ASMENS DUOMENŲ NUTEKĖJIMAS – NEBE PARANOJA, O SKAUDI REALYBĖ
Nuo gegužės 25 d. į elektroninio pašto dėžutes pradėjo plūsti laiškai iš įvairių įmonių, skubinančių atsakyti "taip" arba "ne", o didieji prekybos centrai ėmėsi šantažo: už mygtuko "sutinku" paspaudimą viliojo nuolaidomis arba grasino anuliuoti kortelėje sukauptus pinigus.
Šurmuliui nurimus daugelis susimąstė: kas tai buvo? Su kokiomis naujomis sąlygomis sutikau ir kas dabar manęs laukia?
Pasak duomenų apsaugos pareigūnės Agnės Jakniūnienės (medaudit.lt), gegužės 25 d. visoje ES įsigaliojo Bendrasis duomenų apsaugos reglamentas, garantuojantis žymiai daugiau teisių vartotojams. Minėtuose laiškuose įmonės prašė sutikimo siųsti naujienlaiškius, patvirtinti pasirinkimus arba tiesiog susipažinti su naujomis privatumo taisyklėmis, kurias, pagal naująjį Bendrąjį asmens duomenų apsaugos reglamentą, privalės turėti kiekviena įmonė, tvarkanti bent vieną iš asmens duomenų.
Specialistės teigimu, jei neperskaitę paspaudėte "taip", kelias atgal yra: naujienlaiškių atsisakyti galite bet kada, o jei nauja duomenų apsaugos sutartis kelia įtarimų, susisiekite su ją pateikusia įmone arba Valstybine duomenų apsaugos inspekcija (VDAI) ir išsiaiškinkite, kur ir kam iš tiesų yra perduodami jūsų asmeniniai duomenys.
– Kaip atsitiko, kad naujas įstatymas mus pasitiko netikėtai?
– Keista, kad žiniasklaidos priemonės apie pasikeitimus pradėjo informuoti tik nuo gegužės 25 d. – Lietuvai buvo skirti dveji metai pasiruošti pokyčiams. Deja, net VDAI iki šiol vėluoja išversti tam tikrus dokumentus ir parengti dokumentų rengimo ar jų taikymo gaires. Taigi Lietuvoje prieš tai galiojusi 95/46/EB direktyva yra atšaukta, o naujasis asmens duomenų apsaugos reglamentas kol kas, nors ir galioja, bet nėra galutinai išverstas į lietuvių kalbą. Įmonėse ir valstybinėse įstaigose kol kas tvyro visiška sumaištis. Neoficialiai kalbama, kad VDAI kol kas nebaus įmonių už naujojo reglamento teisės aktų numatytų pakeitimų pritaikymo pažeidimus.
– Kalbant paprasčiau – kas turėjo pasikeisti po gegužės 25 d.?
– Atsirado daugiau teisių vartotojui, kurio duomenis renka įmonė, įstaiga arba fizinis asmuo, vykdantis verslą. Taigi jeigu jūsų duomenis, pavyzdžiui: IP adresą, automobilio numerį, įrašytą vaizdinę medžiagą turi įmonė, galioja nauja asmens teisė, kuri leidžia susipažinti, ištrinti neteisėtai valdomus jūsų duomenis, sustabdyti ar ištaisyti neteisingai pateiktus tam tikrus jūsų asmens duomenis.
– Ar tai galioja ir valstybinėms įstaigoms?
– Galioja visiems, išskyrus teismus ir policiją. Teisėsaugos institucijoms ir policijai galioja kita ES direktyva - 2016/680. Bet, nereikėtų pamiršti, kad tai galioja tik tiems asmens duomenims, kurie yra tvarkomi neteisėtai. Negalioja tiems, kurių rinkimo nereglamentuoja teisės aktai arba prievolė dėl atskaitomybės įmonės veiklą prižiūrinčioms įstaigoms, ar be kurių įmonė negali suteikti prašomų paslaugų. Pavyzdžiui: mokymo, gydymo, banko paslaugų ir kitų, kurioms reikalingi tam tikri jūsų asmeniniai duomenys.
