P. Jurčys. Mano duomenys, mano sąlygos: asmeninių duomenų naudojimo licencijos

Teise.Pro2020-01-03

5,367

Jūsų vardas ir pavardė. Jūsų namų adresas. Jūsų telefono numeris ir el. pašto adresas. Jūsų banko sąskaitos ir sveikatos draudimo pažymėjimo numeriai. Jūsų demografiniai duomenys (lytis, amžius, šeimyninė padėtis, religiniai ir politiniai įsitikinimai, socialinis statusas ir t.t.). Jūsų asmeniniai pomėgiai. Duomenys apie Jūsų sveikatos būklę. Jūsų atsiskaitymų mokėjimų kortelėmis istorija. Į socialinius tinklus įkeltos Jūsų nuotraukos ir peržiūrėtų Netflix filmų katalogas. Jūsų aplankytų valstybių, miestų, viešbučių ir interneto tinklaviečių istorija.

Visa tai yra Jūsų asmeninė informacija.

Dar prieš gerą dešimtmetį mes turėjome įvairių sąskaitų ir mokėjimų popierines kopijas (pvz., ataskaitas apie santaupas banko sąskaitoje ar kvitus apie atsiskaitymus už komunalines paslaugas). Vis dėlto, per pastaruosius metus situacija žymiai pasikeitė: daugelis sandorių tapo automatizuoti ir sudaromi elektroniniu būdu. Be to, visi šie duomenys yra sukaupti ne Jūsų, o Jums paslaugas teikiančių bendrovių duomenų bazėse.

Ką reiškia ,,turėti” asmeninius duomenis?

Vienas iš svarbiausių klausimų, kurį būtina išsiaiškinti – ką reiškia turėti savo asmeninius duomenis? Pačiu bendriausiu požiūriu, ,,asmeninai duomenys” reiškia informaciją, kuri leidžia atpažinti konkretų asmenį ir nustatyti tam tikrus bruožus apie tą asmenį. Vis dėlto, daugeliu atveju individai šių duomenų apie save neturi – jie dažniausiai kaupiami technologijų priemonėmis paslaugas teikiančių bendrovių.

Technologijų pagalba paslaugas teikiančios bendrovės teisę turėti apie savo vartotojus (ir ne tik) surinktus duomenis pateisina tuo, jog tos bendrovės yra investavusios milijonus dolerių savo verslo modelių vystymui ir įgyvendinimui. Geriausias to pavyzdys – Equifax įmonės vadovo Marko Begoro parodymai JAV Atstovų rūmams, kur jis pasakojo apie Equifax investicijas siekiant kaupti pačius aktualiausius duomenis apie vartotojus.

Vis dėlto, teisiniu požiūriu nėra jokio teisės principo ar teorijos, kuri pateisintų išimtinių nuosavybės teisių turėti asmeninius duomenis suteikimą. Asmeninių duomenų apsaugos teisėje nėra jokio principo, kuris suteiktų išimtinę teisę kontroliuoti, kokie duomenys gali būti naudojami vartotojų rinkoje. Taip pat, nėra jokio teisės principo, kuris pateisintų išimtinių teisių turėti ir naudoti duomenis suteikimą asmenims, kurie turi duomenis padedančias rinkti technologijas.

Ekonominiu požiūriu, tokiu išimtinių teisių suteikimas tam tikriems rinkos dalyviams gali lemti rinkos iškraipymą, kuomet vienas ar keli rinkos dalyviai gali apriboti laisvos konkurencijos rinkoje laisvę, apriboti galimybę kitiems rinkos dalyviams pateikti į rinką ar kurti naujus produktus ar paslaugas vartotojams.

Asmeninių duomenų revoliucijos link: trys pokyčiai

Šiuo metu galima pastebėti tris veiksnius, kurie žymi vykstančius reikšmingus pokyčius asmeninių duomenų naudojimo srityje.

Pirmas reikšmingas pokytis vysta asmeninių duomenų teisinio reglamentavimo srityje. Asmeninių duomenų naudojimą reglamentuojančių teisės aktų priėmimas skirtingose šalyse atspindi įstatymų leidėjų bei plačiosios visuomenės susirūpinimą ir siekį keisti susiformavusią asmeninių duomenų naudojimo praktiką.

