Renata Beržanskienė Partnerė renata.berzanskiene@sorainen.com

Bendrasis duomenų apsaugos reglamentas (Reglamentas), įsigaliosiantis 2018 m. gegužės 25 d., reformuos Direktyvą 95/46/EB (Direktyva) ir jos įgyvendinimui priimtus įstatymus. Reglamentas atneš esminių pokyčių duomenų tvarkymo srityje ir bus taikomas visiems duomenų valdytojams ir tvarkytojams – valstybės institucijoms, mažoms įmonėms, didelėms korporacijoms, nevyriausybinėms organizacijoms.

Ar iš tiesų visos organizacijos yra pasirengusos kokybiškai atlikti privatumo rizikų vertinimą, sustyguoti duomenų tvarkymo procesus bei efektyviai įgyvendinti vartotojų, klientų ar paslaugų gavėjų teises duomenų apsaugos srityje? Konsultuojant klientus duomenų apsaugos klausimais dažnai paaiškėja, kad Reglamentas suvokiamas vien kaip reikalavimas įdiegti naujus IT sistemų sprendimus – duomenų trynimo, šifravimo, pseudonimizavimo, papildomos saugos ir pan. Iš tiesų šių IT sprendimų įgyvendinimas tėra vienas iš daugelio žingsnių siekiant užtikrinti atitikimą Reglamento reikalavimams. Nemaža dalis klientų, ypač mažesnių įmonių, nežino, nuo ko reikia pradėti norint pasiruošti permainomis, todėl joms kyla grėsmė priimti neteisingus sprendimus.

Nors Reglamentas turės poveikį ne tik verslui, bet ir vartotojams (fiziniams asmenims), šiame straipsnyje apžvelgiami verslui aktualiausi pokyčiai.

Reglamento taikymo principai

Reglamentas iš esmės nekeičia asmens duomenų apsaugos principų, tačiau juos sugriežtina. 5-asis Reglamento straipsnis nustato šiuos principus:

1. Teisėtumo, sąžiningumo ir skaidrumo: Direktyvoje taip pat buvo numatytas reikalavimas tvarkyti asmens duomenis teisėtai ir sąžiningai, tačiau į Reglamentą įtrauktas papildomas reikalavimas tvarkyti duomenis skaidriai. Įmonės privalės atkreipti ypatingą dėmesį į šį reikalavimą kurdamos duomenų tvarkymo sistemas bei užsiimdamos veikla, susijusia su asmens duomenų tvarkymu.
2. Tikslo apribojimo: asmens duomenys turi būti tvarkomi aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkomi su tais tikslais nesuderinamu būdu. Reglamente šis principas iš dalies susiaurinamas, numatant, kad duomenų archyvavimas viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais yra laikomas suderinamu su pirminiais tikslais.
3. Duomenų kiekio mažinimo: šis principas buvo sugriežtintas ir Reglamentui įsigaliojus bus reikalaujama užtikrinti, jog renkami duomenys yra adekvatūs ir būtini siekiant tvarkymo tikslų. Informacija, kuri nėra naudojama šiam tikslui pasiekti, negalės būti renkama.
4. Tikslumo: visi renkami asmens duomenys turi būti tikslūs, prireikus atnaujinami, o visa netiksli informacija nedelsiant ištrinama arba ištaisoma.
5. Saugojimo trukmės apribojimo: asmens duomenys turėtų būti saugomi ne ilgiau nei tai yra būtina atsižvelgiant į tikslus, kurių siekiant asmens duomenys yra tvarkomi. Reglamentas taip pat numato, jog asmens duomenys gali būti saugomi ilgiau, jei jie bus tvarkomi tik archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais. Šis principas turi būti interpretuojamas atsižvelgiant į „teisės būti pamirštam“ principą.
6. Vientisumo ir konfidencialumo: asmens duomenys turi būti tvarkomi užtikrinant tinkamą asmens duomenų saugumą, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo, taip pat nuo netyčinio praradimo, sunaikinimo ar sugadinimo.
7. Atskaitomybės: duomenų valdytojas yra atsakingas už tai, kad būtų laikomasi visų aukščiau išvardytų principų. Duomenų valdytojas taip pat privalo sugebėti įrodyti, kad šių principų yra laikomasi.

