A. Medvedevaitė, G.V. Mickevičiūtė. Skaitmeninių asmens duomenų nuosavybės dilema

Šiandien pasaulis susiduria su industrine revoliucija (Pramonė 4.0), kurios esmė skaitmeniniais duomenimis grindžiamų inovacijų ir žmonių tarpusavio ryšys. Skirtingai nuo praėjusių pramonės revoliucijų, šiųdienės revoliucijos raktinis žodis yra ne mechanizacija, ištekliai ar kompiuteriai, o skaitmeniniai duomenys, kurie kai kurių ekonomikos analitikų yra įvardijami naująja šių laikų nafta (Onik, et al, 2019).  Vis dėlto, atsižvelgiant į didžiųjų duomenų (Big data) ekonomikos keliamas rizikas asmens privatumui ir duomenims, esamas duomenų reguliavimas yra nepakankamas. Įvairūs duomenų vagysčių ir jų galimos prekybos skandalai verčia susimąstyti apie tikrąją duomenų vertę ir galimą žalą ne tik asmens duomenims, bet ir verslui, kuris gali smarkiai nukentėti (ir jau nukenčia) nuo galimų baudų už duomenų apsaugos pažeidimus. Atsižvelgiant į šias problemas, svarbu apibrėžti tinkamą teisinį reglamentavimą, kuris užtikrintų ne tik duomenų subjektų, bet ir duomenų valdytojų / naudotojų teises.

Dabartinis asmens duomenų reguliavimas

Europos Sąjunga (ES) ir valstybės narės deda visas pastangas, jog būtų sukurtas teisinis reguliavimas, užtikrinantis duomenų rinkos stabilumą bei ginantis asmens teisę į duomenis. Štai 2020 m. vasario 19 d. Europos Komisijos paskelbtame Europos duomenų strategijos penkerių metų plane vienas iš keliamų duomenų teisinio reguliavimo pasiūlymų – asmens duomenų nuosavybė. Vis dėlto, diskusijose dėl asmens nuosavybės teisės, kaip galimo teisinio duomenų reguliavimo, kyla daug probleminių aspektų. Vienas jų – kokie asmens duomenys galėtų būti laikomi nuosavybės teisės objektu? Problema ta, jog dėl sparčios technologijų pažangos, duomenys, kurie šiuo momentu nėra asmens duomenys, ateityje gali tokiais tapti. Tai reiškia, jog pasaulyje didėjant visuotinio duomenų srautui, asmens duomenų sąvoka taip pat plečiasi ir, be abejo, su laiku toliau kis. Kai kurie mokslininkai teigia, jog tam tikrais atvejais duomenys gali būti pripažįstami tiek asmeniniais, tiek neasmeniniais duomenimis. Taigi dėl teisinio aiškumo, autorės šiame straipsnyje analizuoja asmens duomenų nuosavybės idėja tik duomenų, kuriuos subjektas pats įkelia į skaitmeninę erdvę apimtyje.

Svarbu akcentuoti tai, kad nuosavybės teisės sąvokos visuotinio apibrėžimo ES teisės aktuose nėra. Nuosavybės teisės sąvoka de jure yra reglamentuojama pagal kiekvienos valstybės narės teisės aktus. Vis dėlto, autorių nuomone, nuosavybės teisė į duomenis visuotinai galėtų būti apibrėžta kaip duomenų savininko teisė į visapusišką kontrolę savo asmeninių duomenų atžvilgiu. Ši teisė turėtų apimti naudojimą, valdymą ir disponavimą duomenimis. Lygiai tokios pačios pozicijos laikosi ir socialinio tinklo Facebook pagrindinis akcininkas Markas Zuckerbergas, kuris JAV kongrese patikino, jog asmenims priklauso visas turinys, kurį jie patys įkelia į Facebook (Youtube video medžiaga, 2018). Kita vertus, tokios išsakytos Marko Zuckerbergo mintys neatitinka esamos situacijos. Juk dabartinis teisinis reguliavimas nenumato realios galimybės vartotojui disponuoti bei tinkamai valdyti savo duomenis, o bene vienintelis dokumentas suteikiantis tam tikrą duomenų apsaugą fiziniams asmenims, kurių duomenys yra patalpinti į elektroninę erdvę yra 2018 m. gegužės 25 d įsigaliojęs Bendrasis duomenų apsaugos reglamentas (BDAR).

