Teisės aktuose asmens duomenys yra apibrėžiami kaip bet kuri informacija, susijusi su fiziniu asmeniu – duomenų subjektu, kurio tapatybė yra žinoma arba gali būti tiesiogiai ar netiesiogiai nustatyta pasinaudojant tokiais duomenimis.
Europos Sąjungoje asmens duomenų sąvoka yra suprantama gana plačiai.
Tai, ar tam tikri duomenys gali sudaryti galimybę nustatyti asmens tapatybę (t.y. ar jie yra asmens duomenys), turėtų būti vertinama kiekvienu atveju, atsižvelgiant į aplinkybes.
Tačiau dažnai internete ar naudojant mobiliuosius prietaisus bei mobiliąsias programėles renkami techninio pobūdžio duomenys (pavyzdžiui, IP adresas, asmens buvimo vietos duomenys, kompiuterio MAC adresas ir pan.).
Jie taip pat turėtų būti laikomi asmens duomenimis, jiems valdyti ir tvarkyti turėtų būti taikomi atitinkami reikalavimai.
Būtinas asmens sutikimas
Nors įstatymas numato išimčių, vienas pagrindinių asmens duomenų teisėto tvarkymo kriterijų yra asmens duomenų subjekto sutikimas.
Toks sutikimas turi būti pagrįstas asmens informuotumu: prieš rinkdamas asmens duomenis ir gaudamas subjekto sutikimą duomenų valdytojas turi aiškiai informuoti asmenį, kokiais tikslais duomenys renkami ir tvarkomi.
Asmens duomenys gali būti renkami ir tvarkomi tik konkrečiais tikslais, apie kuriuos asmuo žino ir dėl jų sutiko.
Teisės aktai numato taip pat nemažai su asmens duomenų valdymu ir tvarkymu susijusių duomenų valdytojo bei tvarkytojo pareigų.
Pavyzdžiui, pareigą įsiregistruoti kaip duomenų valdytojui, apsaugoti asmens duomenis nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo ar tvarkymo.
Taip pat numatytos ir asmens duomenų subjekto teisės (pavyzdžiui, galimybė susipažinti su savo asmens duomenimis, nesutikti, kad jie būtų tvarkomi ir pan.). Apie visas teises ir tvarką, kaip jos gali būti įgyvendintos, duomenų subjektai taip pat turi būti aiškiai informuoti.
Yra galimybė atsisakyti
Kitas aktualus klausimas – asmens duomenų naudojimas tiesioginės rinkodaros tikslais.
Kiekvienas nuolat gauname elektroninių laiškų, SMS žinučių, o dažnai ir sulaukiame skambučių su pasiūlymais įsigyti prekių ar paslaugų.
Įstatymai draudžia be aiškaus išankstinio asmens sutikimo naudoti asmens duomenis tiesioginės rinkodaros tikslais. Tiesioginė rinkodara be sutikimo galima tik tuo atveju, jei ji susijusi su tos pačios kompanijos panašių prekių ar paslaugų siūlymu klientui.
Kadangi teisės aktai išskiria asmens sutikimą dėl tiesioginės rinkodaros, praktikoje jis taip pat turėtų būti atskiriamas nuo bendro sutikimo tvarkyti asmens duomenis kitais tikslais.
Europos valstybėse, kuriose labiau rūpinamasi asmens duomenų saugumu, nusistovėjusi praktika, kad sutikimas dėl tiesioginės rinkodaros turėtų būti dvigubas.
Tai reiškia, kad pirmiausia asmuo turi pareikšti norą gauti tam tikrą informaciją (pavyzdžiui, užsisakyti naujienlaiškį paslaugų teikėjo interneto svetainėje), ir tuomet dar kartą patvirtinti savo sutikimą (pavyzdžiui, užsisakius naujienlaiškį asmeniui elektroniniu paštu yra atsiunčiama nuoroda, kurią asmuo turi spustelėti, dar kartą patvirtindamas, kad sutinka gauti naujienas būtent šiuo elektroninio pašto adresu).
Taip pat visais atvejais asmuo turi turėti aiškią galimybę atsisakyti tokių tiesioginės rinkodaros pranešimų.
