„Dažniausiai duomenys apie žmogų yra renkami net ne sutikimo, o kitais pagrindais“, – 15min sakė Mindaugas Civilka, „TGS Baltic“ partneris. Jis pirmadienį dalyvavo tarptautinėje duomenų apsaugos konferencijoje, kur daugiausia dėmesio buvo skiriama pernai gegužę įsigaliojusiam Bendrajam duomenų apsaugos reglamentui (BDAR arba angl. GDPR), taip pat verslas aiškinosi, kokius duomenis ir kokiu pagrindu apie savo klientą gali rinkti.
O pasirodo, kad verslas žino apie savo klientus daug, dažnai renka ir tvarko jų duomenis, neprašydamas atskiro sutikimo. Sutikimo dažniausiai reikia rinkodaros tikslais, o štai kitus jautrius duomenis – asmens kodą, jūsų buvimo vietą ar net elektroninių laiškų turinį – įmonės gali tvarkyti ir neatsiklaususios.
Ką apie jus žino darbdavys?
Technologijos progresuoja taip sparčiai, kad jūsų vadovas gali žinoti beveik viską – matyti, ką rašote, girdėti, su kuo ir ką kalbate telefonu, sekti jūsų buvimo vietą, filmuoti jus darbo vietoje, pirmadienį įspėjo „TGS Baltic“ partneris Latvijoje Kalvis Kruminis.
Jeigu sakote, kad turite kameras dėl saugumo priežasčių, o vėliau tiesiog sėdite ir žiūrite, kaip dirba jūsų darbuotojai, kas dirba, kas ne, ką paaukštinti, tai būtų pažeidimas pagal BDAR standartus, – aiškino K.Kruminis.
„Svarbu išsiaiškinti priežastis, kodėl jums reikia stebėti darbuotojus. Reikia būti atsargiems. Jeigu sakote, kad turite kameras dėl saugumo priežasčių, o vėliau tiesiog sėdite ir žiūrite, kaip dirba jūsų darbuotojai, kas dirba, kas ne, ką paaukštinti, tai būtų pažeidimas pagal BDAR standartus“, – aiškino jis.
Teisininko teigimu, žmonės tikrai nenori dalintis savo asmenine informacija, prisijungimais prie elektroninio pašto ar socialinių tinklų. Ir tai tikrai nereiškia, kad jie daro kažką blogo, paprasčiausiai nori teisės į privatumą.
„Tai yra viena pagrindinių mūsų teisių“, – aiškino K.Kruminis ir dar kartą įspėjo darbdavius, kad pastarieji rinktų duomenis apie savo darbuotojus tik gerai apsvarstę, kam to reikia. Vienu atveju duomenų rinkimas gali būti pagrįstas, kitu atveju – visiškai nepateisinamas.
„Galite įdiegti programinę įrangą mobiliajame telefone ir galite klausytis ne tik visų pokalbių, bet ir perklausyti visus ankstesnius įrašytus skambučius. Galima stebėti darbuotojų kompiuterį, naršyklės istoriją, galima stebėti darbuotojų judėjimą. Pavyzdžiui, GPS mašinose, mobiliųjų telefonų sekimas. Yra tiek daug skirtingų būdų, ir negalima pasakyti, kuris leidžiamas, kuris ne. Reikia būti labai atsargiems, kai renkatės pagrindą. Vienu atveju priežiūros institucija gali sakyti „ką jūs darote, kodėl įrašote pokalbius“, o kitais atvejais tai gali būti visiškai normalu“, – aiškino K.Kruminis.
Pavyzdžiui, Latvijoje buvo byla dėl įdiegtų stebėjimo kamerų troleibusuose ir autobusuose.
„Vairuotojai nebuvo laimingi, kad turi būti stebimi, bet teismas pasakė, kad viskas gerai, nes jeigu kažkas įvyksta viešajame transporte, tai yra tinkama stebėjimui vieta“, – aiškino teisininkas.