Geriausi pavyzdžiai – ES jau daugiau nei metus galiojantis Bendrasis Duomenų Apsaugos Reglamentas ir 2020 m. sausio 1 d. įsigaliojęs Kalifornijos Vartotojų privatumo apsaugos įstatymas (angl. California Consumer Privacy Act, CCPA).

Panašiai, kaip BDAR, naujasis Kalifornijos CCPA įstatymas įtvirtina asmenų teises gauti iš technologijų įmonių informaciją apie sukauptus duomenis apie tikrą vartotoją yra sukaupusios (§ 1798.100) ir reikalauti, kad įmonės ištrintų visus turimus asmeninius duomenis apie vartotoją (§ 1798.105). Vienas iš kertinių CCPA aspektų yra susijęs su vartotojų asmeninių duomenų pardavimu: CCPA numato, kad vartotojai ne tik turi teisę reikalauti, kad bendrovės atskleistų, kokie duomenys apie konkretų vartotoją yra renkami pardavimo ir verslo tikslais (§ 1798.115), bet ir tai, jog vartotojai gali reikalauti, kad jų asmeniniai duomenys ne(be)būtų parduodami (§ 1798.120).

Antras reikšmingas pokytis yra susijęs su tuo, kaip kinta įmonių požiūris į vartotojų duomenų rinkimą ir naudojimą. Paslaugas teikiančios įmonės susiduria su įvairiais sunkumais renkant aktualią informacija apie vartotojus. Technologijų įmonės patiria vis daugiau sąnaudų, susijusių su informacijos apie vartotojus saugojimu bei naujų įstatyminių reikalavimų įgyvendinimu. Be to, įmonės yra priverstos ieškoti alternatyvių būdų gauti informacijai apie vartotojus mat trys duomenų milžinės (Google, Facebook ir Amazon) yra vis mažiau linkusios parduoti turimus asmeninius duomenis apie vartotojus.

Trečia – per pastaruosius keletą metų vis sparčiau vykstanti technologinė pažanga pasiekė tokį brandos lygį, kuriame tapo įmanomi decentralizuoti duomenų valdymo modeliai. Viena iš pagrindinių prielaidų kuriant tokius decentralizuotus duomenų valdymo modelius – tai, jog pats autentiškiausias informacijos šaltinis yra individas (tik Jūs žinote, kas buvo ant Jūsų pusryčių stalo). Technologiniu požiūriu, duomenų apdorojimas tapo įmanomas ne tam tikrose centralizuotose duomenų bazėse, bet ,,arčiau” individų (pvz., kiekvieno asmens turimame prietaise ar asmeninėje paskyroje debesyje).

Tokie decentralizuoti duomenų apdorojimo modeliai sukuria reikšmingas prielaidas informacijos apsikeitimui: paslaugų teikėjams tokia galimybė gauti prieigą prie informacijos, kurią turi konkretus individas, reiškia žymų rizikos naštos sumažėjimą. Kitaip tariant, galėdamos gauti prieigą prie vartotojų asmeninių duomenų tiesiogiai iš vartotojų, paslaugų teikėjams daugiau nebereikės rūpintis pačios aktualiausios informacijos apie vartotojus rinkimu iš trečiųjų asmenų (duomenų brokerių).

Prieiga prie asmeninių duomenų, o ne nuosavybė

Taigi, atsižvelgiant į tai, kokia yra susiformavusi situacija asmeninių duomenų turėjimo ir valdymo kontekste, vietoje ,,nuosavybės” tikslingiau būtų kalbėti apie prieigą prie asmeninių duomenų.

Šiai dienai prieigos prie asmeninių duomenų teisės pirmiausia suponuoja vartotojų teises paslaugas teikiančių bendrovių atžvilgiu. Jau minėta, kad šiuo metu galiojantys BDAR ir CCPA įstatymai suteikia galimybes privatiems asmenims (vartotojams) reikalauti paslaugas teikiančias įmones pateikti informaciją apie tai, kokius asmeninius duomenis apie vartotojus jos yra sukaupusios, skaitmeniniu formatu pateikti vartotojams sukauptų duomenų kopijas, ištrinti visus turimus duomenis ir t.t.

Spartus asmens duomenų valdymo technologijų vystymasis leidžia manyti, jog jau 2020 m. rinkoje pasirodys pirmieji vartotojams skirti produktai kurie leis vartotojams sukurti savo asmeninių duomenų skaitmenines saugyklas (pvz., asmeninėje paskyroje debesyje). Tokios technologijos užtikrins, kad vartotojai turės pačius aktualiausius duomenis apie save ir galės kontroliuoti, kam suteikti prieigą prie savo asmeninių duomenų.

