Advokatų kontoros LAWIN Prekybos ir komercinės veiklos praktikos grupės Intelektinės nuosavybės, reklamos ir privatumo pogrupio teisininko, Vilniaus universiteto Teisės fakulteto doktoranto Juliaus Zaleskio teigimu, asmens duomenų apsaugos reforma ES brendo ne vienerius metus ir tai nulėmė kelios priežastys: „Dabartinis duomenų apsaugos reguliavimas Europoje yra paremtas ES asmens duomenų apsaugos direktyva, priimta 1995 m., šiandieninio interneto priešaušryje, kai socialiniai tinklai, nepageidaujami el. pašto laiškai, paieškos sistemos, debesų kompiuterija, geolokacinės paslaugos ir kiti technologiniai reiškiniai nekėlė tokių iššūkių privatumui, kokius kelia šiandien.
Asmens duomenys tapo didelę komercinę vertę turinčiu objektu tokiose srityse kaip tiesioginė rinkodara, kreditingumo vertinimas, elektroninė prekyba, darbuotojų kontrolė. Į privatumą daugiau kėsinasi ir valstybė, centralizuodama ir tobulindama informacijos apie piliečius rinkimą, kovodama su terorizmu ir kitomis grėsmėmis.
Šiandien patys piliečiai dalinasi informacija apie save tokiu mastu, kokį buvo sunku įsivaizduoti prieš 15 metų“.
Tikslumo dėlei pažymėtina, kad kol kas į viešumą pateko tik darbinis naujojo reglamento projektas. LAWIN teisininko teigimu, teisėkūros procesas ilgas, dėl to tikėtina, kad projektas dar ne kartą bus tobulinamas – praeis bent pora metų, kol ši iniciatyva taps privalomu teisės aktu. Nepaisant to, Europos Komisijos parengtas projekto tekstas suteikia progą suprasti, kokią privatumo apsaugą Europoje žada rytojus.
Pasak LAWIN teisininko Juliaus Zaleskio, viena svarbiausių naujovių yra pats ES duomenų apsaugos reglamentas, t. y. vienas visose ES valstybėse narėse tiesiogiai taikomas teisės aktas. Jis pakeistų 1995 m. duomenų apsaugos direktyvą, kurios nuostatas kiekviena ES valstybė narė perkėlė į nacionalinius įstatymus pasirinkta forma. Direktyvos statusas ir abstraktumas nulėmė, kad kai kurie duomenų apsaugos aspektai ES narėse yra reguliuojami ir suprantami skirtingai.
„Skirtingą požiūrį į duomenų apsaugos problemas galima iliustruoti lietuviškais pavyzdžiais. Lietuvoje nėra specialių reikalavimų darbuotojų duomenų tvarkymui, įskaitant jų elektroninio pašto ir naudojimosi interneto prieiga kontrolę, kaip ir duomenų apsaugai virtualioje erdvėje, duomenų tvarkymui tarptautinėse įmonių grupėse. Nors duomenų apsaugos pažeidimai dažnai būna ydingos bendrovių veiklos rezultatas, Lietuvoje už pažeidimus baudžiamos ne bendrovės, o jų darbuotojai. ES valstybėse narėse kartais išsiskiria ir reguliavimo taikymo ir aiškinimo praktika. Kai kuriais atvejais Valstybinė duomenų apsaugos inspekcija į fundamentalius klausimus – kas yra asmens duomenys ir kam tenka atsakomybė, kai duomenis tvarko kelios bendrovės – atsakydavo skirtingai nei priežiūros institucijos kitose ES valstybėse narėse“, – aiškina J. Zaleskis.
Duomenų apsaugos reguliavimas tiesiogiai taikomu reglamentu turėtų suteikti daugiau teisinio tikrumo piliečiams ir bendrovėms, ypač toms, kurios veikia keliose ES narėse, taip pat užkirsti kelią svarbius duomenų apsaugos aspektus interpretuoti ir taikyti skirtingai.
Naujojo reglamento turėtų laikytis ne tik Europoje įsisteigę duomenis tvarkantys subjektai, bet ir tie subjektai, kurie savo veiklą kreipia į ES gyventojus arba stebi jų elgesį, pavyzdžiui, seka ES vartotojų elgesį internete naudodami slapukus (angl. cookies).