Reglamento taikymas verslui

Nors naujasis Reglamentas iš duomenų valdytojų ir tvarkytojų pareikalaus didesnės veiklos atskaitomybės ir įpareigos nuosekliau vertinti duomenų tvarkymo pažeidimų riziką, tačiau tam tikrais atvejais jis sumažins administracinę naštą.

1. Vienas teisės aktas bus taikomas visoje ES. Reglamentas, nustatantis vienodas taisykles visoje ES, reguliuoja duomenų valdytojų ir tvarkytojų veiklą būtent tam, kad panaikintų skirtingas ES narių nacionalines nuostatas ir būtų vienodinama praktika bei kuriama darni sistema. Jei ūkio subjektas veiks keliose ES valstybėse, pažeidimo atveju jam reikės susisiekti tik su viena duomenų priežiūros institucija, o ši, perėmusi  tyrimą, pati bendradarbiaus su kitomis institucijomis.
2. Neliks pareigos pranešti apie duomenų tvarkymą įgaliotai institucijai. Priešingai nei dabar, organizacijos galės tvarkyti duomenis visiškai ar iš dalies automatiškai nepranešdamos apie tai asmens duomenų priežiūros institucijai.
3. Duomenų apsaugos pareigūnas ir vertinamas poveikis duomenų apsaugai. Įmonės, kurių pagrindinė veikla yra duomenų tvarkymo operacijos, ir institucijos, kurios tvarko duomenis apie nusikalstamas veikas, turės paskirti duomenų apsaugos pareigūną. Kai asmenų teisėms ir laisvėms grės kilti didelis pavojus dėl tvarkomų duomenų rūšies, apimties, konteksto, pobūdžio ar tikslų, įstaigos turės įvertinti operacijų poveikį asmens duomenų apsaugai.
4. Administracinės baudos už nuostatų pažeidimus griežtės. Pažeidus duomenų apsaugos reikalavimus organizacijoms grės padidintos sankcijos:

1. Pažeidus nuostatas dėl duomenų valdytojo ir duomenų tvarkytojo prievolių, sertifikavimo įstaigos prievolių, stebėsenos įstaigos prievolių grės administracinė bauda iki 10 000 000 eurų, įmonės atveju – iki 2% jos ankstesnių finansinių metų bendros metinės pasaulinės apyvartos (atsižvelgiant į tai, kuri suma didesnė).
2. Pažeidus nuostatas dėl pagrindinių duomenų tvarkymo principų, duomenų subjekto teisių, duomenų perdavimo į trečiąsias valstybes ir kt. grės administracinė bauda iki 20 000 000 eurų arba, įmonės atveju – iki 4% jos ankstesnių finansinių metų bendros metinės pasaulinės apyvartos.

Asmens duomenys

Dažniausiai organizacijos saugo daugiau duomenų nei joms reikia, todėl būtina aiškiai apibrėžti „asmens duomenų“ sąvoką. Reglamento 4 (1) straispnyje asmens duomenys yra apibrėžiami kaip „bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti,“ ir pabrėžiama, kad tapatybės nustatymas gali būti tiesioginis arba netiesioginis (tiesioginis – žinant vardą ar pavardę, netiesioginio tapatybės nustatymo pavyzdys – „Lietuvoje dirbanti advokatų kontoros „Sorainen“ advokatė“). Reglamente įvardinta, jog tapatybės nustatymas gali būti vykdamas „visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius“.  Šis asmens duomenų sąvokos apibrėžimas beveik nesiskiria nuo Direktyvoje pateikiamo apibrėžimo ir išlieka toks pat platus siekiant apimti visą su asmeniu susijusią informaciją. Tačiau toks platus apibrėžimas kelia daug klausimų ir potencialių problemų – ar identifikavimo numeris apima, pavyzdžiui, IP adresą (atsakymas – apima) ir slapukus? Jau anksčiau 29-o straipsnio duomenų apsaugos darbo grupė (anlg. 29 Article Working Party) išleido išsamų vadovą apie asmens duomenų sąvoką, kuriame nurodyta, jog Direktyva buvo siekiama asmens duomenų apibrėžimą palikti labai platų. Palikus asmens duomenų apibrėžimą Reglamente beveik tapatų Direktyvoje pateikiamam apibrėžimui, jį interpretuos ir tikslias apibrėžimo ribas nustatys teismai.

