Nepaisant 2 pasiruošimui skirtų metų ir jau prabėgusių 7 mėnesių po jo įsigaliojimo, reta įmonė ar įstaiga Lietuvoje galėtų pasigirti 100 proc. atitiktimi BDAR reikalavimams. Priežasčių nemažai: tradiciškai šiai sričiai nebuvo skiriamas prioritetas, duomenų valdytojams pasirodė sudėtinga įvertinti tvarkomų duomenų ir reikalingų veiksmų apimtį, trukdė lėšų trūkumas ir, žinoma, išsamių, suprantamų žemesnės galios teisės aktų bei jų išaiškinimų stoka iš kompetetingų institucijų pusės. Tad kas papuolė po reformos vežimo ratais?
Daugumai grūmojo pirštu, baudė vienetus
Grėsmingas baudų (iki 4 proc. nuo apyvartos ar 20 milijonų eurų) leitmotyvas, labiausiai skatinęs įmones ir institucijas imtis veiksmų, kol kas netapo realybe. Europoje bene griežčiausių sankcijų sulaukė Portugalijos Bareiro miesto ligoninė – jai skirtų baudų, susijusių su jos pacientų duomenų apsauga ir prieigos prie jų suteikimu, suma siekė 400 tūkst. eurų. Didžiosios Britanijos Informacijos komisaro biuras užsimojo plačiau – pateikė oficialų įspėjimą su „Facebook", o duomenimis prekiavusia kompanija „Cambridge Analytica“ susijusiai Kanados bendrovei „AggregateIQ“ dėl jai gresiančios iki 17 milijonų eurų baudos, su kuria pastaroji nenori sutikti.
Tuo tarpu Lietuvos Valstybinė duomenų apsaugos inspekcija iki 2018 m. lapkričio pabaigos baudų dėl BDAR pažeidimų nebuvo skyrusi, o tikrinimų metu orientavosi į pažeidimų išaiškinimą ir nurodymą juos ištaisyti. Tačiau Europos duomenų apsaugos priežiūros pareigūnas Giovanni Buttarelli spalį pareiškė, kad netolimoje ateityje galima tikėtis priežiūros institucijų baudų ir kitokių priemonių, skirtų BDAR vykdymo užtikrinimui, tad duomenų valdytojai ir tvarkytojai neturėtų puoselėti vilčių, jog į pažeidimus bus žiūrima pro pirštus.
Sąmoningumas duomenų apsaugos srityje auga
Jau dabar aišku, kad vienas BDAR tikslų – didinti žmonių dėmesį savo asmens duomenų apsaugai – tikrai sėkmingai įgyvendinamas. Tą liudija smarkiai šoktelėjęs skundų priežiūros institucijoms skaičius. Ir tai yra ne vien skundai, kuriuos kruopščiai iš anksto rengė šios srities profesionalai užsienyje. Pavyzdžiui, vos per kelias valandas nuo BDAR įsigaliojimo asmenys, susiję su asmens duomenų apsaugos aktyvistu Maxu Schremsu, išgarsėjusiu kaip Europos Komisijos ir JAV duomenų apsaugos sistemos „Saugus uostas“ griūties kaltininkas, Prancūzijoje, Belgijoje, Austrijoje ir Vokietijoje apskundė „Facebook“, „Google“, „Instagram“ ir „WhatsApp“ dėl to, kad šie interneto gigantai verčia vartotoją, pageidaujantį naudotis jų paslaugomis, duoti sutikimą naudoti jo asmens duomenis, o toks sutikimas negali būti laikomas laisvai duotu, taigi, atitinkančiu BDAR nuostatas.
Dažniausiai tai atvejai, kai į priežiūros instituciją kreipėsi dėl savo asmens duomenų naudojimo sunerimę paprasti žmonės. Valstybinė duomenų apsaugos inspekcija pranešė, kad skundų skaičius po BDAR įsigaliojimo padvigubėjo (per visus 2017 m. sulaukta 480 skundų, o vien per tris 2018 m. ketvirčius gauta 644 skundai (2017 m. per 3 ketv. buvo gauta 311 skundų).
Staigus skundų šuolis pastebimas ir kitose ES valstybėse. Išaugusį sąmoningumo lygį rodo net ir komentarai socialinėje erdvėje, aptariant, atrodo, tiesiogiai su asmens duomenų apsauga nesusijusias temas: pavyzdžiui, žmonėms kyla klausimai, kodėl nebuvo gautas jų sutikimas pensijų reformos metu automatiškai perduodant jų duomenis atsitiktine tvarka parinktoms pensijų kaupimo bendrovėms.