Kada nereikia jūsų sutikimo?
BDAR 6 straipsnis sako, kad duomenų tvarkymas yra teisėtas tada, jeigu taikoma viena iš šių 6 sąlygų:
- Asmuo davė sutikimą
- Tvarkyti duomenis būtina siekiant įvykdyti sutartį
- Tvarkyti duomenis būtina, kad būtų įvykdyta duomenų valdytojui taikoma teisinė prievolė
- Tvarkyti duomenis būtina siekiant apsaugoti gyvybę, turtą ar kitus fizinio asmens interesus
- Tvarkyti duomenis būtina, siekiant įvykdyti užduotį viešojo intereso labui, vykdant viešosios valdžios funkcijas.
- Tvarkyti duomenis būtina siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų, išskyrus atvejus, kai tokie duomenų subjekto interesai arba pagrindinės teisės ir laisvės, dėl kurių būtina užtikrinti asmens duomenų apsaugą, yra už juos viršesni, ypač, kai duomenų subjektas yra vaikas.
Ką reiškia šios sąlygos praktikoje, 15min aptarė su M.Civilka. Jis tvirtino, kad dažniausiai asmens duomenys yra tvarkomi ne sutikimo pagrindu, o, pavyzdžiui, jam užsisakant kelionę, perkant paslaugą, užsisakant prenumeratą, važiuojant taksi ir pan.
„Įstatymai numato, kokius duomenis privalo rinkti paslaugos teikėjas. Pavyzdžiui, jeigu išrašoma sąskaita faktūra, bus vardas ir pavardė, adresas ir individualios veiklos numeris. Jeigu tai susiję su mokesčiais, įmonė privalo pranešti apie tau išmokėtas sumas Mokesčių inspekcijai, ir tam jai reikės vardo, pavardės, asmens kodo, tavo sutikimo tam nereikia. Sutartis, įstatyminė prievolė“, – aiškino teisininkas.
Visi prisijungimai prie duomenų bazių yra sekami tam, kad informacinė sistema apskritai veiktų, kad prisijungtų tik tie, kurie turi teisę prisijungti. Tai yra daroma ne sutikimo pagrindu, o administracinės sistemos palaikymo pagrindu, kas yra teisinis interesas, – aiškino M.Civilka.
Trečioji sąlyga yra teisinis verslo interesas tvarkyti asmens duomenis.
„Aišku, čia yra slidus pagrindas. Reikia pasverti, kieno interesai didesni. Pavyzdžiui, vaizdo stebėjimas turto apsaugai. Tavo duomenys yra renkami, bet tavo sutikimo neprašoma. Patalpų savininko interesas yra užtikrinti saugą, sveikatą ir pan.“, – sakė M.Civilka.
Teisinis interesas yra ir, tarkime, įmonės informacinės sistemos palaikymas.
„Visi prisijungimai prie duomenų bazių yra sekami tam, kad informacinė sistema apskritai veiktų, kad prisijungtų tik tie, kurie turi teisę prisijungti. Tai yra daroma ne sutikimo pagrindu, o administracinės sistemos palaikymo pagrindu, kas yra teisinis interesas“, – aiškino teisininkas.
Taip pat duomenys renkami viešosioms paslaugoms teikti. „Vaiko teisių apsaugos tarnyba, pavyzdžiui, renka daug informacijos apie šeimą, ir tai atliekama ne sutikimo, o viešosios funkcijos vykdymo pagrindu“, – aiškino M.Civilka.
Pasak jo, sutikimo pagrindu duomenys renkami dažniausia rinkodaros tikslais, ir verslui yra patariama vengti duomenų rinkimo būtent šiuo pagrindu.
