Komentarai

P. Jurčys. Asmeninių duomenų nuosavybė

Duomenų apsauga ir asmens privatumas šiuo metu susilaukia iš daug dėmesio: koronaviruso metu pradedamos taikyti naujos asmenų sekimo priemonės ir didėjantis privačių organizacijų bei valstybės institucijų siekis rinkti daugiau duomenų apie kiekvieną iš mūsų kelia daug diskusijų tarp politikų, įstatymų leidėjų, vartotojų teisių gynėjų ir plačiosios visuomenės atstovų.

Vienas iš dažnai užduodamų klausimų — kam priklauso asmeniniai duomenys, kurie yra generuojami kiekvieno iš mūsų mobiliuosiuose telefonuose ir išmaniuosiuose prietaisuose? Daugelis iš mūsų tikriausiai be didesnių abejonių sutiktų su nuomone, kad kiekvieną akirmirką generuojami mūsų pačių generuojami duomenys yra kiekvieno iš mūsų asmenininė nuosavybė.

Vyraujantis požiūris: dėmesys prieigai prie duomenų

Vis dėlto, tokia teisė į asmeninių duomenų nuosavybę nėra įtvirtinta nė vienos valstybės teisės aktuose. Be to, tokia teisės į asmeninių duomenų nuosavybę nėra pripažinta ir teisės doktrinoje. Pavyzdžiui, vieno iš įtakingiausių Vokietijos teisės tyrimų centro nuomone, ,,nė vienas teisės principas ar teisinė teorija negali pagrįsti išimtinių nuosavybės teisių suteikimo asmeninių duomenų atžvilgiu.”

Tarp teisės ekspertų vyrauja įsitikinimas, kad vietoj to, jog kalbėtume apie nuosavybės teisę į duomenis, tikslingiau yra galvoti apie prieigą prie duomenų. Panašia pozicija taip pat vadovaujamasi ir nesenai paskelbtoje Europos duomenų strategijoje (European Strategy for Data 2020) ir Europos Baltajame rašte apie dirbtinį intelektą (European White Paper on AI). Dėl to daugelis ES vykdomų programų ir projektų yra susijusios su duomenų perkeliamumu ir duomenų panaudojimu tarp verslo subjektų (įmonių, mokslo ir tyrimų centrų, valdžios institucijų ir t.t.).

Šiuo metu gyvename tokiame amžiuje, kuomet sparčiai vystosi naujos technologijos, pradedančios įtakoti kiekvieną mūsų gyvenimo aspektą. Viena iš tokių sričių — technologijos, kurių pagalba kiekvienas individas įgauna vis daugiau galimybių valdyti duomenis apie save ir kontroliuoti, kaip tie duomenys yra naudojami.

Atsižvelgiant į tai, mano nuomone, būtina pradėti diskusiją apie teisinius aspektus, susijusius su nuosavybės teise į asmeninius duomenis.

Šio straipsnio pagrindinė tezė: kiekvienas fizinis asmuo turi nuosavybės teisę į savo asmeninius duomenis tais atvejais, kai tie duomenys yra kaupiami ir saugojami konkrečiam asmeniui priklausančioje asmeninėje duomenų paskyroje (angl. personal data cloud).

Kitaip tariant, anksčiau vyravusi nuomonė, kad asmeniniai duomenys negali niekam priklausyti nuosavybės teise, nevisiškai atspindi realybę. Tokia vyraujanti pozicija turi būti pakoreguota atsižvelgiant į tai, jog dabar kuriamos technologijos suteikia galimybę fiziniams asmenims (ne tik bendrovėms) turėti savo asmeninių duomenų kopijas asmeniniame duomenų debesyje ir kontroliuoti, kaip tie duomenys naudojami.

Į naudotoją orientuotas duomenų modelis

Šiuo metu kuriamos technologijos paremtos taip vadinamu į vartotojų orientuotu duomenų modeliu (angl. user-centric data model). Pagrindinė šio į vartotoją orientuotą duomenų modelio prielaida yra tai, kad kiekvienas individas turi savo asmeninį duomenų debesį, kuriame nuolat kaupiami ir atnaujinami asmeniniai konkretaus asmens duomenys. Praktiškai galima tai paaiškinti kaip dropbox pobūdžio asmeninę paskyrą, kurioje asmeninius duomenis kaupti ir apdoroti padeda toje paskyroje įdiegta algoritmų programa, apdorojanti ir susisteminanti tuos duomenis į naudotojui suprantamą turinį.

