|
Žiniasklaidoje bei socialiniuose tinkluose visuomenė vis dažniau raginama saugoti ir atsakingai naudoti ar suteikti duomenis apie save. Pateikiant informaciją skaitmeninėje ir mus supančioje aplinkoje, svarbu suvokti, kad asmens duomenys gali būti panaudoti neteisėtai. Tai galėtų iliustruoti ir neseniai paviešintas grožio klinikos „Grožio chirurgija“ pacientų atvejis. Spaudoje buvo nurodyta, kad programišiai žurnalistams tvirtino gavę iš viso 24 tūkstančių klientų sveikatos korteles. Dalis duomenų jau paviešinta – tai nuotraukos, įrašai apie sveikatos būklę, atliktas operacijas. Šis atvejis dar kartą įrodo, kad įmonės privalo užtikrinti tinkamą klientų asmens duomenų apsaugą, o to nepadarius gresia rimtos pasekmės.
Džiugu, kad Europoje ir Lietuvoje asmens duomenų apsaugos reglamentavimui skiriama vis daugiau dėmesio, įpareigojant visus ūkio ir valdžios subjektus, bet kokia forma tvarkančius asmens duomenis, juos tvarkyti aiškiais, apibrėžtais bei teisėtais tikslais, užtikrinant duomenų saugumą ir konfidencialumą. Aiškus šių reikalavimų formulavimas yra itin svarbus atsižvelgiant į tai, kad labai dažnai įmonės renka per daug asmens duomenų.
Naujojo Reglamento taikymo sritis
Duomenų apsaugos ypatumus reguliuoja įvairūs teisės aktai, o siekiant užtikrinti asmens duomenų apsaugą Europos Sąjungos lygiu yra priimtas Bendrasis asmens duomenų apsaugos Reglamentas 2016/679 (GPDR) (toliau – Reglamentas), įsigaliosiantis 2018 m. gegužės 25 d. Verslui naudinga tai, kad naujuoju Reglamentu bus įtvirtintas „vieno langelio“ (angl. one stop shop) principas. Šio principo esmė, kad duomenų valdytojo ar duomenų tvarkytojo pagrindinės arba vienintelės buveinės priežiūros institucija įgys teisę veikti kaip vadovaujanti priežiūros institucija tarpvalstybinio duomenų tvarkymo atveju. Tik su šia institucija duomenų valdytojas arba duomenų tvarkytojas, turintis padalinių keliose ES valstybėse, palaikys ryšius vykdydamas tarpvalstybinį duomenų tvarkymą.
Šis Reglamentas neapima juridinių asmenų duomenų, įskaitant juridinio asmens pavadinimą, teisinę formą ir kontaktinius duomenis, tvarkymo. Taip pat Reglamentas netaikomas tais atvejais, kai asmens duomenis fizinis asmuo tvarko vykdydamas grynai asmeninę ar namų ūkio priežiūros veiklą ir nesusiedamas to su profesine ar komercine veikla. Asmeninę ar namų ūkio priežiūros veikla be kita ko apima ir susirašinėjimą, adresų saugojimą, naudojimąsi socialiniais tinklais ir kitą veiklą internete. Kita vertus, Reglamentas taikomas duomenų valdytojams arba duomenų tvarkytojams, kurie suteikia priemones asmens duomenų tvarkymui fiziniams asmenims vykdant asmeninę ar namų ūkio priežiūros veiklą.
Reglamento taikymo sfera yra labai plati. Reglamentas turės įtakos visoms šalims narėms, taip pat šalims, kurios nėra ES narės, bet tvarko europiečių vartotojų duomenis (pavyzdžiui, Kanadoje veikianti elektroninė parduotuvė, kuri siunčia prekes į visą pasaulį, įskaitant ir Europą). Taigi, bet koks asmens duomenų tvarkymas, kai asmens duomenis vykdydama savo veiklą ES tvarko duomenų valdytojo arba duomenų tvarkytojo buveinė, turėtų vykti pagal Reglamentą, neatsižvelgiant į tai, ar pati tvarkymo operacija atliekama ES. Sąvoka „Buveinė“ reiškia nuolatinę ūkinės-komercinės veiklos vietą valstybėje narėje, per kurią vykdoma veiksminga ir reali veikla. Teisinė tokių struktūrų forma, neatsižvelgiant į tai, ar tai filialas, ar patronuojamoji bendrovė, turinti juridinio asmens statusą, šiuo atveju nėra lemiamas veiksnys. Jeigu asmens duomenis tvarko ES neįsisteigęs duomenų valdytojas arba duomenų tvarkytojas, Reglamentas turėtų būti taikomas tais atvejais, kai duomenų tvarkymo veikla yra susijusi su prekių ar paslaugų siūlymu ES esantiems duomenų subjektams arba tokių subjektų elgesys vyksta ES.