„Ši naujovė labiausiai paliestų JAV, Kinijos, Rusijos ir kitų trečiųjų valstybių virtualų verslą, besitaikantį į ES vartotojus internete. Tokie subjektai ES turėtų paskirti už duomenų apsaugą atsakingą atstovą. Šiuo metu pagrindiniu duomenų apsaugos taisyklių taikymo kriterijumi yra duomenų valdytojo įsisteigimo vieta. Todėl, pavyzdžiui, Lietuvos asmens duomenų teisinės apsaugos įstatymas paprastai nėra taikomas, kai lietuvių asmens duomenis tvarko Lietuvoje neįsisteigusios bendrovės“, – vardina LAWIN teisininkas.
Pagal reglamento projektą, keliose ES narėse veikiantis duomenų valdytojas būtų kontroliuojamas tik toje valstybėje, kurioje yra jo pagrindinė įsisteigimo vieta.
J. Zaleskis sako, kad ši taisyklė palengvintų tarptautinių bendrovių dalią, leisdama išvengti situacijų, kai tokios bendrovės yra priverstos atlikti formalias procedūras ir nagrinėti priežiūros institucijų pretenzijas keliose valstybėse ES narėse. Pagrindinė įsisteigimo vieta būtų laikoma centrinės administracijos ES arba sprendimų dėl duomenų tvarkymo priėmimo vieta.
Reglamentu taip pat siūloma numatyti, kad asmenų informavimo, duomenų tvarkymo poveikio įsivertinimo, už duomenų apsaugą atsakingo pareigūno paskyrimo, konsultavimosi su priežiūros institucijomis ir kitas pareigas turėtų ne tik duomenų valdytojas, t. y. subjektas, sprendžiantis kokius duomenis ir kaip tvarkyti, bet ir duomenų tvarkytojas, t. y. pagal duomenų valdytojo nurodymus ir jo vardu duomenis tvarkantis subjektas.
Pavyzdžiui, informacinių technologijų priežiūros ar buhalterinės apskaitos paslaugas teikianti bendrovė. Pagal šiuo metu galiojantį reguliavimą, kai už duomenų valdytoją asmens duomenis tvarko jo samdoma bendrovė, visa atsakomybė už duomenų apsaugą iš esmės tenka tik duomenų valdytojui.
ES ketina numatyti griežtesnius reikalavimus gauti asmens sutikimą dėl jo duomenų tvarkymo. „Siūloma numatyti, kad sutikimas turi būti akivaizdus, t. y., jis negali būti numanomas. Sutikimas nebūtų laikomas tinkamu, jeigu jį duodantis asmuo yra priklausomas nuo sutikimą gaunančio subjekto. Pavyzdžiui, tinkamu nebūtų laikomas sutikimas, kurį duoda darbuotojas darbdaviui arba pilietis – valdžios institucijai. Vaiko duodamas sutikimas būtų tinkamas tik tada, kai sutikimą patvirtina vaiko tėvas ar globėjas“, – pasakoja VU teisės doktorantas J. Zaleskis.
Naujasis reglamentas numatytų ir naują duomenis tvarkančių subjektų pareigą prieš pradedant duomenų tvarkymą, kuris kelia konkrečių grėsmių asmenų privatumui, atlikti tokio duomenų tvarkymo poveikio įsivertinimą.
Įsivertinimas būtų privalomas, kai automatiniu būdu tikrinamas asmens kreditingumas, ekonominė padėtis, buvimo vieta, sveikata, patikimumas ir tokio patikrinimo rezultatas asmeniui gali sukelti teisines ar kitokias reikšmingas pasekmes.
Rizikos įsivertinimo pareiga būtų taikoma ir tada, kai ketinama tvarkyti asmens duomenis apie lytinį gyvenimą, sveikatą, rasinę arba etninę kilmę, kai stebimos, tarkim, vaizdo kameromis, viešosios vietos, kai didelėse rinkmenose tvarkomi vaikų, genetiniai arba biometriniai asmens duomenys.
Reglamente nebeliktų bendros duomenis tvarkančio subjekto pareigos pranešti priežiūros institucijai apie planuojamą duomenų tvarkymą. Konsultuotis su priežiūros institucija būtų privaloma tais atvejais, kai atlikus išankstinį vertinimą būtų matyti arba priežiūros institucija nuspręstų, kad planuojamas asmens duomenų tvarkymas kelia didelę riziką asmenų privatumui.
