aA
Prancūzijos duomenų apsaugos priežiūros institucija (CNIL) JAV kompanijai Google skyrė 50 mln. Eur baudą už Bendrojo duomenų apsaugos reglamento (BDAR) pažeidimus. Tai didžiausia iki šiol skirta bauda už šio reglamento pažeidimus, tačiau daug tai ar mažai tokiai kompanijai kaip Google? Vienas iš baudos tikslų, be abejo – kitaip ir būti negalėtų – skatinimas pasitaisyti ir atgrasymas nuo pažeidimų ateityje. Tikėtina, kad šiuo atveju baudos dydis – 50 mln. Eur kompanijai, kurios 2017 m. apyvarta, kaip nurodoma CNIL sprendime, yra 109,7 milijardų JAV dolerių (apie 96 milijardų Eur), turbūt nėra lemiamas veiksnys planuojant tolesnius veiksmus (nesunku paskaičiuoti, kad skirtoji bauda toli gražu nesiekia 4 proc. apyvartos).
Dijana Šinkūnienė
© Asmeninio albumo nuotr.

Google dar nepaskelbė, kokių veiksmų imsis sprendimo atžvilgiu. Kaip visi suprantame, bauda pati savaime situacijos neištaisys, tad būtent sprendimo įgyvendinimas ir yra esminis momentas, kai kalbame apie ES piliečių asmens duomenų apsaugą. CNIL sprendime nurodyti pažeidimai – skaidrumo trūkumas ir tinkamo naudotojų sutikimo nebuvimas – yra kertinių BDAR vertybių ignoravimas, taigi, jie iš tiesų rimti. Kita vertus, ar kiekviena įmonė gali būti tikra, kad minėtus BDAR reikalavimus įgyvendina tinkamai? CNIL sprendimas ir Google skirta bauda skatina susimąstyti apie praktinius BDAR įgyvendinimo aspektus.

Pradėkime nuo skaidrumo principo įgyvendinimo. BDAR reikalauja, kad visa informacija žmogui apie jo asmens duomenų naudojimą būtų pateikiama „glausta, skaidria, suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba“. Viskas aišku – genialu tai, kas paprasta. Tačiau kaip pasiekti to genialaus paprastumo, kai sudėtingus techninius dalykus reikia paaiškinti paprastam vartotojui? Prieš pradedant taikyti BDAR didžiulės specialistų komandos dirbo prie privatumo pranešimų kad įgyvendintų minėtus reikalavimus. Kaip vėliau paaiškėjo, privatumo pranešimų (dar dažnai vadinamų „privatumo politika“) daugelis vartotojų neperskaito, dar daugiau – vartotojus piktina prašomos žymėti „varnelės“. Retorinis klausimas: tai kas dėl to kaltas – netikę specialistai, nesugebėję parašyti aiškiai, trumpai, paprastai, ar žmonės, nesirūpinantys ir nesidomintys savo asmens duomenų apsauga?

Nemažai minėtų specialistų tyliai sprendė dilemą: kam labiau įtikti – žmogui ar priežiūros institucijai, kuri neabejotinai privatumo pranešimuose ieškos visos BDAR reikalaujamos informacijos (tiesos dėlei reikia priminti, kad minėta informacija apima 12 punktų, ir taip apie kiekvieną duomenų tvarkymo operaciją). Įtikti reikia abiems. Google atveju turime netinkamą pavyzdį – informacija neaiški, neišsami, be to, buvo pateikiama keliuose dokumentuose. Drįstu spėti, kad nė vienas specialistas nenorėtų, kad jo rengtas privatumo pranešimas taptų dar vienu blogu pavyzdžiu. Tačiau turbūt daugelis norėtų turėti gerą pavyzdį. Bent vieną. Tik kas gali pasakyti, kaip turi atrodyti tas gerasis pavyzdinis privatumo pranešimas?

Iki CNIL sprendimo priežiūros institucijos apsiribojo rekomendacijomis, tačiau jos to vienintelio teisingo atsakymo neduoda. „Suprantama, aišku, paprasta“ – vertinamieji požymiai, priklausantys nuo subjektyvaus konkretaus žmogaus supratimo, tad tikėtina, kad skaidrumo principo taikymo praktiką formuosime dar ilgai. Prie spartesnių aiškumo paieškų turėtų prisidėti tiek priežiūros institucijos (ir ne tik skirdamos baudas), tiek specialistai, įgyvendinantys BDAR reikalavimus, tiek ir pačių vartotojų interesus atstovaujančios organizacijos.

Kitas kausimas – žmogaus sutikimas. Google atveju buvo konstatuota, kad žmogus neturėjo galimybės pasirinkti, ar jis sutinka su asmens duomenų naudojimu reklamų personalizavimo tikslais, nes vartotojams buvo rodomi iš anksto pažymėti „sutikimai“. Čia norisi iškelti klausimą, koks realus pasirinkimas žmogui galimas šiuo atveju? Tikėtina, kad būtent į šį klausimą turėtų atsakyti Google kompanija ketindama ištaisyti CNIL sprendime nurodytus trūkumus. Versle, susijusiame su dideliais kiekiais asmeninės informacijos, realybė dažnai yra tokia, kad paslauga yra pigesnė (arba nemokama) todėl, kad verslas gauna papildomas pajamas pasinaudodamas vartotojų asmens duomenimis.

Jau turbūt ne kartą teko girdėti frazę: nori privatumo – susimokėk. Ir čia galima kelti dar daug iš to išplaukiančių klausimų – ar teisėta, ar etiška reikalauti susimokėti už privatumą? Kur riba, kiek verslas gali sau leisti šitaip „uždarbiauti“ pasinaudodamas asmenine vartotojų informacija? Ar asmens duomenys jokiu atveju ir jokia apimtimi negali tapti atlygiu už paslaugą? Klausimai iš tiesų nepatogūs, tai tas pats, lyg klaustume – ar sutinkate atsisakyti dalies savo teisių mainais už pigesnę paslaugą? Tačiau ar būtų teisinga juos nutylėti nekeliant diskusijų, neieškant atsakymų ir nepriimant aiškių sprendimų?

Klausimų yra daug daugiau, nei atsakymų, ir ne tik kalbant apie minėtą CNIL sprendimą, skaidrumą ir sutikimą. Asmens duomenų apsauga ir BDAR nustatytos taisyklės negali būti tik formalumu. Priešingu atveju formalumu virstų ir viena iš Europos žmogaus teisių chartijoje įtvirtintų teisių – teisė į asmens duomenų apsaugą. Tačiau tiesa yra ir tai, kad siekiant to išvengti reikalinga aiški ir nuosekli BDAR reikalavimų taikymo praktika. CNIL sprendimo kontekste tenka konstatuoti, kad tai tik vienos priežiūros institucijos pateiktas faktų interpretavimas. Ar galime būti tikri, kad kita priežiūros institucija panašią situaciją vertintų taip pat? Ar nuosekliam BDAR taikymui sukurti mechanizmai yra tinkami, ar Duomenų apsaugos valdyba ir priežiūros institucijos turi pakankamai išteklių ir yra pasirengusios juos įgyvendinti, parodys netolima ateitis.

Griežtai draudžiama DELFI paskelbtą informaciją panaudoti kitose interneto svetainėse, žiniasklaidos priemonėse ar kitur arba platinti mūsų medžiagą kuriuo nors pavidalu be sutikimo, o jei sutikimas gautas, būtina nurodyti DELFI kaip šaltinį.