Bendrasis duomenų apsaugos reglamentas (BDAR) sutikimą apibrėžia kaip „laisva valia duotą, konkretų ir nedviprasmišką tinkamai informuoto duomenų subjekto valios išreiškimą pareiškimu arba vienareikšmiais veiksmais, kuriais jis sutinka, kad būtų tvarkomi su juo susiję asmens duomenys“.
Laisva valia
Sutikimo suderinamumas su laisva valia – santykis tarp asmens išorinės elgesio formos ir jo valią formuojančių psichinių veiksnių (tikslo siekimas, baimė, kiti motyvai). Kartais šis ryšys menkas, nes žmogus nesigilina į savo asmeninės informacijos vertę, kitais atvejais asmuo labiau vertina privatumą, tačiau asmeninę informaciją atskleidžia neturėdamas kito pasirinkimo (pvz., jeigu nepateikęs duomenų negaus norimos paslaugos ir pan.).
Asmenys yra linkę atiduoti savo asmens duomenis mainais į pozityvų atsaką (nebūtinai finansinį), ir tai išmaniai išnaudojama. Nūdienos visuomenė grimzta į privatumo praradimą ir pasyviai su tuo susitaiko.
Asmeninė informacija yra neatsiejama mūsų tapatybės dalis, todėl prarasdami jos kontrolę mes netenkame dalies tapatybės. „Rašytinis“ sutikimas uždedant varnelę (ypač, jeigu ši jau uždėta) devalvuoja „laisvo sutikimo“ idėją.
BDAR įveda sutikimo laisvumo kriterijų – vertinant, ar sutikimas duotas laisva valia, atsižvelgiama į tai, ar sutartyje paslaugų teikimui yra nustatoma sąlyga rinkti su jos teikimu nesusijusius duomenis.
Svarbiausias matas sutikimui – sąžiningumas ir apgaulės nebuvimas.
Sutikimas, kuris asmeniui sukuria iliuziją dėl pasirinkimo ir kontrolės, negali būti laikomas gautu sąžiningai.
Taip atsitinka, kai duomenys gali būti tvarkomi ir be asmens sutikimo, o šis gaunamas tik „dėl viso pikto“ (įtraukiant į sutarties tekstą, nors to duomenų tvarkymui ir nereikia). Sutikimo laisvumą kompromituoja ir netikėtos nuostatos dokumente, kuris skirtas kitam tikslui.
Tokiu atveju sutikimas surenkamas tarsi „pakeliui“.
Atskirumas, konkretumas: mažiau yra daugiau
BDAR reikalauja, kad prašymas dėl sutikimo būtų aiškiai atskirtas nuo kitų klausimų. Čia kalbama ne apie fizinį, o apie intelektinį išskyrimą – sutikimas gali būti inkorporuotas į kito dokumento, pvz., sutarties, sudėtį, tačiau pagal turinį ir formą jis neturi būti susietas su kitais dalykais (pvz., privalo būti išryškintas iš kitų temų, jo davimas neturi priklausyti nuo kitų klausimų ir atvirkščiai, sutikimo nedavimas negali daryti įtakos kitų klausimų sprendimui, nebent būtų paaiškintos sutikimo nedavimo pasekmės).
Kai sutinkama tik dėl tam tikrų duomenų naudojimo ir tik tam tikram tikslui, turi būti aišku, kokių paslaugų vartotojas negaus ar gaus mažesnės apimties, ir tai turi išplaukti iš sutikimo ribotumo. Asmuo neturi būti klaidinamas, kad jo sutikimas tėra formalumas.
Atvirkščiai, jeigu sutikimas yra vienintelis duomenų naudojimo pagrindas, turi būti išryškinta tiek sutikimo, tiek ir veiksmo, kuriam jis duodamas, svarba.
Sutikimo turinio išplėtimas iki begalybės veda prie lazdos perlenkimo – kuo daugiau sutikime absoliučių ir bendrų terminų „bet kokiems panašiems veiksmams“, „ir visus panašius duomenis“, „bet kokiems kitiems gavėjams“, tuo mažiau vertingas toks sutikimas. Šiuo atveju galioja taisyklė: mažiau yra daugiau, o daugiau yra mažiau.
Prašymo dėl sutikimo ar sutikimo bei susijusios informacijos pateikimas per nuorodą (hyperlink) arba per kitoje vietoje esančius nustatymus taip pat galimas, tačiau tokia nuoroda turėtų nepasimesti tarp kitų dalykų ir turėtų būti sudarytos sąlygos ją pamatyti (pvz., priminimo langas) ir paspausti prieš išreiškiant sutikimą.
Konkretumas implikuoja sutikimą apibrėžtiems atvejams, duomenims ir tikslams, taip pat būtinybę jį atnaujinti pakitus aplinkybėms.
Nedviprasmiškumas
Nedviprasmiškumas pasireiškia, kai pats asmuo persiunčia savo duomenis arba kitaip iš jo veiksmų akivaizdu, kad jis ne tik supranta, kad surenkama jo asmeninė informacija, bet ir pats to siekia.
Nedviprasmiškas sutikimas nebūtinai turi būti aiškiai išreikštas – jo išraišką pakeičia asmens aktyvūs veiksmai ir kontekstas, kuriame jie atliekami.
BDAR išskiria kelias žmogaus privatumui nedraugiškas veiklas, su kuriomis žmogus gali nebesutikti. Viena tokių – profiliavimas, kurį BDAR apibūdina kaip asmens duomenų tvarkymą siekiant įvertinti su asmeniu susijusius asmeninius aspektus, o taip pat numatyti aspektus, susijusius su jo darbo rezultatais, ekonomine, sveikatos būkle, pomėgiais, interesais, patikimumu, elgesiu, buvimo vieta arba judėjimu.
