Biometrinių Duomenų Naudojimas Sporto Klubuose: Teisiniai Aspektai ir Praktiniai Iššūkiai Lietuvoje

By /

Įvadas

Pastaruoju metu vis daugiau sporto klubų Lietuvoje diegia biometrinių duomenų sistemas, tokias kaip pirštų atspaudų nuskaitymas, siekdami užtikrinti patogesnį ir saugesnį klientų aptarnavimą. Tačiau šių technologijų naudojimas kelia nemažai teisinių klausimų, ypač susijusių su asmens duomenų apsauga. Valstybinė duomenų apsaugos inspekcija (VDAI) atlieka tyrimus ir skiria baudas sporto klubams, kurie pažeidžia Bendrojo duomenų apsaugos reglamento (BDAR) reikalavimus. Šiame straipsnyje išnagrinėsime pagrindinius aspektus, susijusius su biometrinių duomenų tvarkymu sporto klubuose, remiantis VDAI praktika ir BDAR nuostatomis.

Biometrinių Duomenų Teisinis Reglamentavimas Lietuvoje

Pagal BDAR, biometriniai duomenys priskiriami specialių kategorijų asmens duomenims, kuriuos tvarkyti iš esmės draudžiama, išskyrus tam tikras išimtis. Tai reiškia, kad sporto klubai, norėdami naudoti biometrinius duomenis, turi įrodyti, kad tai yra būtina ir atitinka BDAR reikalavimus. Lietuvoje, kaip ir visoje Europoje, pirštų atspaudai kaip biometriniai asmeniniai duomenys patenka į griežtesnį teisinį reguliavimą. Tokių duomenų apdorojimas neleistinas, išskyrus kai kurias išimtis. Viena jų - savanoriškas sąmoningas žmogaus sutikimas, kurį galima atšaukti.

VDAI Pozicija ir Praktika

VDAI nuolat pabrėžia, kad klientų sutikimas tvarkyti jų biometrinius duomenis turi būti savanoriškas. Tai reiškia, kad klientai turi turėti realią alternatyvą naudotis sporto klubo paslaugomis nenaudodami biometrinių duomenų. Jei vienintelis būdas patekti į sporto klubą yra piršto atspaudų nuskaitymas, sutikimas nėra laikomas savanorišku, o duomenų tvarkymas tokiu atveju laikomas neteisėtu.

Pavyzdžiai iš VDAI Praktikos

  1. "SportGates" atvejis: Pernai gruodžio 22 dienos sprendimu bendrovei „Praktiškas“, valdančiai sporto klubus „SportGates“, už BDAR pažeidimus skirta 6 tūkst. eurų bauda. Bendrovei bauda skirta už klientų biometrinių duomenų tvarkymą, neturint jų savanoriško sutikimo ir už klientų teisės būti informuotiems apie duomenų tvarkymą netinkamą įgyvendinimą. Taip pat nustatyta, kad bendrovė, prieš pradėdama tvarkyti biometrinius duomenis, nebuvo atlikusi poveikio duomenų apsaugai vertinimo, netvarkė ir veiklos įrašų.
  2. "VS FITNESS" atvejis: 2021 m. birželio 21 d. Valstybinė duomenų apsaugos inspekcija (VDAI) skyrė 20 tūkst. eurų baudą sporto klubui UAB „VS FITNESS“ už BDAR pažeidimus. VDAI nustatė, kad bendrovė savo klientų piršto atspaudus tvarkė remdamasi klientų sutikimu, tačiau klientams nebuvo suteikiama alternatyvi galimybė patekti į sporto klubą. Taip pat nustatyta, kad bendrovė nebuvo atlikusi biometrinių duomenų tvarkymo poveikio duomenų apsaugai vertinimo, netvarkė veiklos įrašų.

Šie atvejai rodo, kad VDAI griežtai vertina biometrinių duomenų tvarkymo teisėtumą ir skiria baudas už BDAR pažeidimus.

Alternatyvios Identifikavimo Galimybės

VDAI pabrėžia, kad sporto klubai privalo suteikti klientams alternatyvias identifikavimo galimybes, tokias kaip klubo kortelės, programėlės mobiliajame telefone ar kitos priemonės, kurios mažiau paliečia asmeninę sferą nei pirštų atspaudų apdorojimas. Duomenų subjektams privaloma aiškiai pateikti informaciją apie kitas alternatyvas biometrinių duomenų tvarkymui.

