– Kas yra asmens duomenys ir į kokias kategorijas jie skirstomi?
– Asmens duomenys – tai informacija, iš kurios galima nustatyti žmogaus tapatybę. Pavyzdžiui, kiekvienam asmeniui priskirtas unikalus asmens kodas, su kuriuo galime prisijungti prie įvairių valstybinių skaitmeninių sistemų. Dėl to jį svarbu ypač saugoti, asmens duomenų teisinės apsaugos įstatymas netgi draudžia asmens kodą skelbti viešai. Asmens duomenimis taip pat laikomi: vardas, pavardė, telefono numeris, adresas, el. pašto adresas, interneto protokolo (IP) adresas ir kitokie duomenys, jeigu iš jų įmanoma jus identifikuoti. Kai kurie duomenys tokie ypatingi ir jautrūs, kad juos vadiname specialių kategorijų asmens duomenimis, pavyzdžiui, pirštų antspaudai, genetiniai duomenys, seksualinė orientacija, religiniai ir politiniai įsitikinimai. Tokiems duomenims rinkti ir kitaip tvarkyti yra taikomos sugriežtintos taisyklės.
– Kodėl būtina saugoti savo asmens duomenis ir susimąstyti apie privatumą internete?
– Tyrimais įrodyta, jog dauguma žmonių pradeda kalbėti tyliau arba nutraukia pokalbį kavinėje, kai pro šalį eina padavėjas arba kiti lankytojai. Norime turėti galimybę be kitų žmonių įsikišimo ir vertinimo dėstyti savo mintis, susirašinėti ar tiesiog turėti laisvę pagalvoti. Atskleisdami dalį savo tapatybės, leidžiame kitiems mus geriau pažinti, o tai padaryti nori labai daug kas: potencialūs darbdaviai, finansinės institucijos, netgi bendrovės, konsultuojančius politinius kandidatus. Taip pat palengvėja aplinkybės tapatybei pavogti.
Šiuo metu daug dėmesio skiriama profiliavimui, t. y. kompiuterio ar analogiškos sistemos atliekamam duomenų tvarkymui, kai siekiama įvertinti ar numatyti asmens elgesį, darbo rezultatus, ekonominę situaciją, sveikatos būklę, interesus ir pan. Pavyzdžiui, algoritmų pagrindu išanalizuojami duomenys, kuriais jūs pasidalijote savo socialiniame tinkle, ir jų pagrindu nusprendžiama, ar esate tinkami darbui, ar turite teisę gauti paskolą ir kokia politinė žinutė bus jums paveikiausia.
– Susidaro įspūdis, kad Lietuva dar nepakankamai įvertina Bendrojo duomenų apsaugos reglamento reikšmę. Kuo jis svarbus?
– BDAR apsaugo asmens duomenis nuo galimo piktnaudžiavimo jais. Pavyzdžiui, vis daugiau politinių kampanijų pasaulyje yra rengiamos pagal asmens duomenimis, t. y. politiniai kandidatai analizuoja duomenis, surinktus apie mus internete, siekdami geriau suprasti savo potencialius rinkėjus ir užtikrinti, kad juos pasiektų efektyvi politinė reklama. JAV ir Jungtinėje Karalystėje rinkimų ir referendumų kontekste buvo nustatyta neskaidraus ir neteisėto duomenų tvarkymo atvejų, o Lietuvoje šiemet organizuojami net treji rinkimai. BDAR tampa lyg saugikliu šiame kontekste.
– Kuo BDAR naudingas eiliniam vartotojui, kai kalbame apie internetą?
– Kaip ir bet kuris teisės aktas, BDAR yra tam tikras socialinis susitarimas, kurį mes, kaip visuomenė, sudarėme ir įsipareigojome jo laikytis. Šiame susitarime nustatėme, kaip bet kuri institucija, organizacija, bendrovė ar nevyriausybinė organizacija tvarkys (rinks, sistemins, analizuos) mūsų asmens duomenis, ką su jais galės daryti, o ko – ne. Kadangi mes, kaip duomenų subjektai, kasdien patikime duomenis apie save dešimtims skirtingų bendrovių (ir ryšius su jomis dažniausiai užmezgame skaitmeninėje erdvėje), BDAR duoda mums tam tikrą garantiją, kad su tais duomenimis nebus elgiamasi atmestinai.