BDAR, įtvirtindamas pagrindinius septynis asmens duomenų principus (teisėtumą, sąžiningumą, skaidrumą, tikslo apribojimą, duomenų mažinimą, tikslumą, duomenų saugojimo apribojimą ir vientisumą bei konfidencialumą) įpareigoja duomenų valdytojus aiškiai ir nedviprasmiškai paaiškinti vartotojui, su kokiu duomenų naudojimu pastarieji sutinka. Atitinkamai, duomenų subjektai turi išreikšti aktyvų sutikimą. Nepaisant to, jog vartotojai yra informuojami apie tai, kad jie suteikia teisę duomenų valdytojams naudoti savo asmens duomenis, šių veiksmų neužtenka, jog vartotojas turėtų pilną kontrolę (disponavimą ir valdymą) į savo duomenis. Iš esmės tai reiškia, kad BDAR tikslas yra labiau nukreiptas į privatumo išsaugojimą, tačiau ne į asmens teisę nevaržomai valdyti ir disponuoti duomenimis. Taigi, vienas iš galimų reguliavimų, kuris užtikrintų vartotojo teisę į disponavimą duomenimis ir duomenų naudojimą ir yra būtent nuosavybės teisė. Vis dėlto, duomenys yra specifinis objektas, todėl kyla daug teisinių diskusijų dėl duomenų, kaip nuosavybės teisės objekto.  

Duomenys – nuosavybės teisės objektas?

Daiktinės teisės prasme nuosavybė, tai teisė savo nuožiūra, nepažeidžiant įstatymų ir kitų asmenų teisių ir interesų, valdyti, naudoti nuosavybės teisės objektą ir juo disponuoti. Tai išimtinė asmens teisė į tam tikrą objektą. Minėtame straipsnyje nuosavybės teisės objektas suprantamas kaip daiktai ir kitas turtas. Daiktais yra laikomi iš gamtos pasisavinti arba gamybos procese sukurti materialaus pasaulio dalykai. Galima išskirti keletą įstatyme įtvirtintų daiktui būdingų požymių: i) daiktams būdingas materialumas; ii) daiktas turi būti sukurtas arba pasisavintas iš gamtos (Pakalniškis, 2005, p. 63).  Akivaizdu, jog skaitmeniniai duomenys pagal savo prigimtinę esmę ir dabartinį CK reguliavimą negali atitikti materialumo kriterijaus, tačiau duomenys yra sukurti asmens, todėl atitinka antrąjį kriterijų. Kiekvienas duomuo, kuris yra asmens patalpintas į internetinę erdvę (nuotrauka ar įrašas socialiniuose tinkluose) yra sukurtas konkretaus asmens. Nepaisant to, jog tokie duomenys gali atitikti antrąjį kriterijų, to nepakanka, jog skaitmeniniai duomenys pagal Lietuvos daiktinės teisės sistemą būtų pripažinti daiktais de jure. Vis dėlto, pagal kitų valstybių (Anglija, Prancūzija, Italija, Kanados Kvebeko provincija) daiktinės teisės reguliavimą duomenys yra pripažintini daiktais. Pavyzdžiui, Anglijoje bendrosios teisės tradicijoje yra nusistovėję keturi reikalavimai, kurie turi būti išpildyti, kad tam tikras objektas būtų pripažintas daiktu: i) daikto apibrėžtumas (angl. certainty); ii) išimtinis naudojimas (angl. exclusivity); iii) galimybė kontroliuoti ir iv) galėjimas perleisti tretiesiems asmenims (teisėjo Mummery LJ nuomonė Fairstar byloje, EWCA Civ 886, 2013 m. liepos 19 d.). Iš esmės pirminių vartotojų patalpinti duomenys atitinka visus šiuos kriterijus, kadangi: i) duomenys yra aiškiai apibrėžti; ii) duomenys yra išskirtinai asmeninės duomenų paskyros dispozicijoje; iii) tik pats individas gali nuspręsti, kokiu tikslu duomenys gali būti naudojami; vi) individas taip pat gali perleisti / suteikti prieigą prie tų duomenų tretiesiems asmenims (Jurčys, 2020). Tik nuo valstybių nacionalinės teisės sistemos ir duomenų sąvokos reglamentavimo priklauso, ar duomenys plačiąja prasme gali būti priskiriami teisinei daiktų kategorijai.