Reikia pažymėti, kad dalis tų asmeninių bus įkelti iš trečiųjų asmenų duomenų bazių (pvz., bankų, kuriuose asmuo turi sąskaitas, transporto paslaugas teikiančių bendrovių, socialinių platformų ir pan.); kitą dalį duomenų galės įkelti ir koreguoti patys individai (pvz., kokie yra asmeniniai poreikiai ir pomėgiai).

Asmeninių duomenų naudojimo licencijos

Įsivaizduokite: turėdami savo asmeninius duomenis tik pačiam individui prieinamame skaitmeniniame duomenų portfelyje, prieigos prie asmeninio duomenų profilio ir to profilio naudojimo sąlygas galės nustatyti patys individai. Kitaip tariant, asmeninių duomenų vartojimo sąlygas diktuos patys individai, o ne paslaugas teikiančios įmonės.

Taigi, kitas logiškai sekantis klausimas yra susijęs su tuo, kokias sąlygas ir kokius leidimus vartotojai bus linkę nustatyti. Prieš keletą mėnesiu publikuotame straipsnyje buvo aptarti vieno tyrimo rezultatai, patvirtinantys, kad paprasti piliečiai labiausiai vertina su savo sveikata, asmenybe ir finansais susijusius duomenis. Taigi, tikėtina, individai prieigą prie savo svarbiausių duomenų individai bus mažiau linkę atskleisti tretiesiems asmenims.

Galima numatyti, kad santykiuose su trečiaisiais asmenimis kiekvienas savo asmeninius duomenis turintis individas turės galimybę nustatyti tokius prieigos prie asmeninio duomenų profilio reikalavimus:

Visiškas/ribotas anonimiškumas: pvz., prisijungiantis prie internetinio žinių portalo skaitytojas gali nuspręsti tinklavietei neatskleisti jokių duomenų apie save. Tai reiškia, kad negalėdama identifikuoti jokių skaitytojo požymių, tinklavietės sistema pateikia skaitytojui tik bendro pobūdžio turinį. Vis dėlto, jei skaitytojas atskleistų apie savo amžiaus grupę ir pomėgius (pvz., 18-25 m. amžiaus mergina besidominti naujienomis apie madas), tinklavietės turinys galėtų būti pritaikytas tos skaitytojos interesams. Taip pat, konkretus individas galėtų apriboti duomenų profilio dalijimosi laiką (pvz., suteikti prieigą tik to konkretaus prisijungimo metu).
Draudimas sekti: suteikdamas prieigą prie savo asmeninių duomenų profilio individas gali nustatyti įpareigojimą, kad paslaugų teikėjas to konkretaus vartotojo nesektų (t.y., nesektų veiksmų prisijungimo metu ar pasibaigus tai konkrečiai paslaugų teikimo sesijai). Toks draudimas gali turėti didelę praktinę reikšmę, nes, kaip žinoma, šiuo metu daugelis interneto tinklaviečių administratorių renka duomenis apie tai, kiek mikro-sekundžių vartotojai praleidžia žiūrėdami tam tikrą turinį ir koks yra turinio vartotojų elgesys skaitmeninėje erdvėje.
Draudimas išsaugoti duomenis: tai reiškia, kad net jei paslaugas teikianti įmonė gautų ribotą prieigą prie konkretaus asmens asmeninių duomenų, paslaugas teikianti įmonė neturi teisės išsaugoti asmens duomenų profilio savo sistemoje.
Draudimas agreguoti duomenis: individai taip pat turės teisę įpareigoti, kad paslaugų teikėjas neagreguotų to konkretaus asmens duomenų profilio kartu su kitų vartotojų duomenimis. Kaip žinoma, paslaugas teikiančios technologijų įmonės didžiausią vertę gauna iš agreguotų asmeninių duomenų apie vartotojus.
Draudimas dalintis: individai taip pat turės galimybę nustatyti reikalavimą, kad paslaugas tam konkrečiam asmeniui teikianti įmonė (net jei jai ir buvo suteikta galimybė susipažinti ir išsaugoti konkretaus asmens asmeninius duomenis) nesidalintų to konkretaus asmens informacija su trečiaisiais asmenimis.
Draudimas parduoti: kaip žinia, daugiausiai diskusijų keliantis klausimas yra tai, kad šiuo metu tokios įmonės kaip Facebook ar Google ne tik renka asmeninius duomenis apie vartotojus, bet ir gauna didelį pelną parduodamos tuos agreguotus vartotojų duomenis kitoms įmonėms. Taigi, galimybė nustatyti draudimą parduoti asmeninius duomenis būtų reikšminga bent jau tais atvejais, kai paslaugas teikianti bendrovė duomenis apie konkretų individą gauna tiesiogiai it to asmens.