O jeigu pastebėtume, kad šio susitarimo praktikoje nesilaikoma, galėtume aktyvuoti reglamento įgyvendinimo priežiūros mechanizmus. Reglamentas taip pat atkartoja teises, anksčiau įtvirtintas duomenų apsaugos direktyvoje (ir Lietuvos asmens duomenų teisinės apsaugos įstatyme) – tai teisė į informaciją, teisė susipažinti su savo duomenimis, reikalauti juos ištrinti, pakeisti, apriboti ar sustabdyti jų tvarkymą, nesutikti su jų tvarkymu, papildydamas šį teisių katalogą nauja teise į duomenų perkėlimą.
– Kaip, įsigaliojus BDAR, pasikeitė mūsų asmens duomenų tvarkymo taisyklės interneto paslaugų teikėjams, tokiems kaip kompanijos „Google“, „Facebook“ ir pan.?
– Skaitmeninėms platformoms, kaip ir kitiems duomenų valdytojams ir tvarkytojams (mokykloms, valstybės institucijoms, finansinėms institucijos ir t. t.), BDAR numato papildomų pareigų. Be anksčiau galiojusių įpareigojimų tvarkyti duomenis sąžiningai, skaidriai ir teisėtai, kai kurioms bendrovėms atsirado pareiga paskirti asmens duomenų apsaugos pareigūną – asmenį, kuris užtikrina duomenų subjektų (mūsų visų) teisėtų interesų apsaugą bendrovėje, patardamas atsakingiems vadovams, kaip praktiškai spręsti konkrečius klausimus.
Daug dėmesio bendrovės turi skirti ir naujajam atskaitomybės principui įgyvendinti. Jis reiškia, kad bendrovė duomenis turi ne tik tvarkyti saugiai, aiškiais ir nustatytais tikslais, bet turi būti pasiruošusi įrodyti, kad būtent taip duomenys yra tvarkomi (pavyzdžiui, pateikdama auditui duomenų apsaugos politiką, užtikrindama atsakingų darbuotojų mokymus).
Svarbūs pokyčiai liečia ir mūsų sutikimo tvarkyti duomenis gavimą. BDAR nustato, jog prašydamos mūsų sutikimo bendrovės turi mums aiškiai pateikti informaciją, kokiu tikslu to sutikimo prašoma ir užtikrinti, kad mes galime be jokių papildomų suvaržymų bet kada tą sutikimą atsiimti. Štai visai neseniai Prancūzijos duomenų apsaugos priežiūros institucija skyrė bendrovei „Google“ milijoninę baudą už netinkamą sutikimo prašymo formą.
– Remiantis BDAR, asmuo iki 16 metų, norėdamas naudotis socialinio tinklo paslauga, turi gauti aiškų tėvų ar globėjų sutikimą. Pavyzdžiui, leidimas naudotis socialiniu tinklu turi būti patvirtintas vieno iš tėvų ar globėjų el. paštu. Kaip realu to laikytis?
– Šiuo atveju Lietuvos asmens duomenų teisinės apsaugos įstatymas įtvirtina kiek kitokią amžiaus ribą – ne 16, bet 14 metų. Jaunesnis negu 14 metų vaikas pats negali duoti sutikimo socialiniam tinklui tvarkyti jos ar jo duomenų, tai turi padaryti tėvai ir globėjai. Šią nuostatą praktikoje sudėtinga įgyvendinti ne tik dėl to, kad tėvai gali neturėti el. pašto adreso, bet ir dėl to, kad gali pasitaikyti atvejų, kai tėvų valdžia apribota arba panaikinta arba kai vaikas žino tėvų el. pašto slaptažodį ir duoda sutikimą už juos. Iš bendrovių tikimąsi, kad jos dės visas „pagrįstas pastangas“ tėvų sutikimui gauti ir, tikėtina, kai kurios naudosis trečiųjų šalių teikiamomis tapatybės patikrinimo paslaugomis.
– Kaip reikėtų suprasti BDAR įtvirtintą aplinkybę leisti pilnamečiui asmeniui reikalauti ištrinti duomenis apie jį, kadangi jie buvo surinkti, kai asmuo buvo nepilnametis?
