Turi teisę į duomenų apsaugą. Ar jos kas paiso?
Kiek valandų per dieną praleidžiame virtualioje realybėje? Reikia pagalvoti. O ar dažnai pagalvojame apie savo asmens duomenų apsaugą skaitmeninėje erdvėje? Juk iš tiesų mūsų asmeninė informacija toje erdvėje yra ranka pasiekiama. Net 2 iš 5 apklausos dalyvių pripažino, kad neišmano savo teisių duomenų apsaugos srityje, o apie Bendrąjį duomenų apsaugos reglamentą yra girdėję vos 1 iš 5 apklaustųjų, – teigia žmogaus teisių stebėjimo instituto direktoriaus pavaduotoja Natalija Bitiukova. Žmogaus teisių stebėjimo insituto spalio 27 d. organizuojame „Skaitmeninių teisių forume 2016“ bus galima susipažinti su nauju duomenų apsaugos reglamentu ir sužinoti kokias laisves ir teises į privatumą mes turime skaitmeninėje erdvėje. Na o dabar apie asmens kodus, pirštų antspaudus ir internetines grėsmes kalbamės su viena iš forumo organizatorių – Natalija Bitiukova.
– Ar galėtumėte apibūdinti sąvoką „skaitmeninės teisės“? Kuo ši tema svarbi šiuolaikinėje skaitmeninėje eroje?
Vartodami sąvoką „skaitmeninės teisės“ turime omenyje įvairius saviraiškos laisvės ir teisės į privatumą aspektus, kurie yra ypač reikšmingi skaitmeninėje erdvėje. Tai yra: galimybę gauti prieigą prie tinklalapių, anonimiškai dalyvauti forumuose ir diskusijose, teisę būti pamirštam, teisę valdyti savo duomenis ir reikalauti, kad pvz. interneto parduotuvė jų neperduotų tretiesiems asmenims, taip pat, kad valstybės institucijos neteisėtai neskaitytų mūsų elektroninio susirašinėjimo ir pan.
Kalbant apie duomenų apsaugos aspektą – šiuo metu įmonėms, organizacijoms ir valstybės institucijoms perduodame milžinišką kiekį savo duomenų. Atitinkamai, eksponentiškai auga ir grėsmės, susijusios su netinkamu šių duomenų panaudojimu. Prisiminkime per Seimo rinkimus nuskambėjusį skandalą, kuomet Vyriausioji rinkimų komisija, nepasirūpinusi duomenų saugumu, nutekino mūsų asmens duomenis. Nemenkas skandalas kilo ir tuomet, kai Finansinių nusikaltimų tyrimo tarnyba be aiškaus pagrindo pareikalavo, kad „Paysera“ pateiktų ne tik visų kortelių savininkų duomenis, bet ir informaciją apie jų atliktas transakcijas.
Europos lygmeniu didelis dėmesys dabar yra skiriamas profiliavimui t.y. kompiuterio ar analogiškos sistemos atliekamam duomenų tvarkymui, siekiant įvertinti ar numatyti asmens elgesį, darbo rezultatus, ekonominę situaciją, sveikatos būklę, interesus ir pan. Pavyzdžiui, algoritmų pagrindu yra išanalizuojami duomenys, kuriais asmuo pasidalino savo soc. tinkle, el. susirašinėjime, Instagram, Twitter ir pan. ir jų pagrindu nusprendžiama ar asmuo yra tinkamas darbui, ar jis turi teisę gauti paskolą. Neseniai išleistoje mokslininkės Cathy O’Neil knygoje „Weapons of Math Destruction“ yra pateikiami iliustratyvūs pavyzdžiai kaip tokios sistemos gali priimti šališkus ir diskriminacinius sprendimus.
– Kokios galimos grėsmės tyko skaitmeninėje erdvėje? Kaip galima jų išvengti?
Efektyviausias būdas yra atsiskirti nuo pasaulio ir niekam neteikti savo asmens duomenų (šypsena). O racionalesnis variantas yra imtis priemonių savo asmens duomenims apsaugoti, pavyzdžiui šifravimo technologijų, apgalvotai rinktis paslaugų teikėjus (pasidomėti jų privatumo politika) ir suvokti savo duomenų atskleidimo soc. tinkluose pasekmes, bei, įtariant, kad jūsų duomenys yra tvarkomi netinkamai – imtis savo teisių gynimo priemonių.
– Iš tiesų pagirtina, kad pradedama kalbėti apie žmogaus teises skaitmeninėje erdvėje, kaip manote kokių pokyčių turėtų atnešti šis forumas bei naujas ES asmens duomenų apsaugos reglamentas?
Pasaulyje apie tai pradėta kalbėti jau pakankamai seniai, buvo ir pavienių diskusijų Lietuvoje. Greičiau kad šiemet priimtas Bendrasis duomenų apsaugos reglamentas (toliau – Reglamentas), kurį dažnas komentatorius prilygina „teisinei audrai“, paskatino apie tai kalbėti garsiau ir analizuoti giliau.