Internetiniai slapukai
Kitas su asmens privatumu ir asmens duomenimis susijęs aktualus aspektas internete yra vadinamieji interneto slapukai (angl. „cookies”), kurie įdiegiami kompiuteryje asmeniui lankantis interneto svetainėse.
Anksčiau šie slapukai buvo naudojami tam, kad vartotojui būtų greičiau atidaryta atitinkama interneto svetainė, jei jis joje jau lankėsi naudodamas tą patį kompiuterį.
Dabar slapukų sukaupiama informacija yra viena vertingiausių prekių interneto versle, nes ji leidžia skleisti reklamą, atsižvelgiant į vartotojų pomėgius ar elgesį internete. Pavyzdžiui, šunų mylėtojas, kuris dažnai lankosi interneto svetainėse apie šunis, net ir visai nesusijusiose interneto svetainėse matys šunų ėdalo ir panašias reklamas.
Įstatymai reikalauja, kad interneto slapukai būtų saugomi asmens kompiuteryje arba jų informacija būtų naudojamasi tik gavus išankstinį asmens sutikimą.
Šiam sutikimui yra taikomi tokie patys reikalavimai kaip ir sutikimui tvarkyti asmens duomenis. T.y. asmeniui, kurio sutikimo pageidaujama, turi būti suteikta aiški ir išsami informacija, įskaitant informaciją apie tvarkymo tikslus.
Sutikimo nereikia tik tam tikrais įstatyme numatytais išimtiniais atvejais.
Baudos negąsdina
Praktika ir įvairios apklausos rodo, kad Lietuvoje nei verslo subjektai, nei privatūs asmenys neskiria pakankamai dėmesio asmens duomenų apsaugai.
Labiau išimtis nei taisyklė yra įmonės, įsiregistravusios kaip asmens duomenų valdytojos, patvirtinusios asmens duomenų tvarkymo taisykles, jomis besivadovaujančios ir gaunančios visus reikiamus asmenų sutikimus. Tai dažniausiai daro tarptautinėms įmonių grupėms priklausančios bendrovės.
Viena dėmesio asmens duomenų teisinei apsaugai stokos priežasčių gali būti tai, kad kol kas Lietuvos teisės aktai numato labai nedidelę administracinę baudą už asmens duomenų tvarkymo pažeidimą.
Ji siekia nuo 500 iki 1000 litų, o už pakartotinį pažeidimą – iki 2000 litų.
Valstybinė duomenų apsaugos inspekcija nuolat tikrina įmones, pateikia joms kelių puslapių klausimynus, nurodymus dėl asmens duomenų tvarkymo. Tačiau daugeliu atvejų įmonėms paprasčiau ignoruoti visas ar dalį asmens duomenų teisėto tvarkymo taisyklių.
Padėtis greitai pasikeis
Šiuo metu ES pagrindinis asmens duomenų teisinės apsaugos sritį reguliuojantis dokumentas yra Direktyva 95/46/EB dėl asmens apsaugos tvarkant asmens duomenis ir su ja suderintas Lietuvoje galiojantis Asmens duomenų teisinės apsaugos įstatymas.
Pernai Europos Komisija parengė pasiūlymą dėl Bendrojo duomenų apsaugos reglamento priėmimo. Priėmus jis bus taikomas tiesiogiai visose ES narėse.
Lietuvai teks iš esmės persvarstyti ir pakeisti Asmens duomenų teisinės apsaugos įstatymą bei kitus susijusius teisės aktus (pavyzdžiui, Administracinių teisės pažeidimų kodeksą, nustatantį administracinę atsakomybę už neteisėtą asmens duomenų tvarkymą).
Direktyvoje įtvirtinti esminiai principai nebus keičiami, tačiau reglamentas pridės duomenų valdytojams ir tvarkytojams naujų reikalavimų.
Reforma taip pat siekiama įtvirtinti asmenims papildomų teisių. Viena jų – teisė būti pamirštam (angl. „right to be forgotten”).
Ji ypač aktuali interneto erdvėse ir reiškia, kad, asmeniui atšaukus sutikimą tvarkyti jo asmens duomenis ar pasibaigus duomenų saugojimo terminui, arba tvarkant duomenis neteisėtai, asmuo turi teisę pareikalauti sunaikinti (ištrinti) visus jo asmens duomenis ir užkirsti kelią toliau juos naudoti.
