2016 m. balandžio 27 d. buvo priimtas Europos Parlamento ir Tarybos reglamentas 2016/679 „Dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo“ (toliau – BDAR), įtvirtinantis naują asmens duomenų tvarkymo reglamentavimą. BDAR pradedamas taikyti Europos Sąjungos narių teritorijoje jau 2018 m. gegužės mėn. 25 d. Ne išimtis yra ir Lietuva.
Iki to laiko Lietuvos įmonės, įstaigos ir organizacijos, privatūs ir viešieji asmenys, tvarkantys asmens duomenis, turi būti pasiruošę atitikti visus BDAR keliamus reikalavimus, turėti išsamių žinių apie asmens duomenų tvarkymą, duomenų subjektų teises bei už jų pažeidimus gresiančią atsakomybę. Minėti subjektai turi būti parengę vidaus taisykles, būti adaptavę savo infrastruktūrą bei technologijas tam, kad galėtų efektyviai tvarkyti asmens duomenis bei atsiskaityti už tokį tvarkymą kontroliuojančiai institucijai, paskirti duomenų apsaugos pareigūną (jei reikia), sugebėti atlikti poveikio asmens duomenų tvarkymui vertinimą, paruošti duomenų tvarkymo veiklos įrašus ir atitikti kitus BDAR keliamus reikalavimus.
Šiuo metu naujas asmens duomenų apsaugos reglamentavimas yra viena aktualiausių temų Lietuvos Respublikoje ne tik tarp teisininkų, bet ir daugumos įmonių, įstaigų, organizacijų, besiverčiančių verslu, todėl yra aktualu aptarti pagrindines BDAR nuostatas, liečiančias esminius asmens duomenų apsaugos aspektus.
BDAR reglamentuoja didelį kiekį su asmens duomenų tvarkymu susijusių klausimų, pradedant asmens duomenų tvarkymo principais ir baigiant valstybine bei Europos Sąjungos kontrole, todėl apie naują duomenų apsaugos reformą bus kalbama dalimis, suskirsčius į atskiras potemes.
BDAR priėmimo priežastys
Prieš pradedant kalbėti apie asmens duomenų apsaugos reglamentavimą bei aptarinėti konkrečias normas, vertėtų trumpai aptarti BDAR priėmimo priežastis bei motyvus. Taigi, BDAR priėmimui įtakos turėjo:
• ekonominė ir socialinė integracija, dėl kurios išaugo tarpvalstybinis asmens duomenų judėjimas, daugiau keičiamasi asmens duomenimis tarp viešojo ir privataus sektoriaus;
• sparti technologinė plėtra ir globalizacija, dėl kurios kyla naujų asmens duomenų apsaugos sunkumų. Fiziniai asmenys vis dažniau viešina asmeninę informaciją pasaulio mastu, o technologijos leidžia privačioms bendrovėms ir valdžios institucijoms naudotis asmens duomenimis precedento neturinčiu mastu.
Dėl minėtų aplinkybių bei pokyčių reikėjo tvirtos ir gerai suderintos asmens duomenų apsaugos sistemos, paremtos griežtu asmens duomenų apsaugos užtikrinimu, kad fiziniai asmenys turėtų galimybę kontroliuoti savo duomenis.
BDAR taikymas asmenų, technologijų, teritorijos atžvilgiu
• BDAR užtikrinama apsauga taikytina fiziniams asmenims tvarkant jų asmens duomenis, neatsižvelgiant į jų pilietybę ar gyvenamąją vietą. BDAR neapimama juridinių asmenų (visų pirma su juridinio asmens statusą turinčių įmonių duomenų, įskaitant juridinio asmens pavadinimą, teisinę formą ir kontaktinius duomenis), mirusių asmenų bei asmeniniais tikslais fizinio asmens tvarkomų duomenų tvarkymo.
• Fizinių asmenų apsauga taikoma asmens duomenis tvarkant tiek automatizuotomis priemonėmis, tiek rankiniu būdu, jeigu asmens duomenys laikomi arba juos ketinama laikyti susistemintame rinkinyje. BDAR neturėtų būti taikomas pagal specialius kriterijus nesusistemintiems rinkiniams ar jų grupėms, taip pat jų tituliniams lapams.
