Ar reglamentas pakeitė mūsų gyvenimą?
Daug kam klaidingai atrodo, kad Bendrasis duomenų apsaugos reglamentas smarkiai pakeitė mūsų gyvenimą: esą dėl jo mums nuolat tenka pasirašinėti, kad sutinkame, jog būtų tvarkomi mūsų asmens duomenys, o iki priimant reglamentą gyvenimas buvęs paprastesnis tiek verslininkams, tiek ir klientams.
Europos Sąjungos (ES) asmens duomenų apsaugos principus nuo 1995 m. spalio 24 d. nustatė Europos Parlamento ir Tarybos direktyva 95/46/EB. (1 pav.). Bendrieji principai iš direktyvos perkelti į reglamentą, todėl jo priėmimas neatnešė didelių pokyčių. Kiekviena Europos Sąjungos šalis turėjo asmens duomenų apsaugos teisės aktus, kurie įgyvendino direktyvą. Lietuvoje ją įgyvendino Asmens duomenų teisinės apsaugos įstatymas, priimtas 1996 m. birželio 11 d.
Atsižvelgiant į reglamentą, 2018 m. liepos 16 d. įsigaliojo nauja įstatymo redakcija, kuri konstatavo, kad Lietuvoje asmens duomenų apsaugos pagrindinis teisės aktas yra Bendrasis duomenų apsaugos reglamentas, o įstatymas neteko tokio teisės akto vaidmens.
Asmens duomenų apsaugos specialistai aktyviai naudojosi išaiškinimais ir patarimais, kuriuos skelbė pagal direktyvos 29 straipsnį įsteigta darbo grupė. Nuo reglamento įsigaliojimo ją pakeitė Europos duomenų apsaugos valdyba – skėtinė organizacija, vienijanti Europos ekonominės erdvės šalių nacionalines duomenų apsaugos institucijas (nacionalines priežiūros institucijas) ir Europos duomenų apsaugos priežiūros pareigūną.
Visuotinis reglamento poveikis
Bendrasis duomenų apsaugos reglamentas tapo sektina gerąja asmens duomenų apsaugos praktika, neformaliu pavyzdžiu. Dėl globalizacijos ir tarptautinių santykių visų šalių įmonėms svarbu atitikti tarptautinius asmens duomenų apsaugos standartus.
Todėl Europos Sąjungoje pradėtas taikyti reglamentas turėjo tiesioginį poveikį ne tik Europos Sąjungos įmonėms. Ne viena šalis priėmė panašius teisės aktus, pavyzdžiui, kai kurios JAV valstijos, Kanada, Brazilija, iš dalies ir Australija. Kadangi reglamentas yra taikomas visiems, kas tvarko Europos Sąjungoje esančių asmenų duomenis, tai reiškia, kad įmonės ir organizacijos iš kitų šalių, tvarkydamos Europos Sąjungos gyventojų duomenis, taip pat turi laikytis reglamento nuostatų.
Reglamentas taip pat nustato griežtas duomenų perdavimo į trečiąsias šalis taisykles. Jeigu organizacija tvarko duomenis Europos Sąjungos teritorijoje ir nori juos perduoti į kitas šalis, pavyzdžiui, pasitelkti kitose šalyse esančias informacines sistemas, tai turi daryti atsižvelgdama į reglamento nurodytas sąlygas.
Reglamente yra nustatytos ir baudos už jo nesilaikymą, kurių dydis siejamas su pažeidėjo tarptautine apyvarta, todėl tarptautinės korporacijos negali ignoruoti reglamento. Airijos priežiūros institucija pagal reglamentą jau yra skyrusi beveik tris milijardus eurų baudų, kitos Europos Sąjungos valstybės – dar apie 1,5 milijardo eurų.
Mitai apie asmens duomenų apsaugą
Bendrasis duomenų apsaugos reglamentas yra vienas daugiausia nagrinėtų ir aprašytų Europos Sąjungos lygmeniu priimtų teisės aktų, todėl nenuostabu, kad jis yra ir labiausiai apipintas mitais.
„Tvarkyti asmens duomenis visada būtinas asmens sutikimas“ – tai pirmasis dažnai pasitaikantis mitas. Reglamento 6.1 straipsnis nurodo šešias teisėto asmens duomenų tvarkymo sąlygas. Sutikimas – tik viena iš jų. Duomenų valdytojai kartais neįvertina grėsmių, kylančių tvarkant duomenis sutikimo pagrindu.
Pagal 7.3 straipsnį duomenų subjektas turi teisę bet kuriuo metu atšaukti savo sutikimą. Galima nuspėti tokio atšaukimo padarinius, jei sutikimo pagrindu būtų tvarkomas aktoriaus atvaizdas filme ar įmonės atstovo, pasirašančio sutartis, pavardė.
Airijos priežiūros institucija pagal BDAR jau yra skyrusi beveik tris milijardus eurų baudų
Be to, kartais yra pamirštama, kad draudžiama naudoti asmens duomenis kitais tikslais, negu jie gauti iš duomenų subjekto, net jei rinkti asmens duomenis tais tikslais būtų buvę legalu. Tai tikslo apribojimo principas (5.1 (b) straipsnis).