Be to, vertėtų nepamiršti ir to, jog ne tik daiktai, bet ir kitas turtas gali būti nuosavybės teisės objektu. Plačiuoju požiūriu turtas yra ne tik daiktai, bet ir turtinės teisės, pareigos bei išimtinės teisės (Taminskas, 2003, p. 226). Autorių nuomone, duomenys galėtų būti priskiriami prie turtinių teisių kategorijos t. y. asmuo gali įgyti bei turėti turtinę teisę į duomenis. Tuo atveju, jei visuotinai (ES jurisdikcijoje) būtų pripažįstama, kad duomenys yra nuosavybės teisės objektas, tai reikštų, kad gali egzistuoti nuosavybės teisė į duomenis. Atitinkamai, duomenų nuosavybės turėtojas įgytų šias klasikines nuosavybės teises: valdyti, naudoti ir disponuoti duomenimis.

Asmens duomenų nuosavybės privalumai

Nuosavybės mechanizmas suteiktų ir žymiai didesnę vartotojų apsaugą, tuo atveju, jei įmonės vartotojų duomenis naudotų ar jais disponuotų nesant išreikštos valios. Taip būtų dėl to, jog nuosavybės teisė yra suprantama kaip erga omnes t. y. suteikianti nuosavybės teisinę apsaugą prieš visus kitus asmenis. Šiuo metu, kai de jure duomenis nepriklauso nuosavybės teise, vartotojas galėtų ginti savo pažeistas teises tik reiškiant ieškinį dėl deliktinės atsakomybės arba remiantis BDAR įtvirtintu reguliavimu.

Įtvirtinus asmens duomenų nuosavybės teisę, vartotojas iš esmės turėtų galimybę ginti savo nuosavybę į asmens duomenis net dviem būdais: i) daiktinių teisinių gynimo būdų; ii) iš prievolinių santykių kylančiais teisių gynimo būdais. Kitaip tariant, priklausomai nuo to, koks teisinis santykis yra tarp vartotojo ir kompanijos, kuri naudoja asmens duomenis, priklausytų teisių gynybos būdas. Pavyzdžiui, tuo atveju, jeigu tarp asmenų susiklostytų sutartiniai santykiai, o minėta sutartis būtų pažeista, asmuo turėtų galimybę remtis sutartinę civilinę atsakomybę reglamentuojančiomis teisės normomis. Iš esmės tai palengvintų ne tik netinkamo duomenų naudojimo fakto įrodinėjimą, tačiau taip pat teisiškai įpareigotų kompaniją laikytis sutartyje numatytų sutartų įsipareigojimų. Kitu atveju, jeigu tarp šalių nebūtų susiklostę sutartiniai santykiai, vartotojas galėtų pasinaudoti daiktinės teisės gynimo būdais, t. y. pareikšti vindikacinį ar negatorinį ieškinį kompanijai. Vis dėlto, svarbu tai, jog tiek vindikacinio, tiek negatorinio ieškinio prigimtis ir paskirtis yra ginti daikto savininko pažeistas teises. CK 4.95 straipsnyje yra numatyta, jog savininkas turi teisę išreikalauti savo daiktą iš svetimo neteisėto valdymo, todėl teoriškai pagal dabartinį CK reglamentavimą duomenų subjektas negalėtų pasinaudoti šiais daiktinės teisės gynybos būdais, kadangi duomenys nėra daiktas. Autorių įsitikinimu, tai prieštarautų sisteminiam daiktinės teisės aiškinimui, kadangi daiktinės teisės normomis yra siekiama suteikti savininkui kuo didesnę apsaugą ir apginti asmens teisę į nuosavybę.

Atitinkamai, jeigu būtų įtvirtinta nuosavybės teisė į duomenis, CK norma, reglamentuojantį vindikacinį ieškinį, turėtų būtų koreguojama. Pavyzdžiui Liuksemburgo civiliniame kodekse yra numatyta, jog savininkas turi teisę išreikalauti ir nematerialųjį turtą (įskaitant duomenų bazes). Tokia pati ar savo esme panaši nuostata galėtų būti inkorporuota ir į Lietuvos daiktinės teisės sistemą, pakeičiant vindikacinio ieškinio institutą ir papildomai nurodant, kad vindikacija galima ir į nematerialų turtą. Tokia pat analogija turėtų būti taikoma ir negatoriniam ieškiniui. Visiškai akivaizdu, jog asmens duomenų nuosavybės teisė suteiktų didesnį apsaugos spektrą asmenims, kurių duomenis kompanijos naudoja netinkamai. Vis dėlto, ar tikrai nuosavybės institutas yra tinkamas reguliavimas asmens duomenims?

