– Koks pagrindinis BDAR tikslas? Kodėl šis reglamentas ypač svarbus XXI a.?
– Pagrindinis BDAR tikslas, kurį skelbia Europos Sąjunga (ES), yra sustiprinti žmonių apsaugą nuo XXI a. technologijų keliamų pavojų. Pirmą kartą apie šiuos pavojus pradėta kalbėti plėtojantis internetui – 1995 m. pirmosios ES duomenų apsaugos direktyvos tikslas buvo panašus, tačiau nuo to laiko labai daug kas pasikeitė. 1995 m. duomenų apsauga buvo suvokiama kaip privatumo apsauga – duomenys gali jam pakenkti, o privatumą reikia saugoti, tad ir duomenis reikia saugoti. Šiandienos BDAR duomenų apsauga bent jau Europos Sąjungoje savaime yra vertybė ir asmens teisė, t. y. ES atskyrė teisę į duomenų apsaugą nuo teisės į privatumą. Atsiradus paieškos sistemoms, socialiniams tinklams, debesų kompiuterijai, žmonės pradėjo labiau viešinti savo duomenis, stipriai išaugo duomenų bazių apimtis, todėl ES tikslas buvo sustiprinti apsaugą visų šitų iššūkių kontekste.
Antrasis BDAR tikslas, kuris neretai pamirštamas, – užtikrinti laisvą duomenų judėjimą, kad duomenys tarnautų žmonijai. Čia iššūkis kyla ieškant sveiko balanso, kad ribojimai nebūtų per griežti, nes duomenys yra milžiniška vertybė, nuo to priklauso ateitis. Todėl duomenų apsauga turi būti derinama su visais kitais interesais. Visos naujosios, vadinamosios 4-osios pramonės revoliucijos, technologijos – dirbtinis intelektas, mašininis mokymasis, daiktų internetas, biotechnologijos ir kt. – jau dabar teikia labai daug naudos žmonijai, pradedant įvairių ligų gydymu, baigiant kelio užkirtimu įvairiems teroristiniams išpuoliams. Taigi visos technologijos gali būti naudojamos begalei gerų dalykų, tačiau yra ir pavojų. BDAR bandoma juos suvaldyti ir apsaugoti žmones šiame 4-osios pramonės revoliucijos pasaulyje.
– Nuo BDAR taikymo pradžios praėjo beveik metai – ką parodė praktika?
– Praktikos kol kas labai mažai, o Lietuvoje jos apskritai nėra. Europoje paskirtos pirmos didesnės baudos, pvz., „Google“ atvejis, kai už duomenų apsaugos pažeidimus skirta 50 mln. eurų bauda. Nors išvadas daryti kol kas labai sunku, jau dabar matyti, kad pagrindinis ES taikinys yra amerikiečių bendrovės, kurios valdys 4-osios pramonės revoliucijos pasaulį. Įdomu, kad pirmąją baudą pasaulyje gavo būtent „Google“, kuri jau dabar dominuoja daugelyje 4-osios pramonės revoliucijos sričių. „Google“ grupei priklausanti bendrovė „DeepMind Technologies“ sukūrė vieną pažangiausių dirbtinio intelekto algoritmų, kuris aplošia geriausius pasaulyje senovinio kinų stalo žaidimo go žaidėjus,Google grupė valdo ir labiausiai savivaldžių automobilių srityje pažengusią bendrovę „Waymo“.
Dabar labai svarbu pasirinkti, kokia ta praktika bus. Ir čia vėl grįžtu prie balanso klausimo – ar mes duomenis traktuosime kaip vertybę ir pripažinsime, kad turi būti užtikrintas tinkamas balansas tarp duomenų apsaugos ir visų interesų, kuriuos duomenys gali pasiekti. Nes kuo griežčiau bus interpretuojamas duomenų apsaugos reguliavimas, tuo lėtesnis bus mokslo, technologijų, verslo progresas . Jei laikysimės labai griežtų reikalavimų, algoritmai bus prastesni, o jei kursime tobulus algoritmus, nukentės duomenų apsauga.
