Kaip ELTA skelbė antradienį, duomenų apsaugos inspektoriai baigė patikrinimą, ar didieji prekybos tinklai tinkamai tvarko asmens duomenis lojalumo programų ir tiesioginės rinkodaros tikslais. Rezultatai prasti - nustatyta, kad asmens duomenų tvarkymo pažeidimų apstu.

Iš tikrintų 12 prekybos tinklų 11 tvarko fizinių asmenų duomenis lojalumo programos ir tiesioginės rinkodaros tikslais. Visose juose rasta asmens duomenų tvarkymo pažeidimų.

„Atlikusi patikrinimus didžiuosiuose prekybos tinkluose ir vaistinėse, Valstybinė duomenų apsaugos inspekcija pateikė rekomendacijas visiems verslininkams, kaip turi būti tvarkomi vartotojų duomenys lojalumo programose. Tai bus gera pagalba prekybininkams, kokių klaidų tvarkant asmens duomenis jie turi nedaryti įsigaliojus Bendrajam duomenų apsaugos reglamentui“, - rezultatus komentuoja teisingumo viceministrė Irma Gudžiūnaitė.

ELTA primena, kad Valstybinė duomenų apsaugos inspekcija (VDAI) rugpjūčio-rugsėjo mėnesį atliko tikrinimus didžiosiose bendrovėse, veikiančiose maisto, namų apyvokos prekių parduotuvių ir vaistinių sektoriuje.

Atliekant tikrinimus, be kitų teisės aktų, jau remtasi gegužės 25 d. pradėtu taikyti Bendruoju duomenų apsaugos reglamentu (BDAR).

VDAI nustatė, kad trijose bendrovėse nustatyti nepagrįstai ilgi asmens duomenų saugojimo terminai: nurodoma, kad asmens duomenys bus saugomi, „kol turite galiojančią kliento kortelę ir 10 metų po jos paskutinio panaudojimo“, „10 metų nuo dalyvavimo lojalumo programoje pabaigos“ ir „(...) galutinai duomenys bus ištrinti praėjus 5 metams nuo perkėlimo į archyvą“, „saugomi bendrovės veiklos vykdymo laikotarpiu“ ir pan.

Atlikus patikrinimus nustatyta, kad keturios bendrovės renka perteklinę informaciją apie savo klientus. Dažniausiai (net trimis atvejais) renkama tiksli kliento gimimo data. VDAI konstatavo, kad tiksli klientų gimimo data (metai, mėnuo, diena) yra perteklinis duomuo tvarkant asmens duomenis statistikos ir rinkos tyrimų tikslais, klientų elgesio tyrimų tikslais ir šio duomens tvarkymas yra nebūtina ir neproporcinga priemonė siekiamiems tikslams įgyvendinti (pvz., šiems tikslams įgyvendinti pakaktų tvarkyti, pvz., pirkėjo gimimo metus, amžių ar pan.).

Dažniausiai pasitaikęs pažeidimas (6 atvejai) susijęs su informavimu apie asmens duomenų teikimą tretiesiems asmenims (partneriams).

Nustatyta, kad vienoje bendrovėje lojalumo programos tikslais klientų prašoma pateikti dirbančių pagal verslo liudijimus, užsiimančių individualia veikla ir (ar) ūkininkų pažymėjimo kopijas. VDAI konstatavo, kad dirbančių pagal verslo liudijimus, užsiimančių individualia veikla ir (ar) ūkininkų pažymėjimo kopijų rinkimas bei tolesnis tvarkymas yra perteklinė informacija bei neadekvati ir neproporcinga priemonė siekiamiems tikslams (lojalumo programai) įgyvendinti (pvz., šiems tikslams įgyvendinti pakaktų, kad asmuo nurodytų pažymėjimo numerį ar pan.).

Taip pat atliekant patikrinimus nustatyta, kad trys bendrovės, siųsdamos SMS žinutes su tiesioginės rinkodaros pasiūlymais duomenų subjektams, nesuteikia aiškios, nemokamos ir lengvai įgyvendinamos galimybės nesutikti arba atsisakyti duomenų naudojimo tiesioginės rinkodaros tikslais, jeigu pastarieji iš pradžių neprieštaravo dėl tokio duomenų naudojimo teikiant kiekvieną pasiūlymą.

Atliekant patikrinimus nustatyta, kad bendrovių duomenų subjektams pateikiama informacija nėra tiksli, skaidri ir teisinga, kaip to reikalaujama BDAR.

Dažniausiai pasitaikęs pažeidimas (6 atvejai) susijęs su informavimu apie asmens duomenų teikimą tretiesiems asmenims (partneriams). Nėra nurodoma, kokiems konkrečiai duomenų gavėjams (ar jų kategorijoms) duomenų subjektų asmens duomenys gali būti teikiami. Atsižvelgiant į tai, darytina išvada, kad duomenų subjektams teikiama klaidinanti, neteisinga ir (ar) netiksli informacija apie jų asmens duomenų teikimą.

Taip pat nustatyta, kad bendrovės, tvarkydamos asmens duomenis tiesioginės rinkodaros bei profiliavimo tikslais, nepagrįstai remiasi bendrovės teisėtu interesu. VDAI aiškinimu, bendrovės veiksmų negalima laikyti atitinkančiais BDAR nustatytą asmens duomenų tvarkymo teisėtumo sąlygą vien todėl, kad bendrovė turi interesą pritaikyti savo teikiamas paslaugas (prekes) kiek įmanoma labiau klientų poreikiams bei efektyvinant bendrovės verslą. Teisėto intereso sąlyga negali būti taikoma, kadangi šiuo atveju duomenų subjektų (klientų, pirkėjų) interesai yra svarbesni negu duomenų valdytojo, o asmens duomenys profiliavimo tikslais galėtų būti tvarkomi tik su duomenų subjekto sutikimu.

Inspekcija bendrovėms pateikė nurodymus nustatytus pažeidimus pašalinti.