Europos komisarė Viviane Reding pristatė naujojo Europos Sąjungos (ES) asmens duomenų apsaugos reglamento projektą, kuriuo Europos Komisija pademonstravo ryžtą reformuoti šią sritį. Siūlomos naujovės svarbios tiek privatumu besirūpinantiems europiečiams, tiek verslui, kuris turės atsakingiau saugoti savo darbuotojų, klientų ir kitų europiečių duomenis.
Praėjusių metų pabaigoje į viešumą patekęs darbinis reglamento projektas atskleidė daug svarbių siūlomų naujovių – nuo griežtesnių reikalavimų asmens sutikimo gavimui iki milžiniškų baudų. Nutekintas reglamento projektas išprovokavo diskusijas privatumo apsauga besidominčioje tarptautinėje bendruomenėje. Spaudos konferencijoje, kurioje reglamento projektas pristatytas oficialiai, V. Reding atskleidė, kad Europos Komisija susidūrė ir su aktyviu lobizmu.
Panašu, kad Europos Komisija aistrų nepaiso ir krypties nekeičia: dauguma anksčiau paviešintų naujovių lieka oficialiai paskelbtame reglamento projekte. Projektas greičiausiai dar keisis per svarstymus Europos Parlamente ir Europos Sąjungos Ministrų Taryboje, o reglamentas įsigalios praėjus dvejiems metams nuo jo priėmimo. Bet kokiu atveju oficiali Europos Komisija iniciatyva reiškia, kad netolimoje ateityje asmens duomenų apsauga Europoje turėtų smarkiai pasikeisti.
Svarbiausias Europos Komisijos siūlomas naujoves apžvelgė advokato padėjėjas Julius Zaleskis, advokatų kontoros LAWIN Intelektinės nuosavybės, reklamos ir privatumo pogrupio teisininkas ir Vilniaus universiteto Teisės fakulteto doktorantas, besispecializuojantis duomenų apsaugos srityje ir įdėmiai sekantis ES pradėtą reformą.
Vienas visoje ES tiesiogiai taikomas teisės aktas
Viena svarbiausių naujovių yra pats ES duomenų apsaugos reglamentas, t. y. vienas visose ES valstybėse narėse tiesiogiai taikomas teisės aktas. Jis pakeistų 1995 m. duomenų apsaugos direktyvą, kurios nuostatas kiekviena ES valstybė narė perkėlė į nacionalinius įstatymus pasirinkta forma. Direktyvos teisinis statusas ir abstraktumas nulėmė, kad kai kurie duomenų apsaugos aspektai ES narėse yra reguliuojami ir suprantami skirtingai.
„Skirtingą požiūrį į duomenų apsaugos skirtumus Europos Sąjungoje galima iliustruoti lietuviškais pavyzdžiais. Lietuvoje nėra specialių reikalavimų darbuotojų duomenų tvarkymui, įskaitant jų elektroninio pašto ir naudojimosi internetu kontrolę, kaip ir duomenų apsaugai virtualioje erdvėje, duomenų tvarkymui tarptautinėse įmonių grupėse. Nors duomenų apsaugos pažeidimai dažnai būna ydingos bendrovių veiklos rezultatas, Lietuvoje už pažeidimus baudžiamos ne bendrovės, o jų vadovai arba darbuotojai. ES narėse kartais išsiskiria ir reguliavimo taikymas ir aiškinimas. Kai kuriais atvejais Valstybinė duomenų apsaugos inspekcija į fundamentalų klausimą – kam tenka atsakomybė, kai duomenis kartu tvarko kelios bendrovės – atsakydavo skirtingai nei priežiūros institucijos kitose ES valstybėse narėse“, – aiškina J. Zaleskis.
Baudos iki milijono eurų arba 2 procentų metinių pasaulinių pajamų
J. Zaleskio vertinimu, viena reikšmingiausių siūlomų naujovių – milžiniškų baudų už asmens duomenų apsaugos pažeidimus nustatymas.
„Šiuo metu baudų dydžiai yra tik ES narių prerogatyva, todėl kai kuriose valstybėse jie skiriasi kelis tūkstančius kartų. Pavyzdžiui, už itin grubius privatumo pažeidimus Jungtinės Karalystės Informacijos komisaro tarnyba skiria baudas iki pusės milijono svarų, o Lietuvoje maksimali bauda už Asmens duomenų teisinės apsaugos įstatymo pažeidimus yra 2 tūkst. litų. Naujuoju ES asmens duomenų apsaugos reglamentu šią padėtį siekiama pakeisti už asmens duomenų apsaugos pažeidimus nustatant visoje Europoje vienodas baudas iki 1 milijono eurų arba 2 procentų metinių pasaulinių bendrovės pajamų, priklausomai nuo pažeidimo pavojingumo“, – sako teisininkas.