Taigi dabar ES labai svarbu apsispręsti strategiškai, kuria kryptimi eis, kaip aiškins ir taikys BDAR, kaip jį keis ir plėtos. Tam svarbu skatinti ilgalaikę diskusiją, numatant žingsnius į priekį, nes šiandien regime labai abstrakčius BDAR principus, kurie nėra aiškūs, vertinamuosius kriterijus galima labai įvairiai interpretuoti.
– Ar ir kaip pasikeitė institucijų požiūris į duomenų apsaugą, joms ėmus taikyti BDAR?
– Sustiprėjo sąmoningumas. ES, aišku, pirmiausia baudomis pasiekė savo tikslą – reglamentas tapo daugeliui žinomas, organizacijos suvokia, kad duomenų apsauga reikia rūpintis, už tai gresia baudos. Tačiau vis dar negalime kalbėti apie duomenų apsaugos kultūrą – daugeliu atvejų įmonės tik formaliai pažymėjo varneles, padarė minimalius BDAR reikalavimus atitinkančius pakeitimus, tačiau paties suvokimo apie duomenų apsaugos kultūrą vis dar trūksta.
Šiandien organizacijoms plėtojant savo veiklą reikia realiai, o ne formaliai vadovautis BDAR reikalavimais: kuriant bet kokį naują procesą, reikia iškart įvertinti, ar nebus pažeistas duomenų apsaugos reguliavimas, perkant naujas technologijas – ar jos atitinka duomenų apsaugos principus. Svarbu į įvairius procesus įtraukti duomenų apsaugos pareigūną, kuris konsultuotų tiek naujų programų kūrėjus, tiek verslo plėtros specialistus, tiek klientus aptarnaujančius darbuotojus. Būtent tokio gilesnio supratimo dažnai pasigendu nagrinėdamas padėtį rinkoje. Manau, kad ši situacija pasikeis, kai tik Lietuvoje sulauksime pirmųjų rimtesnių baudų.
– Kokie klausimai dažniausi kilo organizacijoms, pradėjusioms taikyti BDAR? Su kokiais didžiausiais iššūkiais jos susidūrė?
– Prašymai išaiškinti abstrakčius BDAR principus yra viena svarbiausių tiek asmens duomenų apsaugos pareigūnų, tiek išorės konsultantų darbo dalių. Duomenų apsaugos pažeidimai tapo iššūkiu – pradėjusios taikyti BDAR organizacijos tiek Valstybinei duomenų inspekcijai (toliau – Inspekcijai), tiek žmonėms turi teikti pranešimus apie saugumo pažeidimus, pvz., apie įsilaužimus į interneto svetainę ir panašius atvejus, taigi joms reikia pagalbos suvaldyti šiuos pažeidimus. Įmonėms svarbios ir veiksmingos aiškios duomenų apsaugos procedūros.
Dar vienas dažnai pražiūrimas aspektas susijęs su mano jau minėtais abstrakčiais BDAR principais.
Įsigaliojus BDAR pačios įstaigos turi būti atlikusios analizę ir rūpintis įrodymais, grindžiančiais, jog jų tvarkomi asmens duomenys atitinka reikalavimus. Organizacijos, esant ginčui, turės pagrįsti, kad žmonės patys duoda sutikimą tvarkyti jų asmens duomenis, kad jos turi teisėtą interesą tuos duomenis rinkti, jų tvarkymas yra proporcingas, nėra per daug jų renkama apie klientus ir t. t. Aš matau, kad organizacijos dar nėra įsisąmoninusios, kaip svarbu tuos įrodymus turėti, nors jau dabar reikia galvoti, ką ginčo atveju bus galima parodyti Inspekcijai arba žmogui.
Dar viena BDAR naujovė, kuri, mano manymu, netolimoje ateityje bus viena karščiausių tendencijų, yra poveikio duomenų apsaugai vertinimas. Organizacijose kol kas dar iki galo nesuvokiama, kad jei jų veikloje diegiamos naujos sistemos, keičiama technika ar vykdomi kitokie pokyčiai, jos turi atlikti poveikio duomenų apsaugai vertinimą.