Atsakomybė bus griežtesnė
Vienas svarbiausių pokyčių bus susijęs su duomenų valdytojų ir tvarkytojų atsakomybe už asmens duomenų tvarkymo pažeidimus.
Šiuo metu direktyva numato valstybėms narėms laisvę savo nuožiūra nustatyti sankcijas už asmens duomenų teisinės apsaugos pažeidimus.
Lietuvoje jos, ko gero, mažiausios visoje ES.
Numatoma, kad naujasis ES reglamentas nustatys labai reikšmingų sankcijų. Jas galima palyginti nebent su šiuo metu Lietuvoje taikomomis baudomis už konkurencijos teisės pažeidimus.
Teigiama, kad jos bus skaičiuojamos nuo duomenų valdytojų ar tvarkytojų apyvartos ir, nelygu pažeidimas, galės siekti net iki 2 proc. duomenų valdytojo ar tvarkytojo metinės pasaulinės apyvartos.
Būtina rengtis iš anksto
Planuojama, kad reglamentas bus priimtas ne anksčiau kaip po metų, taip pat jam bus numatomas dvejų metų pereinamasis laikotarpis.
Tai reiškia, kad realiai jis Lietuvoje gali būti pradėtas taikyti 2015–2016 metais.
Nepaisant to, Lietuvoje veikiančioms įmonėms ir organizacijoms būtina iš anksto pasirengti numatomoms naujovėms ir keliamiems reikalavimams, siekiant, kad naujo reglamento įsigaliojimas sukeltų kuo mažiau neigiamų pasekmių tiek pačioms įmonėms ir organizacijoms, tiek duomenų subjektams.
Straipsnį parengė advokatė, asocijuota partnerė Giedrė RimkūnaitėManke ir teisininkė Kornelija Bogniukaitė
Numatomos baudos už asmens duomenų tvarkymo pažeidimus
Turinys
Sankcija
Reglamento nesilaikyta pirmą kartą ir netyčia, asmens duomenis tvarko komercinio intereso neturintis fizinis asmuo, arba įmonei ar organizacijai, kurioje yra mažiau kaip 250 darbuotojų, asmens duomenų tvarkymas tėra pagalbinė pagrindinės veiklos dalis.
Raštiškas įspėjimas
Bet kuris subjektas tyčia ar dėl neatsargumo nenustato su duomenų subjektų prašymais susijusių mechanizmų arba skubiai neatsako duomenų subjektui, arba atsako netinkamu formatu, ima mokestį už informaciją arba atsakymus į duomenų subjektų prašymus.
Bauda iki 250 000 eurų (863 200 Lt)
Įmonės atveju – bauda iki 0,5 proc. jos metinės pasaulinės apyvartos
Subjektas, kuris tyčia ar dėl neatsargumo duomenų subjektui nepateikia informacijos arba pateikia ne visą informaciją, nesuteikia duomenų subjektui galimybės susipažinti arba neištaiso asmens duomenų, arba nepateikia reikšmingos informacijos, nepaiso teisės būti pamirštam arba teisės reikalauti ištrinti duomenis, nesaugo arba nepakankamai saugo dokumentus, kt.
Bauda iki 500 000 eurų (1 726 400 Lt)
Įmonės atveju – bauda iki 1 proc. jos metinės pasaulinės apyvartos
Subjektas, kuris tyčia ar dėl neatsargumo tvarko asmens duomenis neturėdamas jokio arba pakankamo teisinio pagrindo arba nesilaiko su sutikimu susijusių sąlygų, tvarko specialių kategorijų duomenis, pažeisdamas reglamentą, neatsižvelgia į duomenų subjekto išreikštą nesutikimą, neįspėja ar nepraneša apie asmens duomenų saugumo pažeidimą, ar laiku nepraneša ar neišsamiai praneša apie duomenų saugumo pažeidimą priežiūros institucijai arba duomenų subjektui, nepaskiria duomenų apsaugos pareigūno.
Bauda iki 1 000 000 eurų (3 452 800 Lt)
Įmonės atveju – bauda iki 2 proc. jos metinės pasaulinės apyvartos