Pagrindinis ES duomenų apsaugos įstatymas taip pat užtikrina ypatingą apsaugą specialių kategorijų asmens duomenims, kurie pagal savo pobūdį yra neskelbtini. Šie duomenys yra apibūdinami kaip atskleidžiantys rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus ar narystę profesinėse sąjungose, kategorijai taip pat priskiriami genetiniai duomenys, biometriniais duomenys (kai jais naudojantis siekiama nustatyti fizinio asmens tapatybę), sveikatos duomenys arba duomenys apie fizinio asmens lytinį gyvenimą ir lytinę orientaciją. Asmens duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas taip pat reikalauja specialios apsaugos. Bendrovėms, kurios tvarko genetinius arba biometrinius duomenis, yra ypač svarbu atkreipti dėmesį, kad Reglamentas šiuos duomenis įtraukia į specialią kategoriją, kuriai bus taikomi papildomi apribojimai.

Reglamente pateikiamą „asmens duomenų“ apibrėžimą sudaro keturi pagrindiniai elementai:

1. „Bet kokia informacija“: dėl plataus apibrėžimo bet kokia informacija – net ir lengvai gaunama ir neesminė, bet susijusi su fiziniu asmeniu – patenka į šį apibrėžimą. „Informacija“ apima garso, vaizdo, genetinius duomenis.

1. Telefoninė bankininkystė: jeigu į garsajuostę yra įrašomas kliento, teikiančio bankui informaciją, balsas, toks įrašas yra laikomas asmens duomenimis.
2. Sekimas vaizdo kameromis: sekimo vaizdo kamerų užfiksuoti asmenų atvaizdai, jeigu juose galima atpažinti asmenis, yra laikomi asmens duomenimis.

2. „Su asmeniu susijusi informacija“: neatsižvelgiant į tai, ar informacija yra tiesiogiai susijusi su asmeniu ar ne, visi duomenys siejami su konkrečiu asmeniu patenka į šį apibrėžimą.

1. Namo vertė yra siejama su objektu ir duomenų apsaugos taisyklės nereguliuos situacijų, kai informacija apie vertę bus naudojama nurodant kainų lygį tam tikrame regione. Kita vertus, jei informacija apie namo vertę bus naudojama nustatyti asmens įsipareigojimą mokėti mokesčius ir vertinant savininko turtą, šią informaciją reikia laikyti asmens duomenimis.
2. Automobilių remonto dirbtuvių įrašuose esanti informacija apie konkretų automobilį – nuvažiuotą atstumą, automobilio patikros datas, technines problemas, bendrą jo būklę –  yra siejama su automobilio registracijos numeriu, kurį galima susieti su savininku. Jeigu darbuotojai nustato ryšį tarp transporto priemonės ir jos savininko išrašydami sąskaitą, ši informacija yra laikoma asmens duomenimis.

3. „Fizinis asmuo“: Reglamentas kaip duomenų subjektus apsaugo tik fizinius asmenis. Nors pagal Reglamentą juridinių asmenų duomenys nėra saugomi, informacija apie juridinį asmenį gali būti susieta su fiziniu asmeniu, taip sudarant pagrindą asmens duomenų apsaugos  užtikrinimui. Fiziniu asmeniu yra laikomas tik gyvas asmuo, todėl mirusio asmens Reglamento nuostatos neapsaugo.

