G. Strikaitė – Latušinskaja. Asmens duomenų tvarkymo teisėtumas: sutikimas

Teise.Pro2021-04-14

1,714

Duomenų tvarkymas suvokiamas kaip bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip antai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas. Ši samprata apima kone viską, ką galima daryti su asmens duomenimis. Tiesą sakant, sunku būtų rasti pavyzdį, ką galima būtų daryti su asmens duomenimis, ko neapimtų šis apibrėžimas.

Prieš keletą dešimtmečių susiklostė situacija, kai įmonės asmens duomenų naudojimą monetizavimo tikslais laikė įprasta verslo modelio praktika. Duomenų subjektams nebuvo pranešama apie tokį jų asmens duomenų naudojimą, ką jau ir kalbėti apie leidimo naudoti tokius duomenis gavimą. Asmens duomenys buvo aktyviai renkami, pavyzdžiui, mainais į naujienų pranešimus ar personalizuotų reklamų pateikimą. Ko gero, ir patys esate susidūrę su miglotu pranešimu „Jūsų duomenis naudojame tam, kad geriau pritaikytume skelbimus jūsų poreikiams“, tačiau ar kas susimąstė, jog galbūt duomenų subjekto poreikis yra negauti reklamų visai? Taigi daugeliu atveju asmens duomenys buvo renkami siekiant juos monetizuoti, tačiau paprastai to nepakanka teisėtam duomenų tvarkymo pagrindui konstatuoti. Bendrasis duomenų apsaugos reglamentas 2016/679 (toliau – ir BDAR) pakeitė šią nusistovėjusią praktiką – jo nuostatomis yra siekiama grąžinti duomenų subjektams teisę kontroliuoti, kaip yra tvarkomi jų asmens duomenys.

BDAR 6 straipsnio 1 dalyje įtvirtinta, kokiais atvejais duomenų tvarkymas yra laikomas teisėtu:

a) esant atitinkamų asmenų sutikimui;

b) esant sutartinei prievolei (kai duomenis tvarkyti yra būtina siekiant įvykdyti sutartį);

c) vykdant teisinę prievolę;

d) siekiant apsaugoti gyvybinius interesus;

e) tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui;

f) tvarkyti duomenis būtina siekiant teisėtų interesų, išskyrus atvejus, kai tokie duomenų subjekto interesai arba pagrindinės teisės ir laisvės, dėl kurių būtina užtikrinti asmens duomenų apsaugą, yra už juos viršesni.

Pastebėtina, jog visais teisėto asmens duomenų tvarkymo atvejais (išskyrus esant duomenų subjekto sutikimui) reikalinga įrodyti, jog toks asmens duomenų tvarkymas yra būtinas. Jei tikslą galima pasiekti ir netvarkant asmens duomenų, jo reikėtų siekti kitu teisėtu būdu.

Ko gero, plačiausiai naudojamas pirmasis teisėto duomenų tvarkymo pagrindas – sutikimas – dažnai yra paskutinė išeitis ar „gelbėjimosi ratas“ tuo atveju, jei negali būti įrodyta, jog egzistuoja kitas teisėto asmens duomenų tvarkymo pagrindas. Duomenų tvarkymas pats savaime, suprantama, negali būti laikomas pakankamu teisėtu pagrindu. Todėl ne veltui tinkamą sutikimą suponuoja daugybė sąlygų, kurias jis turi atitikti.

Duomenų subjekto sutikimas – tai bet koks laisva valia duotas, konkretus ir nedviprasmiškas tinkamai informuoto duomenų subjekto valios išreiškimas pareiškimu arba vienareikšmiais veiksmais kuriais jis sutinka, kad būtų tvarkomi su juo susiję asmens duomenys (BDAR 4 str. 11 p.).

Žemiau pateikiamos sąlygos, kurias turi atitikti toks sutikimas:

1. Sutikimas kaip teisinis asmens duomenų tvarkymo pagrindas turi būti duotas laisva valia, konkretus ir nedviprasmiškas tinkamai informuoto duomenų subjekto valios išreiškimas. Iš esmės, duomenų subjekto sutikimas turi atspindėti laisvos valios nulemtą tyčinį pasirinkimą jį išreikšti.

2. Duomenų subjektas turi turėti teisę bet kada atšaukti sutikimą.

3. Prašymai duoti sutikimą turi būti pateikti aiškia bei suprantama kalba ir lengvai prieinama forma, sutikimas tekste turi būti aiškiai atskirtas nuo kitų klausimų.

Sutikimas duomenų apsaugos įstatymų kontekste galios tik tokiu atveju, jei bus įvykdyti visi šie reikalavimai.

Asmens duomenų tvarkymo sutikimo pagrindu įdomus aspektas yra sutikimo forma. Sutikimas gali būti duodamas žodžiu arba raštu. Pastarasis gali būti atliekamas pasitelkiant elektronines priemones. Kyla klausimas, ar varnelės pažymėjimas yra tinkama forma išreikštas sutikimas, kad jo pagrindu asmens duomenų tvarkymas būtų pripažintas teisėtu? O kaip vertinama situacija, kai varnelę iš anksto pažymi duomenų tvarkytojas?