Su tuo susijusi ir kita pasitaikanti klaida – rinkti asmens duomenis „dėl viso pikto, gal pravers“, nes tai, tikėtina, bus kitas duomenų tvarkymo tikslas. Tai pažeistų dar ir duomenų kiekio mažinimo principą (5.1 (c) straipsnis).
„Jei per incidentą duomenys nebuvo neteisėtai atskleisti, tai reglamentas nebuvo pažeistas“ – dar vienas mitas. Reglamento 4.12 straipsnis nurodo daugiau asmens duomenų saugumo pažeidimų atvejų. Pavyzdžiui, duomenų sunaikinimas irgi yra asmens duomenų saugumo pažeidimas. 4.12 straipsnyje sakoma, kad asmens duomenų saugumo pažeidimas – saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami persiųsti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų be leidimo gaunama prieiga.
Taigi pažeidimas yra tiek nesankcionuotas asmens duomenų tvarkymas, tiek ir atvejis, kai tampa neįmanoma tinkamai pasinaudoti asmens duomenimis.
Ką daro duomenų apsaugos pareigūnas?
Viena iš reglamento įvestų naujovių – [asmens] duomenų valdytojo ir tvarkytojo pareiga skirti duomenų apsaugos pareigūną. Tai – privalomos asmens duomenų apsaugos konsultanto pareigos, kurias išsamiai aprašo reglamentas.
Ši pareigybė reglamente nevadinama „konsultantu“, tačiau 39.1 straipsnis nurodo duomenų apsaugos pareigūno užduotis – tai duomenų tvarkytojo konsultavimas ir kita pagalba jam. Reglamento 38.3 straipsnis nustato, kad duomenų apsaugos pareigūnas negauna nurodymų dėl užduočių vykdymo, tai yra veikia kaip nepriklausomas konsultantas, be to, jis tiesiogiai atsiskaito aukščiausio lygio vadovybei.
Neteisingas čia paminėtų reglamento nuostatų interpretavimas pasitaiko jau skiriant duomenų apsaugos pareigūną.
Stambios įmonės vadovui (Chief Executive Officer, CEO) yra pavaldūs vadovai, atsakingi už įvairius įmonės veiklos aspektus (Chief Operating Officer, Chief Financial Officer, Chief Human Resources Officer, Chief Information Security Officer ir kt.). Aukščiausio lygio vadovybės kontekste tarp C lygio vadovų, kurių pareigų pavadinime anglų kalba yra žodis Officer, kyla pagunda duomenų apsaugos pareigūną (Data Protection Officer) paskirti atsakingu už asmens duomenų apsaugą.
Tvarkyti asmens duomenis visada būtinas asmens sutikimas“ – tai pirmasis dažnai pasitaikantis mitas.
Tai būtų didelė klaida. Už asmens duomenų apsaugą yra atsakingas duomenų valdytojas (įmonė). Ši atsakomybė tenka įmonės vadovui, jos vykdymą užtikrina darbuotojai, kurių pareigybės aprašymuose nustatomi asmens duomenų tvarkymo tikslai ir priemonės.
Duomenų apsaugos pareigūnas padeda jiems vykdyti šią pareigą, bet neperima jų atsakomybės. Duomenų apsaugos pareigūno pareigų pavadinime anglų kalba nėra žodžio Chief, jis nėra vadovas, jis negali atsakyti už tai, ko nevaldo. Jo rekomendacijos nėra privalomos įmonės darbuotojams, jis atsiskaito įmonės vadovui, kuris, atsižvelgdamas į duomenų apsaugos pareigūno konsultacijas, prireikus teikia privalomus nurodymus įmonės darbuotojams.
Aukščiausio lygio vadovai kartais pageidauja bendrauti tik su savo lygio ir gretimų lygių vadovais, todėl pasitaiko atvejų, kai duomenų apsaugos pareigūnu skiriamas padalinio vadovas – tai kelia interesų konflikto pavojų. Būna, kad padalinių vadovai tam tikrais atvejais nustato asmens duomenų tvarkymo tikslus ar priemones. Duomenų apsaugos pareigūnas, kaip jau minėta, veikia nepriklausomai, vertina, kaip įmonė laikosi reglamento, ir pataria, o pats sau juk negali patarti.
Kitas nepriimtinas kraštutinumas – kai duomenų apsaugos pareigūnu paskiriamas darbuotojas, organizacijos hierarchijoje esantis žemiau ir neturintis tiesioginio ryšio su vadovu. Taip nutinka, kai įmonės vadovybė nemato reikalo rūpintis asmens duomenų apsauga ir duomenų apsaugos pareigūną skiria formaliai.
Nedidelės įmonės kartais neskiria duomenų apsaugos pareigūno, nes jo funkcijos nesudaro viso etato krūvio. Tačiau Bendrojo duomenų apsaugos reglamento 38.6 straipsnis leidžia duomenų apsaugos pareigūnui vykdyti kitas užduotis ir pareigas, kai užtikrinama, kad dėl jų nekiltų interesų konfliktas.