Prieigos prie asmeninių duomenų licencijų reikšmė

Šiuo metu esame ant Web 3.0 slenksčio: šiame naujame apsikeitimo informacija pasaulyje internetas taps sumanių sandorių sudarymo vieta. Vienu iš svarbiausių ištekliu taps asmeniniai duomenys. Vis dėlto, Web 3.0 erdvėje asmeniniai duomenys nebus sandorių objektu patys savaime, bet taps viena iš priemonių, padedančių apsikeisti informacija ir ištekliais.

Tikėtina, kad asmens duomenų naudojimo licencijos bus vienas iš sumanių sandorių elementų, padėsiančių asmenims nustatyti asmeninių duomenų naudojimo sąlygas. Tokios asmeninių duomenų naudojimo licencijos bus ex ante pobūdžio, t.y., individai galės iš anksto nustatyti asmeninių duomenų prieigos ir naudojimo sąlygas. Tai suteiks daugiau teisinio tikrumo ir aiškumo. Be to, individai bet kuriuo metu galės keisti duomenų prieigos sąlygas. Decentralizuoti asmeninių duomenų valdymo modeliai turėtų būti vienu iš svarbių veiksnių formuojant paslaugų teikėjų tarpusavio konkurenciją siekiant teikti kuo labiau paslaugų vartotojų interesus ir lūkesčius atitinkančias paslaugas.

Šis pasiūlymas pradėti kurti asmeninių duomenų licencijų sistemą savo prigimtimi kažkuo panašus į prieš keletą dešimtmečių pradėtą kurti kūrybinių bendrijų licencijas (angl. Creative Commons licenses) mat abiem atvejais naudojimo sąlygas nustato teisių turėtojas. Be to, panašiai, kaip ir autorių teisių atveju, asmeninių duomenų panaudojimo licencijomis bus siekiama išspręsti teisiniu reguliavimu ,,iš viršaus” sunkiai išsprendžiamas problemas.

Taigi, apibendrinant, galima tikėtis, kad per ateinančius metus laukia įdomūs posūkiai asmens duomenų technologijų ir šių duomenų teisinio reglamentavimo srityje. Žvelgiant į ateitį, verta plačiau diskutuoti apie egzistuojančių teisinių sąvokų tinkamumą siekiant spręsti teisines, socialines ir ekonomines problemas šioje sparčiai besivystančioje srityje. Asmens duomenų panaudojimo licencijos gali būti viena iš veiksmingiausių priemonių siekiant kurti sąžiningą, pavienių asmenų ir rinkos poreikius atitinkančią ekosistemą.

Paulius Jurčys yra teisės mokslų daktaras ir Harvardo teisės mokyklos CopyrightX kurso apie autorių teisę vienas iš organizatorių

P. Jurčys. Mano duomenys, mano sąlygos: asmeninių duomenų naudojimo licencijos

DELFI. Seimo opozicija kreipėsi į KT: prašo įvertinti VSD pranešėjo komisijos teisėtumą

LRT. Taip gerai dar negyvenome: nuo įstojimo į ES pensijos ir atlyginimai augo penkiskart

DELFI. NSGK pritarė kompromisiniam siūlymui apriboti rusų ir baltarusių keliones į gimtinę

Verslo žinios. JAV Atstovų Rūmai dėl pagalbos Ukrainai ir Izraeliui balsuos šeštadienį

LRT. Kaip atgauti paskolintus pinigus?

2024.04.29. Konferencija “Europos Sąjungos plėtros teisiniai aspektai”

2024.04.16. Diskusija “Tiesos paieškos teismo procese”

2024.05.24. Konferencija ,,Lietuvos Respublika Europos Sąjungoje: dvidešimt patirties, iššūkių ir augimo metų”

2024.04.19. Konferencija „Kriminologijos šiuolaikinės jungtys: mokslas, praktika, kasdienybė“

Susiję