2020 m. vasario 19 d. LVAT administracinėje byloje Nr. eA-2402-629/2020 nusprendė, kad Informacinės visuomenės plėtros komitetas prie Susisiekimo ministerijos savo veiksmais – konkrečiai, elektroniniu paštu fiziniam asmeniui siųsdama pranešimą, kuriuo buvo siūloma naudotis Nacionaline elektroninių pranešimų ir elektroninių dokumentų pristatymo fiziniams ir juridiniams asmenims, naudojant pašto tinklą, informacine sistema – vykdė tiesioginę rinkodarą.

Minėtu atveju Informacinės visuomenės plėtros komiteto prie Susisiekimo ministerijos veiksmus pripažinus tiesioginės rinkodaros vykdymu, teismas nustatinėjo, ar tokie veiksmai buvo padaryti pažeidžiant tokiai veiklai taikomus reikalavimus. Byloje nustatyta, jog tiesioginė rinkodara elektroniniu paštu gali būti vykdoma tik gavus išankstinį abonento ar registruoto elektroninių ryšių paslaugų naudotojo sutikimą, o asmuo, kuris teikdamas paslaugas ar parduodamas prekes įstatymų nustatyta tvarka ir sąlygomis gauna iš savo klientų elektroninio pašto kontaktinius duomenis, gali naudoti šiuos kontaktinius duomenis savo paties panašių prekių ar paslaugų rinkodarai, jei klientams yra suteikiama aiški, nemokama ir lengvai įgyvendinama galimybė nesutikti arba atsisakyti tokio kontaktinių duomenų naudojimo, kai šie duomenys yra renkami ir, jei klientas iš pradžių neprieštaravo dėl tokio duomenų naudojimo, siunčiant kiekvieną žinutę. Analizuojamoje byloje, asmuo, kuriam elektroniniu paštu buvo išsiųstas pranešimas, užsiregistruodamas portale www.epaslaugos.lt, pažymėjo varnelę sutikdamas gauti pranešimus elektroniniu paštu. Ši byla svarbi tuo, jog nors Informacinės visuomenės plėtros komitetas prie Susisiekimo ministerijos savo veiksmais vykdė tiesioginę rinkodarą, identifikavus, jog buvo tinkamai gautas duomenų subjekto sutikimas, toks duomenų tvarkymas yra laikomas teisėtu.

Šios bylos kontekste verta paminėti 2020 m. lapkričio 11 d. Europos Sąjungos Teisingumo Teismo (ESTT) sprendimą byloje Nr. C‑61/19 Orange România SA prieš Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (toliau – ir ANSPDCP). Orange România Rumunijos rinkoje teikia judriojo ryšio paslaugas. 2018 m. kovo 28 d. sprendimu ANSPDCP skyrė bendrovei Orange România baudą už tai, kad ši saugojo savo klientų asmens tapatybės dokumentų kopijas, neįrodžiusi, kad šie klientai davė galiojantį sutikimą, ir įpareigojo ją sunaikinti šias kopijas. Tame sprendime ANSPDCP pažymėjo, kad laikotarpiu nuo 2018 m. kovo 1 d. iki kovo 26 d. Orange România raštu sudarė judriojo ryšio paslaugų teikimo sutarčių su fiziniais asmenimis ir kad jų asmens tapatybės dokumentų kopijos buvo pridėtos prie šių sutarčių. Kaip nurodė ANSPDCP, ši įmonė nepateikė įrodymų, kad jos klientai, prie kurių sutarčių buvo pridėtos jų asmens tapatybės dokumentų kopijos, davė galiojantį sutikimą rinkti ir saugoti tas dokumentų kopijas, o duomenų valdytojas (Orange România) pažymėjo langelį, susijusį su šia sąlyga, prieš pasirašant sutartis.

Analizuojamoje byloje ESTT nusprendė, jog duomenų subjektas turi būti nedviprasmiškai davęs sutikimą, o sąvoka sutikimas apibrėžiama kaip reiškianti bet kurį savanoriškai ir žinomai duotą konkretų duomenų subjekto pareiškimą, kuriuo duomenų subjektas nurodo savo sutikimą, kad būtų tvarkomi su juo susiję duomenys. Atitinkamai, kadangi šiose nuostatose numatyta, kad duomenų subjektas pareiškia valią tam, kad nedviprasmiškai duotų savo sutikimą, gali būti atsižvelgiama tik į aktyvų šio subjekto elgesį siekiant pareikšti savo sutikimą (apie tai plačiau žr. itin svarbiame duomenų apsaugos teisei 2019 m. spalio 1 d. sprendime Planet49, bylos Nr. C‑673/17). Teismas pažymėjo, jog nors sutikimas galėtų būti išreikštas, be kita ko, pažymint langelį interneto svetainėje, vis dėlto joje aiškiai atmetama galimybė sutikimą duoti tyla, iš anksto pažymėtais langeliais arba neveikimu.

