, klaidingi duomenys ir jų atitaisymas. Taigi siūlome tikslinti Aprašo 7 punktą, nurodant asmens duomenų skelbimo ir saugojimo laiką, klaidingų duomenų ir jų atitaisymo tvarką, jei reikia, prievolę nuasmeninti skelbiamus dokumentus ir pan. Taip pat peržvelgti kitas Aprašo nuostatas šiuo aspektu, pavyzdžiui, Aprašo 8.6 papunktis ir kt.

2. Aprašo 7 punkte nustatyta, jog skelbiami šie Aprašo 6.8 – 6.11 papunkčiuose nurodytų asmenų duomenys: vardas, pavardė, užimamų pareigų pradžios data, kitos užimamos vadovaujamosios pareigos kituose juridiniuose asmenyse, išsilavinimas, kvalifikacija, profesinė patirtis, taip pat informacija apie potencialius interesų konfliktus, kurie galėtų paveikti jų sprendimus.  Iš Aprašo 7 punkto nėra aišku, kokios apimties informacija apie potencialus interesų konfliktus, kurie galėtų paveikti jų sprendimus bus tvarkoma, t. y., ar bus tvarkomi asmens duomenys, jeigu taip, negalime įvertinti,  ar nebus tvarkomi pertekliniai asmens duomenys. Taigi siūlome tikslinti Aprašo 7 punktą tvarkomus asmens duomenis nurodant baigtiniu sąrašu.

 3. Svarbu pastebėti, jog Aprašas nustato, jog rekomenduojama skelbti informaciją apie socialinės atsakomybės iniciatyvas ir priemones, svarbius vykdomus ar planuojamus investicinius projektus (Aprašo 11 punktas), valstybės valdomos įmonės interneto svetainėje skelbiami metinių finansinių ataskaitų rinkinys, valstybės valdomos įmonės metinių finansinių auditoriaus išvada (Aprašo 13 punktas) ir kiti dokumentai, pavyzdžiui, Aprašo 8 ir 17 punktai bei kt. Tuo pačiu Aprašo III skyrius ir Aprašo IV skyrius nustato atitinkamų dokumentų turinį. Taigi siūlytina pakartotinai peržvelgti Aprašo nuostatas, ar skelbiamuose dokumentuose (ne)bus asmens duomenų,  jeigu taip, nurodyti asmens duomenis baigtiniu sąrašu, jeigu reikia prievolę nuasmeninti skelbiamus dokumentus ir pan. (pavyzdžiui, iš Aprašo 9.11 papunkčio nėra aišku, ar bus nurodomi vadovo asmens duomenys, jeigu nebus, siūlome aiškiai nustatyti, jog šie asmens duomenys ataskaitoje nebus tvarkomi ir kt.).

4. Iš Aprašo 22  ir 30 papunkčių nėra aišku, ar nebus tvarkomi asmens duomenys, jeigu taip, ar nebus tvarkomi pertekliniai asmens duomenys. Taigi siūlome tikslinti Aprašo 22 ir 30 papunkčius tvarkomų asmens duomenų atžvilgiu vadovaujantis Reglamento 5 straipsnio 1 dalies c punktu.

 

 

Direktorius                                                                                                 Raimondas Andrijauskas

       

 

 

 

 

 

 

 

 

 

 

O. Pedaniuk, tel. (8 5) 278 4101