Nors, kaip ir šiuo atveju, sutikimo būtinumas dažnai yra pervertinamas (mat teisinė prievolė ar užduotis, vykdoma viešojo intereso labui, jau yra duomenų tvarkymo pagrindas, ir papildomai sutikimo nebereikia), tačiau vien tai, jog žmonės nagrinėja net valdžios įstaigų veiksmų teisėtumą, rodo, kad BDAR rezultatas bus ne tik duomenų tvarkymo veiklos įrašų atsiradimas įmonėse, bet ir plika akim nematomi įrašai žmonių sąmonėje.
Ar miglotos BDAR nuostatos taps aiškios?
BDAR nėra į visus klausimus atsakantis dokumentas. Atvirkščiai, daugelis jo nuostatų numato papildomų nacionalinių teisės aktų būtinybę. Vis dėlto, praėjus daugiau kaip pusmečiui po BDAR įsigaliojimo, stebina tai, kad valstybės institucijos neskuba parengti visišką aiškumą užtikrinančių teisės aktų. Lietuvoje nauja įstatymo redakcija, įtvirtinanti svarbias nuostatas dėl asmens kodo naudojimo, vaiko amžiaus, kai jis gali duoti sutikimą dėl savo asmens duomenų tvarkymo ir t.t., buvo priimta gerokai po BDAR įsigaliojimo, liepos 16 d. Keletas Valstybinės duomenų apsaugos inspekcijos išleistų įsakymų ar gairių aiškiai nepatenkina atsakymų į dažniausiai verslui kylančius klausimus poreikio. Juo labiau, kad šie dokumentai dažniausiai atkartoja Europos duomenų apsaugos valdybos gaires.
Todėl duomenų valdytojai gali tik su pavydu žvelgti į kaimyninės Estijos priežiūros institucijos praktiką, kai pateikiami konkretūs išaiškinimai – šios valstybės Duomenų apsaugos inspekcija nurodė, kokio būtent skaičiaus asmenų duomenų tvarkymas jau turi būti laikomas didelio masto tvarkymu, o toks įvertinimas yra kertinis momentas duomenų valdytojams sprendžiant, ar jie privalo skirti duomenų apsaugos pareigūną bei atlikti poveikio duomenų apsaugai vertinimą.
Trūkstant oficialių gairių ir išaiškinimų, būtų galima remtis teismų praktika ar Valstybinės duomenų apsaugos inspekcijos kartais skelbiamomis patikrinimų išvadomis. Tačiau teismų praktikos dar laukia ilgas formavimosi kelias, o susipažinus su inspekcijos patikrinimų išvadomis, kartais kyla net dar daugiau klausimų.
Štai patikrinusi asmens duomenų tvarkymą didžiosiose bendrovėse, veikiančiose maisto, namų apyvokos prekių parduotuvių ir vaistinių sektoriuje, inspekcija nusprendė, jog jos neteisėtai tvarko asmens duomenis tiesioginės rinkodaros tikslais, kaip pagrindu remdamosios savo interesais. Tokio sprendimo priežastis, anot inspekcijos, yra tai, kad bendrovių interesas pritaikyti savo teikiamas paslaugas (prekes) kiek įmanoma labiau klientų poreikiams bei efektyvinant bendrovių verslą yra ne toks svarbus, kaip duomenų subjektų (klientų, pirkėjų) interesai.
Po tokio sprendimo verslo subjektams kyla nemažai pagrįstų klausimų, kokiais kriterijais reikia remtis sprendžiant, kieno interesai – duomenų subjektų (pvz., klientų) ar duomenų valdytojo yra svarbesni? Juk BDAR aiškiai nurodo, kad asmens duomenų tvarkymas tiesioginės rinkodaros tikslais gali būti vertinamas kaip atliekamas vadovaujantis teisėtu interesu, o ši tikrinimo išvada kalba priešingai ir tam nepateikia aiškaus pagrindo. Dėl tokių ir kitų panašių neaiškumų pasiekti atitiktį BDAR reikalavimams tampa tik dar sudėtingiau.
Nepaisant neaiškumų BDAR vežimas įsilingavo ir sėkmingai rieda kelyje, o kol kas nei viena Lietuvos įstaiga ar įmonė po jo ratais nepražuvo. Kylant duomenų subjektų sąmoningumui, verslas pradeda suvokti, kad BDAR atitiktis – tai ne tik apsauga nuo priežiūros institucijos sankcijų, bet ir pranašumas konkurencinėje kovoje bei reputacijos dalis, ir juo labiau, kad šios atitikties siekimas negali būti vienkartinė akcija, o nuolatinis ir kruopštus, tačiau vaisingas darbas.