Kita įdomi byla asmens duomenų apsaugos srityje, kurią LVAT išnagrinėjo 2020 m. liepos 8 d. (bylos Nr. Nr. eA-2837-968/2020), yra susijusi su kraujo donorų asmeninių duomenų tvarkymu, kai asmuo sutikimą duoda vienkartinei kraujo davimo procedūrai atlikti. Byloje skundžiamą sprendimą Valstybinė duomenų apsaugos inspekcija priėmė išnagrinėjusi asmens prašymą dėl to, kad VšĮ „Nacionalinis kraujo centras“ be minėto asmens sutikimo panaudojęs šio asmens kontaktinius duomenis (telefono numerį) jam išsiuntė SMS žinutę, kviečiančią kraujo davimo procedūrai atlikti. Asmuo pasirašydamas Centro pateiktą Donoro (-ės) sutikimo / nesutikimo duoti kraujo formą, nebuvo sutikęs su jo telefono ryšio numerio tvarkymu tikslu informuoti apie kraujo trūkumą ir kviesti jį duoti kraujo. Tuo metu šis asmuo buvo informuotas apie vienkartinę kraujo davimo procedūrą, duoto kraujo apdorojimą bei supažindintas su būtinybe imtis visų priemonių, kurios gali kiltis esant nenumatytoms aplinkybėms ar nepageidaujamoms reakcijoms. Kitokio turinio sutikimo, susijusio su asmens duomenų tvarkymu, asmuo Centrui nėra teikęs. Šioje byloje LVAT konstatavo, jog asmens sutikimas duoti kraują nesudaro pagrindo išvadai, kad jam duodant šį sutikimą buvo arba turėjo būti aišku (t. y. kad šis duomenų subjektas buvo informuotas ir galėjo suprasti), jog šie duomenys bus naudojami tokiu būdu, kokiu jie buvo panaudoti, t. y. asmeninėms SMS žinutėms, skatinančioms duoti, kraujo siuntinėjimui. Atsižvelgdamas į tai, teismas padarė išvadą, jog pareiškėjas nebuvo sutikęs su jo telefono ryšio numerio tvarkymu tikslu informuoti apie kraujo trūkumą ir kviesti jį duoti kraujo. Vadinasi, kai asmens duomenys yra tvarkomi keliems tikslams įgyvendinti, kad kiekvienas jų būtų pripažintas teisėtu sutikimų pagrindu, tokie sutikimai turi būti gaunami kiekvienam iš tikslų.

Kad asmens duomenų tvarkymas būtų pripažintas teisėtu gautu duomenų subjekto sutikimo pagrindu, toks sutikimas turi būti duotas laisva valia, konkretus ir nedviprasmiškas, duomenų subjektas turi būti tinkamai informuotas ir turėti teisę bet kada atšaukti tokį sutikimą, o prašymas duoti sutikimą turi būti pateiktas aiškia bei suprantama kalba ir lengvai prieinama forma. Sutikimas nėra tinkamas pagrindas, kai jis gautas iš neveikimo, iš anksto pažymėtų langelių, iš anksto užpildytų formų ar pažymėtų varnelių, o kiekvienam savarankiškam asmens duomenų tvarkymo tikslui turi būti gaunamas atskiras duomenų subjekto sutikimas.

Goda Strikaitė-Latušinskaja yra Vilniaus universiteto Teisės fakulteto Viešosios teisės katedros doktorantė

G. Strikaitė – Latušinskaja. Asmens duomenų tvarkymo teisėtumas: sutikimas

LRT. Kai valdžia nori valdyti visuomenę per žiniasklaidą – naujos ES taisyklės gins jos laisvę

DELFI. Dalyvauti gegužę vyksiančiame referendume registravosi beveik 50 tūkst. užsienio lietuvių

Tv3. Europos Parlamentas sustiprino kovą su pinigų plovimu

Verslo žinios. Ukraina nutraukia pasų išdavimą užsienyje gyvenantiems šaukiamojo amžiaus vyrams

LRT. Konstitucinis Teismas skelbs sprendimą Seimo nario Žemaitaičio apkaltos byloje

2024.05.03. Diskusija „Mirties bausmės panaikinimas: Lietuvos europietiškumo testas kelyje į Europos Sąjungą“

2024.04.29. Konferencija “Europos Sąjungos plėtros teisiniai aspektai”

2024.04.16. Diskusija “Tiesos paieškos teismo procese”

2024.05.24. Konferencija ,,Lietuvos Respublika Europos Sąjungoje: dvidešimt patirties, iššūkių ir augimo metų”

2024.04.19. Konferencija „Kriminologijos šiuolaikinės jungtys: mokslas, praktika, kasdienybė“

Susiję