Nuo spalio 26 d. įsigalios naujas Vyriausybės priimtas nutarimas, pagal kurį visos laisvalaikio, pramogų ir viešojo maitinimo įstaigos privalės registruoti lankytojus. Pateikiame naujojo nutarimo santrauką ir patariame, kaip tinkamai registruoti lankytojus bei išvengti baudų.
Kokie pokyčiai laukia?
Nuo spalio 26 d. veikla bus leidžiama tik tose laisvalaikio ir pramogų vietose bei viešojo maitinimo įstaigose, kuriose užtikrinama jų lankytojų registracija. Reikalavimas taikomas kino centrams, naktiniams klubams, lošimo namams, lažybų bei totalizatorių punktams ir kitoms pasilinksminimo vietoms, taip pat restoranams, kavinėms ir barams.
Registracija neprivaloma, kai maistas tiekiamas išsinešti arba kai viešojo maitinimo paslaugos yra teikiamos įmonių darbuotojams šių įmonių teritorijose ar patalpose.
Vyriausybės nutarimą galite rasti čia.
Valstybės operacijų vadovo sprendimą, nustatantį lankytojų registracijos sąlygas viešojo maitinimo įstaigose, galite rasti čia.
Valstybės operacijų vadovo sprendimą, nustatantį lankytojų registracijos sąlygas laisvalaikio ir pramogų vietose, galite rasti čia.
Valstybės operacijų vadovo sprendimą, nustatantį lankytojų registracijos sąlygas lošimo namuose, galite rasti čia.
Kokius duomenis rinkti privaloma?
Įstaigų atstovai privalės rinkti ir saugoti 21 dieną nuo apsilankymo datos šiuos lankytojo duomenis:
- vardą;
- pavardę;
- telefono numerį.
Prieš registruojant lankytoją, privaloma įsitikinti jo (-s) tapatybe, pavyzdžiui, paprašant parodyti asmens tapatybės dokumentą.
Remiantis Vyriausybės nutarimu, privaloma registruoti visus lankytojus, t. y. net ir vienos šeimos narius, įskaitant ir vaikus. Vaikų duomenims rinkti tėvų (globėjų) sutikimo nereikia, nes šiuo atveju asmens duomenys renkami ne sutikimo pagrindu, o vykdant duomenų valdytojui taikomą teisinę prievolę.
Svarbu atkreipti dėmesį, kad Vyriausybės nutarimą vykdysiančių įstaigų atstovai taps duomenų valdytojais, todėl jiems bus taikomos ir su duomenų apsauga susijusios Bendrojo duomenų apsaugos reglamento (BDAR) nuostatos. Už jų nesilaikymą įmonėms gresia net iki 4 % metinės apyvartos arba iki 20 mln. eurų siekiančios baudos (priklausomai nuo to, kuri suma didesnė).
Kaip rinkti duomenis laikantis BDAR reikalavimų?
Informuokite lankytojus apie duomenų rinkimą
Prieš registruojant lankytoją, jam turėtų būti pateikiamas aiškus, glaustas ir lengvai suprantamas pranešimas, kuriame nurodoma:
- duomenų valdytojo (įmonės ar individualiai veikiančio verslininko) tapatybė ir kontaktiniai duomenys;
- duomenų tvarkymo tikslas ir teisinis pagrindas (šiuo atveju – duomenų valdytojui taikoma teisinė prievolė);
- duomenų gavėjai;
- duomenų valdytojo ketinimai perduoti asmens duomenis už ES ribų;
- duomenų saugojimo laikotarpis;
- duomenų subjekto teisės;
- informacija apie galimas duomenų nepateikimo pasekmes.
Šią informaciją galima pateikti tiek popierine, tiek elektronine forma:
- Jei duomenis ketinama rinkti ant popieriaus atspausdintoje anketoje, tokį pranešimą patogu pateikti pačioje duomenų pildymo anketoje ar kaip atskirą jos priedą.
- Jei duomenys renkami elektroniniu būdu, reikiamą informaciją galima pateikti elektroninėje duomenų rinkimo formoje.