Reglamentas buvo priimtas suvokus, kad 90-tųjų metų teisinis reguliavimas neatitiko skaitmeninės visuomenės iššūkių. Pagalvokit – 1995 metais internetu naudojosi vos 1% pasaulio gyventojų, o Google paieškos sistema, kurioje atliekamų paieškų skaičius šiandien siekia du trilijonus per metus, apskritai nebuvo sukurta iki 1996 metų.
Iš vartotojo perspektyvos, Reglamentas įtvirtina tokias teises, kaip teisę į duomenų perkėlimą, teisę būti pamirštam, teisę reikalauti ištrinti duomenis, teisę prieštarauti automatiniu būdu priimtiems sprendimams ir profiliavimui ir kitas. Įmonių ir organizacijų atsakomybė už duomenų tvarkymą remiasi atskaitomybės principu – nepakanka tik tinkamai tvarkyti duomenis, reikia taip pat sugebėti įrodyti, kad jie yra tvarkomi tinkamai. Tai yra aukštas standartas, tačiau nemažai įmonių džiaugiasi, kad ji įgyvendinus tinkamai, tai gali prisidėti prie jų konkurencinio pranašumo, nes vartotojai bus labiau linkę patikėti joms savo duomenis.
Žiniasklaidoje teko skaityti kelis ekspertų iš Lietuvos komentarus teigiančius, kad Reglamentas esą atneš pokyčius tik įmonėms, tvarkančioms duomenis „nelegaliai“, o kitų atžvilgiu nieko nepakeis. Negaliu sutikti su pozicija, prilyginančią Reglamentą nepažangiųjų baudimo įrankiui – Reglamento tikslas yra kaip tik paskatinti atskaitomybę per dalinę savireguliaciją – etikos kodeksų, sertifikavimo diegimą, darbuotojų mokymus, duomenų apsaugos pareigūno samdymą, pritaikytosios duomenų apsaugos standarto diegimą. Beje, jis panaikina administracinę naštą visoms įmonėms, tvarkančioms duomenis, registruotis duomenų valdytojų registre.
Norėdami išsklaidyti šiuos mitus bei paskatinti dialogą tarp ne visuomet už vieno stalo susėdančių grupių – nevyriausybinių organizacijų, valstybės institucijų ir verslo atstovų, – spalio 27 d. Vilniuje organizuojame pirmąjį Skaitmeninių teisių forumą. Į jį atvyks puikūs ekspertai iš Europos Komisijos, Europos duomenų apsaugos priežiūros pareigūno įstaigos, Baltijos duomenų apsaugos priežiūros institucijų ir pan. Visus labai kviečiame stebėti Forumą gyvai (daugiau informacijos).
– Ar žmonės Lietuvoje žino savo teises į duomenų apsaugą?
Mūsų ir „Spinter tyrimai“ liepos mėnesį atlikta reprezentatyvi apklausa rodo, kad gyventojų žinios apie duomenų apsaugą yra pakankamai menkos. 2 iš 5 apklausos dalyvių pripažino, kad neišmano savo teisių duomenų apsaugos srityje, o apie Reglamentą yra girdėję vos 1 iš 5 apklaustųjų.
Tačiau tokie rezultatai yra dėsningi – išskyrus kelias iniciatyvas, Lietuvoje nėra plačių kampanijų, skirtų paaiškinti gyventojams kompleksinius procesus, vykstančius tvarkant jų duomenis bei įgalinti juos geriau šiuos procesus kontroliuoti.
– Ar sulaukiate skundų, pagalbos prašymų, esant duomenų apsaugos pažeidimams?
Taip, šioje srityje sulaukiame nemažai skundų. Tiesa, dauguma jų yra susiję su pažeidimais, kurie turi išraišką fiziniame pasaulyje. Pavyzdžiui, nors kaimynai tam prieštarauja, vienas iš jų įsirengia vaizdo stebėjimo kameras laiptinėje, o į tų kamerų vaizdo stebėjimo lauką patenka visų laiptinės kaimynų durys. Esame gavę skundų ir dėl asmens duomenų tvarkymo tam nesant teisėtų pagrindų, duomenų perdavimo kitoms įmonėms negavus asmens sutikimo, darbuotojų stebėjimo darbo vietoje ir pan. Pastebime, kad žmonės tapo žymiai jautresni pertekliniams prašymams pateikti asmens kodą – jie atsisako tą daryti, kas verčia įmones keisti praktiką. Prieš dešimt metų norint grąžinti prekes ar gauti lojalumo kortelę ši informacija buvo masiškai renkamai, dabar tai tampa daugiau retenybe.
– Kaip planuojama įgyvendinti duomenų apsaugos reglamentą ir kaip galima patikrinti ar jo laikomasi darbo ir privačioje aplinkose?