Verta pažymėti, kad anksčiau paviešintame darbiniame reglamento projekte maksimalios baudos už duomenų apsaugos pažeidimus buvo dar didesnės – iki 5 procentų metinių pasaulinių pajamų.
Griežtesni reikalavimai asmens ir ypač vaiko sutikimo gavimui
ES ketina numatyti griežtesnius reikalavimus gauti asmens sutikimą dėl jo duomenų tvarkymo.
„Siūloma numatyti, kad sutikimas turi būti akivaizdus, t. y., jis negalėtų būti numanomas, pavyzdžiui, kai asmuo neprieštarauja jo duomenų tvarkymui. Sutikimas nebūtų laikomas tinkamu, jeigu jį duodantis asmuo yra priklausomas nuo sutikimą gaunančio subjekto. Pavyzdžiui, tinkamu nebūtų laikomas sutikimas, kurį duoda darbuotojas darbdaviui. Vaiko duodamas sutikimas būtų tinkamas tik tada, kai sutikimą patvirtina vaiko tėvas ar globėjas“, – pasakoja J. Zaleskis.
Teisė būti užmirštam, ypač internete
Ketinama nustatyti ir asmens teisę būti užmirštam. Asmeniui atšaukus sutikimą tvarkyti jo asmens duomenis, pasibaigus duomenų saugojimo terminui arba duomenis tvarkant neteisėtai asmuo galėtų reikalauti ištrinti visus duomenis apie jį ir užkirsti kelią tolimesniam jų naudojimui.
Bendrovės taip pat turėtų užtikrinti, kad su duomenimis būtų ištrintos viešai prieinamos nuorodos į juos ir jų kopijos, pavyzdžiui, įrašai paieškos sistemose, informuodamos trečiuosius asmenis apie tai, kad asmuo reikalauja ištrinti duomenis apie jį. Ši teisė būtų ypač aktuali socialinių tinklų vartotojams, kurie šiandien susiduria su sunkumais siekdami panaikinti visą jų pateiktą informaciją.
Daugiau informacijos asmeniui, kurio duomenys tvarkomi
Reglamento projektas praplečia informacijos, kurią reikia pateikti asmeniui apie jo duomenų tvarkymą, apimtį. Asmenims visais atvejais reikėtų pranešti ne tik apie duomenų valdytojo tapatybę, duomenų tvarkymo tikslus, kaip numatyta dabartiniame reguliavime, bet ir apie duomenų saugojimo terminą, asmens teises, įskaitant teisę skųstis priežiūros institucijai, duomenų perdavimą už Europos ekonominės erdvės ribų, pavyzdžiui į Jungtines Amerikos valstijas arba Indiją.
Skubus priežiūros institucijos ir asmenų informavimas apie duomenų apsaugos pažeidimus
„Europos Komisija siekia nustatyti bendrąją duomenis tvarkančių subjektų pareigą pranešti priežiūros institucijai apie asmens duomenų saugumo pažeidimus, pavyzdžiui, duomenų paviešinimą arba praradimą. Kai pažeidimas gali padaryti žalą asmenų privatumui, jie taip pat turėtų būti informuojami apie pažeidimą. Instituciją ir asmenis reikėtų informuoti per 24 valandas nuo duomenų saugumo pažeidimo. Tokios pareigos šiuo metu numatytos tik elektroninių ryšių paslaugų teikėjams“, – detalizuoja teisininkas.
Atsisakoma bendros pareigos apie duomenų tvarkymą pranešti priežiūros institucijai
Europos Komisija siūlo atsisakyti bendros duomenis tvarkančio subjekto pareigos pranešti priežiūros institucijai apie planuojamą duomenų tvarkymą.
„Šis pakeitimas būtų naudingas Lietuvoje veikiantiems duomenų valdytojams, kurie šiuo metu į formalią pranešimo Valstybinei duomenų apsaugos inspekcijai procedūrą yra priversti investuoti sąlyginai daug laiko ir dažnai susiduria su neaiškumais pildydami pranešimo formas“,- teigia Julius Zaleskis.
Naujasis reglamentas numatytų naują duomenis tvarkančių subjektų pareigą prieš pradedant duomenų tvarkymą, kuris kelia konkrečių grėsmių asmenų privatumui, atlikti tokio duomenų tvarkymo poveikio įsivertinimą. Įsivertinimas būtų privalomas, kai automatiniu būdu tikrinamas asmens kreditingumas, finansinė padėtis, buvimo vieta, sveikata, patikimumas ir tokio patikrinimo rezultatas asmeniui gali sukelti reikšmingas pasekmes. Rizikos įsivertinimo pareiga būtų taikoma ir tada, kai ketinama tvarkyti asmens duomenis apie lytinį gyvenimą, sveikatą, rasinę arba etninę kilmę, kai vaizdo kameromis stebimos viešosios vietos, kai dideliu mastu tvarkomi vaikų, genetiniai arba biometriniai asmens duomenys.