• BDAR netaikomas pagrindinių teisių ir laisvių apsaugai ar laisvo duomenų, susijusių su Sąjungos teisės nereglamentuojama veikla, pavyzdžiui, su nacionaliniu saugumu susijusia veikla, judėjimo klausimams. BDAR netaikomas asmens duomenų tvarkymui, kai asmens duomenis tvarko valstybės narės, vykdydamos su Sąjungos bendra užsienio ir saugumo politika susijusią veiklą.
• BDAR taikomas teismų bei kitų teisminių institucijų veiklai, tačiau Sąjungos ar valstybės narės teisėje galėtų būti nurodytos duomenų tvarkymo operacijos ir duomenų tvarkymo procedūros tvarkant asmens duomenis teismuose bei kitose teisminėse institucijose.
• Bet koks asmens duomenų tvarkymas, kai asmens duomenis Sąjungoje vykdydama savo veiklą tvarko duomenų valdytojo arba duomenų tvarkytojo buveinė, turėtų vykti pagal BDAR, neatsižvelgiant į tai, ar pati tvarkymo operacija atliekama Sąjungoje. Kad fiziniams asmenims būtų užtikrinta apsauga, į kurią jie turi teisę pagal BDAR, šis reglamentas turėtų būti taikomas Sąjungoje esančių duomenų subjektų asmens duomenų, kuriuos tvarko Sąjungoje neįsisteigęs duomenų valdytojas arba duomenų tvarkytojas, tvarkymui, kai duomenų tvarkymo veikla yra susijusi su prekių ar paslaugų siūlymu tokiems duomenų subjektams, neatsižvelgiant į tai, ar tai susiję su mokėjimu.
Asmens duomenys ir specialūs asmens duomenys
Pradedant asmens duomenų apsaugos reformos straipsnių ciklą, pirma reikėtų išsiaiškinti asmens duomenų ir specialiųjų asmens duomenų sąvokų reikšmes.
Asmens duomenys
Tai yra bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (duomenų subjektas). Fizinis asmuo, kurio tapatybę galima nustatyti, yra asmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti, visų pirma pagal identifikatorių, kaip antai, vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius.
Asmens duomenys, kuriems suteikti pseudonimai ir kurie galėtų būti priskirti fiziniam asmeniui pasinaudojus papildoma informacija, turėtų būti laikomi informacija apie fizinį asmenį, kurio tapatybė gali būti nustatyta. Sprendžiant, ar galima nustatyti fizinio asmens tapatybę, reikėtų atsižvelgti į visas priemones, pavyzdžiui, išskyrimą, kurias asmens tapatybei tiesiogiai ar netiesiogiai nustatyti, pagrįstai tikėtina, galėtų naudoti duomenų valdytojas ar kitas asmuo. Įsitikinant, ar tam tikros priemonės, pagrįstai tikėtina, galėtų būti naudojamos siekiant nustatyti fizinio asmens tapatybę, reikėtų atsižvelgti į visus objektyvius veiksnius, pavyzdžiui, sąnaudas ir laiko trukmę, kurių prireiktų tapatybei nustatyti, turint omenyje duomenų tvarkymo metu turimas technologijas bei technologinę plėtrą.
Duomenų apsaugos principai neturėtų būti taikomi anonimiškai informacijai, t. y. informacijai, kuri nėra susijusi su fiziniu asmeniu, kurio tapatybė yra nustatyta arba gali būti nustatyta, arba asmens duomenims, kurių anonimiškumas užtikrintas taip, kad duomenų subjekto tapatybė negali arba nebegali būti nustatyta. Todėl BDAR netaikomas tokios anonimiškos informacijos tvarkymui, įskaitant statistiniais ar tyrimų tikslais. Reglamentas taip pat netaikomas mirusių asmenų asmens duomenims.