Taip pat skaitykite: Konfliktų sprendimas sporte

Darbuotojų Biometrinių Duomenų Tvarkymas

VDAI taip pat atkreipia dėmesį į darbuotojų biometrinių duomenų tvarkymo teisėtumą. Darbuotojo sutikimas dėl galios disbalanso paprastai nelaikytinas tinkama asmens duomenų tvarkymo sąlyga. Bendrovė turi aiškiai nurodyti, kokiu tikslu ir kokiu teisiniu pagrindu tvarko darbuotojų biometrinius duomenis, atlikti poveikio duomenų apsaugai vertinimą ir įrodyti darbuotojų pirštų atspaudų tvarkymo būtinumą ir proporcingumą.

Informacijos Suteikimas Duomenų Subjektams

Asmenys, kurių duomenys tvarkomi, turi teisę būti informuoti apie jų duomenų tvarkymą. Sporto klubai privalo pateikti asmenims visą informaciją, reikalaujamą pagal BDAR 13 str. 1-2 d., įskaitant:

  • Duomenų valdytojo tapatybę ir kontaktinius duomenis.
  • Duomenų apsaugos pareigūno kontaktinius duomenis (jei taikoma).
  • Duomenų tvarkymo tikslus ir teisinį pagrindą.
  • Duomenų gavėjų kategorijas.
  • Duomenų saugojimo laikotarpį.
  • Duomenų subjekto teises (teisę susipažinti su duomenimis, juos ištaisyti, ištrinti, apriboti tvarkymą, nesutikti su tvarkymu, perkelti duomenis).
  • Teisę pateikti skundą priežiūros institucijai.

Poveikio Duomenų Apsaugai Vertinimas (PDAV)

Prieš pradedant tvarkyti biometrinius duomenis, sporto klubai privalo atlikti poveikio duomenų apsaugai vertinimą (PDAV). PDAV yra procesas, kurio metu įvertinamas duomenų tvarkymo operacijos poveikis asmens duomenų apsaugai ir nustatomos priemonės, kurių reikia imtis siekiant sumažinti riziką. PDAV atliekamas, kai duomenų tvarkymas gali sukelti didelę riziką asmenų teisėms ir laisvėms.

Veiklos Įrašų Tvarkymas

Sporto klubai, tvarkantys biometrinius duomenis, privalo tvarkyti veiklos įrašus. Veiklos įrašuose turi būti pateikta informacija apie duomenų tvarkymo operacijas, įskaitant:

  • Duomenų valdytojo tapatybę ir kontaktinius duomenis.
  • Duomenų apsaugos pareigūno kontaktinius duomenis (jei taikoma).
  • Duomenų tvarkymo tikslus.
  • Duomenų subjektų kategorijas.
  • Duomenų gavėjų kategorijas.
  • Duomenų perdavimo į trečiąsias šalis aprašymą (jei taikoma).
  • Techninių ir organizacinių saugumo priemonių aprašymą.

LFF Asmens Duomenų Tvarkymo Direktyva

Lietuvos futbolo federacija (LFF) taip pat yra parengusi asmens duomenų tvarkymo direktyvą, kurios tikslas - nustatyti LFF atliekamo duomenų tvarkymo teisėtumą, tvarkomų asmens duomenų rūšis, duomenų subjektų kategorijas, subjektus, kuriems duomenys gali būti atskleisti, ir tikslus, dėl kurių asmens duomenys gali būti atskleisti, saugojimo laikotarpius, technines ir organizacines asmens duomenų apsaugos priemones, duomenų subjekto teises bei šių teisių įgyvendinimo tvarką. Ši direktyva atspindi LFF įsipareigojimą užtikrinti asmens duomenų apsaugą ir laikytis asmens duomenų apsaugos teisės aktų nustatytų reikalavimų LFF vykdomoje veikloje.

Taip pat skaitykite: Techniniai nuomos aspektai

Pagrindiniai LFF Direktyvos Principai

  1. Teisėtumo, sąžiningumo ir skaidrumo principas: Asmens duomenys Duomenų subjekto atžvilgiu tvarkomi teisėtu, sąžiningu ir skaidriu būdu.
  2. Tikslo apribojimo principas: Asmens duomenys renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkomi su šiais tikslais nesuderinamu būdu.
  3. Duomenų kiekio mažinimo principas: Asmens duomenys turi būti adekvatūs, tinkami ir apimti tik tai, kas būtina siekiant tikslų, dėl kurių jie tvarkomi.
  4. Tikslumo principas: Asmens duomenys tikslūs ir pagal poreikį atnaujinami.
  5. Saugojimo trukmės apribojimo principas: Asmens duomenys laikomi tokia forma, kad Duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai yra būtina tikslais, kuriais Asmens duomenys yra tvarkomi.
  6. Vientisumo ir konfidencialumo principas: Asmens duomenys tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas Asmens duomenų saugumas, įskaitant apsaugą nuo Asmens duomenų tvarkymo be leidimo arba neteisėto Asmens duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo.
  7. Atskaitomybės principas: LFF pagal poreikį pateikia visus įrodymus dėl BDAR įteisintų principų laikymosi.