Didėjant tvarkomų asmens duomenų kiekiui, vis labiau domimasi tinkama savo asmens duomenų apsauga, o teisė į asmens duomenų apsaugą vertinama ypač rimtai. Kita vertus, neretai kyla klausimas, kas yra duomenų apsauga, ir kokius duomenis galime laikyti asmens duomenimis?
Asmens duomenys
Šiuo metu galiojančiame Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme (toliau – DAĮ) įtvirtinta tokia asmens duomenų sąvoka: „asmens duomenys – bet kuri informacija, susijusi su fiziniu asmeniu – duomenų subjektu, kurio tapatybė yra žinoma arba gali būti tiesiogiai ar netiesiogiai nustatyta pasinaudojant tokiais duomenimis kaip asmens kodas, vienas arba keli asmeniui būdingi fizinio, fiziologinio, psichologinio, ekonominio, kultūrinio ar socialinio pobūdžio požymiai.“ Deja, Reglamente ši plati sąvoka nėra susiaurinama – jame nustatyta, kad asmens duomenys neturi baigtinio kategorijų sąrašo, todėl atsižvelgiant į galimybę nustatyti asmens tapatybę, bet kokia informacija gali būti laikoma asmens duomenimis. Asmens duomenimis gali būti laikomas ne tik asmens kodas, asmens telefono numeris, asmens atvaizdas, banko sąskaitos ar kortelės numeris, slaptažodis, bet ir pirštų antspaudai, balso tembras, pajamos, darbo užmokestis, duomenys apie turimą turtą, gyvenamasis adresas ar netgi IP adresas, paliekantis asmens pėdsaką skaitmeninėje interneto erdvėje. Europos Sąjungos Teisingumo Teismas, 2016 m. spalio 19 d. sprendime Patricko Breyerio byloje prieš Vokietiją pažymėjo, kad lankytojo dinaminis interneto protokolo adresas portalo administratoriaus atžvilgiu yra asmens duomenys, jeigu šis administratorius turi teisėtų priemonių tokio lankytojo tapatybei nustatyti, remdamasis papildoma informacija, kurią turi lankytojo interneto prieigos teikėjas.
Kaip atskira asmens duomenų kategorija yra išskiriami ypatingi asmens duomenys, DAĮ įvardinti kaip asmens duomenys apie jo rasinę ar etninę kilmę, politinius, religinius, filosofinius ir kitus įsitikinimus, narystę profesinėse sąjungose, lytinį gyvenimą, sveikatą. Pavyzdžiui, etninė kilmė – kaip demografinis duomuo, genetiniai tyrimai, duomenys apie priklausymą konkrečiai profesinei sąjungai, tyrimai dėl AIDS, alkoholio ar narkotikų vartojimo – visa tai patenka į ypatingų asmens duomenų kategoriją, kuri naujajame Reglamente įvardinta kaip specialių kategorijų asmens duomenys. Pavyzdžiui, įmonė, vykdydama akciją, skirtą nėščiosioms, iš savo klientų atrenka moteris, kurioms pagal jų ankstesnę pirkinių istoriją gali būti aktualios nėščiosioms skirtos prekės, ir šioms prekėms siūlo nuolaidą. Šiuo atveju yra laikoma, kad įmonė tvarko su sveikata susijusius duomenimis – duomenis apie galimą nėštumą – kurie yra priskiriami specialių kategorijų duomenims.
Reglamente nurodyta, kad specialių kategorijų duomenis tvarkyti yra draudžiama, išskyrus Reglamente nurodytus atvejus: gavus subjekto sutikimą, siekiant apsaugoti gyvybinius interesus, viešąjį interesą ir pan.
Kalbant bendrai apie sutikimą tvarkyti asmens duomenis, tai jis negali būti privalomai reikalaujamas, kai sutikimo gavimas nėra būtinas norint vykdyti sutartis ar kitus įsipareigojimus. Prašymas duoti sutikimą turi būti pateikiamas aiškiai ir neklaidinančiai, nurodant duomenų rinkimo tikslus. Duomenų savininko sutikimas tvarkyti duomenis turi būti išreikštas laisva valia, o subjektui atsisakius duoti sutikimą, jam neturi kilti jokių neigiamų padarinių grėsmės. Praktikoje kyla labai daug problemų dėl asmens sutikimo tvarkyti duomenis teisėtumo. Dažnai asmuo nesupranta, kad davė sutikimą tvarkyti savo asmens duomenis, nes sutikimas nebūna aiškiai išskirtas, arba naudojamos iš anksto pažymėtos varnelės ties sutikimu, todėl asmuo negali pats apsispęsti dėl sutikimo davimo ir pan.
