Mažiau nei po dviejų mėnesių Lietuvoje, kaip ir visoje Europos Sąjungoje (ES), bus pradėtas taikyti praėjusiais metais priimtas Bendrasis duomenų apsaugos reglamentas, kuris apima vadinamąją Asmens duomenų apsaugos reformą. Tai vienas daugiausiai nagrinėtų ir aprašytų ES lygmeniu priimtų teisės aktų istorijoje.
Didelė Reglamento apimtis, „pilkųjų zonų“ gausa ir skirtingas interpretavimas lėmė, kad artėjantys pokyčiai duomenų apsaugos srityje „apaugo“ nepagrįstais mitais, apie kuriuos plačiau kalba advokatų profesinės bendrijos „Žabolienė ir partneriai METIDA“ advokato padėjėjas Valdemaras Kovalevskis.
Mitai – tik žmonių vaizduotės kūrinys, todėl jais tikėti ne tik kad neverta, jie nesunkiai paneigiami. Lygiai taip pat neverta tikėti nepagrįstais mitais, susijusiais su Asmens duomenų apsaugos reforma. Reikia tiesiog susipažinti, kokie iš tikrųjų yra nauji reikalavimai, ir šią reformą priimti kaip teigiamą iššūkį.
1 mitas. Reglamentas taikomas tik didelėms įmonėms
Labai didelės baudos (iki 10 mln. Eur ar iki 20 mln. Eur, arba iki 2–4 % bendrosios metinės pasaulinės apyvartos įmonių atveju) už Bendrojo duomenų apsaugos reglamento pažeidimus gali suponuoti, kad Asmens duomenų apsaugos reforma aktuali tik didelėms bendrovėms, tarptautinėms korporacijoms, įmonių grupėms. Tiesa ta, kad Bendrasis duomenų apsaugos reglamentas tiesiogiai taikomas visiems asmens duomenų tvarkytojams ir valdytojams, kurie tvarko asmens duomenis, nepriklausomai nuo jų dydžio, tvarkomų asmens duomenų kiekio ar pobūdžio. Taigi Reglamentas privalomas ne tik praktiškai visoms įmonėms, bet ir fiziniams asmenims, nepriklausomai nuo to, ar jie yra gydytojai, ar teisininkai, ar veikia kitose veiklos srityse.
2 mitas. Reglamentas aktualus tik naujai tvarkomiems duomenims
Dažnai asmenys, skeptiškai žiūrintys į Asmens duomenų apsaugos reformą arba nenorintys gilintis į jos niuansus, sako, kad tai neaktualu, nes jis naujų duomenų nekaupia ir jo veikloje užtenka iki šiol sukauptos informacijos. Tuo metu kiti skuba surinkti kaip įmanoma daugiau duomenų iki gegužės 25 d., nes taip neva išvengs Reglamente įtvirtintų reikalavimų. Visgi realybė yra kitokia – Reglamentas aktualus tiek iki šiol, tiek ir po jo pradėjimo taikyti tvarkomiems duomenims. Kitaip tariant, duomenų tvarkymas turi atitikti Reglamento reikalavimus, nepriklausomai nuo to, kada buvo pradėti tvarkyti duomenys. Todėl tikrai neverta pakišinėti savo klientams sutikimų tvarkyti duomenis, kurie dažnai neatitinka reikalavimų, tikintis, kad taip bus apeiti naujieji reikalavimai.
3 mitas. Sutikimas – pagrindinis ir svarbiausias duomenų tvarkymo pagrindas
Visuomenėje vyrauja pozicija, kad jeigu asmuo davė sutikimą, to jo duomenims tvarkyti pakanka, ir nereikia baimintis, kad kas nors gali būti neteisėta. Tačiau visų duomenų tvarkymo pagrindų kontekste sutikimas yra pats „silpniausias“ pagrindas. Visų pirma, sutikimui taikomi gana griežti reikalavimai, todėl, net ir gavus sutikimą, yra rizika, kad sutikimas bus pripažintas neatitinkančiu Reglamento reikalavimų. Todėl rekomenduotina be sutikimo turėti bent dar vieną duomenų tvarkymo pagrindą. Žinoma, tam tikrais atvejais sutikimas yra vienintelis pagrindas, kai galima tvarkyti duomenis, pvz., duomenų tvarkymas rinkodaros tikslais. Antra, sutikimą bet kuriuo metu galima atšaukti, o, tai padarius, nebus ir tvarkymo pagrindo.
4 mitas. Asmuo galės perkelti bet kuriuos savo duomenis
Išanalizavus visas šios teisės įgyvendinimo sąlygas, darytina akivaizdi išvada, kad ši teisė nėra absoliuti. Asmuo galės reikalauti ištrinti tik tuos jo duomenis, kuriuos pats pateikė. Be to, galės reikalauti juos perkelti, jeigu duomenys buvo tvarkomi automatizuotomis priemonėmis sutikimo ar sutarties vykdymo pagrindu. Jeigu asmuo kreipsis, pvz., į sporto klubą, kad jo duomenys būtų perkelti kitam duomenų valdytojui, toks jo prašymas galės būti patenkintas tik tų duomenų atžvilgiu, kuriuos jis pateikė pats, pvz., dėl vardo, pavardės, adreso ar dėl gimimo datos, bet ne dėl sporto klubo klientui paruoštos ir pritaikytos mitybos ar sporto programos.
5 mitas. Asmuo bet kada galės reikalauti būti pamirštas
Šis mitas yra kone populiariausias, ypač tarp tų, kurie nori nuslėpti tam tikrus faktus iš savo praeities. Ši teisė nėra absoliuti ir ja pasinaudoti galima tik Reglamente nurodytais atvejais. Duomenų valdytojams labai svarbu turėti kelis duomenų tvarkymo pagrindus, nes tais atvejais, kai asmuo paprašys ištrinti duomenis, gautus sutikimo pagrindu, juos ir toliau galėsite tvarkyti, jeigu šie buvo tvarkomi sutarties vykdymo arba viešojo intereso pagrindu. Svarbu pažymėti, kad pažeidimu nebus laikomi atvejai, jeigu tvarkymas būtinas siekiant pasinaudoti saviraiškos teise, informacijos laisve, siekiant įvykdyti teisinę pareigą ir kitais atvejais.
Taip pat reikėtų turėti omenyje ir tai, kad teisė būti pamirštam viešojoje erdvėje nėra absoliuti, nes, net ir esant visoms šios teisės įgyvendinimo sąlygoms, naujasis reguliavimas negali garantuoti viešai paskelbtų duomenų panaikinimo visa apimtimi.