1. Įmonės mokumas: informacija apie asmeniui priklausančios įmonės mokumą apima ir informaciją apie jos savininko finansinę situaciją, todėl yra laikoma asmens duomenimis.
2. Mirusio asmens informacija: genetinė mirusio žmogaus informacija, kuri taip pat yra mirusiojo giminių genetinė informacija, yra laikoma asmens duomenimis.

4. „Kurio tapatybė yra arba gali būti nustatyta“: nustatyti asmens tapatybę galima tiesiogiai arba netiesiogiai. Asmens tapatybė gali būti nustatyta pagal asmens pavardę, kodą, nuotrauką, genetinį kodą arba kelių svarbių kriterijų ir veiksnių grupę (adresą, gimimo datą, profesiją ir pan.). Net jei asmeniui suteikiamas slapyvardis ar jo informacija yra užkoduojama, gali būti situacijų, kai asmens tapatybę yra įmanoma nustatyti – pavyzdžiui, duomenų valdytojui žinant „kodą“, kuris susieja slapyvardį su duomenų subjektu.

1. Spaudoje pateikiama nauja informacija apie seną bylą, kuri patraukė visuomenės dėmesį praeityje. Naujoje informacijoje nėra pateikta žymenų, naudojamų tapatybei nustatyti – nėra asmens vardo, pavardės, gimimo datos. Kita vertus, ankstesnėse su byla susijusiose publikacijose galima rasti papildomos informacijos ir identifikuoti asmens tapatybę. Dėl egzistuojančios galimybės nesunkiai išaiškinti žymenis, nustatančius tapatybę, ši informacija yra laikoma asmens duomenimis.
2. Duomenų valdytojai dažnai teigia, jog asmens tapatybę iš vaizdo kamerų įrašų galima nustatyti tik retais atvejais, todėl iki faktiško tapatybės nustatymo asmens duomenys nėra tvarkomi. Kita vertus, atsižvelgiant į vaizdo kamerų veikimo tikslą, kuris yra nustatyti vaizdo įrašuose asmenų tapatybę, sistemos taikymas turi būti laikomas duomenų apie asmenis, kurių tapatybę galima nustatyti, tvarkymu. Ši nuostata galioja net ir atvejais, kai vaizdo įrašuose asmenų tapatybės nustatyti praktiškai neįmanoma. 

Atsižvelgiant į tai, jog Reglamentu buvo siekiama „asmens duomenų“ apibrėžimą palikti labai platų, reikia tikėtis, kad apibrėžimo ribos bus suformuotos teismų praktikos.

¹ VDAI teiks pasiūlymus dviem Lietuvos Respublikos Vyriausybės nutarimų pakeitimo projektams, kuriuos planuojama parengti 2017 m.:

• Lietuvos Respublikos Vyriausybės 2001 m. rugsėjo 25 d. nutarimo Nr. 1156 „Dėl Valstybinės duomenų apsaugos inspekcijos struktūrinės reformos, įgaliojimų suteikimo, Valstybinės duomenų apsaugos inspekcijos nuostatų patvirtinimo ir su tuo susijusių Lietuvos Respublikos Vyriausybės nutarimų dalinio pakeitimo“;

• Lietuvos Respublikos Vyriausybės 2002 m. vasario 20 d. nutarimo Nr. 262 „Dėl Asmens duomenų valdytojų valstybės registro nuostatų ir Duomenų valdytojų pranešimo apie duomenų tvarkymą taisyklių patvirtinimo“.

VDAI iki 2018 m. balandžio 30 d. parengs ir patvirtins atitinkamus VDAI direktoriaus įsakymų projektus:

• „Dėl Pranešimo apie duomenų saugumo pažeidimą tvarkos aprašo patvirtinimo“;
• „Dėl Duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, sąrašo patvirtinimo“;
• „Dėl Akreditavimo kriterijų patvirtinimo“;
• „Dėl Sertifikavimo kriterijų patvirtinimo“;
• „Dėl Sertifikavimo įstaigų akreditavimo kriterijų patvirtinimo“;
• „Dėl Standartinių duomenų apsaugos sąlygų patvirtinimo“).