Asmens Duomenų Tvarkymo Teisiniai Pagrindai LFF

LFF Asmens duomenis tvarko esant šiems pagrindams:

  1. Duomenų subjektas duoda sutikimą dėl jo Asmens duomenų tvarkymo.
  2. Asmens duomenys gaunami iš LFF Nario, LFF Nario nario, Klubų, Futbolo ugdymo organizacijų, Futbolo trenerių rengimo asociacijos ir/ar bet kokių kitų asmenų LFF Įstatuose, veiklos dokumentuose LFF įtvirtintoms pareigoms įvykdyti ir reikalavimų, numatytų LFF, LFTA, IFAB, FIFA, UEFA priimtuose dokumentuose (konvencijose, reglamentuose, taisyklėse, kodeksuose, nuostatuose ir pan.) tinkamam vykdymui.
  3. Asmens duomenis tvarkyti būtina siekiant įvykdyti sutartį, kurios šalimi yra Duomenų subjektas, arba Duomenų subjekto prašymu imantis priemonių prieš sudarant sutartį.
  4. Asmens duomenis tvarkyti būtina vykdant LFF privalomus teisinius reikalavimus/teisines prievoles, nustatytus (-as) teisės aktuose.
  5. Asmens duomenis tvarkyti būtina siekiant apsaugoti gyvybinius Duomenų subjekto arba kitų fizinių asmenų interesus.
  6. duomenis tvarkyti būtina teisėtais LFF arba trečiosios šalies interesais, išskyrus atvejus, kai duomenų subjekto pagrindinės teisės ir laisvės yra už juos viršesni.

Praktiniai Patarimai Sporto Klubams

Atsižvelgiant į VDAI praktiką ir BDAR reikalavimus, sporto klubams, naudojantiems biometrinius duomenis, rekomenduojama:

  1. Atlikti atitikties BDAR reikalavimams auditą: Įvertinti, ar sporto klubo duomenų tvarkymo procesai atitinka BDAR reikalavimus.
  2. Pasitvirtinti BDAR neatitikties rizikų šalinimo planą: Parengti planą, kaip pašalinti nustatytus BDAR neatitikimus.
  3. Atlikti tvarkomų asmens duomenų inventorizaciją: Nustatyti, kokius asmens duomenis sporto klubas tvarko.
  4. Nustatyti duomenų tvarkymo tikslus ir teisinius pagrindus: Aiškiai apibrėžti, kokiu tikslu ir kokiu teisiniu pagrindu sporto klubas tvarko asmens duomenis.
  5. Suteikti klientams alternatyvias identifikavimo galimybes: Užtikrinti, kad klientai turėtų realią galimybę naudotis sporto klubo paslaugomis nenaudodami biometrinių duomenų.
  6. Informuoti duomenų subjektus apie duomenų tvarkymą: Pateikti asmenims visą informaciją, reikalaujamą pagal BDAR 13 str. 1-2 d.
  7. Atlikti poveikio duomenų apsaugai vertinimą (PDAV): Įvertinti duomenų tvarkymo operacijos poveikį asmens duomenų apsaugai ir nustatyti priemones, kurių reikia imtis siekiant sumažinti riziką.
  8. Tvarkyti veiklos įrašus: Dokumentuoti duomenų tvarkymo operacijas.
  9. Užtikrinti duomenų saugumą: Įdiegti tinkamas technines ir organizacines saugumo priemones, kad būtų apsaugoti asmens duomenys nuo neteisėto prieigos, sunaikinimo, praradimo ar pakeitimo.
  10. Reguliariai peržiūrėti ir atnaujinti duomenų tvarkymo procesus: Užtikrinti, kad duomenų tvarkymo procesai atitiktų naujausius BDAR reikalavimus ir VDAI rekomendacijas.

