Kokios asmens duomenų apsaugos nuostatos turi atsidurti sutartyje?

Nuo Bendrojo duomenų apsaugos reglamento (ES) 2016/679 (toliau – BDAR) įsigaliojimo praėjus daugiau nei trejiems metams klausimų dėl šio teisės akto taikymo vis tiek išlieka daug. Visose srityse, kuriose tvarkomi asmens duomenys, reikia atsižvelgti į šį teisės aktą, o priminti, kokios pasekmės laukia nesilaikant BDAR, turbūt niekam nereikia. Sudarant ir vykdant bet kokią sutartį asmens duomenų tvarkymas yra neišvengiamas, todėl visiškai natūraliai gali kilti klausimas, kokia apimtimi reikia aptarti asmens duomenų tvarkymą joje ir ar iš viso tokios sąlygos yra reikalingos.

Hipotetinė situacija: juridinis asmuo su kitu juridiniu asmeniu sudaro pirkimo-pardavimo sutartį, kurioje šalys sutaria, jog pirkėjas iš pardavėjo pirks kėdes, o pirkėjas įsipareigoja jas priimti ir sumokėti kitai šaliai sutartyje nustatytą kainą. 

Nors ši sutartis sudaroma tarp dviejų juridinių asmenų, tačiau joje neišvengiamai atsiranda asmens duomenų, kadangi ją pasirašo abiejų šalių įgalioti atstovai, t. y. fiziniai asmenys, ir sutartyje tokiu atveju atsiras jų vardai ir pavardės, kontaktiniai duomenys, galimai ir dar daugiau asmens duomenų. Tai reiškia, jog sutarties vykdymo tikslais bus tvarkomi asmens duomenys, todėl automatiškai šiuose sutartiniuose santykiuose bus taikomas BDAR. 

Tokiu atveju sutarties objektas nebūtų keitimasis asmens duomenimis, todėl duomenų tvarkymo susitarimo sudarymas tikrai nėra būtinas. Minėtoje situacijoje rekomenduotina pasirinkti vieną iš dviejų opcijų: i) prie sutarties paruošti priedą – privatumo pranešimą, kuriame nurodomas sutarties vykdymo tikslu tvarkomų asmens duomenų spektras, tokio tvarkymo teisinis pagrindas ir kita BDAR 12, 13, 14 str. nurodyta informacija; arba ii) sutartyje įterpti nuostatą, jog sutarties vykdymo tikslu yra tvarkomi atitinkami kitos sutarties šalies atstovo asmens duomenys ir pateikti nukreipimą į privatumo politiką, kuri pagal prieš tai nurodytus BDAR straipsnius yra privaloma kiekvienam asmens duomenis tvarkančiam subjektui. Tuomet detalesnė informacija apie asmens duomenų tvarkymą būtų pateikta pasitelkiant nuorodą.

Tačiau, jeigu tarp šalių sudaroma sutartis, kurioje viena šalis iš kitos gauna IT infrastruktūros priežiūros paslaugas, o kita už šias paslaugas moka nustatytą mokestį, tai situacija bus kiek kitokia. Tokiu atveju sutarties objektu, be kita ko, taps ir keitimasis duomenimis arba prieigos prie duomenų suteikimas – IT priežiūros paslaugas gaunanti šalis teiks kitai šaliai savo darbuotojų asmens duomenis, suteiks prieigą prie prižiūrimose IT sistemose tvarkomų trečiųjų asmenų duomenų, o IT ūkio priežiūrą atliekanti šalis tvarkys tuos duomenis jai nurodytais tikslais. Taigi, be pagrindinės sutarties, tarp šalių turės būti sudarytas duomenų tvarkymo susitarimas, kaip tą numato BDAR 28 str. Tokiais atvejais tokio susitarimo sudarymas yra reikalingas, kadangi sutarties objektas, be kita ko, yra ir keitimasis asmens duomenimis ir kontrahentas, kuris sutarties tikslo negali įgyvendinti be iš kitos šalies gautų asmens duomenų, tampa asmens duomenų tvarkytoju. Šiame susitarime duomenis perduodanti šalis nustato asmens duomenų tvarkymo tikslus ir kitus nurodymus bei sąlygas, kuriomis asmens duomenis gaunanti šalis (tvarkytojas) privalo vadovautis. 

Taip pat vertėtų nepamiršti, jog sutartiniuose santykiuose asmens duomenimis gali dalintis ir du nepriklausomi duomenų valdytojai. Tokiu atveju vienos sutarties šalies perduodami duomenys bus perduodami ne tvarkymui, o savarankiškam valdymui ir tokių duomenų gavėjas pats nusistatys duomenų tvarkymo tikslus, teisinius pagrindus ir t. t. Kaip pavyzdys tiktų kiek pakoreguota pirmoji šiame straipsnyje aprašyta situacija. Jeigu baldų pirkėjas, pavyzdžiui, nuspręstų užsakyti baldus pagal užsakymą, pritaikant kiekvienam baldus užsakančios šalies darbuotojui individualiai, su sąlyga, kad pritaikyti baldai bus neatlygintinai perleidžiami darbuotojams kaip darbo priemonė darbui namuose karantino laikotarpiu. Duomenų teikėjas perduotų baldų gamintojui savo darbuotojų kontaktinę informaciją, vardus, pavardes, jog gamintojas galėtų susisiekti su jais dėl jų kūno išmatavimų baldams gavimo, vėliau – dėl baldų pristatymo. Tarp kontrahentų, tikėtina, susiklostytų valdytojas-valdytojas santykis ir kiekviena šalis duomenų tvarkymo tikslus ir pagrindus nusistatytų individualiai. Šioje situacijoje valdytojams būtų reikalinga sudaryti duomenų teikimo susitarimą, kuriame aptariami duomenų teikimo tikslai, kiekvienos šalies rolės, pareigos, taikomi duomenų saugumo standartai ir t.t. Toks susitarimas padės įgyvendinti BDAR nustatytą atskaitomybės principą ir užtikrinti, jog tokia keitimosi operacija atitiktų BDAR reikalavimus. 

Apibendrinant galima teigti, jog kiekvienoje sutartyje įtraukti plačiai asmens duomenų apsaugą ir tvarkymą aprašančias nuostatas tikrai nėra būtina ir universalaus sprendimo visoms situacijoms nėra, tačiau svarbu visada kritiškai įsivertinti, kokia apimtimi ir kokiais tikslais sutarties įvykdymui reikės tvarkyti asmens duomenis, taip pat, koks santykis bus tarp kontrahentų. Jeigu sutarties objektas nėra keitimasis asmens duomenimis, tai tokiu atveju tikrai užteks nukreipimo į privatumo politiką arba priedo prie sutarties, kuriame būtų siaurai aprašyta BDAR 12, 13, 14 str. nurodytą informaciją. Tačiau, jeigu sudarytos sutarties tikslui pasiekti reikalingas platesnis asmens duomenų spektras ir atsiras valdytojas-tvarkytojas ar valdytojas-valdytojas santykis, tai tokiu atveju reikalinga pasirašyti duomenų tvarkymo ar, atitinkamai, duomenų teikimo susitarimą.

PREKYBOS SUTARTYS

PLAČIAU APIE „VŽ SUTARTYS“