– Tačiau laiškų valstybinės įstaigos nesiuntė.
– Pagal reglamentą pakartotinai gauti vartotojo sutikimą reikia tik tada, jeigu keičiasi esminės duomenų tvarkymo taisyklės. Pavyzdžiui, jei įmonė pradėjo tiesioginę rinkodarą, turi informuoti, kad dėl tiesioginės rinkodaros tikslų vartotojui bus pradėti siųsti tokio tipo pranešimai. Dažniausiai valstybinės, biudžetinės įstaigos tokios veiklos nevykdo ir nevykdys. Jos tiesiog pagal įstatymą renka duomenis ir dėl to pakartotinai nereikia nieko pranešti. Vienintelė prievolė dėl pranešimo klientams ar vartotojams galima tada, jeigu buvo pakeistos asmens duomenų tvarkymo taisyklės, slapukų politika. Tokiu atveju, įstaiga turėtų informuoti, kas buvo pakeista.
– Taigi kokie esminiai duomenų tvarkymo taisyklių pasikeitimai?
– Taisyklėse turi būti nurodytas duomenų valdytojas. Paaiškinta, kokiu tikslu yra renkami duomenys. Pavyzdžiui, jūs esate dienraštis, taigi visuomenės informavimo tikslu renkate tam tikrus asmens duomenis. Turi būti nurodyta, kur nukeliauja duomenys – duomenų tvarkytojai ir netgi subtvarkytojai, jeigu tokie yra. Tarkime, esate savo darbuotojų duomenų valdytojas, bet jo duomenis tvarko Registrų centras. Tai turite nurodyti darbuotojo asmens duomenų tvarkymo taisyklėse.
Dėl prievolės tinkamai valdyti klientų duomenis rekomenduotina parengti konfidencialumo tvarkos aprašą ir konfidencialumo sutartis su darbuotojais. Reikia numatyti, kaip vykdoma serverių priežiūra, apsauga, ar kuriamos ir kur kuriamos atsarginės dokumentų kopijos, įstaigoje turėtų atsirasti nedegios spintos dokumentams saugoti, ypač, jeigu atsarginės kopijos elektroninėje formoje nekuriamos. Turėtumėte parengti sutarčių priedus su tomis įmonėmis, kurios galbūt gali prieiti prie asmens duomenų, pavyzdžiui, kompiuterio gedimo atveju, administruojant informacines sistemas ir pan. Asmens duomenų tvarkymo taisyklėse būtinai turi būti nurodyta, kiek laiko bus tvarkomi duomenys. Tai tik keletas aspektų, kurie turi būti aptarti taisyklėse ir su kuriais pasirašytinai turi susipažinti tiek darbuotojai, tiek klientai.
– Ar dokumentams saugoti yra nustatyti kokie nors terminai?
– Yra. Darbuotojų oficialūs dokumentai įmonėje laikomi 50 metų po sutarties pabaigos ar nutraukimo, o įvairūs įmonės viduje vykę susirašinėjimai tarp darbuotojų tam tikrais klausimais apytikriai trejus metus. Svarbius dokumentus galima saugoti archyve. Archyvinti reikalingi terminai. Taisyklėse turi būti parašyta, kur dedami duomenys, dokumentai po to, kai su jais pasiekiamas įmonėje numatytas tikslas. Būtina nurodyti, ką darote su jais: ar deginate namie, ko negalima daryti, ar dedate į spintelę garaže, ar turite įmonę, kuri archyvina arba naikina dokumentus. O gal turite savo archyvą? Būtinai nurodykite darbuotojo pareigybę, kuris tvarko archyvą, ir asmenis, kurie prieina prie asmens duomenų. Visi šie dalykai turi atsirasti taisyklėse. Nuo šiol žmogui turi būti labai konkrečiai paaiškinta, kas vyksta su įmonei pateikta jo informacija.
