Vieneri metai su Bendruoju duomenų apsaugos reglamentu

Nuo Bendrojo duomenų apsaugos reglamento (BDAR) taikymo pradžios 2018 m. gegužės 25 d. prabėgo metai. Tai buvo didelių pokyčių laikotarpis daugeliui – žmonėms, įmonėms, teisininkams, viešajam sektoriui ir pačiai Valstybinei duomenų apsaugos inspekcijai bei asmens duomenų apsaugos priežiūros institucijoms Europos Sąjungos (ES) valstybėse narėse. Pagrindinis šios sukakties akcentas – naujasis asmens duomenų apsaugos reguliavimas suteikė daugiau galių asmens duomenų apsaugos priežiūros institucijoms, be kita ko, kiekvienos iš jų veikla tapo svarbi peržengiant valstybių sienas, kad padėtų geriau apsaugoti žmonių teises į duomenų apsaugą, apie kurias Europos gyventojai įgyja vis daugiau žinių. Europos Komisijos užsakymu „Eurobarometer“ atlikto tyrimo 27 ES valstybėse duomenimis, apie BDAR žino 67 proc. europiečių. Nuo 2015 m. 20 procentų išaugo europiečių žinios apie tai, kokia institucija galėtų jiems padėti apginti teises į duomenų apsaugą, ir šiuo metu žinančiųjų yra 57 proc.
Lietuvos asmens duomenų apsaugos priežiūros institucijos – Valstybinės duomenų apsaugos inspekcijos – veiklos rodikliai rodo, kad mūsų šalies visuomenė tampa brandesnė, organizacijos skiria vis daugiau dėmesio tinkamam asmens duomenų tvarkymui. BDAR padeda geriau ginti žmogaus teises į asmens duomenų apsaugą, įmonės tapo skaidresnės.
Priežiūros institucija, kuriai BDAR suteikė daugiau asmens duomenų apsaugos srities galių, per šiuos metus skyrė didelį dėmesį patarėjo asmens duomenų apsaugos srityje vaidmeniui. Inspekcija suteikė 8 173 konsultacijas, skaitė pranešimus 84 renginiuose, parengė 298 visuomenės informavimo priemones, metodinę informaciją, rekomendacijas aktualiausiais klausimais: dėl veiklos įrašų, viešajam sektoriui dėl teisės aktų rengimo, smulkiajam ir vidutiniam verslui dėl BDAR taikymo, duomenų saugumo pažeidimų, tinkamų organizacinių ir techninių duomenų saugumo priemonių, duomenų tvarkymo rinkimų metu, vaizdo stebėjimo, Brexit, nepagrįstų skundų, skolininkų duomenų. Inspekcija jau yra (su)derinusi 802 valstybės institucijų parengtus teisės aktų projektus.
Inspekcija vykdė ne tik švietėjišką veiklą, tačiau taikė ir sankcijas, vykdydama priežiūros veiklą. Per vienerių metų laikotarpį gauti 1 205 asmenų skundai. Palyginti su ankstesnių metų rodikliais, gaunamų skundų skaičius padvigubėjo. Daugiausia žmonės skundžiasi dėl vaizdo stebėjimo, duomenų tvarkymo internete, teisės susipažinti su asmens duomenis, skolininkų asmens duomenų tvarkymo, tiesioginės rinkodaros, asmens kodo. Išnagrinėjus asmenų skundus pažeidėjams pateikti 187 nurodymai, 34 papeikimai, skirtos 2 baudos. Inspekcija jau yra gavusi 122 pranešimus apie duomenų saugumo pažeidimus iš pačių organizacijų. Pati savo iniciatyva atliko 37 tyrimus dėl asmens duomenų tvarkymo lojalumo programose, biometrinių, medicinos sektoriuje tvarkomų asmens duomenų. Įvairios organizacijos jau yra pranešusios inspekcijai apie 1 809 paskirtus duomenų apsaugos pareigūnus. Juos paskyrė 960 valstybinių institucijų ir 846 įmonės.
Kiekvienos ES valstybės narės asmens duomenų apsaugos priežiūros institucijos veikla tapo svarbi peržengiant valstybių sienas, nes elektroninėje erdvėje duomenys jas kerta dar lengviau – naudojamės e. bankininkyste, perkame užsienio e. parduotuvėse, naudojamės e. paslaugomis, Lietuvoje veikia daug tarptautinių bendrovių. Dėl šios priežasties žymiai sustiprintas tarptautinis bendradarbiavimas asmens duomenų apsaugos srityje. Praeitą savaitę Lietuvoje skirta pirmoji didelė bauda už asmens duomenų apsaugos reikalavimų pažeidimus – 61,5 tūkst. eurų. Inspekcija sprendimą dėl jos derino ir su Latvijos priežiūros institucija, nes įmonė veikė tarptautiniu mastu. Tai kone pirmas atvejis Europoje, kai skiriant tokią sankciją pritaikytas vadinamasis one-stop-shop mechanizmas.
