Lygiai prieš dvejus metus, 2018 m. gegužės 25 d. visoje Europos Sąjungoje įsigaliojo Bendrasis duomenų apsaugos reglamentas (BDAR) – ambicinga ir itin smulkmeniška direktyva, siekianti užtikrinti Europos Sąjungos piliečių teisę į asmens duomenų apsaugą kaip vieną pagrindinių žmogaus teisių, skaidrumą renkant ir tvarkant fizinių asmenų duomenis bei suvienodinti duomenų apsaugos praktiką visoje ES. Beveik šimto puslapių dokumento pagrindinė mintis – žmogui turi būti užtikrinta teisė pačiam spręsti, kam, kokiais tikslais ir kiek savo asmeninių duomenų leisti naudoti. Šiam tikslui pasiekti BDAR numato daugybę taisyklių ir biurokratinių reikalavimų toms įmonėms ir institucijoms, kurios renka ir tvarko fizinių asmenų duomenis. Ir, žinoma, neregėto dydžio baudas pažeidėjams – iki 20 mln. EUR.
Vystantis technologijoms, duomenų apsaugos užtikrinimas neabejotinai tampa vis sudėtingesnis, o sąvoka, kas yra asmens duomenys, įgauna naujų niuansų. Sunku patikėti, kiek nedaug smulkių, atrodytų tarpusavyje nesusijusių informacijos nuotrupų šiais laikais užtenka norint identifikuoti asmenį ir kokį ilgą šleifą duomenų apie save paliekame tiesiog gyvendami savo įprastą gyvenimą tiek fizinėje, tiek ir virtualioje erdvėje. Todėl niekas nesiginčija, kad norint garantuoti skaidrumą ir užkirsti kelią piktnaudžiavimui mūsų duomenimis, būtina vystyti įstatyminę bazę šioje srityje. Tačiau po dvejų metų BDAR poveikio verta pasvarstyti, kokius konkrečius pokyčius jis atnešė Lietuvoje? Ar tikrai dabar mūsų duomenys žymiai geriau apsaugoti? Ir čia kyla nemažai abejonių.
Daugiau ne visuomet reiškia geriau
Pavyzdžiui, vienas pirmųjų BDAR padiktuotų pokyčių, kuris visiems krito į akis ir ne juokais įsipyko jau pirmosiomis savaitėmis, buvo tai, kad visos interneto svetainės, net ir tos, kuriomis iki tol naudojomės dešimtmečius, vieną dieną pradėjo reikalauti susipažinti su kažkokiomis taisyklėmis ir politikomis, peržiūrėti nustatymus, su kažkuo sutikti. Nes pagal BDAR reikalavimus būtina gauti lankytojo sutikimą iš esmės bet kokiam slapukų vartojimui, o interneto puslapio be slapukų šiandien praktiškai nerasi, nors dauguma jų realiai didelės grėsmės asmens privatumui net nekelia.
Ar tikrai dabar mūsų duomenys žymiai geriau apsaugoti?
Kiek kartų tokias taisykles perskaitė eilinis žmogus? Du? Dešimt? Visiškai neabejoju, kad anksčiau ar vėliau dauguma pradėjome tiesiog automatiškai spaudinėti „sutinku“ visai nesigilindami į tai, su kuo sutinkame. Nes tos nuolat iššokančios lentelės erzina, o kartais nepaspaudus „sutinku“ ir pats svetainės turinys būna nepasiekiamas. Ar tai mūsų duomenis padarė nors kiek saugesnius, o mus – sąmoningesnius, labai abejoju. Net atvirkščiai – šios akivaizdžiai perteklinės priemonės išugdytas automatizmas gali taip atpratinti gilintis į bet kokias taisykles ir aprašymus, kad galiausiai automatiškai paspausime „sutinku" toli gražu ne tokioje nekaltoje situacijoje.
Tai tik vienas iš daugelio pavyzdžių, kaip nauji BDAR reikalavimai, prie geriausių intencijų, virto tiesiog formalumu, praktiškai neatnešančiu realios naudos.
Ar taisyklių rašymas netaps savitiksliu?