Svarbiausia, kad verslas galėtų įrodyti, jog lankytojas iš tiesų buvo tinkamai informuotas apie duomenų rinkimą, todėl rekomenduojama į duomenų rinkimo anketą įtraukti ir žymą, kurią pažymėdamas asmuo patvirtintų, kad su pateikta informacija susipažino ir ją suprato.
Tai gali būti svarbu ginčo ar skundo atveju. Pareiga įrodinėti, kad duomenys buvo renkami ir saugomi pagal BDAR reikalavimus, tokiose situacijose tenka būtent duomenų valdytojui.
Rinkite tik būtinus duomenis
BDAR įtvirtina duomenų kiekio mažinimo principą, kuris draudžia tvarkyti daugiau asmens duomenų, nei būtina nustatytiems tikslams pasiekti.
Šiuo atveju įstaigos privalo kaupti tik tuos lankytojų duomenis, kurių reikalaujama valstybės lygio ekstremaliosios situacijos operacijų vadovo sprendimu. Bet kokios kitos papildomos informacijos rinkimas laikomas pertekliniu, o ją kaupti būtų galima tik su atskiru asmens sutikimu ar turint kitą teisinį pagrindą.
Svarbu užtikrinti, kad surinkti duomenys būtų naudojami tik nustatytam tikslui. Tai yra tam, kad būtų pateikti Nacionaliniam visuomenės sveikatos centrui, jei to prireiktų Covid-19 ligos židinio epidemiologinei diagnostikai. Surinktus lankytojų duomenis naudoti rinkodaros ar kitais tikslais draudžiama, nebent tam būtų kitas teisinis pagrindas, pavyzdžiui, atskiras lankytojo sutikimas.
Duomenis kaupkite saugiais būdais
Bet kuri pasirinkta duomenų rinkimo forma turėtų užtikrinti duomenų apsaugą nuo neteisėto atskleidimo, netyčinio praradimo ar sunaikinimo, todėl svarbu užtikrinti, kad:
- registruojami lankytojai nematytų kitų lankytojų duomenų;
- popierinėse anketose renkami duomenys nebūtų palikti atviroje ir lengvai prieinamoje vietoje;
- elektroninėje formoje renkami duomenys būtų renkami saugos reikalavimus atitinkančioje sistemoje, apsaugotoje stipriu ir reguliariai keičiamu slaptažodžiu, o dar geriau – dvigubos autentifikacijos sprendimu.
Duomenis pašalinkite tinkamai
Pasibaigus privalomam duomenų saugojimo terminui (21 dienai), informaciją apie lankytojus privaloma nedelsiant tinkamai ir negrįžtamai sunaikinti:
- Prieš pašalinant bet kokią duomenų laikmeną, turi būti sunaikinti visi joje esantys duomenys. Tai galima padaryti naudojant tam skirtą programinę įrangą, kuri taiko patikimus duomenų naikinimo algoritmus.
- Jei to padaryti neįmanoma, laikmena turi būti sunaikinama tam skirtais smulkintuvais ar kitomis mechaninėmis priemonėmis.
Įstaigoms svarbu užtikrinti asmenų, kurių duomenys renkami, teises. Jos apima galimybę prašyti, kad duomenų valdytojas leistų susipažinti su duomenų subjekto asmens duomenimis ir, esant reikalui, juos ištaisytų.
Duomenų valdytojas privalo atsakyti į asmenų užklausas ir prašymus, susijusius su jų asmens duomenų tvarkymu, ne vėliau kaip per vieną mėnesį nuo užklausos ar prašymo gavimo dienos. Jei asmens prašymų tenkinti neketinama, privalu nurodyti to priežastis.
Kviečiame kreiptis
Mūsų duomenų apsaugos ekspertai yra pasirengę Jums padėti visais su duomenų apsauga susijusiais klausimais.
Padėsime Jums sudaryti duomenų rinkimo formą ar atskirą privatumo pranešimą už 90 eurų + PVM.