„Šis pakeitimas būtų naudingas Lietuvoje veikiantiems duomenų valdytojams, kurie šiuo metu į formalią pranešimo Valstybinei duomenų apsaugos inspekcijai procedūrą yra priversti investuoti sąlyginai daug laiko ir dažnai susiduria su neaiškumais pildydami pranešimo formas“,- teigia Julius Zaleskis.
Reglamento projektas praplečia informacijos, kurią reikia pateikti asmeniui apie jo duomenų tvarkymą, apimtį. Duomenų subjektams visais atvejais reikėtų pranešti ne tik apie duomenų valdytojo tapatybę, duomenų tvarkymo tikslus, kaip numatyta dabartiniame reguliavime, bet ir apie duomenų saugojimo terminą, duomenų subjekto teises, įskaitant teisę skųstis priežiūros institucijai, duomenų perdavimą už Europos ekonominės erdvės ribų.
Taip pat siūloma įpareigoti duomenis tvarkančius subjektus detaliai dokumentuoti duomenų tvarkymo veiklą. Tvarkant duomenis reikėtų turėti, o priežiūros institucijai pareikalavus – pateikti, išsamų asmens duomenų tvarkymo veiksmų aprašymą.
„Europos Komisija siekia nustatyti bendrąją duomenis tvarkančių subjektų pareigą pranešti priežiūros institucijai apie asmens duomenų saugumo pažeidimus, pavyzdžiui, duomenų paviešinimą arba praradimą. Kai pažeidimas gali padaryti žalą asmenų privatumui, jie taip pat turėtų būti informuojami apie pažeidimą. Instituciją ir asmenis reikėtų informuoti per 24 valandas nuo duomenų saugumo pažeidimo. Tokios pareigos šiuo metu numatytos tik elektroninių ryšių paslaugų teikėjams“, – detalizuoja teisininkas.
Naujuoju reglamentu siūloma nustatyti, kad kai kurie duomenis tvarkantys subjektai privalėtų paskirti už duomenų apsaugą atsakingą vidaus pareigūną. Tokią pareigą turėtų valdžios institucijos, daugiau nei 250 darbuotojų turinčios bendrovės ir subjektai, kuriems nuolatinis ir sisteminis asmenų stebėjimas yra pagrindinė veikla. Šiuo metu tokio pareigūno paskyrimas yra teisė, o ne pareiga.
Ketinama nustatyti ir asmens teisę būti užmirštam. Asmeniui atšaukus sutikimą tvarkyti jo asmens duomenis, pasibaigus duomenų saugojimo terminui arba duomenis tvarkant neteisėtai asmuo galėtų reikalauti ištrinti visus duomenis apie jį ir užkirsti kelią tolimesniam jų naudojimui.
Duomenų valdytojas taip pat turėtų užtikrinti, kad su duomenimis taip pat būtų ištrintos viešai prieinamos nuorodos į juos ir jų kopijos, pavyzdžiui, įrašai paieškos sistemose. Ši teisė būtų ypač aktuali socialinių tinklų vartotojams, kurie šiandien susiduria su sunkumais siekdami panaikinti visą jų pateiktą informaciją.
LAWIN teisininko J. Zaleskio vertinimu, viena reikšmingiausių siūlomų naujovių – baudų už asmens duomenų apsaugos pažeidimus sureguliavimas.
„Šiuo metu baudų dydžiai yra tik ES narių prerogatyva ir todėl kai kuriose valstybėse skiriasi net kelis tūkstančius kartų. Pavyzdžiui, už itin grubius privatumo pažeidimus Jungtinės Karalystės Informacijos komisaro tarnyba skiria baudas iki pusės milijono svarų, o Lietuvoje maksimali bauda už Asmens duomenų teisinės apsaugos įstatymo pažeidimus yra 2 tūkst. litų. Naujuoju ES asmens duomenų apsaugos reglamentu šią padėtį siekiama pakeisti už asmens duomenų apsaugos pažeidimus nustatant visoje Europoje vienodas baudas nuo 300 iki 1 milijono eurų arba 5 procentų metinių pasaulinių bendrovės pajamų“, – sako LAWIN teisininkas.
Pasak jo, apžvelgtos naujojo ES duomenų apsaugos reglamento projekto nuostatos žada intriguojančių naujovių tiek piliečiams, tiek duomenis tvarkantiems subjektams. Nekantriai laukiama, kaip šis projektas keisis teisėkūros procese, tačiau jau šiandien aišku, kad greitai asmens duomenų ir privatumo apsauga bus svarbesnė ir griežčiau saugoma vertybė Europoje.