– Tad prieš paspaudžianti "sutinku" vertėtų atidžiai perskaityti?
– Reikėtų. Tie, kurie perskaito ir susipažįsta su šiomis naujomis taisyklėmis, vėliau patys pradeda stebėti, ar nepažeidžiami įstatymai. Jeigu yra vaizdo kamera ar yra lipdukas, jei pasirašau – tai ką, kur mano duomenys nukeliaus ir kas yra galutinė įmonė, kuri juos gaus. Būtinai reikia perskaityti viską, su kuo sutinkate, tekstą, kurį jums siunčia, nes kartais atsitinka taip, kad nesupranti, kodėl pradedi gauti naujienas apie kačių ėdalą, nors esi alergiškas gyvūnams.
Jeigu visur spaudi "sutinku", paskui nereikia stebėtis, kad "Facebook" ar "Google" matai kelionių reklamas, kai prieš tai pats ieškojai jų internete. Ir atvirai kalbant, jeigu asmuo darosi asmenukes, kelia jas į viešąją erdvę, komentuoja internete, neskaito taisyklių, kurias pasirašo, o paskui piktinasi, kad jo duomenis tvarko kokia nors Urugvajaus įmonė, tai kas kaltas?
– Turbūt atidžiai perskaityti taisykles nelabai padėjo kai kurių prekybos centrų grasinimai arba įkyriai siūlomos nuolaidos?
– Joks pasiūlymas už sutikimą duoti vieną ar kitą paslaugą nėra tinkamas teisinis būdas gauti asmens sutikimą siųsti reklamą. Teisiškai tokį sutikimą pagrįsti būtų labai sunku. Tačiau jei niekas nesiskundžia ir viešai gauto pasiūlymo teksto niekur nėra – matoma tik data ir asmens sutikimo patvirtinimas, tuomet viskas gerai. Įmonė reikalavimą įvykdė, sutikimai gauti, naujienos siunčiamos tik tiems, kurie sutiko.
Duomenys turi būti renkami tik turint tikslą suteikti paslaugą.
– Kur galima dėl tokio atvejo pasiskųsti?
– VDAI visada laukia skundų. Galima skųstis, jeigu įmonė pažeidžia reglamentą, jeigu atrodo, kad neteisingai tvarko jūsų duomenis. Jeigu skatina: tu dabar duok sutikimą, o už tai aš tau duosiu gertuvę, arba duok sutikimą, nes negalios tavo kortelė. Tai yra pažeidimas. Reglamente aiškiai apibrėžta, kad žmogus turi savanoriškai duoti savo sutikimą. Sutikimui gauti neturi būti taikoma prievarta, skatinimai. Viskas gerai, jeigu skatinate, bet leidžiate nesutikti. Jeigu paliekate galimybę nesutikti. Bet jeigu asmeniui pateikiama informacija, kad nesutikęs praras savo sukauptus lojalumo taškus, ir asmuo netenka sprendimo laisvės – tai pažeidimas.
– Lygiai tas pats vyksta su prekybos centrų kortelių išdavimu. Kodėl reikia pateikti tiek daug duomenų? Gal galima to atsisakyti?
– Galite prašyti paaiškinti, kodėl jie tai renka. Duomenys turi būti renkami tik turint tikslą suteikti paslaugą. Ir aišku, įmonės turėtų apmokyti savo darbuotojus, kad į tokį prašymą darbuotojas žinotų, ką atsakyti, o ne tik: "Nieko nežinau. Mums taip liepė." Dažniausiai įmonės paskiria už duomenų apsaugą atsakingą asmenį, galintį atsakyti į visus klausimus. Apskritai dabar daug įmonių renkasi lengviausią kelią ir naujas taisykles nukopijuoja nuo konkurentų. Tos taisyklės nebūtinai geros. Įmonėms būtinai reikėtų pasikonsultuoti su specialistu, kuris bent peržiūrėtų jau parengtas įstaigos taisykles. Esu mačiusi begales asmens duomenų tvarkymo taisyklių, tikrai turime kur tobulėti, todėl nebijokite konsultuotis.
