Europos duomenų apsaugos diena. Praeitis, dabartis ir ateitis?

Kiekvieną sekundę visame pasaulyje yra apdorojami asmens duomenys – darbo santykiuose, sveikatos sistemoje, bendradarbiaujant su valdžios institucijomis, keliaujant ar tiesiog naršant internete. Kartais žmonės nežino galimos rizikos asmens duomenų apsaugai ar galimybių kaip apginti pažeistas teises.
Atsižvelgiant į didėjantį automatizuotai tvarkomų asmens duomenų srautą ir pripažįstant, kad pageidautina garantuoti kiekvieno žmogaus teises ir pagrindines laisves, o svarbiausia, teisę į privatų gyvenimą, Europos Taryba 1981 m. priėmė Konvenciją Nr. 108 dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu (Konvencija). Šiandien simboliška, nes Konvencijai yra 40 metų. Lietuvos Respublika ratifikavo Konvenciją 2001 m.

Nuo 2007 m. Europos Tarybos iniciatyva sausio 28-oji yra paskelbta Europos duomenų apsaugos diena. Iniciatyvos tikslas yra plėsti Europos piliečių žinias apie asmens duomenų apsaugos problemas, taip pat informuoti piliečius apie jų teises bei atsakomybę. Tiesa, reikėtų pasakyti, kad šiandien Europos duomenų apsaugos diena yra minima visame pasaulyje ir vadinama Privatumo diena už Europos ribų.

Pastarųjų metų duomenų apsaugos statistika 

Neabejotina, kad 2018 m. gegužės 25 d. įsigaliojęs Bendrasis duomenų apsaugos reglamentas (BDAR) yra ypač reikšmingas visiems Europos Sąjungos fiziniams ir juridiniams asmenims. BDAR galima traktuoti kaip asmens duomenų apsaugos teisės reformos Europos Sąjungoje rezultatą, skatinantį duomenų apsaugos teisės globalizaciją bei verslo plėtrą [1]. Nors ir įsigaliojęs BDAR kelia daug klausimų, vis dėlto, turėtume stengtis ieškoti atsakymų į juos. Šį kartą galima pažvelgti į atsakomybės dydžius.

Pirmojo BDAR gimtadienio proga, 2019 m. Europos Komisija paskelbė specialiosios „Eurobarometro“ apklausos dėl duomenų apsaugos rezultatus [2]. Apklausoje dalyvavo 27 tūkst. europiečių. 67 proc. atsakė, kad yra girdėję BDAR; bendras valstybių narių duomenų apsaugos priežiūros institucijų gautų skundų skaičius Europoje siekė 144,376 skundus. Daugiausiai skundų susilaukta buvo dėl šių veiklos sričių: telemarketingo, reklaminių naujienlaiškių siuntimo ir vaizdo stebėjimo.

Artėjant antrajam BDAR gimtadieniui, Lietuvoje už BDAR pažeidimus buvo paskirta pirmoji didžiausia Baltijos šalyse 61,500 eurų bauda [3]. Europoje 2020 m. buvo paskirtos ir kitos daug ženklesnės baudos, pavyzdžiui, Vokietijoje H&M įmonei buvo paskirta 35 mln. eurų bauda [4]. Iki 2021 m. sausio mėn. vidurio iš viso buvo paskirta 272 mln. eurų baudų. Didžiąją dalį šių baudų yra skyrusios Italijos ir Vokietijos duomenų apsaugos priežiūros institucijos [5].

Taigi, įmonės turėtų atsakingai pasižiūrėti į BDAR taikymą. Autoriai teigia, kad iš esmės visos įmonės turėtų pakeisti savo požiūrį iš apibrėžimo, kad „tai yra įmonės duomenys“ į idėją ir požiūrį, jog „šie duomenys priklauso duomenų subjektui ir mes tiesiog nuomojamės“ (Houser ir Voss, 2018) [6]. Tokiu būdu gali pavykti išvengti milijoninių baudų.

Ko tikėtis iš duomenų apsaugos teisės artimiausiu metu?