Duomenys į tą asmeninę duomenų paskyrą gali būti įkeliami diem būdais: (a) ,,rankiniu būdu” (t.y., kiekvienas naudotojas pats įkelia savo dokumentų, pvz., vairuotojo pažymėjimo ar paso kopijas) ir (b) automatiškai (t.y., duomenys naudotojo nurodymu renkami iš trečių paslaugas tam vartotojui tiekiančių asmenų). Pastarasis duomenų įkėlimo būdas yra visiškai automatizuotas — jį atlieka programinė įranga (robotas), įdiegta kiekvieno asmens asmeninėje duomenų paskyroje debesyje. Duomenų surinkimas iš trečiųjų paslaugas teikiančių asmenų yra įmanomas, nes BDAR 15(3) straipsnyje įtvirtinta duomenų valdytojų pareiga pateikti kiekvieno asmens, apie kuriuos duomenų valdytojas kaupia duomenis, kopiją.

Tokia teisė gauti savo asmeninių duomenų kopiją būtų praktiškai nereikšminga, jei paprasti individai neturėtų techninių galimybių tuos duomenis kaip nors agreguoti ir panaudoti. Vis dėlto, naujos į vartotojus orientuoto duomenų modeliu paremtos technologijos suteikia galimybę net ir ypatingų technologinių žinių neturintiems asmenims faktiškai valdyti savo asmeninius duomenis ir juos kontroliuoti. Kaip ir bet kurios skaitmeninės paslaugos atveju, prieigą prie savo asmeninės duomenų paskyros turi tik pats individas — ir niekas daugiau.

Į vartotoją orientuotas duomenų modelis yra reikšmingas trimis aspektais. Pirma, teisiniu požiūriu, kiekvienas individas turi galimybę nuspręsti, kaip asmeninėje duomenų paskyroje esantys duomenys yra naudojami, ir kam gali būti suteikiama prieiga prie skirtingų asmeninių duomenų komponentų (pvz., per pastaruosius tris metus įsigytų prekių katalogas).

Antra, bet kuri prekes ar paslaugas teikianti įmonė (t.y., ne tik tokios technologijų gigantės kaip Google, Amazon, Facebook, Apple) tiesiogiai iš kiekvieno kliento gali gauti informaciją apie konkretaus kliento pomėgius ir lūkesčius. Be to, tiesioginio pobūdžio santykiai tarp prekių ir paslaugų teikėjų bei kiekvieno asmens vyksta su aiškiai išreikštu individo sutikimu, ir tik tas individas nusprendžia, kokios apimties duomenys atskleidžiami tretiesiems prekes ar paslaugas teikiantiems asmenims, bei kokiems tikslams tie duomenys gali būti naudojami (įsivaizduokite tai kaip ,,skaitmenius vandens ženklus”).

Trečia, į vartotoją orientuotas duomenų modelis atveria galimybes naujoms rinkoms ir naujiems duomenų panaudojimo būdams. Šioje naujo pobūdžio asmeninių duomenų erdvėje aplikacijos yra atskirtos nuo asmeninių duomenų (priešingai, nei buvo iki šiol, kuomet aplikacijos renka vartotojų duomenis, juos apdoroja debesyje, ir siunčia rezultatus atgal į varotojo prietaisą). Be to, į vartotoją orientuoto duomenų modelio atveju kuriamos naujo pobūdžio asmeninių duomenų panaudojimo galimybės: pvz., aplikacijos, padedančios geriau suprasti turimus duomenis (angl. data widgets) arba asmeninius duomenis ,,aktyvuojančios” aplikacijos (pvz., kokių filmų rekomendacijas galima būtų pateikti apjungus žiūrėtų filmų Netflix, Amazon Prime, Hulu svetainėse ir IMDB filmų katalogą?).

Sekančiose pastraipose panagrinėkime, kokie teisiniai klausimai kyla, norint pripažinti nuosavybės teisę į asmeninėje duomenų paskyroje esančius asmenius duomenis.

Kokie duomenys Jums priklauso?

