ES investicijos UAB „DEVOLD“ energetiniam efektyvumui
Advokatų kontoros „Glimstedt” klientė UAB „DEVOLD” įgyvendina projektą „Atsinaujinančios energijos išteklių diegimas UAB „DEVOLD“ ga…
Visose verslo ir gyvenimo srityse renkami, kaupiami ar kitaip tvarkomi ir naudojami asmens duomenys. Vis daugiau paslaugų persikelia į interneto erdvę, tad rinkti duomenis paslaugų teikėjams tampa dar svarbiau ir paprasčiau. Jie tampa itin vertinga preke.
Teisės aktuose asmens duomenys yra apibrėžiami kaip bet kuri informacija, susijusi su fiziniu asmeniu – duomenų subjektu, kurio tapatybė yra žinoma arba gali būti tiesiogiai ar netiesiogiai nustatyta pasinaudojant tokiais duomenimis.
Europos Sąjungoje asmens duomenų sąvoka yra suprantama gana plačiai.
Tai, ar tam tikri duomenys gali sudaryti galimybę nustatyti asmens tapatybę (t.y. ar jie yra asmens duomenys), turėtų būti vertinama kiekvienu atveju, atsižvelgiant į aplinkybes.
Tačiau dažnai internete ar naudojant mobiliuosius prietaisus bei mobiliąsias programėles renkami techninio pobūdžio duomenys (pavyzdžiui, IP adresas, asmens buvimo vietos duomenys, kompiuterio MAC adresas ir pan.).
Jie taip pat turėtų būti laikomi asmens duomenimis, jiems valdyti ir tvarkyti turėtų būti taikomi atitinkami reikalavimai.
Būtinas asmens sutikimas
Nors įstatymas numato išimčių, vienas pagrindinių asmens duomenų teisėto tvarkymo kriterijų yra asmens duomenų subjekto sutikimas.
Toks sutikimas turi būti pagrįstas asmens informuotumu: prieš rinkdamas asmens duomenis ir gaudamas subjekto sutikimą duomenų valdytojas turi aiškiai informuoti asmenį, kokiais tikslais duomenys renkami ir tvarkomi.
Asmens duomenys gali būti renkami ir tvarkomi tik konkrečiais tikslais, apie kuriuos asmuo žino ir dėl jų sutiko.
Teisės aktai numato taip pat nemažai su asmens duomenų valdymu ir tvarkymu susijusių duomenų valdytojo bei tvarkytojo pareigų.
Pavyzdžiui, pareigą įsiregistruoti kaip duomenų valdytojui, apsaugoti asmens duomenis nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo ar tvarkymo.
Taip pat numatytos ir asmens duomenų subjekto teisės (pavyzdžiui, galimybė susipažinti su savo asmens duomenimis, nesutikti, kad jie būtų tvarkomi ir pan.). Apie visas teises ir tvarką, kaip jos gali būti įgyvendintos, duomenų subjektai taip pat turi būti aiškiai informuoti.
Yra galimybė atsisakyti
Kitas aktualus klausimas – asmens duomenų naudojimas tiesioginės rinkodaros tikslais.
Kiekvienas nuolat gauname elektroninių laiškų, SMS žinučių, o dažnai ir sulaukiame skambučių su pasiūlymais įsigyti prekių ar paslaugų.
Įstatymai draudžia be aiškaus išankstinio asmens sutikimo naudoti asmens duomenis tiesioginės rinkodaros tikslais. Tiesioginė rinkodara be sutikimo galima tik tuo atveju, jei ji susijusi su tos pačios kompanijos panašių prekių ar paslaugų siūlymu klientui.
Kadangi teisės aktai išskiria asmens sutikimą dėl tiesioginės rinkodaros, praktikoje jis taip pat turėtų būti atskiriamas nuo bendro sutikimo tvarkyti asmens duomenis kitais tikslais.
Europos valstybėse, kuriose labiau rūpinamasi asmens duomenų saugumu, nusistovėjusi praktika, kad sutikimas dėl tiesioginės rinkodaros turėtų būti dvigubas.
Tai reiškia, kad pirmiausia asmuo turi pareikšti norą gauti tam tikrą informaciją (pavyzdžiui, užsisakyti naujienlaiškį paslaugų teikėjo interneto svetainėje), ir tuomet dar kartą patvirtinti savo sutikimą (pavyzdžiui, užsisakius naujienlaiškį asmeniui elektroniniu paštu yra atsiunčiama nuoroda, kurią asmuo turi spustelėti, dar kartą patvirtindamas, kad sutinka gauti naujienas būtent šiuo elektroninio pašto adresu).
Taip pat visais atvejais asmuo turi turėti aiškią galimybę atsisakyti tokių tiesioginės rinkodaros pranešimų.
Internetiniai slapukai
Kitas su asmens privatumu ir asmens duomenimis susijęs aktualus aspektas internete yra vadinamieji interneto slapukai (angl. „cookies”), kurie įdiegiami kompiuteryje asmeniui lankantis interneto svetainėse.
Anksčiau šie slapukai buvo naudojami tam, kad vartotojui būtų greičiau atidaryta atitinkama interneto svetainė, jei jis joje jau lankėsi naudodamas tą patį kompiuterį.
Dabar slapukų sukaupiama informacija yra viena vertingiausių prekių interneto versle, nes ji leidžia skleisti reklamą, atsižvelgiant į vartotojų pomėgius ar elgesį internete. Pavyzdžiui, šunų mylėtojas, kuris dažnai lankosi interneto svetainėse apie šunis, net ir visai nesusijusiose interneto svetainėse matys šunų ėdalo ir panašias reklamas.
