Darius Štitilis. Duomenų apsaugos reglamento baubai ir absurdai - MRU
Naujienos

12 vasario, 2019
Darius Štitilis. Duomenų apsaugos reglamento baubai ir absurdai
Viešojo valdymo ir verslo fakultetas

N Įdomu, kad duomenų apsaugos režimas ES galioja jau daugiau nei 20 metų, tačiau būtent dabar šio Reglamento taikymas visuomenėje sukėlė milžinišką ažiotažą. Galbūt tam įtakos turėjo ir nemažos baudos, kurios gali būti paskirtos už šio reglamento pažeidimus.
 
Tačiau iš baimės ar dėl informacijos stygiaus radosi ir tokių šio reglamento traktavimo ir „duomenų nutekinimo“ atvejų, kuriuos būtų galima laikyti, švelniai tariant, absurdiškais ir neadekvačiais. Ir tokių neadekvatumo pavyzdžių galima rasti ir iš duomenų subjektų, ir duomenų valdytojų pusės. Tarkim, fizinis asmuo kreipiasi į jungtines skolų rinkmenas tvarkančią bendrovę su prašymu ištrinti visus jo asmens duomenis, nes jis yra įsitikinęs, kad sutikimo nedavė ir jokio kito pagrindo tvarkyti jo duomenų nėra. Kitaip tariant, skolininkas klaidingai įtikėjo, kad su Reglamentu galima „išvalyti“ savo skolų istoriją.
 
Kitas tipiškas neadekvačių lūkesčių dėl patirtų nuostolių pavyzdys – klientas kreipiasi į paslaugų teikėją, kuris per klaidą jam skirtą sąskaitą atidavė kitam asmeniui. Toks klientas yra įsitikinęs, kad įvyko „baisus“ asmens duomenų pažeidimas, o paslaugų teikėjas turi jam atlyginti padarytą žalą sumokėdamas pinigų sumą su penkis nuliais... Tenka pastebėti tendenciją, kad duomenų subjektai labai dažnai susidūrę net ir su nedideliu incidentu dėl jų asmens duomenų, valdytojui leidžia suprasti, kad neišsprendus šios problemos kreipsis į kontroliuojančias institucijas ir valdytojui gresia dideli nemalonumai.
 
Tačiau kažkodėl nesvarstoma, kad tokiais atvejais duomenų subjektas siekia paprasčiausios asmeninės naudos, o ne įvardina realiai padarytą žalą ar nuostolius, o jeigu tokie išties yra, kaip būtų galima juos kompensuoti, ir ką valdytojas galėtų ir turėtų padaryti, kad ateityje tokie atvejai nepasikartotų. Pasitaiko, kad BDAR duomenų subjektai linkę pasinaudoti kaip manipuliacine priemone.
 
Nors iš duomenų valdytojo jiems nereikia jokios informacijos, nutaria „paterorizuoti“ pasitelkę jiems duomenų apsaugos reglamento suteiktomis teisėmis ir be jokios rimtos priežasties pateikia valdytojui 20-30 klausimų dėl neva jo asmens duomenų tvarkymo, į kuriuos valdytojas privalo uoliai atsakinėti, nes duomenų subjekto teisių pažeidimas pagal BDAR yra vienas rimčiausių, užtraukiantis vienas iš didžiausių sankcijų... Deja, duomenų valdytojai taip pat gali neteisingai traktuoti reglamentą. Tarkim, savivaldybės duomenų apsaugos pareigūnas rekomenduoja nuasmeninti duomenis, kurie teikiami savivaldybės Tarybos nariams sprendimų priėmimui.
 
Arba bendrovė savo darbuotojų prašo kelių rūšių sutikimų jų duomenų tvarkymui, nors šiaip jau sutikimų iš darbuotojų daugumoje atvejų nebūtina prašyti dėl valdytojo ir duomenų subjekto padėties disbalanso, ir tokiais atvejais užtenka darbuotojus tik apie tai informuoti... Pasitaiko atvejų, kai darbdavys iš savo darbuotojų renka sutikimus dėl vykdomo vaizdo stebėjimo. O jei vienas iš darbuotojų atšauks savo duotą sutikimą – kaip tokiu atveju turėtų pasielgti darbdavys? Išmontuoti kameras? Šis konkretus atvejis parodo, kad darbdavys pasirinko ne tą teisėto tvarkymo kriterijų – vietoje sutikimo turėtų būti remiamasi teisėtu interesu, susijusius su pvz., turto ir klientų apsauga.
 