„Mintis sutikimo ir pats blogumas yra tas, kad jį galima bet kada atšaukti. Rinkodarai tinka. Bet visiems kitiems atvejams tai verslui gali sukelti labai rimtų pasekmių. Daug investuojama į vartotoją, daug pastangų dedama, o žmogus ima ir atsisako. Verslas turėtų stengtis tą sutikimą naudoti tik kraštutiniais atvejais“, – aiškino jis.
O kam renkami darbuotojų duomenys?
M.Civilkos teigimu, darbdavys įgauna teisę valdyti darbuotojo duomenis tuomet, kai yra pasirašoma darbo sutartis. Duomenys dažnai tvarkomi dviem tikslais – arba darbo sutarties vykdymo tikslais, arba organizacijos administravimo tikslais.
„Tai tam tavo sutikimo nereikia, nes tu sutinki jau pasirašydamas darbo sutartį, įsidarbindamas – kad bus fiksuojama, kada ateini ir išeini, kad tavo automobilio valstybinis numeris bus fiksuojamas vien tam, kad automobilių stovėjimo aikštelė atsidarytų, tavo elektroninis paštas kilus įtarimams, kad vyksta kažkas neteisėto, bus patikrinamas, nes tai yra darbdavio suteikta priemonė darbo tikslais, veidai ar telefono numeriai intranete (vidinės organizacijos tinkle). Tai yra teisinio intereso, o ne sutikimo pagrindu. Darbdaviui tų duomenų reikia, kad būtų užtikrintas normalus organizacijos veikimas“, – aiškino M.Civilka.
Tiesa, pabrėžė jis, darbdavys surinktus duomenis gali naudoti tik pagal paskirtį. Tarkime, jeigu įrengia vaizdo kameras turto apsaugai, tai tik tam ir gali naudoti įrašus, o ne nuolatiniam darbuotojų stebėjimui ir pan. Be to, darbdavys neįgauna teisės naršyti ar domėtis darbuotojo asmeninėmis pašto, socialinių tinklų paskyromis.
„Kalbame tik apie darbines paskyras, darbinę programinę įrangą, darbines informacines sistemas, darbinį kompiuterį. Blogai, kai ta riba peržengiama ir žmogus į darbinį kompiuterį atsisiunčia asmeninę informaciją, tarkime, asmenines nuotraukas. Formaliai tie duomenys yra darbdavio informacinėje sistemoje, ir galėtų nutekėti ir tie duomenys, apie kuriuos darbdavys nieko net nežino, kad jie yra“, – aiškino teisininkas.
Kaip darbdavys gali elgtis su asmenine informacija darbiniame kompiuteryje ir panašiais atvejais, aiškumo vis tik trūksta, ir, teisininko teigimu, jo įneš teismų praktika, kuri kol kas nėra susiformavusi.
Baudų dar niekam neskyrė
Valstybinės duomenų inspekcijos direktoriaus pavaduotoja Danguolė Morkūnienė tvirtino, kad BDAR lėmė išaugusį žmonių domėjimąsi savo duomenų apsauga, savo teisėmis.
„Atsigręžėme į žmogų, pradėjome užtikrinti jo teises. Atsisakome perteklinio duomenų tvarkymo. Reglamentas buvo ideali proga kažką keisti ir atrasti kažką naujo. Dėmesys lėmė gerus pokyčius.
Duomenų apsauga yra svarbi. Dveji metai pagerino situaciją – žmonės daugiau žino apie savo teises, pagrįstai besiskundžiančiųjų skaičius nuosekliai auga. Anksčiau žmonės net nežinodavo, kur kreiptis. Vis tik dar 50 proc. subjektų teigė, kad jų tinkamai neinformavo apie duomenų tvarkymą“, – pasakojo D.Morkūnienė.
Iki šiol baudų verslui dėl BDAR nepaisymo nėra skirta.
„Pirmosios baudos vis tiek turės ateiti. Kada tiksliai – na, tik pas būrėją (sužinotume)“, – juokėsi ji.