Vienas iš rimčiausių iššūkių, su kuriuo susidūrė teisininkai nagrinėjantys nuosavybės teisės į duomenis klausimą, yra susijęs su konkrečiu duomenų apribrėžimu. Kokie duomenys galėtų priklausyti nuosavybės teise? Ką reiškia ,,asmeniniai duomenys“? Kokie duomenys yra ,,asmeniniai”, o kokie duomenys gali būti laikomi technologijų bendrovių, kurios renka duomenis apie paslaugomis besinaudojančių asmenų elgesį? Dar viena praktikoje reikšminga problema yra susijusi su ta aplinkybe, jog asmeniniai duomenys apie vartotojus yra saugomi paslaugas teikiančių bendrovių serveriuose.

(a) Faktinis duomenų apibrėžtumas

Į vartotoją orientuotu duomenų modeliu pagrįstos technologijos verčia į šį klausimą pažvelgti pragmatiškai: kai tik duomenys patenka į individo asmeninę duomenų paskyrą, tie duomenys tampa išskirtinai individo (ne Google ir ne Facebook) kontrolėje. Daiktinės teisės prasme, galime sakyti, kad individas pradeda faktiškai valdyti asmeninėje duomenų paskyroje esančius duomenis.

Nors duomenys asmeninėje duomenų paskyroje yra skaitmeninio pavidalo, jų surinkimas į vieną konkrečiai apibrėžtą vietą padeda griežtai apibrėžti duomenų apimtį.

(b) Skirtingos duomenų kategorijos

Individui asmenine nuosavybės teise priklauso visi asmeninėje duomenų paskyroje esantys duomenys. Kaip jau minėta, tą akimirką, kai duomenys įkeliami į asmeninę duomenų paskyrą, die yra iškart apdorojami ir ,,normalizuojami” pagal iš anksto nustatytas kategorijas.

Daiktinės teisės prasme, į asmeninę duomenų paskyrą surinkti ir apdoroti duomenys tampa tarsi nauju daiktu — tarsi iš aukso grynuolio ir paskirų brangakmenių padarytas žiedas su brangakmeniais. Tokie duomenys turi unikalią struktūrą ir turinį.

Iki šiol teisės mokslininkai nesugebėjo aiškiai apibrėžti ką reiškia ,,asmeniniai duomenys”. Į vartotoją orientuotas duomenų modelis yra reikšmingas, nes jis padeda išspręsti duomenų apibrėžimo problemą. Išsamiau panagrinėjus, kokius duomenis skaitmenines paslaugas teikiančios bendrovės renka apie vartotojus, galima išskirti keturias asmeninių duomenų kategorijas (lygmenius):

  • Pačių vartotojų įvesti duomenys (angl. input data),
  • Metaduomenys,
  • Stebimi duomenys (angl. observable and observed data),
  • Išvestiniai duomenys (angl. derived data).

Šias duomenų kategorijas galima paprasčiau iliustruoti pateikiant visiems žinomą Instagram pavyzdį. Kai vartotojas įkelia nuotrauką į savo Instagram paskyrą, Instagram generuoja keturias duomenų kategorijas:

  1. Visa informacija, kurią pateikia vartotojas (pvz., nuotrauka, su komentarai, ,,#” pažymėti raktažodžiai, ir t.t.),
  2. Nuotraukos metaduomenys (pvz., GPS duomenys, kurie yra susieti su nuotrauka, kameros specifikacijos, rezoliucija, ir kita informacija, susijusi su ta nuotrauka),
  3. Stebimi duomenys: t.y., duomenys apie tai, kaip nuotrauka yra naudojama Instagram platformoje. Šiuo atveju įdomu yra tai, jog šių duomenų tiesiogiai negeneruoja nei pats nuotrauką įkėlęs asmuo, nei Instagram. Taip pat stebimų duomenų atveju akivaizdu, kad nuotrauką įkėlęs asmuo faktinės prieigos prie tokių duomenų neturi,
  4. Išvestiniai duomenys, kuriuos Instagram generuoja aukščiau minėtų trijų kategorijų pagrindu apie tą konkretų vartotoją (pvz., vartotojo elgesys, lūkesčiai ir šimtai kitų įžvalgų kategorijų). Kaip ir stebimų duomenų atveju, nuotrauką įkėlęs asmuo faktinės prieigos prie tokių duomenų neturi.