Teisė žinoti ir nesutikti su automatiniais sprendimais
Asmuo turi teisę žinoti, kad jo duomenys algoritmiškai analizuojami, profiliuojami ir tai lemia išimtinai automatizuotų sprendimų priėmimą (t. y., kai rezultatai nėra peržiūrimi žmogaus). Asmuo turi teisę žinoti loginį tokio profiliavimo pagrindimą, jo reikšmę ir pasekmes.
Be to, asmuo turi teisę nesutikti, kad jam būtų taikomas toks automatinis sprendimas (išskyrus, jeigu toks sprendimas numatytas sutartyje).
Tiesa, šie reikalavimai nėra absoliutūs ir taikomi tik jeigu automatinis profiliavimas lemia svarbias pasekmes individui.
Įdomu, ar pirkėjas turės teisę žinoti, kad jis priskirtas klientų kategorijai (pvz., „gintarinis klientas“), o taip pat teisę žinoti, pagal kokius duomenis atliekamas toks rūšiavimas ir kuo tai pasireikš (specialiais pasiūlymais, ir pan.).
Ar, visgi, bus taikoma aukštesnė „reikšmingų pasekmių kartelė“ (pvz., internetinės kredito paraiškos netenkinimas, automatinė diagnozė ir receptas)? O gal, jeigu pasekmės malonios (pvz., nuolaidos), tokia teisė nebus taikoma, o štai nemalonias pasekmes ji apims (pvz., draudimo įmokos paskaičiavimas)?
Labai įdomu, kaip šis reikalavimas bus taikomas dirbtiniam intelektui ir automatiniams algoritmams, kuriuos taiko socialiniai portalai („Facebook“ ir pan.).
Teisė nesutikti neturėtų apimti masinio didelių duomenų analizavimo (pvz., interneto skenavimo GDELT projekte, duomenų masyvų analizavimo ir pan.).
Teisė nesutikti su profiliavimu
Profiliavimui tiesioginės rinkodaros tikslais:
a) reikalingas atskiras sutikimas nuo sutikimo tiesioginei rinkodarai;
b) asmuo turi absoliučią teisę bet kada su tuo nesutikti.
Taigi, asmuo turi teisę bet kada nebesutikti su tuo, kad jis būtų rūšiuojamas ar kitaip žymimas specialių pasiūlymų pateikimo ar panašiais rinkodariniais tikslais.
Kaip tinkamai sutvarkyti sutikimą?
Sutikimas pagal BDAR gali tapti nemenku iššūkiu.
Sutikimo profiliavimui žingsnius siūlyčiau išdėstyti taip:
a) tinkamai suformuluoti prašymą sutikimui ir jį tinkami pateikti:
a. tiek prašymą, tiek ir sutikimą pateikti suprantama ir paprasta kalba, nurodant, kokiu tikslu, kokių duomenų tvarkymui, kokioms tvarkymo operacijoms, kokiam laikotarpiui ir kokiam adresatui duodamas sutikimas (profiliavimo sąvoka vengtina);
b. atskirtas (pagal turinį ir formą) nuo kitų klausimų;
b) tinkamai informuoti duomenų subjektą (duomenų valdytojo tapatybė, perdavimas kitiems gavėjams, pan.);
c) sutikimą gauti atskirai nuo kitų to paties asmens sutikimų;
d) užtikrinti aiškų prašymo pateikimo ir sutikimo gavimo būdą; svarbu, kad jis būtų atliekamas asmens (i) pareiškimu (įskaitant varnelės uždėjimą, nors tai viena žemiausių pareiškimo formų), arba (ii) vienareikšmiais veiksmais;
e) išsaugoti tiek prašymo pateikimo, tiek ir sutikimo gavimo įrašą (BDAR įveda reikalavimą saugoti susistemintus įrodymus (įrašus) apie tai, kada ir kaip duotas sutikimas, kur jis saugomas ir pan.);
f) pasiūlyti patogų būdą, kuriuo asmuo galėtų gauti papildomos informacijos apie tai, kokie jo duomenys ir kokiais pjūviais naudojami, kaip tai daro įtaką jo gaunamiems pasiūlymams;
g) pateikti paprastą informaciją apie tai, kaip asmuo gali sutikimą atšaukti, pakeisti (ir kokios tokio veiksmo pasekmės).
O kas, jeigu sutikimas atšaukiamas?
E-prekybos, rinkodaros ir reklamos verslui individų profiliavimas yra reikšmingas įrankis, todėl sutikimo atšaukimas profiliavimą naudoti tiesioginei rinkodarai gali būti skausmingas. Tiesa, tokiu atveju turėtų būti galimas tolesnis paties valdytojo sukurto produkto naudojimas, tačiau jis nebegali turėti sąsajų su asmenine informacija – pvz., profiliavimo išvadas naudoti galima, tačiau jose nebegali būti sąsajų su konkrečiu asmeniu.
Jeigu įmanoma, duomenų tvarkymas turi būti grindžiamas kitais pagrindais nei sutikimas, o verslo procesai turi būti automatiškai pritaikyti sutikimo atšaukimo „avariniam scenarijui“ (pvz., anonimizuojant iki tol surinktus duomenis).
Ryškėja išvada: sutikimas tampa išimtiniu asmens duomenų tvarkymo pagrindu.