– Ko organizacijos galėtų pasimokyti iš „Google“ nesėkmės? Kokiems verslams gresia didžiausios baudos?
– „Google“ byla yra tik viena iš daugelio, netrukus panašiai pasibaigs „Facebook’o“, „WhatsUp’o“ ir kt. bylos. Ir nors išvadas daryti dar sunku, tačiau jau dabar matyti, kur yra didžiausia problema ir dėl ko joms greičiausiai bus skiriamos didelės baudos. Tai praktika, kai teikiant paslaugas su duomenimis atliekama daugybė veiksmų, įskaitant duomenų komercializavimą reklamos tikslais, kurie nėra būtini tai paslaugai suteikti.
Daugelis didelių bendrovių teikdamos paslaugas automatiškai analizuoja žmonių elgesį ir pagal tai jiems siūlo reklamą. „Google“, „Facebook’o“ verslo esmė yra nemokama paslauga, kurią teikiant naudojami žmogaus duomenys ir jam rodoma reklama. Toks paslaugų modelis yra lengvas taikinys baudoms.
Taigi svarbiausia yra atsirinkti, kokie asmens duomenys būtini paslaugai teikti, o kokie – ne. Jeigu žmogaus elgesio analizė, reklamos rodymas nėra būtini paslaugai suteikti, t. y. „Facebook’u“ galima naudotis ir nematydamas reklamų, vadinasi, tai negali būti pakišta po paslaugų teikimo taisyklėmis.
– Minėjote, kad BDAR tikslas yra tikrai gražus ir geras, tačiau neradus balanso jis gali padaryti ir didelės žalos. Jūsų nuomone, BDAR labiau padeda ar kenkia?
– Aš BDAR traktuoju kaip užtaisytą didelio kalibro ginklą, tad kaip ir su kiekvienu ginklu – gali padaryti labai daug gero, bet gali pridaryti ir daug žalos[GV4] . ES siekia gero – žmonės turi būti apsaugoti nuo pavojų, tačiau, kita vertus, baudos yra milžiniškos, siekia 20 mln. eurų, arba 4 proc. metinės organizacijų apyvartos, o neužtikrinus balanso galima pakenkti ES geopolitiniams interesams ir technologinei pažangai.
Todėl visada skatinu BDAR taikyti atsižvelgiant į 3 dalykus. Pirma, ar konkrečioje situacijoje kyla pavojus žmonėms ir jų duomenų rinkimui. BDAR reguliuoja bet kokius duomenų tvarkymo atvejus – nuo elektroninio laiško išsiuntimo iki duomens užrašymo kompiuteryje, slapukų ir t. t. Todėl reikia kelti klausimą, ar organizacijos veikla gali pakenkti žmonėms – ar jie gali būti diskriminuojami, fiziškai nukentėti, pasijusti nepatogiai, prarasti pinigų ir kt.
Antra, BDAR preambulėje sakoma, kad duomenys turi tarnauti žmonėms, todėl jų srautai labai svarbūs technologijų progresui, vidaus rinkai, prekybai. Taigi reikia įvertinti, ar BDAR taikomas taip, kad padėtų plėtotis technologijoms.
Trečia, labai svarbu, kad duomenų apsaugos priežiūros institucijos būtų palaikomos, stiprinamos, nes jų tikslas yra apsaugoti žmones ir padėti tvariai technologijų plėtrai. Todėl valstybės šias institucijas turi stiprinti ir užtikrinti, kad reguliavimo aiškinimas būtų subalansuotas.
Dabartinės ES apklausos rodo, jog šiuo metu priežiūros institucijos neturi reikiamų išteklių, kad tinkamai prižiūrėtų šio sudėtingo reguliavimo atitiktį. Kiekviena valstybėje veikianti bendrovė ar įstaiga patenka reguliavimo taikymo apimtį, todėl iš esmės duomenų apsaugos institucijos yra atsakingos už visų bendrovių ir įstaigų priežiūrą.