Duomenų valdytojai ir tvarkytojai
Duomenų valdytojas – tai fizinis arba juridinis asmuo, valdžios institucija ar kita įstaiga, kuri nustato duomenų tvarkymo tikslus ir priemones. Duomenų valdytojas turėtų būti suprantamas kaip subjektas, kurio interesų, tikslų įgyvendinimui yra tvarkomi asmens duomenys, ir kuris turi asmens duomenų tvarkymo tikslų ir priemonių kontrolę. Duomenų valdytojas turi imtis visų reikalingų priemonių asmens duomenų paslapčiai išsaugoti. Jo pareiga – apsaugoti duomenis nuo neteisėto kaupimo, keitimo, perdavimo, paskelbimo, sunaikinimo.
Duomenų tvarkytojas – tai subjektas, duomenų valdytojo vardu tvarkantis bei vykdantis operacijas su asmens duomenimis. Duomenų tvarkymu gali būti laikoma bet kokia su asmens duomenimis ar jų rinkiniais atliekama operacija, nepriklausomai nuo to, ar tai vykdoma automatizuotomis priemonėmis, ar rankiniu būdu.
Pavyzdžiui, įmonė, užsiimanti prekyba, siūlo pirkėjams nuolaidų korteles. Norėdamas įsigyti kortelę, pirkėjas pildo anketą, kurioje privalu nurodyti vardą, pavardę, elektroninį paštą ir gyvenamosios vietos adresą. Šiuo atveju duomenų tvarkymu bus laikomos visos su asmens duomenimis atliktos operacijos, tokios kaip anketų surūšiavimas, netinkamai užpildytų anketų sunaikinimas, klientų asmens duomenų suvedimas į sistemą ir panašūs veiksmai.
Pagal Reglamentą duomenų tvarkymu gali būti laikoma bet kokia su asmens duomenimis ar jų rinkiniais vykdoma veikla, o duomenis tvarkanti įmonę privalo juos tvarkyti tinkamai ir atitikti Reglamente keliamus reikalavimus.
Atsakomybė
Asmens duomenų apsaugos pažeidimai beveik visada yra vienaip ar kitaip susiję su materialine arba nematerialine žala duomenų subjektams ir gali lemti ne tik klientų praradimą, bet ir baudas. Priežiūros institucija, atsakinga už asmens duomenų apsaugą Lietuvoje yra Valstybinė duomenų apsaugos inspekcija (toliau – DAI). Reglamentas numato teisę bet kokiam asmeniui, patyrusiam žalą dėl Reglamento pažeidimo, kreiptis į duomenų valdytoją arba tvarkytoją ir gauti kompensaciją už patirtą žalą. Duomenų subjektas, kurio teisės, susijusios su asmens duomenų apsauga, pažeistos, iš pradžių geranoriškai kreipiasi į įmonę – duomenų valdytoją, siekdamas išsiaiškinti situaciją ir gauti kompensaciją. Duomenų valdytojui atsisakius bendradarbiauti, duomenų subjektas kreipiasi į priežiūros instituciją – DAI. Priežiūros institucija yra įgalinta nagrinėti skundus dėl asmens duomenų apsaugos ir tvarkymo, todėl gavusi duomenų subjekto skundą ir jį išnagrinėjusi priežiūros institucija gali atlikti duomenų valdytojo patikrinimą, prašyti papildomos informacijos, skirti baudas, duoti nurodymus duomenų valdytojui ištaisyti pažeidimus. „Vieno langelio“ principas neapribos nacionalinių priežiūros institucijų galimybių kontroliuoti jų šalyse atliekamų duomenų tvarkymo operacijų, bet išplės jų turimas galias bei leis daug efektyviau bendradarbiauti tarpusavyje, vykdyti bendras operacijas ir laiku gauti savitarpio pagalbą. Kartu su „vieno langelio“ principu atsisakius ir dabartinės pareigos pranešti priežiūros institucijoms apie duomenų tvarkymo operacijas, iš esmės supaprastina tarpvalstybinio duomenų perdavimo procedūra ir sumažinta biurokratinė našta.