Visų pirma, oficialu, Jungtinė Karalystė išstojo iš Europos Sąjungos 2020 m. gruodžio 31 d. Taigi, panašu, kad Jungtinė Karalystė taps trečiąja šalimi BDAR taikymo požiūriu. Todėl, duomenų apsaugos teisėje atsiranda dvi naujos sąvokos „ES BDAR“ ir „JK BDAR“. Pagal Europos Sąjungos ir Jungtinės Karalystės prekybos ir bendradarbiavimo susitarimą pradedama taikyti laikinoji nuostata 4 mėnesiams (su galimybę pratęsti dar 2 mėnesiams) dėl asmens duomenų perdavimo Jungtinei Karalystei, kuri vadinama „tiltu“ [7]. Pasibaigus laikinosios nuostatos taikymui, asmens duomenų perdavimas į Jungtinę Karalystę bus vertinamas kaip perdavimas į „trečiąją valstybę“. Taigi, toks asmens duomenų perdavimas turės atitikti specialiuosius BDAR reikalavimus dėl asmens duomenų perdavimo „trečiosioms valstybėms“.

Antra, vystantis technologijoms, natūralu, kad ir asmens duomenų tvarkymas automatiniu būdu toliau plis. Žinoma išliks, o gal netgi ir didės rizika asmens duomenų nutekėjimui, ypač, šių dienų sąlygomis dirbant nuotoliniu būdu. Be jokios abejonės ir toliau daugės ginčų dėl asmens duomenų tvarkymo, duomenų subjektų teisių įgyvendinimo. Įmonės ir toliau turės reguliariai peržiūrėti asmens duomenų apsaugos politikas, atitikti numatytus BDAR reikalavimus įmonės vidaus tvarkoje.

Trečia, anot tyrimo yra tvirtinama, kad iki 2023 m. 65 proc. pasaulio gyventojų asmens duomenis reglamentuos kažkokie šiuolaikiniai asmens duomenų privatumo reglamentai [8]. Taip pat yra pranašaujama, kad nebus nė vienos srities, kurioje nereiks duomenų apsaugos pagrindų, nes visos gyvenimo ir profesinės veiklos sritys priklausys nuo duomenų (Zaleskis, 2019) [9].

Apibendrinant, akivaizdu, kad duomenų apsauga išliks aktuali tiek fiziniams, tiek juridiniams asmenims. Laikantis BDAR numatytų reikalavimų bus galima realizuoti vieningą asmens duomenų rinkimo ir tvarkymo sistemą. Ir tik pakeitę požiūrį į duomenų apsaugą galėsime užtikrinti, kad nebūtų pažeista teisė į privatumą, teisė į asmens duomenų apsaugą. Šis straipsnis yra trumpas įprasminimas Europos duomenų apsaugos dienos proga.

Tekstą parengė Artūras Anisimenka, Vilniaus universiteto Teisės fakulteto IV kurso studentas

 

[1] Zaleskis, J. (2017). ES Bendrasis duomenų apsaugos reglamentas: reikšmė duomenų apsaugos teisei. Teisė, 2017, t. 103.
[2] https://ec.europa.eu/commission/presscorner/detail/lt/IP_19_2956
[3] https://vdai.lrv.lt/lt/naujienos/imones-atsakomybes-neisvengs-lietuvoje-skirta-zenkli-bauda-uz-bendrojo-duomenu-apsaugos-reglamento-pazeidimus
[4] https://www.enforcementtracker.com/?insights
[5] https://www.irishtimes.com/business/technology/gdpr-fines-jump-40-as-eu-regulators-raise-pressure-on-business-1.4462220
[6] Houser, K. and Voss, G. (2018). GDPR: The End of Google and Facebook or a New Paradigm in Data Privacy? Richmond Journal of Law & Technology 25-1, 2018.
[7] https://ico.org.uk/for-organisations/dp-at-the-end-of-the-transition-period/data-protection-now-the-transition-period-has-ended/
[8] https://www.gartner.com/en/newsroom/press-releases/2020-09-14-gartner-says-by-2023–65–of-the-world-s-population-w
[9] Zaleskis, J. (2019). Bendrasis duomenų apsaugos reglamentas ir asmens duomenų apsaugos teisė. Vilnius: Registrų centras, 2019.