Šiuo metu, technologijų gigantės yra išsikovojusios visuotinį pritarimą, kad jų renkami duomenys priklauso išskirtinai joms (ypač kai kalba eina apie stebimus ir išvestinius duomenis) ir kad tie duomenys  yra jų komercinė nuosavybė bei komercinė paslaptis. Tokia pati logika turi galioti ir duomenų, kuriuos individai yra sukaupę savo asmeninėse duomenų paskyrose, atžvilgiu.

Kokias teises turi duomenų savininkas?

Kitas sudėtingas klausimas, verčiantis teisės mokslininkus suraukti kaktą, yra susijęs su duomenų turėtojo/savininko turimomis teisėmis. Iki šiol publikuotoje literatūroje daugiausia dėmesio buvo skiriama siekiant išsiaiškinti, koks teisinis režimas turėtų būti taikomas duomenims: tarp dažniausiai nagrinėtų režimų buvo autorių teisė, komercinių paslapčių teisė, duomenų bazių teisė, taip pat sui generis teisinio režimo duomenims sukūrimas. Visiems suprantama, kad nė vienas iš šių teisinių režimų netinka asmeninių duomenų nuosavybės klausimams spręsti.

Be to, reikia priminti, kad iki šiol atliktuose moksliniuose tyrimuose ir mokslinėse publikacijose nebuvo atsižvelgiama į tai, kad atsiranda į vartotojus orientuotas duomenų modelis ir technologijos suteikiančios galimybę kiekvienam individui faktiškai turėti asmeninius duomenis ir kontroliuoti jų panaudojimo būdus.

Taigi verta kelti klausimą, ar bendrieji daiktinės teisės principai negalėtų būti taikomi asmeninėje duomenų paskyroje esančių asmeninių duomenų atžvilgiu. (Pažymėtina, kad čia nekalbama apie duomenis, kurie nėra įkelti į asmeninę duomenų paskyrą).

Kiekviena valstybė turi savo istoriją, socialinę struktūrą ir teisines tradicijas. Kiekvienos valstybės daiktinės teisės systemos yra unikalios ir skirtingos. Taigi, kiekvienos valstybės daiktinėje teisės sistemoje gali būti nusistovėję tam tikri kriterijai, kuriais vadovaujantis tam tikras objektas gali būti pripažintas daiktu daiktinės teisės prasme.

Pavyzdžiui, Anglijos bendrosios teisės tradicijoje yra nusistovėję keturi reikalavimai, kurie turi būti išpildyti, kad tam tikras objektas būtų pripažintas daiktu: (a) daikto apibrėžtumas (angl. certainty), (b) išimtinis naudojimas (angl. exclusivity), (c) galimybė kontroliuoti ir (d) galėjimas perleisti tretiesiems asmenims (žr. teisėjo Mummery LJ nuomonė Fairstar byloje, [2013] EWCA Civ 886 (2013 m. liepos 19 d.)).

Asmeninėje duomenų paskyroje kaupiami duomenys atitinka visus šiuos keturis kriterijus: (a) kaip jau minėta, asmeniniai duomenys yra aiškiai apibrėžti — t.y., visi asmeninėje duomenų paskyroje esantys duomenys, (b) duomenys yra išskirtinai asmeninės duomenų paskyros dispozicijoje, (c) tik individas gali nuspręsti, kaip tie duomenys gali būti naudojami, (d) individas taip pat gali perleisti/suteikti prieigą prie tų duomenų tretiesiems asmenims (plačiau apie tai  čia).

Sutikus su ta pozicija, kad individas turi nuosavybės teisę į savo asmeninėje duomenų paskyroje esančius asmeninius duomenis, reiškia pripažinti, kad individas turi šias keturias klasikines nuosavybės teisės: teisę valdyti, naudoti, disponuoti savo duomenimis bei gauti vaisius (naudą) iš tų duomenų.

Asmeninių duomenų nuosavybė — akivaizdus  dalykas

Argumentas, kad kiekvienas individas turi teisę į savo asmeninius duomenys yra savaime suprantamas. Tikriausiai kiekvienas iš mūsų su juo sutinktų.

Tuo tarpu moralinis-filosofinis teiginys, kad neva duomenys yra neatsiejamai susiję su kiekvienu asmeniu, būtų praštiškai nereikšmingas, jei individai neturėtų konkrečių priemonių kontroliuoti savo asmeninių duomenų. Laimei, technologijos vystosi sparčiai.