Įmonės vadovai, paskyrę duomenų apsaugos pareigūną, po kurio laiko pamiršta, kad tai yra konsultantas būtent asmens duomenų apsaugos klausimais, ir ima norėti, kad jis rūpintųsi bet kokia duomenų apsauga. Žinoma, įmanoma kai kuriuos reglamento nustatytus mechanizmus taikyti plačiau, pavyzdžiui, vykdant įmonės intelektinės nuosavybės apsaugą, bet svarbu asmens duomenų apsaugos nepainioti su kibernetine sauga. Tai – skirtingų specialistų kompetencijos.
„Duomenys“ ar „asmens duomenys“?
Reglamente daugiau nei 400 kartų paminėta „apsauga“, daugiau nei 200 kartų – „duomenų apsauga“ ir tik apie 50 kartų – „asmens duomenų apsauga“. (Skirtingomis kalbomis tie patys teiginiai kartais formuluojami vartojant skirtingus terminus. Apytiksliai skaičiai gauti analizuojant reglamentą anglų, lietuvių, vokiečių ir lenkų kalbomis.)
Visais atvejais reglamente terminu „duomenų apsauga“ vadinama asmens duomenų apsauga. Tai nesukelia jokių problemų vartojant terminus asmens duomenų apsaugos specialistų aplinkoje. Problemų kyla reglamento terminus vartojant plačiau. Bendrajame duomenų apsaugos reglamente apibrėžti įvairūs terminai, susiję su asmens duomenų apsauga, kuriuose trūksta žodžio „asmens“: duomenų apsaugos auditas, duomenų apsaugos pareigūnas, duomenų apsaugos politika, duomenų apsaugos priežiūros institucija, duomenų apsaugos principai, duomenų apsaugos sąlygos, duomenų apsaugos sertifikavimas, duomenų apsaugos taisyklės, duomenų apsaugos teisės aktai, duomenų apsaugos ženklas, duomenų valdytojas ir tvarkytojas, Europos duomenų apsaugos valdyba, standartinės duomenų apsaugos sąlygos ir t. t.
Būtų galima patarti duomenų apsaugos specialistams bendraujant platesniame kontekste prie šių terminų visada pridėti žodį „asmens“. Reglamento rengėjams būtų galima rekomenduoti ne tik pridėti šį žodį prie reglamento terminų, bet ir pakeisti patį reglamento pavadinimą: jis turėtų vadintis Asmens duomenų apsaugos reglamentu (Personal Data Protection Regulation), o duomenų apsaugos pareigūnas – asmens duomenų apsaugos pareigūnu (Personal Data Protection Officer).
Kaip Bendrasis duomenų apsaugos reglamentas atsižvelgia į dirbtinio intelekto keliamus iššūkius?
Dirbtinis intelektas daro įtaką daugeliui sričių, todėl gali kilti klausimas: kaip reglamentas atsižvelgia į dirbtinio intelekto keliamus iššūkius? Daug kam iš mūsų to nepastebint, reglamentas jau yra nustatęs dirbtiniam intelektui ribas, kaip leidžiama tvarkyti asmens duomenis, be to, atskirai aptariamas asmens duomenų tvarkymas automatizuotomis priemonėmis.
Veiksmai su asmens duomenimis apibrėžiami kaip duomenų tvarkymas. Šis terminas apima ir „sugretinimą ar sujungimą su kitais duomenimis“.
Jau ne vienus metus kuriamos sistemos, tokiai veiklai pasitelkiančios dirbtinio intelekto įrankius. Taip atliekamas vartotojų profiliavimas. Dirbtinio intelekto įrankiai parenka lankytojui aktualią reklamą, įrašus socialiniuose tinkluose. Paieškos sistemos taip pat atrenka rezultatus ne tik pagal įvestus paieškos kriterijus, bet ir pagal kitus duomenis.
Profiliavimas suprantamas kaip bet kokios formos automatizuotas asmens duomenų tvarkymas, kai asmens duomenys naudojami siekiant įvertinti tam tikrus su fiziniu asmeniu susijusius asmeninius aspektus. Pagal reglamento 13.2 (f), 14.2 (g), 15.1 (h) straipsnius duomenų subjektas turi būti informuojamas, jeigu jo asmens duomenis ketinama naudoti automatiniam sprendimų priėmimui, įskaitant profiliavimą.
Jei interneto portale ketinama panaudoti asmens duomenis profiliavimui, tai galima daryti tik klientui iš anksto sutikus. Net jei asmens duomenys legaliai tvarkomi sutikimo ar kitu pagrindu, tai nereiškia, kad juos galima perduoti dirbtinio intelekto sistemai be atskiro duomenų subjekto sutikimo.
Reglamento nustatomos tokių sistemų legalios veiklos ribos turėtų suteikti daugiau tarpusavio pasitikėjimo tarp asmenų (asmens duomenų subjektų) ir internetinių sistemų kūrėjų (asmens duomenų tvarkytojų).