Čia yra milijono vertės klausimas J Vienas dalykas yra aiškus – šiuo metu yra rengiami Asmens duomenų teisinės apsaugos įstatymo ir kelių įgyvendinančių teisės aktų pakeitimai, nes reikia Lietuvos teisės aktus suderinti su Reglamento nuostatomis. Tačiau Reglamente yra per 50 „lanksčių nuostatų“ suteikiančių valstybėms laisvę pasirinkti kaip sureguliuoti atskirus duomenų apsaugos aspektus. Kokį kelia šiuo atveju pasirinks Lietuva sužinosime iki metų pabaigos – tada bus pateiktas pirmasis pakeitimų projektas.
Tuo tarpu įmonėms ir organizacijoms yra patartina nelaukti kol Reglamentas bus pradėtas taikyti (2018 m. gegužės 25 d.), o išnaudoti „tylos prieš audrą“ laikotarpį pasiruošimui. Pirma, reikėtų atlikti visų savo vidinių operacijų, susijusių su asmens duomenų tvarkymu, auditą, nustatyti didžiausias rizikas ir sukurti procesus, kurie padėtų jų išvengti.
Antra, nuodugniai peržiūrėti savo privatumo politiką (ypač toms bendrovėms, kurios teikia prekes ir paslaugas el. erdvėje) ir užtikrinti, kad joje vartotojai rastų visą būtiną informaciją (duomenų tvarkymo kriterijus, laikotarpį, informaciją apie duomenų teikimą trečiosioms šalims, informaciją apie vartotojų teises ir pan.).
Trečia, apgalvoti kaip jos įgyvendins naujas vartotojų teises, pavyzdžiui, teisę į duomenų perkėlimą. Ši teisė yra kažkuo panaši į numerio perkėlimo paslaugą, kuomet keičiate vieną mobiliojo ryšio operatorių kitu. Taip ir čia – norėdami palikti vieną soc. tinklą ar el. pašto teikėją ir pereiti prie kito, jūs galėsite „išsinešti“ savo asmens duomenis „skaitomu“ formatu, t.y. jums nereikės kiekvienos nuotraukos ar el. laiško atsisiųsti sau į kompiuterį ir rankiniu būdu vėl įkelti į kitą svetainę. Aišku, įmonėms atsiranda atitinkama pareiga šią teisę užtikrinti – apie tai verta galvoti jau dabar.
Reglamento įgyvendinimo priežiūrą, tiek pagal vartotojų skundus, tiek savo iniciatyva, atliks Valstybinė duomenų apsaugos inspekcija.
– Ką privalo žinoti kiekvienas žmogus apie savo teises į duomenų apsaugą?
Prieš pradedant kalbėti apie teises, verta išsiaiškinti kas apskritai yra asmens duomenys.
Mūsų apklausos rodo, kad net apie 40 proc. apklaustų Lietuvos gyventojų galvoja, kad jie patys sprendžia kokia informacija yra laikoma asmens duomenimis. Tai yra klaidinga nuostata. Tiek dabar galiojantis reguliavimas, tiek Reglamentas pateikia itin platų asmens duomenų apibrėžimą, į kurį patenka asmens vardas, pavardė, asmens kodas, gimimo data, pirštų antspaudai, biometriniai duomenys, ir netgi IP adresas.
Įgyvendindami savo teisę į asmens duomenų apsaugą, mes turime teisę sužinoti kokios operacijos su mūsų duomenimis yra atliekamos, susipažinti su surinktais duomenimis, reikalauti ištaisyti ar ištrinti duomenis, sustabdyti duomenų tvarkymą ir pan. Šių teisių apimtį nustato Asmens duomenų teisinės apsaugos įstatymas.
– Kur kreiptis esant tam tikriems pažeidimams?
Priklauso nuo situacijos ir Jūsų lūkesčių. Tapatybės vagystės atveju verta kreiptis į policiją, dėl privatumo pažeidimų žiniasklaidos srityje (pvz. neteisėto Jūsų nuotraukos naudojimo spaudoje) – į Žurnalistų etikos inspektoriaus tarnybą. Visgi, daugumą duomenų apsaugos pažeidimų tiria Valstybinė duomenų apsaugos inspekcija, kuriai galima pateikti skundą raštu. Inspekcija, išnagrinėjusį skundą gali pinigine bauda nubausti pažeidėją. Tačiau, jeigu jūs norite, kad jums būtų atlyginta pažeidimu padaryta turtinė ar neturtinė žala teks kreiptis į teismą.
Tyrimai rodo, kad gyventojai dėl teisinių žinių trūkumo ir teisinės pagalbos neprieinamumo dažnai vengia kreiptis į šias institucijas ir ginti savo teises. Įdomu tai, kad Reglamentas siekia praktiškai spręsti šią situaciją – jis suteikia galimybę nevyriausybinėms organizacijoms, dirbančioms duomenų apsaugos srityje, atstovauti gyventojus Inspekcijoje ir teismuose. Mano manymu, tai turėtų ženkliai prisidėti prie efektyvesnio teisių užtikrinimo.
Milda Petkauskaitė
Dėkojame ŽTSI už iliustracijas
Euroblogas.lt 
Parašykite komentarą