Įstatymai reikalauja, kad interneto slapukai būtų saugomi asmens kompiuteryje arba jų informacija būtų naudojamasi tik gavus išankstinį asmens sutikimą.
Šiam sutikimui yra taikomi tokie patys reikalavimai kaip ir sutikimui tvarkyti asmens duomenis. T.y. asmeniui, kurio sutikimo pageidaujama, turi būti suteikta aiški ir išsami informacija, įskaitant informaciją apie tvarkymo tikslus.
Sutikimo nereikia tik tam tikrais įstatyme numatytais išimtiniais atvejais.
Baudos negąsdina
Praktika ir įvairios apklausos rodo, kad Lietuvoje nei verslo subjektai, nei privatūs asmenys neskiria pakankamai dėmesio asmens duomenų apsaugai.
Labiau išimtis nei taisyklė yra įmonės, įsiregistravusios kaip asmens duomenų valdytojos, patvirtinusios asmens duomenų tvarkymo taisykles, jomis besivadovaujančios ir gaunančios visus reikiamus asmenų sutikimus. Tai dažniausiai daro tarptautinėms įmonių grupėms priklausančios bendrovės.
Viena dėmesio asmens duomenų teisinei apsaugai stokos priežasčių gali būti tai, kad kol kas Lietuvos teisės aktai numato labai nedidelę administracinę baudą už asmens duomenų tvarkymo pažeidimą.
Ji siekia nuo 500 iki 1000 litų, o už pakartotinį pažeidimą – iki 2000 litų.
Valstybinė duomenų apsaugos inspekcija nuolat tikrina įmones, pateikia joms kelių puslapių klausimynus, nurodymus dėl asmens duomenų tvarkymo. Tačiau daugeliu atvejų įmonėms paprasčiau ignoruoti visas ar dalį asmens duomenų teisėto tvarkymo taisyklių.
Padėtis greitai pasikeis
Šiuo metu ES pagrindinis asmens duomenų teisinės apsaugos sritį reguliuojantis dokumentas yra Direktyva 95/46/EB dėl asmens apsaugos tvarkant asmens duomenis ir su ja suderintas Lietuvoje galiojantis Asmens duomenų teisinės apsaugos įstatymas.
Pernai Europos Komisija parengė pasiūlymą dėl Bendrojo duomenų apsaugos reglamento priėmimo. Priėmus jis bus taikomas tiesiogiai visose ES narėse.
Lietuvai teks iš esmės persvarstyti ir pakeisti Asmens duomenų teisinės apsaugos įstatymą bei kitus susijusius teisės aktus (pavyzdžiui, Administracinių teisės pažeidimų kodeksą, nustatantį administracinę atsakomybę už neteisėtą asmens duomenų tvarkymą).
Direktyvoje įtvirtinti esminiai principai nebus keičiami, tačiau reglamentas pridės duomenų valdytojams ir tvarkytojams naujų reikalavimų.
Reforma taip pat siekiama įtvirtinti asmenims papildomų teisių. Viena jų – teisė būti pamirštam (angl. „right to be forgotten”).
Ji ypač aktuali interneto erdvėse ir reiškia, kad, asmeniui atšaukus sutikimą tvarkyti jo asmens duomenis ar pasibaigus duomenų saugojimo terminui, arba tvarkant duomenis neteisėtai, asmuo turi teisę pareikalauti sunaikinti (ištrinti) visus jo asmens duomenis ir užkirsti kelią toliau juos naudoti.
Atsakomybė bus griežtesnė
Vienas svarbiausių pokyčių bus susijęs su duomenų valdytojų ir tvarkytojų atsakomybe už asmens duomenų tvarkymo pažeidimus.
Šiuo metu direktyva numato valstybėms narėms laisvę savo nuožiūra nustatyti sankcijas už asmens duomenų teisinės apsaugos pažeidimus.
Lietuvoje jos, ko gero, mažiausios visoje ES.
Numatoma, kad naujasis ES reglamentas nustatys labai reikšmingų sankcijų. Jas galima palyginti nebent su šiuo metu Lietuvoje taikomomis baudomis už konkurencijos teisės pažeidimus.
Teigiama, kad jos bus skaičiuojamos nuo duomenų valdytojų ar tvarkytojų apyvartos ir, nelygu pažeidimas, galės siekti net iki 2 proc. duomenų valdytojo ar tvarkytojo metinės pasaulinės apyvartos.
Būtina rengtis iš anksto
Planuojama, kad reglamentas bus priimtas ne anksčiau kaip po metų, taip pat jam bus numatomas dvejų metų pereinamasis laikotarpis.
Tai reiškia, kad realiai jis Lietuvoje gali būti pradėtas taikyti 2015–2016 metais.
Nepaisant to, Lietuvoje veikiančioms įmonėms ir organizacijoms būtina iš anksto pasirengti numatomoms naujovėms ir keliamiems reikalavimams, siekiant, kad naujo reglamento įsigaliojimas sukeltų kuo mažiau neigiamų pasekmių tiek pačioms įmonėms ir organizacijoms, tiek duomenų subjektams.
Autorės: GLIMSTEDT advokatė, asocijuota partnerė Giedrė Rimkūnaitė-Manke ir GLIMSTEDT teisininkė Kornelija Bogniukaitė.
Straipsnis publikuotas Lrytas.lt