Būdami interneto vartotojais atiduodame nemažą dalį savo privatumo, o daugybę reikalavimų, asmeninių reklamų ir varnelių žymėjimą priimame kaip neišvengiamybę. Naujasis ES reglamentas užsimojo tai pakeisti.
Apie Bendrąjį duomenų apsaugos reglamentą (BDAR) greičiausiai girdėjo visi, kas per pastaruosius keletą mėnesių bent kartą užsuko į internetą. Gegužės 25 dieną įsigaliojęs reglamentas oficialiame tinklalapyje vadinamas svarbiausiu privačių duomenų apsaugos pokyčiu per 20 metų. „Ar tai tikrai pakeis mano gyvenimą?“ būtų ironiškai perspaustas klausimas, tačiau į naująją tvarką galima pažiūrėti ir kur kas racionaliau.
Ką iš tiesų nurodo reglamentas?
Įsigaliojęs teisės aktas nurodo asmeninių duomenų taikymo gaires, tačiau pagal jį nebus sprendžiama dėl kiekvieno konkretaus atvejo – tam jis paprasčiausiai per platus.
Advokatų kontoros „TGS Baltic“ partneris Mindaugas Civilka pažymi, kad šiandien ne specialistų BDAR suprantamas kiek iškreiptai. „Reglamentas nėra taisyklių rinkinys, tai yra gairių rinkinys, kuriame konkretumo labai nedaug. Jame, kaip tarkime, Konstitucijoje, principai yra bendri – čia nešnekama apie skolininkų informaciją sodininkų bendrijų skelbimo lentose ar viešą mokinių vardų skelbimą“, – skirtumą pabrėžia jis.
Kaip laikytis šio reglamento, konsultuoja valstybinės institucijos ir įvairios teisinės įmonės, tačiau suderinti gaires ir duomenų apsaugą reglamentuojančią tvarką bus palikta pačioms valstybėms.
Kartu su įsigaliojusiu BDAR pradeda veikti Europos duomenų apsaugos valdyba, turinti plačius įgaliojimus spręsti nacionalinių priežiūros institucijų ginčus ir teikti patarimus. „Reglamento aiškintojas šiandien yra praktiškai kiekvienas jo skaitytojas, bet galutinį žodį greičiausiai tars valdyba ir teismai“, – sako M. Civilka.
Kur galioja BDAR?
Šis reglamentas galioja Europos Sąjungos šalyse, tačiau jo turi laikytis ir kiti verslai iš trečiųjų šalių, renkantys ir saugantys ES vartotojų duomenis. Nepaisant to, kad BDAR apima visą ES, išlieka reali tikimybė, kad jo taikymas skirtingose ES šalyse gali šiek tiek skirtis.
Kol Jungtinė Karalystė neišstojo iš ES, reglamentas galioja ir joje, tačiau šios šalies verslininkai ir vėliau neabejotinai jaus jo poveikį.
Ką naujoji tvarka pakeis versle?
Verslui teks daugiau atsakomybės ir atskaitomybės už tai, kas su surinktais duomenimis daroma. Taip pat nebus galima rinkti ir tvarkyti daugiau duomenų, nei iš tiesų reikia. Tai nebūtinai reiškia, kad bus teikiama mažiau informacijos, nes konkrečias verslo sritis reglamentuoja įvairūs kiti reglamentai ir įstatymai. Tačiau verslas privalės būti pasiruošęs atsakyti, kokiu pagrindu reikalauja vienokių ar kitokių duomenų.
Reglamentas galioja tiek mažoms, tiek didelėms įmonėms. Ūkio subjektas turi žinoti, kiek asmens duomenų surinkta, kam jie renkami ir kur saugomi, kas turi prieigą, kam jie perduodami bei iš kokių šaltinių gaunami. Be to, praėjus nustatytiems terminams, kai kurie duomenys turės būti sunaikinti.
Kuo BDAR bus naudingas vartotojams?
Paprastiems vartotojams reglamentas suteiks daugiau teisių tvarkant asmeninę informaciją.
„Galime sakyti, kad žmogus įgis teises disponuoti savo duomenimis taip, kaip dabar disponuoja piniginėmis lėšomis, ir įvertinęs aplinkybes rūpestingai priimti sprendimus. Nebus taip, kad duomenys be jo žinios nukeliaus ten, kur jis nė neįtaria, ir jais nebus keičiamasi dideliais kiekiais“, – aiškina M. Civilka.
Pirmuosius ar bent labiausiai matomus to pavyzdžius vartotojai galėjo pajusti pavasarį, kai prieš įsigaliojant reglamentui į elektroninius paštus plūstelėjo įvairūs priminimai. Šie pranešimai suteikė vartotojui gerą galimybę pasižiūrėti, kur išmėtyti jo asmeniniai duomenys, ir tarsi iš naujo „inventorizuoti“ šią informaciją.