– Suaugęs žmogus gali paprašyti ištrinti duomenis, kuriems tvarkyti jis davė sutikimą būdamas vaikas (pavyzdžiui, užsiregistruodamas internetinių žaidimų platformoje). Kaip paaiškina reglamento rengėjai, ta teisė ypač svarbi atvejais, kai duomenų subjektas sutikimą išreiškė būdamas vaikas ir nevisiškai suvokė su duomenų tvarkymu susijusius pavojus, o vėliau nori, kad tokie – ypač internete saugomi – asmens duomenys būtų pašalinti. Duomenų subjektas turėtų galėti naudotis šia teise, nepaisant to, kad nebėra vaikas.
– Žmogaus teisių stebėjimo instituto tyrime „Privatumo paradoksas: Lietuvos gyventojų nuostatos apie duomenų apsaugą“ kartu su Karoliu Liutkevičiumi rašote, kad teisė būti pamirštam nėra absoliuti ir pateikiate pavyzdį, kad duomenų valdytojas gali atsisakyti ištrinti duomenis, jeigu jie reikalingi moksliniams tyrimams atlikti. Ar įmanoma, kad, pavyzdžiui, „Facebook“ atsisakytų ištrinti duomenis, nes perdavė juos universitetui, kuris tirs 2003 metais gimusiųjų pomėgius?
– Duomenų subjektų teisės nėra absoliučios – jos turi būti vertinamos kitų teisių (pavyzdžiui, saviraiškos laivės) ir visuomeninių gėrių (pavyzdžiui, mokslinių tyrimų plėtros) kontekste. Teisė būti pamirštam yra viena labiausiai aptarinėjamų teisių, nes ją įgyvendinant atsiranda didelė trinties su kitomis pamatinėmis vertybėmis tikimybė.
Vis dėlto šioje situacijoje „Facebook“ negalėtų pasinaudoti mokslinių tyrimų išimtimi, nes tvarko duomenis ne moksliniais, o komerciniais tikslais. Tačiau universitetas, kuriam tie duomenys buvo perduoti, iš tiesų galėtų atsisakyti juos ištrinti, jeigu be jų negalėtų atlikti mokslinio tyrimo. Tokiu atveju būtų svarbu įvertinti, ar pirminis duomenų perdavimas apskritai buvo teisėtas.
– Įsigaliojus BDAR atsirado nauja teisė – teisė į duomenų perkėlimą. Kiek įmanoma ja pasinaudoti norint, kad duomenys būtų perkeliami iš vieno socialinio tinklo į kitą?
– Teoriškai teisė į duomenų perkėlimą gali būti įgyvendinta dviem būdais – jums paprašius paslaugos teikėjo (pavyzdžiui, socialinio tinklo) perduoti jūsų duomenis tiesiogiai kitam paslaugos teikėjui arba jums pačiam gavus tuos duomenis ir perdavus naujajam paslaugos teikėjui. Praktikoje dažniausiai ši teisė įgyvendinama antruoju būdu, nes daugelis platformų negali užtikrinti tiesioginio tarpusavio apsikeitimo duomenimis. Tačiau kai kuriais atvejais teise į duomenų perkėlimą galima pasinaudoti ir pirmuoju būdu – pavyzdžiui, jūs galite aktyvuoti šią funkciją „Google“ sistemoje, jeigu norėtumėte, kad į jūsų „Gmail“ pašto dėžutę būtų perkelti visi laiškai iš jūsų „Yahoo“ paskyros.
Teisės į duomenų perkėlimą apimtis kiek ribota – galite prašyti, kad būtų perkelti visi duomenys, kuriuos platformai tiesiogiai suteikėte arba kuriuos platforma sukaupė „stebėdama“ jūsų elgesį (pavyzdžiui, kiek kartų klausėtės konkrečios dainos). Tačiau platforma nėra įsipareigojusi perduoti profilio, kuri sukūrė apie jus (pavyzdžiui, jūsų, atskleidžiančio, kokius muzikos žanrus labiausiais mėgstate ir kokius, tikėtina, pamėgsite ateityje).
– Kuo skiriasi internetinė asmens duomenų apsauga Lietuvoje prieš ir po BDAR įsigaliojimo?
– Svarbu paminėti, kad BDAR daug dėmesio skirta pažeidimų pasekmėms. Pavyzdžiui, jeigu anksčiau, remiantis Lietuvoje galiojusiais teisės aktais, maksimali bauda už duomenų apsaugos pažeidimą tesiekė porą tūkstančių eurų, remiantis BDAR, ji gali siekti iki 20 mln. eurų arba iki 4 proc. bendrovės ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, priklausomai nuo to, kuri suma didesnė. Žinoma, tokios baudos bus skiriamos tik už ypač šiurkščius, tyčinius pažeidimus, tačiau skirtumas nuo anksčiau Lietuvoje numatytų baudų akivaizdus.