Specialūs duomenys
BDAR išskiria specialių kategorijų asmens duomenis, kuriems taikoma ypatinga apsauga. Tai yra genetiniai duomenys, duomenys, atskleidžiantys rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus ar narystę profesinėse sąjungose, biometriniai duomenys, sveikatos duomenys, duomenys apie fizinio asmens lytinį gyvenimą ir lytinę orientaciją.
Vertėtų pateikti išsamesnį genetinių duomenų, duomenų apie asmens sveikatą bei biometrinių duomenų apibrėžimą.
Genetiniai duomenys turėtų būti apibrėžiami kaip asmens duomenys, susiję su asmens paveldėtomis ar įgytomis genetinėmis savybėmis, suteikiančiomis unikalios informacijos apie to fizinio asmens fiziologiją ar sveikatą, ir kurios gautos visų pirma atlikus atitinkamų fizinių asmenų biologinio mėginio analizę, visų pirma chromosomų, deoksiribonukleorūgšties (DNR) arba ribonukleorūgšties (RNR) analizę, arba kitų elementų, suteikiančių galimybę gauti lygiavertę informaciją, analizę.
Asmens sveikatos duomenims priskiriami visi duomenys apie duomenų subjekto sveikatos būklę, kurie atskleidžia informaciją apie duomenų subjekto buvusią, esamą ar būsimą fizinės ar psichikos sveikatos būklę. Tai apima informaciją apie fizinį asmenį, surinktą jį registruojant sveikatos priežiūros paslaugoms gauti arba teikiant sveikatos priežiūros paslaugas, tam fiziniam asmeniui: fiziniam asmeniui priskirtą asmens numerį, simbolį ar žymę, kad būtų galima unikaliai nustatyti to asmens tapatybę sveikatos priežiūros tikslais; informaciją, gautą atliekant kūno dalies ar kūno medžiagos, įskaitant genetinius duomenis ir biologinius ėminius, tyrimus ar analizę; taip pat bet kokią kitą informaciją, pavyzdžiui, apie ligą, negalią, riziką susirgti, sveikatos istoriją, klinikinį gydymą arba duomenų subjekto fiziologinę ar biomedicininę būklę, neatsižvelgiant į informacijos šaltinį, kuris, pavyzdžiui, gali būti gydytojas, kitas sveikatos priežiūros specialistas, ligoninė, medicinos priemonė ar in vitro diagnostinis tyrimas
Biometriniai duomenys – po specialaus techninio apdorojimo gauti asmens duomenys, susiję su fizinio asmens fizinėmis, fiziologinėmis arba elgesio savybėmis, pagal kurias galima konkrečiai nustatyti arba patvirtinti to fizinio asmens tapatybę, kaip antai veido atvaizdai arba daktiloskopiniai duomenys.
Išsiaiškinę, kas yra asmens duomenys bei specialūs duomenys, kuriems taikoma ypatinga apsauga (apie tai kalbėsime kitame straipsnyje), vertėtų pereiti prie asmens duomenų tvarkymo principų.
Asmens duomenų tvarkymo principai
• Asmens duomenys duomenų subjekto atžvilgiu tvarkomi teisėtu, sąžiningu ir skaidriu būdu;
Taikant skaidrumo principą, fiziniams asmenims turėtų būti aišku, kaip su jais susiję asmens duomenys yra renkami, naudojami, su jais susipažįstama arba jie yra kitaip tvarkomi, taip pat kokiu mastu tie asmens duomenys yra ar bus tvarkomi. Pagal skaidrumo principą informacija ir pranešimai, susiję su tų asmens duomenų tvarkymu, turi būti lengvai prieinami ir suprantami, pateikiami aiškia ir paprasta kalba. Šis principas visų pirma susijęs su duomenų subjektų informavimu apie duomenų valdytojo tapatybę ir duomenų tvarkymo tikslus, taip pat su tolesniu informavimu, kad būtų užtikrintas sąžiningas ir skaidrus duomenų tvarkymas atitinkamų fizinių asmenų atžvilgiu, jų teise gauti patvirtinimą dėl su jais susijusių asmens duomenų tvarkymo ir teise tuos duomenis gauti. Fiziniai asmenys turėtų būti informuoti apie su asmens duomenų tvarkymu susijusius pavojus, taisykles, apsaugos priemones bei teises ir apie tai, kaip naudotis savo teisėmis tokio asmens duomenų tvarkymo srityje.
• renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkomi su tais tikslais nesuderinamu būdu;
Tikslai, kuriais tvarkomi asmens duomenys, turėtų būti aiškūs, teisėti ir nustatyti duomenų rinkimo metu. Asmens duomenys turėtų būti tinkami, susiję su tikslais, kuriais jie tvarkomi, ir riboti pagal tai, kiek jų yra būtina turėti atsižvelgiant į tikslus, kuriais jie tvarkomi; tam pirmiausia reikia užtikrinti, kad asmens duomenų saugojimo laikotarpis būtų tikrai minimalus. Asmens duomenys turėtų būti tvarkomi tik tuomet, jei asmens duomenų tvarkymo tikslo pagrįstai negalima pasiekti kitomis priemonėmis.
Asmens duomenų tvarkymas kitais tikslais nei tais, kuriais iš pradžių buvo rinkti asmens duomenys, turėtų būti leidžiamas tik tuomet, kai duomenų tvarkymas suderinamas su tikslais, kuriais iš pradžių buvo rinkti asmens duomenys. Tokiu atveju nereikalaujama atskiro teisinio pagrindo, užtenka to pagrindo, kuriuo remiantis leidžiama rinkti asmens duomenis.
• adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi (duomenų kiekio mažinimo principas);
• tikslūs ir prireikus atnaujinami; turi būti imamasi visų pagrįstų priemonių užtikrinti, kad asmens duomenys, kurie nėra tikslūs, atsižvelgiant į jų tvarkymo tikslus, būtų nedelsiant ištrinami arba ištaisomi (tikslumo principas);
Šis principas reiškia, kad reikia imtis visų pagrįstų priemonių, siekiant užtikrinti, kad netikslūs asmens duomenys būtų ištaisyti arba ištrinti.
• laikomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi;
Siekiant užtikrinti, kad duomenys nebūtų laikomi ilgiau nei būtina, duomenų valdytojas turėtų nustatyti duomenų ištrynimo arba periodinės peržiūros terminus.
• tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas).
Šis principas aiškinamas taip, kad asmens duomenys turėtų būti tvarkomi taip, kad būtų užtikrintas tinkamas asmens duomenų saugumas ir konfidencialumas, be kita ko, užkertant kelią neteisėtai prieigai prie asmens duomenų ir jų tvarkymui skirtos įrangos ar neteisėtam jų naudojimui.
Pateikiant visuomenei arba duomenų subjektui informaciją apie asmens duomenų tvarkymą, ji turi būti glausta, lengvai prieinama ir suprantama, pateikiama aiškia ir paprasta kalba ir, be to, prireikus naudojamas vizualizavimas. Tokia informacija galėtų būti pateikta elektronine forma, pavyzdžiui, interneto svetainėje, kai ji skirta viešai paskelbti. Tai ypač svarbu tais atvejais, kai dėl dalyvių gausos ir naudojamų technologijų sudėtingumo duomenų subjektui sunku suvokti ir pastebėti, ar jo asmens duomenys renkami, kas juos renka ir kokiu tikslu, kaip antai reklama internete. Atsižvelgiant į tai, kad vaikams turi būti užtikrinta ypatinga apsauga, informacija ir pranešimai, kai duomenų tvarkymas orientuotas į vaiką, turėtų būti suformuluoti vaikui lengvai suprantama aiškia ir paprasta kalba.
Tęsiant asmens duomenų apsaugos reformos straipsnių ciklą, kitame straipsnyje bus kalbama apie asmens duomenų subjekto teises.
Visos teisės saugomos. Cituojant arba kitaip platinant šią informaciją prašau nurodyti informacijos šaltinį.