Neteisingas, kartais netgi absurdiškas reglamento traktavimas gali turėti ir skaudžių padarinių įmonės veiklai, kai priimamas sprendimas „dėl šventos ramybės“ netaikyti inovacijų savo veikloje, kad vėliau nekiltų kokių nors nenumatytų problemų dėl reglamento taisyklių pažeidimų.
Pasitaikė atvejų, kai valstybės institucija, dar prieš BDAR taikymą, sėkmingai teikdavusi asmens duomenis trečiosioms šalims pagal jų užklausimus, apskritai nutraukė tokių duomenų teikimą, motyvuodama tuo, kad nenori rizikuoti... O juk net ir pačiame BDAR, preambulėje nurodyta kad BDAR tikslas – sudaryti palankesnes sąlygas laisvam duomenų judėjimui. Kokias išvadas galima padaryti iš tokių pavyzdžių?
 
Visų pirma, reiktų adekvačiai vertinti kiekvieną situaciją. Tačiau faktas, kad tam reikia ir gilesnių žinių apie patį Reglamentą, o traktuojant jo nuostatas reiktų iš populizmo pereiti į gilesnį ekspertinį lygį supažindinant su pagrindinėmis reglamento taisyklėmis ir duomenų valdytojus, ir duomenų subjektus.
Beje, Valstybinė duomenų apsaugos inspekcija (VDAI) kartu su Mykolo Romerio universitetu (MRU) jau inicijavo Lietuvos aukštų asmens duomenų apsaugos standartų skatinimo projektą (SolPriPa), kurio tikslas įvairias visuomenes grupes supažindinti su asmenų teisėmis dėl jų privatumo ir asmens duomenų apsaugos. Vartotojams reikėtų suprasti, kad jų sutikimas – ne vienintelis pagrindas tvarkyti jų asmens duomenis. Skolininkai turėtų suvokti, kad jei jau praleido mokėjimus, vienintelis būdas pagerinti savo skolų istoriją – ne apeliuoti į asmens duomenų tvarkymo pažeidimus, bet pradėti atsakingai elgtis ir laiku atsiskaityti pagal savo įsipareigojimus.
Šis Reglamentas nėra kažkokia baudžiamoji ar manipuliacinė priemonė, kurios tikslas nubausti net už mažiausią klaidą. Tai tiesiog teisės aktas, kurio reikia laikytis, bet reikia nepamišti, kad jis nėra skirtas techninės pažangos ar duomenų keitimosi ribojimams.
 
Priešingai – šis reglamentas turėtų skatinti laisvą duomenų judėjimą. Reikia atminti, kad asmens duomenų tvarkymo teisiniai pagrindai, tvarkymo principai nesikeitė ir išliko tokie patys nuo 1995 metų. Taigi, revoliuciniai pakeitimai neįvyko, ir iš esmės BDAR yra evoliucija, o ne revoliucija.
Specialistams rekomenduotina „pakelti akis“ nuo pažodinio privatumo politikų, taisyklių skaitymo ir traktavimo, pagalvoti, ar dėl jų sprendimų nebus apribotas reikalingų duomenų judėjimas ir įvairių inovacijų įdiegimas. O kilus klausimams dėl būsimo duomenų tvarkymo teisėtumo, pasinaudoti BDAR įvesto poveikio duomenų apsaugai vertinimo institutu, kuris ir skirtas duomenų subjekto teisių, laisvių, kylančių rizikų įvertinimui ir jų apsaugos priemonių parinkimui.
Darius Štitilis yra Mykolo Romerio universiteto (MRU) profesorius, asmens duomenų apsaugos ir kibernetinio saugumo teisės ekspertas.