Norėjote pasitikslinti dėl jums teikiamos paslaugos, bet paskambinus į bendrovę operatorė paprašė nurodyti visą asmens kodą? Tai gali būti privalu arba visiškas nesusipratimas, o gal net ir perteklinis prašymas.
LRT.lt skaitytojas Darius pasakoja užsisakęs „Telia“ interneto paslaugas ir po kurio laiko sulaukęs SMS žinutės, kad kitą dieną meistras atvyks įdiegti interneto. Atėjus tai dienai skaitytojas, jis norėjo pasitikslinti, kuriuo laiku meistras turėtų tiksliai atvykti.
„Turėjau nedaug laiko per pietų pertrauką, tad buvo labai aktualus tikslus laikas. Kadangi „Telia“ nedavė konkretaus meistro numerio, teko vėl skambinti bendruoju numeriu. Paskambinus ir pasiteiravus, kada tiksliai atvyktų meistras, vadybininkė paprašė patikslinti tapatybę, tada esą galės mane identifikuoti ir pasakyti daugiau informacijos“, – pasakoja Darius.
Jo teigimu, vadybininkė paprašė nurodyti visą asmens kodą. Dariui toks prašymas pasirodė keistas, todėl jis kelis kartus perklausė, ar tikrai tokie duomenys būtini.
„Buvau nustebęs, kodėl prašoma tokių privačių duomenų, nes dėl tokių paklausimų anksčiau niekada nereikėjo to nurodyti. Vadybininkė tikino, kad tokia tvarka, kad tik tada galės suteikti daugiau informacijos. Neturėdamas kada gaišti laiko ir aiškintis, galų gale padiktavau asmens kodą ir tada vadybininkė, deja, suteikė lygiai tą pačią informaciją, kurią ir žinojau – meistras atvyks tam tikru laiko intervalu“, – LRT.lt sako skaitytojas.
„Telia“ atstovas spaudai Audrius Stasiulaitis LRT.lt patvirtino, kad įvyko nesusipratimas. Asmens kodo prašiusi darbuotoja manė, kad klientas nori ne pasitikslinti informaciją apie interneto įvedimą, o tokią paslaugą užsisakyti. Esą tokiu atveju asmens kodas būtinas.
„Iš tiesų buvo prašyti pertekliniai duomenys. Tiesiog mūsų konsultantė nenuklausė kokybiškai klausimo“, – teigia A. Stasiulaitis.
Jis prideda – paprastai bendrovė tokių asmens duomenų, jeigu nėra perkama paslauga, neprašo. Jeigu reikia patikrinti skambinančio asmens tapatybę, gali būti nebent paprašyta padiktuoti paskutinius keturis asmens kodo skaitmenis ar pateikti kitą informaciją, bet ne visą asmens kodą.
„Čia visiškas nesusipratimas. Konsultantai puikiai žino, kada privalome, o kada neprivalome ir neprašome [pateikti asmens kodo]. Šiuo atveju, pagal visas tvarkas mes neprašome. Man atrodo, kad kokybiškai neišgirdo paties klausimo pradžios, tiesiog buvo forminamas paslaugos pardavimas“, – komentuoja A. Stasiulaitis.
Valstybinės duomenų apsaugos inspekcijos Teisės skyriaus patarėja Raminta Sinkevičiūtė-Šečkuvienė primena, kad gyventojai turėtų atsiminti, jog bet kurie asmens duomenys gali būti tvarkomi tik laikantis su asmens duomenų tvarkymu susijusių principų, kurie įtvirtinti Bendrajame duomenų apsaugos reglamente (BADR), o asmens kodo tvarkymas privalo atitikti ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo reikalavimus.
„Kokius asmens duomenis tvarkyti, gali nustatyti teisės aktai, o jei jie nenustato, tuomet juos pasirenka pati įmonė (duomenų valdytojas ar duomenų tvarkytojas). Tokiu atveju ji privalo užtikrinti, kad renkami asmens duomenys būtų proporcingi siekiamam tikslui, kuris privalo būti teisėtas, sąžiningas ir pan. BDAR įpareigoja rinkti kuo mažiau duomenų, t. y. tik tiek, kiek tikrai būtina“, – atkreipia dėmesį R. Sinkevičiūtė-Šečkuvienė.
Jos aiškinimu, asmens duomenys paprastai skirstomi į kelias kategorijas. Būtent atsižvelgiant į šias kategorijas, duomenų tvarkymo tikslus, pasirenkamos ir atitinkamos priemonės jų tinkamai apsaugai užtikrinti.
„Jei konkretus asmens duomuo yra reikalingas tik asmens identifikavimui, tai savaime nereiškia, kad tokiu identifikuojančiu duomeniu turi būti asmens kodas. Įmonė turi pasirinkti, koks duomuo galėtų užtikrinti šio tikslo įgyvendinimą. Tai galėtų būti sutarties numeris, vartotojo ID, asmens dokumento numeris ir kt.“, – nurodo R. Sinkevičiūtė-Šečkuvienė.
Ji akcentuoja – nepriklausomai nuo pasirinkto identifikavimo būdo, įmonė turi užtikrinti asmens duomenų apsaugą nuo neteisėto duomenų perėmimo, neteisėtų prieigų ar kitokio praradimo. Taigi tokia duomenų apsauga privalo būti užtikrinta net ir tuo atveju, kai su klientu bendraujam telefonu ar kitais būdais.
„Tuo atveju, jei įmonė reikalauja pateikti asmens kodą telefoninio pokalbio metu, ji privalo imtis tinkamų techninių priemonių užtikrinant duomenų (informacijos) srauto telefonu apsaugą. Vis dėlto siūlytume vengti identifikavimo būdo telefonu“, – sako R. Sinkevičiūtė-Šečkuvienė.
Ji primena, kad asmens kodo naudojimas savaime nėra pažeidimas, jeigu duomenys tvarkomi tinkamai. Jeigu žmogui vis dėlto kyla abejonių, kad duomenų prašantis asmuo gali būti sukčius, R. Sinkevičiūtė-Šečkuvienė rekomenduoja atsisakyti tokius duomenis teikti.
„Telefonu turėtų būti teikiamas minimalus kiekis asmens duomenų, todėl asmuo turėtų būti itin atidus vertindamas, ar teikti informaciją pagal telefonu gaunamus prašymus. Taip pat rekomenduojama vadovautis policijos gerąja praktika, susijusia su galimai apgaulingais telefoniniais skambučiais“, – teigia pašnekovė.
Jeigu žmogus yra įsitikinęs, kad bendrauja ne su sukčiais, tačiau jam atrodo, kad prašoma perteklinių duomenų, jis visada gali to pasiteirauti pačios įmonės: „Kiekvienas asmuo turi teisę pasiteirauti pačios įmonės, kokiu tikslu ir teisėta duomenų tvarkymo sąlyga yra renkami tokie duomenys. Taip pat galima teirautis ir dėl tolimesnio tokių duomenų tvarkymo: kam gali būti perduota ir kokiems tikslams, kaip bus naudojami, kiek laiko bus saugomi ir kodėl.“
Ekspertės teigimu, BDAR įpareigoja įmones pateikti ne tik informaciją apie duomenų tvarkymą, bet ir suteikti papildomą informaciją, kuri būtina, kad būtų užtikrintas sąžiningas ir skaidrus duomenų tvarkymas, atsižvelgiant į konkrečias asmens duomenų tvarkymo aplinkybes ir kontekstą.
Žmogus taip pat turi teisę atsisakyti pateikti perteklinius duomenys ir apie tai gali pranešti Valstybinei duomenų apsaugos inspekcijai.