Sporto klubo "Praktiškas" Privatumo Politika: Pavyzdys

UAB „Praktiškas“, valdanti sporto klubus, savo privatumo politikoje nurodo, kaip tvarko asmens duomenis, gautus vykdant sutartis, atliekant aktyvius veiksmus socialinės žiniasklaidos paskyrose, vykdant tiesioginę rinkodarą, dalyvaujant atrankose, siekiant užtikrinti konfidencialios informacijos apsaugą ir veiklos tęstinumą, iš akcininkų (fizinių asmenų) ir valdymo organų narių, siekiant įvykdyti sutartis, sudarytas tarp Bendrovės ir kontrahentų - juridinių asmenų, užtikrinant turto ir asmenų apsaugą.

Duomenų Tvarkymo Tikslai ir Teisiniai Pagrindai

Bendrovė tvarko asmens duomenis šiais tikslais ir teisiniais pagrindais:

  • Paslaugų sutarčiai sudaryti ir vykdyti, įskaitant registraciją ir paskyros administravimą (BDAR 6 str. 1 d. b p.).
  • Sveikatos duomenų tvarkymui abonemento sustabdymo ligos laikotarpiu, mes remiamasi sutikimu (BDAR 9 str. 2 d. a p.).
  • Identifikavimas patekimo į sporto klubą kontrolės tikslu yra būtinas sporto klubo paslaugų teikimui bei sudarytos paslaugų sutarties vykdymui (BDAR 6 str. 1 d. b p.).
  • Informacinių pranešimų siuntimui, kurie yra aktualūs sporto klubo veiklai, siuntimui mes remiamės sudarytos paslaugų sutarties vykdymu (BDAR 6 str. 1 d. b p.).
  • Abonemento suspendavimas neapmokėjus suteikiamų paslaugų būtų vykdomas pagal su sudarytą paslaugų sutartį (BDAR 6 str. 1 d. b p.).
  • Tiesioginės rinkodaros pranešimų siuntimui remiamasi sutikimu (BDAR 6 str. 1 d. a p.).
  • Bendrovei taikomų teisinių prievolių buhalterinės apskaitos, mokesčių bei dokumentų archyvavimo srityse (BDAR 6 str. 1 d. c p.).
  • Turime teisėtą interesą užtikrinti mūsų sporto klubo bei jame esančio mūsų inventoriaus saugumą bei įrodymų apie įvykusį incidentą išsaugojimą, todėl savo sporto klubuose vykdome vaizdo stebėjimą bei vedame į sporto klubus įeinančių ir išeinančių asmenų žurnalinius įrašus (BDAR 6 str. 1 d. f p.).
  • Turime teisėtą interesą ginti savo teises teismuose, ikiteisminėse ginčų sprendimų institucijose ir panašiose įstaigose, o taip pat, perduoti draudimo bendrovėms informaciją apie Jus kai padarote žalos mums (mūsų turtui), kurį mes esame apdraudę (BDAR 6 str. 1 d. f p.).

Jautrios Informacijos Tvarkymas

Bendrovė renka jautrią informaciją: Jums davus sutikimą (BDAR 9 str. 2 d. a p.) galime tvarkyti Jūsų piršto antspaudo modelį, kuriuo būtumėte identifikuojamas praėjimo kontrolės tikslais. Taip pat, Jūsų sutikimu (BDAR 9 str. 2 d. a p.), galime tvarkyti Jūsų sveikatos duomenis. Šiuo atveju, jei atsiunčiate mums informaciją apie savo sveikatą, prašydami sustabdyti Jūsų abonementą, mes laikome, kad davėte sutikimą Jūsų sveikatos duomenų tvarkymui.

Taip pat skaitykite: Organizaciniai sporto centro aspektai

Duomenų Saugojimo Laikotarpiai

Bendrovė saugo Jūsų asmens duomenis:

  • 3. 1. 5 metus.
  • 3. 2. 5 metus.

Duomenų Subjekto Teisės

Privatumo politikoje nurodoma, kad Jūs turite teisę prašyti mūsų ištaisyti bet kokius turimų duomenų netikslumus. Jūs turite teisę prašyti mūsų ištrinti Jūsų asmens duomenis. Jūs turite teisę į duomenų, kuriuos iš Jūsų gavome Jums sutinkant arba sutarties sudarymo tikslais, perkėlimą. bet kada, kai Jūsų asmens duomenis naudojame naujienlaiškiams siųsti arba tiesioginės rinkodaros tikslais.

tags: #vdai #sprendimas #del #sporto #klubo #biometriniu

Populiarūs įrašai:

  • Krepšinio šventovė Kaune
  • Akimirkų saugojimas
  • Apžvalga apie Lietuvos futbolą
  • Svorio metimas sportuojant moterims
  • Slidinėjimo turnyro reglamentas