Asmens duomenų nuosavybės trūkumai

Tuo atveju, jeigu duomenys subjektams priklausytų nuosavybės teise, būtų visuotinai sutinkama, kad duomenys yra prekė (Oldfield, 2014, p. 54). Tai neabejotinai drastiškai sumažintų privatumo apsaugą, kadangi prireiktų labai daug išteklių, norint užtikrinti efektyvią kontrolę tokioje milžiniškoje duomenų rinkoje. Taip pat, visa iki šiol sukurta teisinė bazė prarastų savo aktualumą (taip pat ir BDAR), kadangi pasikeistų konceptualus suvokimas apie asmens duomenis.

Pagrindinė problema, kodėl dabartinis reguliavimas yra neveiksmingas vartotojų atžvilgiu yra ta, jog vartotojai neturi gilaus suvokimo, kokiu mastu bei kokiems tikslams duomenys yra naudojami (Haupt, 2016, p. 5). Būtent dėl to, vartotojai net nesusimąstydami kiekvieną kartą paspaudžia reikiamas varneles, jog kuo greičiau gautų priėjimą prie reikiamos informacijos ar paslaugos. Daugumai vartotojų yra tinkamas dabartinis mainų modelis – duomenų subjektai gauna teisę naudotis socialiniu tinklu už tai, jog socialiniam tinklui leidžia naudoti savo duomenis (Grothaus, 2018). Dėl šių priežasčių, sunku įsivaizduoti, jog duomenų subjektai bus suinteresuoti atlikti papildomus veiksmus vien tik dėl to, jog galėtų parduoti savo duomenis vos už eurą ar net mažiau. Pagal atliktus tyrimus, duomenų brokeris už vieno asmens duomenis vidutiniškai mokėtų apie 0.5 USD (Steel, et al, 2020). Tad akivaizdu, jog duomenų subjektas prieš milijardines duomenų brokerių kompanijos neturėtų jokios derybinės galios. Visas šis duomenų pirkimo – pardavimo procesas iš esmės sulėtintų vartotojų naudojimąsi skaitmeninėmis paslaugomis. Be to, tai nepakeistų esamos situacijos, jog tokios kompanijos kaip Google, Amazon, Facebook ar Linkedin turėtų perdėtą pranašumą prieš vartotojus (Zuboff, 2019).

Sui generis reguliavimas ir duomenų debesys

Autorių vertinimu, visapusė darna tarp duomenų subjektų ir kompanijų būtų sukurta tik įtvirtinant visiškai naują sui generis asmens duomenų reglamentavimą. Naujasis reguliavimas turėtų suteikti asmenims žymiai didesnę kontrolę duomenų atžvilgiu, nei dabar. Duomenų subjektui turėtų būti suteikiama teisė kontroliuoti kada, kaip ir kokiu mastu vartotojas sutinka perduoti duomenis tretiesiems asmenims (Oldfield, 2014, p. 58).

Tokią kontrolę padėtų pasiekti vadinami duomenų debesys (angl. cloud). Šių duomenų debesų principas yra, jog duomenų subjektas į debesį sukelia visus savo asmeninius duomenis, kuriuos jis sutinka perduoti tretiesiems asmenims (Wang, et al, 2014, p. 13). Taip iš esmės asmuo turi visišką kontrolę savo duomenų atžvilgiu. Duomenų subjektas gali kontroliuoti kokius duomenis jis leidžia naudoti bet kuriam socialiniam tinklui ar kitai skaitmeninei platformai. Be to, duomenų subjektas turi teisę bet kada nevaržomai sumažinti įkeltų duomenų kiekį ir neleisti duomenų naudoti tretiesiems asmenims. Taigi pagrindinis naujojo sui generis reguliavimo tikslas turėtų būti orientuotas į kuo didesnę pirminio vartotojo prieigą prie asmeninių duomenų. Atitinkamai, vien tai, jog duomenys asmenims gali priklausyti nuosavybės teise, tai dar nereiškia, jog šis reguliavimas geriausiai užtikrintų duomenų subjektų interesus ir teises. 

Parengė VU TF penkto kurso privatinės teisės: civilinės ir verslo teisės šakos studentės Akvilė Medvedevaitė ir Gabrielė Velta Mickevičiūtė