Reglamente itin pabrėžiamas „išsakytas sutikimas“, t. y. negalima tiesiog numanyti, kad žmogus sutinka dėl jo informacijos tvarkymo, jis turi aktyviai šį sutikimą išreikšti. Net ir asmeniui sutikus, jam turi būti palikta galimybė savo sprendimus peržiūrėti ir keisti.
Asmenys gali reikalauti informacijos apie jų duomenų tvarkymo laikotarpį. Taip pat suteikiama galimybė gauti asmens duomenis, kuriuos jis pateikė duomenų valdytojui, ir persiųsti juos kitur. Nors teisė į sukauptą informaciją egzistavo visuomet, nuo šiol ją bus galima gauti žymiai patogiau ir plačiau. Vartotojai gali reikalauti sukauptų duomenų – kad ir iš „Google“ ar „Facebook“ – bei pareikalauti juos ištrinti.
Nepilnamečių iki 16 metų duomenis galima tvarkyti tik gavus tėvų ar globėjų sutikimą, be to, jie turi teisę paprašyti tuos duomenis ištrinti jau būdami suaugę.
Teisė į tam tikrų nebeaktualių duomenų ištrynimą ar prieigos prie jų ribojimą taip pat galioja visiems ES piliečiams (vadinamoji „teisė būti pamirštam“).
Ar sulauksiu mažiau reklamos ir reklaminių skambučių?
Reklamos turinys neišvengiamai keisis, tačiau jos kiekis – nebūtinai. Slapukų (angl. cookies) naudojimui reikės atskiro sutikimo, tad nesutikus duoti savo duomenų tiesioginei rinkodarai, rodomos reklamos bus nepersonalizuotos, t. y. gali būti mažiau aktualios. Be sutikimo nebebus galima siūlyti reklamų, suformuotų pagal vartotojo naršymo istoriją.
Situacija dėl telerinkodaros taip pat gali nepagerėti, mano M. Civilka. „Skambučiai be išankstinio sutikimo ir anksčiau, ir dabar išlieka nelabai teisėti. Jų teoriškai net būti negalėtų, bet yra verslų, kurie rizikuoja ir šiandien“, – sakė jis.
Ar reikės rašytinio leidimo, jei norėsite išgirsti savo vardą viešame renginyje?
BDAR įsigaliojo tuo metu, kai mokiniai baigia mokyklas ir gauna diplomus, todėl žiniasklaidoje jau spėjo nuskambėti keletas istorijų, kaip mokyklos prašė leidimo viešai skelbti vaikų vardus ir pavardes. Šie pasakojimai pasitikti su doze ironijos ir kritikos strėlėmis į reglamento pusę.
Vis dėlto svarbu pažymėti, kad iniciatyvos, nenorėdamos rizikuoti dėl gana jautraus vaikų asmeninių duomenų tvarkymo, šiuo atveju ėmėsi kelios mokyklos. Pats BDAR čia yra atviras interpretacijoms. Valstybinė duomenų apsaugos inspekcija vėliau išplatino pranešimą, kuriame pažymėjo, kad toks rūpestis buvo perteklinis – dalyvaudami mokyklos baigimo renginyje, kurio viena iš neatsiejamų dalių yra diplomų ir padėkos raštų įteikimas, asmenys parodo ir sutinka, kad jų vardas ir pavardė būtų skelbiami.
Ši istorija tik iliustruoja, kad platus ir nekonkretus reglamentas kol kas gali kelti nemažai chaoso, ypač mėginant pritaikyti jį specifinėse gyvenimo situacijose.
Kas laukia tų, kurie nesilaikys numatytos tvarkos?
Nutarimas patvirtinti reglamentą buvo priimtas 2016 balandžio 14 d., tad laiko pasiruošti pokyčiams turėjo pakakti.
Reglamente numatytos maksimalios baudos už taisyklių nesilaikymą yra itin didelės. Vis dėlto priežiūros institucijos nėra nusiteikusios iškart bausti kiek pasimetusių bendrovių. Teisingumo ministras Elvinas Jankevičius prieš įsigaliojant reglamentui žadėjo, kad atsakingos institucijos dar kurį laiką baudų neskirs, o tiesiog konsultuos. Net ir pažeidus tvarką, pirmiausia Valstybinė duomenų apsaugos inspekcija gali atsiųsti įspėjimą arba papeikimą.
Nepaisant to, įmonėms šiurkščiai pažeidus BDAR, verslas gali būti nubaustas 4 proc. bauda nuo pasaulinės apyvartos, arba sumokėti 20 mln. eurų, jei tokia bauda pasirodytų didesnė.