Ši pozicija, kad kiekvienam individui priklauso asmeninėje duomenų paskyroje esantys duomenys, nėra nei naujas, nei šokiruojantis. Kaip minėta, technologijų banginiai (Google, Amazon, Facebook, ir Apple) jau yra pasiekę, kad jų renkami duomenys būtų pripažįstami tų įmonių išimtine nuosavybe. Taigi, vadovaujantis tokia logika, turėtų būti paprasta pripažinti nuosavybės teises į pačių individų surinktus ir generuojamus asmeninius duomenis.

Negana to, nuosavybės teisių į duomenis pripažinimas nereiškia, kad būtina drastiška nusistovėjusių teisės doktrinų ir daiktinės teisės reforma. Duomenys, savaime suprantama, yra ganėtinai nauja kategorija daiktinės teisės kontekste. Vis dėlto, jiems turėtų galioti bent jau bendrieji daiktinės teisės principai.

Asmens duomenų nuosavybės praktinė reikšmė

Nuosavybės teisių į asmeninius duomenis pripažinimas turi nepaprastai reikšmingą socialinę, teisinę, ekonominę ir technologinę reikšmę.

Pirma, į individą orientuotas duomenų modelis turi didelių pranašumų technologine prasme: tokie asmeninėje duomenų paskyroje sukaupti duomenys atspindi pačią tiklsiausią ir aktualiausią informaciją apie individą. Nė viena kita organizacija ar įmonė negali turėti tikslesnių  duomenų apie individą nei pats individas.

Antra, nuosavybės teisių į asmeninius duomenis pripažinimas suteiktų daugiau teisinio tikrumo ir išspręstų nepaprastai daug praktinių problemų. Į individą orientuotas duomenų modelis padeda užtikrinti, kad duomenys apie asmenį yra naudojami su to asmens išankstiniu ir aiškiu sutikimu apie tai, kaip duomenys gali būti naudojami. Negana to, į individą orientuotas duomenų modelis leidžia įmonėms įgyvendinti duomenų kiekio mažinimo reikalavimą (BDAR 5(3) str.)

Trečia, į individą orientuotas duomenų modelis sukuria naujas galimybes verslui teikti aktualiausias ir naujo pobūdžio paslaugas klientams. Be to, į individą orientuotas duomenų modelis verslo subjektams leidžia sumažinti su duomenų valdymu susijusią naštą: kadangi vartotojų asmeniniai duomenys saugomi atskirose asmeninių duomenų paskyrose, sumažėja tikimybė, kad tokie duomenys taps programišių atakos objektu.

Ketvirta, į individą orientuotas duomenų modelis yra naudingas visuomenei. Suteikiant konkrečias priemones individams kontroliuoti, kaip naudojami jų duomenys, skatina geresnį supratimą apie ilgalaikę duomenų vertę. Be to, tikėtina, kad naujos duomenų valdymo priemonės padarys apsikeitimą duomenimis su skaitmenines paslaugas teikiančiomis bendrovėmis teisingomis ir lygiavertėmis, nes duomenų panaudojimo sąlygas galės nustatyti patys individai, o ne skaitmeninėje erdvėje veikiantys paslaugų teikėjai.

P.S. Galimybės Lietuvai

Naujos technolgijos duomenų panaudojimo srityje atverias neribotas galimybes verslo subjektams kuriant į vartotoją orientuoto modelio pagrindu kuriamas technologijas. Tai atveria galimybę sverbtis į pasaulinę rinką. Be to, Lietuvos valdžios ir mokslo organizacijos gali (ir privalo) tyrinėti naujas duomenų panaudojimo galimybes, kuriant technologinius, teisinius ir etinius standartus rinkos dalyviams. Būtų nuostabu, jei Lietuva imtų griežti pirmuoju smuiku tarptautinėje arenoje diskusijose apie duomenų panaudojimą, siektų įsitvirtinti kaip lyderė šioje daug žadančioje srityje.

Dr. Paulius Jurčys yra bendrovės Prifina steigėjas ir vienas iš Harvardo teisės mokyklos CopyrightX kurso apie autorių teisę iš organizatorių.

Back to top button