– O jeigu asmuo atsisakė gauti naujienas, bet vis tiek jas gauna?
– Kartais techniškai nepavyksta programai iš karto nesiųsti naujienlaiškių. Kurį laiką gauti naujienas, manau, normalu, bet jei pusmetį gaunate pranešimus, nors atsisakėte, tai tikrai negerai.
– Ar tuomet kreiptis į įmonę, ar į VDAI?
– Priklauso nuo asmens. Aš asmeniškai pirmiausia kreipčiausi į įmonę, galbūt įvyko klaida, juk žmonės dirba ir padaro klaidų. Aišku, piktas žmogus galbūt iš karto kreiptųsi į VDAI.
– Po gegužės 25-osios laiškai užplūdo elektronines pašto dėžutės, todėl normalu, kad į kai kuriuos liko neatsakyta. Kas tuomet?
– Jeigu įmonė nesulaukė jokio atsakymo, tuomet turėtų atsiųsti paprastą paklausimą, ar gali asmens duomenis ir toliau tvarkyti, ar juos ištrinti visam laikui. Pagal naują reglamentą, nutylėjimas ar neveiksnumas nebereiškia sutikimo, todėl jei nesulaukiate naujienlaiškių ar kitų pasiūlymų, jūsų duomenys ištrinti ir toliau nebetvarkomi.
– Ir tai galioja visoje Europoje?
– Taip. Turėtumėte gauti laiškus iš Europos interneto parduotuvių ir įmonių, kurios verčiasi prekyba Europoje. Taigi įmonės, nenorinčios prarasti vartotojų ES, turi sutikti su techninėmis ir organizacinėmis priemonėmis dėl asmens duomenų tvarkymo ES ir jų laikytis, įskaitant ir Kiniją, kuri nenori prarasti vartotojų iš Europos.
– Kas lėmė tokio reglamento priėmimą ES?
– Svarstymas prasidėjo 2011 m. Pavyzdžiui, "Facebook" susikūrė 2004-aisiais, tad nuo šio laikotarpio prasidėjo labai aktyvus asmens duomenų sklandymas virtualioje erdvėje, nebuvo aišku, kas, kur ir kaip yra tvarkoma. Žinome, kaip veikia tam tikra rinkodara: dažnai yra perkami vartotojų duomenys iš vienų įmonių, parduodami kitoms ir pan. Jie laisvai keliauja ir žmogus nežino, kur siūlo galas. Todėl natūraliai ir atsiranda visos šios taisyklės – iš skaitmeninio rytojaus poreikio.
– Turbūt žmonės anksčiau apskritai nelabai tuo domėdavosi, o dabar visiems paaiškėjo, kad esame nuolat sekami.
– Žinoma. Pabandykite pusdieniui pasidėti prie savęs išmanųjį telefoną ir kartoti žodį "Tailandas", dienai besibaigiant "Google" pradės rodyti reklamą apie Tailandą. Mikrofonas, kamera, vaizdo įrašai, žinutės – viskas gali patekti į viešąją erdvę ir tapti lengvai prieinama. Todėl šis įstatymas numato ir nemenką piniginę atsakomybę – privačiam sektoriui bauda siekia iki 4 proc. nuo praėjusių metų apyvartos, o viešajam – iki 60 tūkst. eurų. Lieka tik vienas menkas klausimas, kaip vartotojui įrodyti, kad jo duomenys tvarkomi neteisėtai.
SUSIJUSIOS NAUJIENOS
-
DMN inf.7 komentarai -
1 komentarai -
6 komentarai
Rita