Tiek Lietuvos, tiek kitų Europos valstybių gyventojai gali jaustis saugesni dėl jų asmens duomenų tvarkymo. Europos duomenų apsaugos valdybos duomenimis, 27 ES valstybėse nuo BDAR taikymo pradžios gauta 144 376 skundai, 89 271 pranešimas apie duomenų saugumo pažeidimus, dėl kurių atlikti tikrinimai bei tyrimai. Šie metai visoms asmens duomenų apsaugos priežiūros institucijoms buvo itin aktyvūs.
Europiniai rodikliai
Europos Komisijos užsakymu „Eurobarometer“ atliko 27 ES valstybių tyrimą dėl Europos gyventojų informuotumo asmens duomenų apsaugos srityje. Apie BDAR žino 67 proc. europiečių. Taip pat nuo 2015 m. 20 procentų išaugo europiečių žinios apie tai, kokia institucija galėtų jiems padėti apginti teises į duomenų apsaugą, ir šiuo metu žinančiųjų – 57 proc.
Kartu su BDAR veiklą pradėjo ir Europos duomenų apsaugos valdyba (EDAV). Tai nepriklausoma Europos institucija, padedanti užtikrinti nuoseklų duomenų apsaugos taisyklių taikymą visoje ES ir skatinanti ES duomenų apsaugos priežiūros institucijų bendradarbiavimą. EDAV sudaro ES valstybių narių nacionalinių duomenų apsaugos priežiūros institucijų atstovai, tarp jų ir Valstybinės duomenų apsaugos inspekcijos. EDAV surinko ir pateikė bendrą 27 ES valstybių statistiką nuo BDAR taikymo pradžios:
• 144 376 skundai;
• 89 271 pranešimai apie duomenų saugumo pažeidimus.
Kas rūpi žmonėms?
Atlikdama tyrimus dėl 1 205 skundų inspekcija pastebi, kad daugiausia žmonės skundžiasi dėl vaizdo stebėjimo, duomenų tvarkymo internete, teisės susipažinti su asmens duomenis, skolininkų asmens duomenų tvarkymo, tiesioginės rinkodaros, asmens kodo. Dėl teisių asmens duomenų apsaugos srityje, 2019 m. labiausiai ginamos teisės susipažinti su duomenimis (47 atvejai) ir teisė nesutikti su duomenų tvarkymu (15).
Nors dažniausiai suprantama, kad BDAR taikomas tik su profesija susijusiam asmens duomenų tvarkymui, daugiau juridiniams asmenims, tačiau BDAR gali būti taikomas ir žmogaus veiklai, pavyzdžiui, dėl vaizdo stebėjimo. Žmogus tik asmeniniams tikslams gali stebėti savo privačią teritoriją, o jei filmuoja nors dalį viešos erdvės – tuomet privalo laikytis visų BDAR reikalavimų. Be to, net ir privačioje nuosavybėje vykdant vaizdo stebėjimą gali būti taikomi BDAR reikalavimai, negali būti filmuojama slapta, jeigu privačiame name ar bute dirba, pvz., auklė, slaugytoja, korepetitorius ir pan. Pastebima, kad Lietuvos gyventojai dažnai nepagrįstai skundžiasi dėl jų, kaip skolininkų asmens duomenų tvarkymo.
Pastebimos pilkosios BDAR zonos
Nors BDAR siekia vienodumo, tačiau kiekviena valstybė narė tam tikrus aspektus galėjo susireglamentuoti skirtingai. Pavyzdžiui, kiekviena valstybė atskirai turėjo parengti ir tik tuomet derinti su EDAV Duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, sąrašą. Taip pat teisinis reglamentavimas gali skirtis tvarkant asmens duomenis teismuose, dėl darbo santykių ar statistikos, mokslinių tyrimų, archyvavimo tikslais.
Vienodumo nėra kalbant ir apie asmens duomenų tvarkymą žurnalistikos tikslais. Pavyzdžiui, Lietuva pritaikė maksimalias išimtis duomenų subjekto teisių įgyvendinimui tvarkant asmens duomenis žurnalistikos tikslais, o kitos valstybės – nebūtinai.
BDAR numato, kad turi būti atsižvelgiama į mažų ir vidutinių įmonių pajėgumus užtikrinti reglamento atitiktį. Nors mes, kaip priežiūros institucija, parengėme tokioms įmonėms ir rekomendacijas, ir nuolatos konsultuojame, tačiau su turimais priežiūros institucijai skirtais žmogiškaisiais ištekliais esame nepajėgūs padėti visiems, išreiškiantiems tokį poreikį.
VDAI 2018 metų veiklos apžvalga
Valstybinės duomenų apsaugos inspekcijos informacija