Konsultuotis su priežiūros institucija būtų privaloma tais atvejais, kai atlikus išankstinį vertinimą būtų matyti arba priežiūros institucija nuspręstų, kad planuojamas asmens duomenų tvarkymas kelia didelę riziką asmenų privatumui.
Privalomas už duomenų apsaugą atsakingo asmens skyrimas
Naujuoju reglamentu siūloma nustatyti, kad kai kurie duomenis tvarkantys subjektai privalėtų paskirti už duomenų apsaugą atsakingą vidaus pareigūną. Tokią pareigą turėtų valdžios institucijos, daugiau nei 250 darbuotojų turinčios bendrovės ir subjektai, kuriems nuolatinis ir sisteminis asmens duomenų tvarkymas (pavyzdžiui, asmens mokumo vertinimas) yra pagrindinė veikla. Šiuo metu tokio pareigūno paskyrimas yra bendrovių teisė, o ne pareiga.
Privalomas išsamus asmens duomenų tvarkymo dokumentavimas
Taip pat siūloma įpareigoti duomenis tvarkančius subjektus detaliai dokumentuoti duomenų tvarkymo veiklą. Tvarkant duomenis reikėtų turėti, o priežiūros institucijai pareikalavus – pateikti, išsamų asmens duomenų tvarkymo veiksmų aprašymą.
Reikalavimų privalomumas paslaugų teikėjams, duomenis tvarkantiems tik pagal užsakovų nurodymus
Reglamentu siūloma numatyti, kad asmenų informavimo, duomenų tvarkymo poveikio įsivertinimo, už duomenų apsaugą atsakingo pareigūno paskyrimo, konsultavimosi su priežiūros institucijomis ir kitas pareigas turėtų ne tik duomenų valdytojas, t. y. subjektas, sprendžiantis kokius duomenis ir kaip tvarkyti, bet ir duomenų tvarkytojas, t. y. pagal duomenų valdytojo nurodymus ir jo vardu duomenis tvarkantis subjektas. Pavyzdžiui, informacinių technologijų priežiūros ar buhalterinės apskaitos paslaugas teikianti bendrovė.
Pagal šiuo metu galiojantį reguliavimą, kai už duomenų valdytoją asmens duomenis tvarko jo samdoma bendrovė, visa atsakomybė už duomenų apsaugą iš esmės tenka duomenų valdytojui.
Tarptautinio verslo kontrolė tik pagrindinėje įsisteigimo vietoje
Pagal reglamento projektą, keliose ES narėse veikiantis duomenų valdytojas būtų kontroliuojamas tik toje valstybėje, kurioje yra jo pagrindinė įsisteigimo vieta.
J. Zaleskis teigia, kad ši taisyklė palengvintų tarptautinių bendrovių dalią, leisdama išvengti situacijų, kai tokios bendrovės yra priverstos atlikti formalias procedūras ir nagrinėti priežiūros institucijų pretenzijas keliose valstybėse ES narėse. Pagrindinė įsisteigimo vieta būtų laikoma centrinės administracijos ES arba sprendimų dėl duomenų tvarkymo priėmimo vieta.
Reikalavimų privalomumas bendrovėms, kurios europiečiams siūlo savo prekes ir paslaugas arba jų kompiuteriuose palieka slapukus
Naujojo reglamento turėtų laikytis ne tik Europoje įsisteigę duomenis tvarkantys subjektai, bet ir tie subjektai, kurie siūlo savo prekes ir paslaugas ES gyventojams arba stebi jų elgesį internete, pavyzdžiui, vartotojų kompiuteriuose palieka slapukus (angl. cookies).
„Ši naujovė labiausiai paliestų JAV, Kinijos, Rusijos ir kitų trečiųjų valstybių virtualų verslą, besitaikantį į ES vartotojus internete. Tokie subjektai ES turėtų paskirti už duomenų apsaugą atsakingą atstovą. Šiuo metu pagrindiniu duomenų apsaugos taisyklių taikymo kriterijumi yra duomenų valdytojo įsisteigimo vieta. Todėl, pavyzdžiui, Lietuvos asmens duomenų teisinės apsaugos įstatymas paprastai nėra taikomas, kai lietuvių asmens duomenis tvarko Lietuvoje neįsisteigusios bendrovės“, – vardina teisininkas.