Reglamente numatytos poveikio priemonės duomenų valdytojams ir tvarkytojams neapsiriboja vien įspėjimu, duomenų tvarkymo apribojimais ar duomenų apsaugos auditu, už tokius pažeidimus yra numatytos net aštuonženklės administracinės baudos. Pavyzdžiui, pažeidus sąlygas, taikomas vaiko sutikimui, arba sąlygas, kai nereikia nustatyti asmens tapatybės, valdytojui gali būti skiriamos administracinės baudos iki 10 000 000 EUR, o pažeidus pagrindinius duomenų tvarkymo principus – net iki 20 000 000 EUR. Įmonės atveju, baudos dydis skaičiuojamas nuo jos ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, atsižvelgiant į pažeidimą baudos dydis gali būti nuo 2 iki 4 procentų, taigi bauda gali viršyti 20 000 000 EUR.
Įmonėms nustatyta pareiga per 72 valandas pranešti apie įvykusius duomenų saugumo pažeidimus (pvz., prarastus duomenis ar neteisėtą prieigą prie jų) priežiūros institucijai (DAI) ir asmenims, nukentėjusiems nuo pažeidimo. Jeigu asmens duomenų saugumo pažeidimas yra mažareikšmis ir nekelia pavojaus fizinių asmenų teisėms ir laisvėms, pranešimas dėl pažeidimo institucijai gali būti neteikiamas, tačiau duomenų valdytojas privalo dokumentuoti visus asmens duomenų saugumo pažeidimus, su pažeidimais susijusius faktus ir kitą informaciją.
Jeigu vartotojai manys, kad bendrovės ar institucijos pažeidžia Reglamentą, jie galės kreiptis į nacionalinę priežiūros instituciją savo gyvenamojoje vietoje, ar toje valstybėje, kur buvo padarytas pažeidimas. Šiuo metu galiojantis DAĮ numato, kad asmuo, patyręs žalą dėl neteisėto asmens duomenų tvarkymo, turi teisę reikalauti atlyginti jam padarytą turtinę ir neturtinę žalą; žalos dydį kiekvienu konkrečiu atveju nustato teismas.
Didelės baudos ir poveikio priemonės už asmens duomenų apsaugos pažeidimus gali reikšmingai atsiliepti verslui, todėl jokiu būdu negalima į asmens duomenų apsaugą žiūrėti atmestinai. Verslo subjektams, tvarkantiems asmens duomenis, rekomenduojama numatyti aiškius duomenų tvarkymo tikslus, nustatyti patikimas organizacines ir technines duomenų apsaugos užtikrinimo priemones bei sąžiningai vykdyti Reglamente ir kituose įstatymuose numatytus reikalavimus. Reglamento įsigaliojimui reikia ruoštis jau dabar, nelaukiant įgyvendinančių ir deleguojančių aktų, nes atsakomybė bus pradėta taikyti jau nuo 2018 gegužės26 d. Atspirties taškas aiškinant kai kurias Reglamento nuostatas galėtų būti 29 straipsnio darbo grupė duomenų apsaugai tvarkant asmens duomenis (Darbo grupė). Ši grupė jau yra priėmusi trejas Gaires, taip pat paskelbė Gairių projektą dėl poveikio privatumui vertinimo. Darbo grupė, įkurta 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyvos dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo 95/46/EB 29 straipsnio pagrindu, turi patariamąjį statusą ir veikia nepriklausomai. Darbo grupę sudaro kiekvienos valstybės narės paskirtos priežiūros institucijos ar institucijų atstovas, Bendrijos institucijoms ir organams įsteigtos valdžios institucijos ar institucijų atstovas ir Komisijos atstovas.
Kol kas aišku, kad daugelis Reglamento principų dėl jų neapibrėžtumo bus detaliau nagrinėjami tik pradėjus praktinį Reglamento įgyvendinimą. Tad iki Reglamento įsigaliojimo rekomenduojame ne tik atlikti auditą, bet ir tinkamai parengti duomenų tvarkymo veiklos įrašus, pasiruošti duomenų apsaugos politiką, adaptuoti sutartis su tiekėjais, peržiūrėti ar paruošit bendrąsias privatumo sąlygas interneto svetainėse, pranešti darbuotojams apie asmens duomenų tvarkymą, atlikti kitas pareigas duomenų subjektų atžvilgiu ir, jei reikia, ieškoti duomenų apsaugos pareigūno. |