Tai turėtų paskatinti daugiau asmenų ieškoti pagalbos ir nesitaikyti su teisių pažeidimais. Taip galima skųsti netinkamą asmens duomenų tvarkymą duomenų priežiūros institucijai arba teismui ir reikalauti žalos atlyginimo. Reglamentas, skirtingai negu ankstesnė Asmens duomenų teisinės apsaugos įstatymo redakciją, leidžia nevyriausybinei organizacijai atstovauti tokiam asmeniui ir padėti jam apginti savo interesus.
– Kokios tik Lietuvai būdingos asmens duomenų tvarkymo nuostatos, t. y. kokių reglamente nustatytų nuostatų lankstumu pasinaudojo Lietuva?
– Nuostatos, susijusios su vaikų asmens duomenų tvarkymu (jau minėta nuostata dėl amžiaus ribos vaiko sutikimui gauti), taip pat su asmens kodo tvarkymu, duomenų tvarkymu darbo kontekste, žurnalistinės ir meninės saviraiškos tikslais. Kalbant apie darbo santykius, Asmens duomenų teisinės apsaugos įstatymas įtvirtina papildomą nuostatą, draudžiančią darbdaviams rinkti duomenis apie kandidatą iš jo darbdavio be kandidato sutikimo.
Mūsų įstatymas taip pat numato, kad Lietuvoje už reglamento nuostatų įgyvendinimo priežiūrą bus atsakingos dvi institucijos: Valstybinė duomenų apsaugos inspekcija ir Žurnalistų etikos inspektoriaus tarnyba. Valdžios institucijoms, nusižengusioms reglamento reikalavimams, negalės būti skirtos milijoninės baudos. Didžiausia galima joms skirti bauda yra 60 tūkst. eurų.
– Kokie pagrindiniai ES ir JAV skirtumai tvarkant asmens duomenis (ypač kai kalbame apie internetą ir socialinius tinklus)?
– BDAR užtikrina minimalią apsaugą visų kategorijų asmens duomenims, nepriklausomai nuo to, kas ir kokiu tikslu juos tvarko (išskyrus tvarkymą asmeniniais tikslais ir tam tikras siauras išimtis teisėsaugos ir migracijos kontekstuose). JAV neturi nei BDAR atitikmens, nei bendro „asmens duomenų“ apibrėžimo – ši sąvoka kiekvienoje valstijoje (ar net valstijos viduje) interpretuojama skirtingai.
Federaliniu lygiu numatytos tam tikros pareigos bendrovėms, tvarkančioms finansinius duomenis, duomenis, susijusius su sveikata, taip pat vaikų asmens duomenis. Kai kurios valstijos, pavyzdžiui, Kalifornija, saugo privatumą skaitmeninėje erdvėje. Atsižvelgiant į daugybę skirtingų teisės aktų ir tai, kad juos taiko skirtingos priežiūros institucijos, JAV yra gerokai sudėtingiau užtikrinti vienodą teisės taikymo praktiką. Lyginant su šia sistema, ES daug geriau saugo asmenų privatumą ir jų duomenis.
– Pavyzdžiui, turiu „Gmail“ paskyrą ir ja pradėjau naudotis Europos Sąjungoje, bet išvykau keliems mėnesiams į JAV. Mano duomenų apsaugai galios europinės ar JAV taisyklės?
– Jūsų sutartis dėl „Gmail“ paskyros naudojimo yra sudaryta su „Google“ atstovybe Airijoje ir jai taikoma ES teisė. Tokiu atveju, kad ir kur būtumėte, „Google“ turės užtikrinti jūsų duomenų apsaugą remdamasis reglamento nuostatomis. Tačiau būdami JAV, turite laikytis ir vietos įstatymų, kurie gali įpareigoti jus atskleisti duomenis tretiesiems asmenims (pavyzdžiui, vietos teisėsaugos institucijoms).
Daugiau detalių apie savo saugumą ir privatumą internete sužinokite iš „Interneto medijų žemėlapio“ (https://goo.gl/jw5y7u). Jį rengė žurnalistai ir technologijų ekspertai, bendradarbiaujant Lietuvos žurnalistikos centrui, Švedijos ambasadai bei Švedijos institutui.