Lietuvoje Inspekcijos ištekliai taip pat labai riboti, dažnai ji paskendusi rutininiuose darbuose ir dažnai ne didžiausią pavojų asmenų interesams keliančioje situacijose, todėl manau, kad mūsų šalies strateginė kryptis turėtų būti gerokai didinti Inspekcijos darbuotojų skaičių ir išskirti prioritetus tiriamiems klausimams, turint mintyje tai, jog 4-osios pramonės revoliucijos laiku, kai nuo duomenų priklausys sveikata, saugumas, komfortas, sprendimai ir kt., duomenų apsaugos institucijos darys labai didelę įtaką technologijų plėtrai ir bus vienos svarbiausių valstybės institucijų.
– Kur link juda pasaulis ir kokią reikšmę jame užims BDAR? Kokios srities specialistams šios žinios bus gyvybiškai svarbios?
– BDAR žinios bus reikalingos kiekvienam iš mūsų. Nebus nė vienos srities, kurioje nereiks duomenų apsaugos pagrindų, nes visos gyvenimo ir profesinės veiklos sritys priklausys nuo duomenų. Prasideda revoliucija – mes gyvename laikais, apie kuriuos rašys istorijos vadovėliai, nes pastarųjų metų technologinė pažanga prognozuoja visiškai kitokį pasaulį.
Pasaulį, kuriame sprendimus už mus, įskaitant teisėjus, priims algoritmai, teisininkams duomenis analizuos ir dokumentus rengs dirbtinis intelektas. Išsitrins riba tarp žmogaus kūno ir informacinių technologijų, nes jas valdysime savo protu, visas transportas, namų apyvokos daiktai bus sujungti į vieną informacinį tinklą, viskas funkcionuos autonomiškai, be žmogaus įsikišimo. Pasaulis bus didelis duomenų tinklas – nebus nė vienos srities, kurios duomenys radikaliai netransformuotų. Naujausios informacinės technologijos ištrins ribą tarp realaus pasaulio ir virtualios realybės.
Teisėjams duomenys bus reikalingi ir jie turės jais naudotis priimdami sprendimus, medicinoje duomenys bus naudojami ligoms diagnozuoti – kuo daugiau duomenų turės apie konkretų pacientą, tuo efektyvesnis bus gydymas. Inžinerijos, transporto srityse kiekvienas automobilis įrenginys ar infrastruktūros objektas komunikuos informaciją apie save, taigi BDAR žinių reikės tam, kad technologijos per giliai neįsibrautų į žmogaus privatumą. Genų inžinerijoje BDAR žinios taip pat bus labai svarbios.
Štai pernai vienas mokslininkas Kinijoje paskelbė, kad genetiškai modifikavo kūdikį – genai bus programuojami kaip algoritmai. Kyla klausimas, kada genai bus programuojami kaip informacinės technologijos. Informaciniame tinkle algoritmai apie žmogų žinos viską. Jau dabar tyrimai rodo, kad algoritmas, analizuojantis „Facebook’o“ laikus, gali gana greitai pažinti tave net geriau nei tavo sutuoktinis, šeimos narys ar bendradarbis.
Teisinių paslaugų rinkoje šalia advokatų, teisininkų, IT specialistų formuojasi nauja profesija – duomenų apsaugos pareigūnai[GV8] . Daugiausia tai teisininkai, nes jiems reikalingos teisinės žinios, kad suprastų duomenų apsaugos atitiktį, tačiau tikrai ne visiems darbams reikia teisinio išsilavinimo, pvz., labai reikalingos gali būti ir technologinės žinios.
Ilgainiui duomenų apsaugos pareigūnų veikla atsiskirs nuo advokatų kontorų veiklos, nes kai kuriuos darbus duomenų apsaugos srityje advokatams daryti neekonomiška, kai kuriems darbam atlikti nereikalinga advokato kompetencija. Dažnai Lietuvoje organizacijos ir net konsultantai ne iki galo suvokia, kad duomenų apsauga BDAR prasme nėra ir IT, duomenų saugumas technine prasme. Nors skamba panašiai, savo prigimtimi tai – skirtingi dalykai, persidengiantys tik nedidelėje dalyje. Tinkamo lygio techninis saugumas – tik vienas iš daugelio BDAR principų.