Valstybinės duomenų apsaugos inspekcijos direktorius Raimondas Andrijauskas tvirtino, kad verslas, kuris pripažįsta savo klaidas ir yra linkęs jas taisyti, nėra baudžiamas.
„Jeigu situacija pataisoma, mes nesame linkę tiesiog nubausti. Kita kalba yra, kai susiduriame su nebendradarbiaujančiais duomenų tvarkytojais. Žymiai blogiau netvarkyti padėties nei oficialiai pranešti, kad mes kažką padarėme blogiau. Kai nebendradarbiaujama, tokie duomenų valdytojai negali tikėtis nuolaidų“, – sakė jis.
Naujosios duomenų apsaugos taisyklės ES šalyse sukėlė skundų antplūdį
Per aštuonis mėnesius nuo tada, kai įsigaliojo pavyzdinės Europos Sąjungos (ES) duomenų apsaugos nuostatos, bloko šalyse buvo pateikta daugiau kaip 95 tūkst. skundų, parodė Europos Komisijos paskelbti duomenys, rašo BNS.
Reaguojant į šiuos skundus, jau buvo skirtos trys finansinės nuobaudos, įskaitant rekordinę 50 mln. eurų baudą, kurios praėjusį pirmadienį Prancūzijoje sulaukė JAV interneto milžinė „Google“, nes nepakankamai išsamiai informavo vartotojus apie tai, kaip naudojami jų duomenys.
„Google“ pareiškė ketinanti apskųsti šį Prancūzijos sprendimą, kuris buvo priimtas pagal pernai gegužės 25 dieną įsigaliojusį ES bendrąjį duomenų apsaugos reglamentą (BDAR).
„Piliečiai vis labiau suvokia duomenų apsaugos ir savo teisių svarbą“, – pareiškė Komisijos pirmininko pirmasis pavaduotojas Fransas Timmermansas ir kiti pareigūnai.
„Taigi dabar jie naudojasi šiomis teisėmis, ką savo kasdieniame darbe mato nacionalinės duomenų apsaugos institucijos. Jos jau yra gavusios daugiau kaip 95 tūkst. piliečių skundų“, – nurodoma bendrame pareiškime.
„Kalbame ne tik apie mūsų privatumo apsaugą, bet ir apie mūsų demokratijų apsaugą bei mūsų ūkių, kurie yra priklausomi nuo duomenų, tvarumo užtikrinimą.“
Visgi pareigūnai pažymėjo, jog penkios ES valstybės narės dar neperkėlė BDAR į savo nacionalinės teisės aktus.
Šios penkios valstybės yra Bulgarija, Čekija, Portugalija, Slovėnija ir Graikija, naujienų agentūrai AFP pranešė savo tapatybės nenorėjęs atskleisti šaltinis Europos institucijose.
BDAR vykdymą užtikrina nacionalinės duomenų apsaugos agentūros.
ES šį reglamentą yra pavadinusi didžiausia duomenų privatumo taisyklių pertvarka nuo visuotinio žiniatinklio atsiradimo laikų.
Po „Facebook“ duomenų rinkimo skandalų priimtas teisės aktas, pasak ES, nustato naujus duomenų apsaugos standartus.
Pagal pagrindinį reglamente įtvirtintą principą, naudotojai turi duoti aiškų sutikimą naudoti jų asmens duomenis, o vartotojams yra suteikta „teisė žinoti“, kas tvarko jų informaciją ir kam tie duomenys bus naudojami.
Žmonės gali neleisti tvarkyti jų duomenų komerciniais tikslais ir pagal „teisę būti pamirštiems“ netgi pareikalauti juos ištrinti.
Naujų taisyklių poreikis ypač išryškėjo po skandalo, kuris kilo paaiškėjus, kad Jungtinės Karalystės ir JAV politinių konsultacijų bendrovė „Cambridge Analytica" slapta rinko socialinio tinklo „Facebook“ naudotojų duomenis 2016 metų JAV prezidento rinkimų kampanijos tikslais.
