Asmens duomenų apsauga: ką būtina žinoti?
Šiandien asmens duomenys yra vadinami naujuoju auksu. Ne veltui pastaraisiais metais tiek Pasaulį, tiek Lietuvą krečia duomenų apsaugos pažeidimų skandalai. 2018 m. JAV sudrebino Cambridge Analytica istorija, kai Facebook suteikė informaciją apie 50 milijonų savo vartotojų mokslininkui, kuris bendradarbiavo su politinių konsultacijų bendrove Cambridge Analytica, kurią savo ruožtu samdė Donaldo Trumpo rinkimų štabas. 2021 m. vasario 15 d. paaiškėjo, kad buvo pavogti apie 110 tūkstančių CityBee vartotojų duomenų.
Tai tik keli ryškesni atvejai įvykę per pastaruosius kelerius metus, tačiau smulkesnių pažeidimų per metus vien Lietuvoje būna žymiai daugiau. Taigi, norint apsaugoti savo asmeninius duomenis visų pirma reikia išsiaiškinti kas yra laikoma asmeniniais duomenis, ir kur bei kaip kreiptis, jeigu buvo pažeistos žmogaus teisės į asmens duomenis.
Pirmiausia būtina pažymėti, kad teisė į asmens duomenis kyla iš Konstitucijos 22 straipsnio, kuriame teigiama: „Žmogaus privatus gyvenimas neliečiamas. Informacija apie privatų asmens gyvenimą gali būti renkama tik motyvuotu teismo sprendimu ir tik pagal įstatymą. Įstatymas ir teismas saugo, kad niekas nepatirtų savavališko ar neteisėto kišimosi į jo asmeninį ir šeimyninį gyvenimą, kėsinimosi į jo garbę ir orumą.“ Taigi, Lietuvos Respublikos aukščiausias teisės aktas žmogaus asmeninę informaciją, t. y. asmens duomenis, saugo jau seniai. Tačiau tik nuo 2018 m. gegužės 25 d. visoje Europos Sąjungoje pradėjo veikti Bendrasis duomenų apsaugos reglamentas (toliau – BDAR). BDAR veikimą geriausiai apibūdina kiekviename internetiniame puslapyje atsirandantys pranešimai dėl Cookies. Tokie pranešimai ir pasirinkimas, kad įvairios jūsų veiklos internete nefiksuotų internetiniai puslapiai, tapo būtini būtent dėl BDAR įsigaliojimo Europos Sąjungoje.
BDAR apibrėžta kas yra laikomi asmens duomenimis, kokiu pagrindu ir kas gali juos rinkti bei kiti niuansai susiję su šia sritimi.
Taigi, reglamente asmens duomenys apibrėžiami kaip – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (duomenų subjektas); fizinis asmuo, kurio tapatybę galima nustatyti, yra asmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti, visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius. Verta pažymėti, kad pavieniai duomenys kaip vardas, pavardė nereiškia, kad asmenį galima identifikuoti. Pavyzdžiui, Jungtinėje Karalystėje asmenų vardų John Smith yra be galo daug, tai nustatyti apie kurį konkrečiai John yra šnekama sunku. Tačiau, jeigu prie šių vardo ir pavardės būtų pateiktas asmens kodas, ar gyvenamoji vieta, jau būtų galima identifikuoti konkretų asmenį ir tai būtų laikomi asmens duomenys.
Asmens duomenys dar išskiriami į specifinius arba dar vadinamus labai jautriais duomenimis. Tokius duomenis sudaro:
- rasinė arba etninė kilmė,
- lytinė orientacija,
- politinės pažiūros,
- religiniai arba filosofiniai įsitikinimai,
- narystė profesinėse sąjungose,
- genetiniai, biometriniai ar sveikatos duomenys, išskyrus konkrečius atvejus (pvz., jeigu jums buvo duotas aiškus sutikimas arba jeigu asmens duomenis tvarkyti būtina dėl svarbių su viešuoju interesu susijusių priežasčių remiantis Europos Sąjungos arba Lietuvos teise),
- asmens duomenys, susiję su apkaltinamaisiais nuosprendžiais ir nusikalstamomis veikomis, išskyrus atvejus, kai tai leidžiama pagal Europos Sąjungos ar Lietuvos teisę.
Bendra taisyklė yra tokia, kad tokius duomenis draudžiama rinkti nebent yra taikomos išimtys, kurios aptariamos žemiau.
- Taigi, kalbant apie asmens duomenų rinkimą, svarbiausia taisyklė, kurią reikia įsiminti yra tai, kad toks rinkimas yra teisėtas tik tuo atveju, jei žmogus davė sutikimą, kad jo asmens duomenys būtų renkami vienu ar keliais konkrečiais tikslais. Toks sutikimas turi būti duotas aiškiai, žmogui suprantant, kad jis suteikia kitam asmeniui teisę rinkti asmeninius duomenis ir juos apdoroti.
- Kita svarbi taisyklė yra taikoma, kai yra renkami nepilnamečių asmenų duomenys. Kai vaikas yra jaunesnis nei 16 metų, jam teikiant informacines visuomenės paslaugas (pavyzdžiui, prekių pardavimas internetu) yra būtinas vaiko tėvų ar globėjų sutikimas. Jeigu nepilnametis asmuo yra 16 metų, tada jis sutikimą gali duoti pats.
- Trečia svarbi taisyklė – asmuo turi teisę prašyti susipažinti su duomenimis, kurie apie jį yra renkami. Pamačius, kad rinkimas yra perteklinis arba duomenys yra nebeaktualūs, t. y. seni, reikalauti, kad jie būtų ištrinti.
O ką daryti jeigu žmogaus teisė į asmens duomenų apsauga buvo pažeista? Tokiu atveju reikia kreiptis į Valstybinę duomenų apsaugos inspekciją, kuri yra pagrindinė institucija Lietuvoje, prižiūrinti asmens duomenų apsaugos veikimą. Jeigu asmens duomenys buvo paskelbti Facebook grupėje ar naujienų portale, tačiau tam žmogus sutikimo nedavė arba nebuvo įstatymuose įtvirtinto pagrindo, tada reikia kreiptis į Žurnalistų etikos inspektoriaus tarnybą.
Apibendrinus šiandien asmens duomenys yra itin vertinga informaciją, kurios nori visi, pradedant kasdienes paslaugas teikiančiais verslais ir internetiniais puslapiais, baigiant piktavaliais, tačiau Lietuvos Respublikos Konstitucija ir Bendrasis duomenų apsaugos reglamentas suteikia žmogui įvairius instrumentus įgalinančius žmogų būti savo duomenų kontrolėje.