Valstybinė duomenų apsaugos inspekcija (VDAI) atliko nuomos paslaugas teikiančių bendrovių patikrinimą dviem aspektais: ar yra laikomasi Bendrajame duomenų apsaugos reglamente (BDAR) įtvirtinto duomenų kiekio mažinimo principo bei ar duomenų subjektai yra tinkamai informuojami apie jų duomenų tvarkymą.
Paminėtina, kad tik pusėje patikrintų įmonių nustatyta, jog buvo laikomasi duomenų kiekio mažinimo principo, kas atitinkamai reiškia, kad likusi pusė pažeidė BDAR. Kalbant apie šį principą pažeidusias įmones, VDAI nustatė tokius padarytus pažeidimus:
- neproporcingai siekiamiems tikslams, ypač kai nuomojama nedidelės vertės įranga, yra tikrinamas asmenų kreditingumas.
- nepagrįstai tvarkoma vairuotojo pažymėjimo antrosios pusės, kurioje neretai nurodomi sveikatos duomenys, kopija.
- bendrovės tvarko vairuotojo pažymėjimų kopijas, nors joms reikia tik dalies duomenų.
- bendrovės tvarko kitų asmens tapatybę patvirtinančių dokumentų kopijas, nors, pavyzdžiui, policijos pareigūnai aiškiai reikalauja pateikti būtent vairuotojo pažymėjimo kopiją.
- nors bendrovėms reikalinga nuomojančio asmens nuotrauka, jos nepagrįstai tvarko viso asmens tapatybę patvirtinančio dokumento kopiją.
Kalbant apie duomenų subjektų skaidraus informavimo principo pažeidimą, paminėtina tai, jog beveik visos tikrintos įmonės šį principą pažeidė. VDAI nustatė šiuos padarytus pažeidimus:
- pateikiama ne visa arba netiksli informacija apie asmens duomenų tvarkymą.
- pateikiama informacija apie neatliekamą asmens duomenų tvarkymą.
- asmenys klaidinami prašant duoti sutikimą, nors iš tiesų jie turėtų tik patvirtinti, kad susipažino su informacija.
- kai duomenys renkami iš duomenų subjekto, bendrovės asmenims nepateikia informacijos duomenų rinkimo metu.
- kai duomenys gaunami ne iš duomenų subjekto, bendrovės asmenims nepateikia informacijos nustatytu laiku.
- bendrovės taiko mokestį už informacijos apie duomenų tvarkymą suteikimą, jeigu duomenų subjektas dėl šios informacijos suteikimo kreipiasi daugiau kaip 1 kartą per metus, nors neįrodo, kad toks prašymas yra akivaizdžiai nepagrįstas arba neproporcingas.
Aptariant aukščiau aptartus principus (skaidraus informavimo bei duomenų kiekio mažinimo), teigtina, jog įmonės turėtų įsivertinti, pirma, ar jos renka tik tiek duomenų, kiek yra būtina, jog galėtų tinkamai teikti paslaugas duomenų subjektams (klientams), antra, ar prieš surinkdamos savo klientų duomenis jie yra tinkamai informuojami apie jų duomenų rinkimą bei apie tokio duomenų rinkimo tikslą. Šių aspektų faktiškai neįgyvendinant, įmonei galėtų būti skiriama bauda už BDAR pažeidimą.