Verslui BDAR atnešė didelę papildomo popierizmo naštą. Ir, be abejo, daug nerimo milžiniškų baudų akivaizdoje. Nes kiek įmonių Lietuvoje išgalėtų mokėti milijonines baudas? O pats BDAR tekstas ir jo nuostatos perkeltos į Lietuvos Respublikos įstatymus dažnai užduoda daugiau klausimų, nei pateikia atsakymų. Tikslus jų traktavimas ir išaiškinimai susiformuos tik per teismų praktiką, nagrinėjant konkrečias bylas. Bet juk niekas nenori būti tuo pirmuoju konkrečiu atsakovu, kurio pavyzdžiu ši teismų praktika formuosis.
Todėl didžiosios bendrovės investavo solidžias sumas ir suskubo samdyti teisinių paslaugų įmones, kad padėtų paruošti privatumo politikas, vidaus taisykles, pavojaus vertinimus ir daugybę kitų privalomų dokumentų. Tuo tarpu mažesnieji, negalintys sau leisti tokios prabangos, privatumo politikas rengia patys arba kopijuoja vieni nuo kitų. Kartais savo nuožiūra papildydami jas tokiais teiginiais, kurie visiškai tiesiogiai prieštarauja BDAR reikalavimais. O kartais net pamiršdami pakeisti jose įmonės pavadinimą į savo. Asmens privatumo ir duomenų apsaugos asociacijos APGIDA atlikta analizė rodo, kad tos pačios privatumo politikos dažnai žodis žodin kartojasi pas tūkstančius labai skirtingų įmonių, užsiimančių visiškai skirtingomis veiklomis.
Taigi, neapleidžia abejonė, kad visos šios taisyklės ir politikos gali taip ir likti tik formalumu, kurį reikia atlikti, norint išvengti baudų. Lygiai taip, kaip – vieša paslaptis – dažnai tik formaliai rengiami darbo bei priešgaisrinės saugos dokumentai.
Jokios taisyklės neveiks, jei nesuprasime, kam to reikia
Beje, kilęs gaisras ar praskelta galva – visiems gerai suprantamas pavojus. Tuo tarpu kokią žalą gali atnešti be sutikimo renkami, pertekliniai ar aplaidžiai saugomi duomenys nėra taip akivaizdu. Pavyzdžiui, daugelis dar ir šiandien gūžčioja pečiais, kodėl tiek triukšmo anuomet sukėlė „Cambridge Analytica” istorija arba nėra nieko girdėję apie Kinijos valdžios diegiamą visuotinę socialinio reitingavimo sistemą. Asmens duomenys šiais laikais gali būti ir brangi prekė, ir veiksmingas įrankis kontroliuoti bei manipuliuoti. Todėl su jais tikrai reikia elgtis labai atsargiai ir atsakingai. Bet jeigu tarp daugybės taisyklių ir smulkiausių biurokratinių reikalavimų pradingsta pati esmė ir suvokimas „kodėl?”, net didžiausios baudos nepadės.
Neapleidžia abejonė, kad visos šios taisyklės ir politikos gali taip ir likti tik formalumu.
Tiesa, Valstybinė duomenų apsaugos inspekcija pastebi, kad įsigaliojus BDAR ji per metus sulaukia dvigubai daugiau asmenų skundų, nei anksčiau. Tai galima būtų vertinti kaip žmonių teisinio sąmoningumo augimą, bet reiktų atkreipti dėmesį ir į kitą skaičių: iš pernai išnagrinėtų 992 skundų tik 223 atvejais taikytos poveikio priemonės, skundą pripažinus pagrįstu, iš kurių tik trimis atvejais skirtos baudos. Panašu, kad nauji įstatymai sukėlė tiesiog didesnį norą skųstis, bet ne geresnį suvokimą, kaip turi veikti duomenų apsaugos sistema.
Todėl teigti, kad įsigaliojus griežtesniems įstatymams ir didesnėms baudoms visi geriau suprantame savo teises ir pareigas duomenų apsaugos srityje ir galime jaustis žymiai saugesni, dar tikrai anksti.
Vaidonė Tamošiūnaitė yra Asmens privatumo gynimo ir duomenų apsaugos asociacijos (APGIDA) vadovė.
