Asmens duomenų apsauga: kodėl valstybė negali garantuoti žmogaus teisės į privatumą?
Lietuvos Respublikos Seime 2003 m. gegužės 29 d. Inspekcijos direktorė O. Jakštaitė dalyvavo diskusijoje asmens duomenų apsaugos klausimais ir skaitytė pranešimą. Skelbiame šio pranešimo tekstą.
Asmens duomenų apsauga: kodėl valstybė negali garantuoti žmogaus teisės į privatumą?
Gerbiamasis posėdžio Pirmininke, gerbiamieji Seimo nariai, pradėsiu savo trumpą pranešimą duomenų apsaugos ištakų prisiminimu, vėliau paminėsiu problemas ir jų sprendimo gaires.
Pasaulyje daugiau kaip prieš 30 metų, kai buvo pradėti kurti pirmieji duomenų bankai, buvo pripažinta, kad modernios technologijos sudaro grėsmę žmogaus teisei į privatumą, nes atsirado galimybė surinkti ir sukaupti didžiulį informacijos kiekį, lengvai apdoroti ir greit paskleisti, sujungti ir panaudoti kitais tikslais, nei jie buvo surinkti. Tapo būtina saugoti duomenis ne tik dėl galimo jų neteisėto naudojimo, bet ir dėl jų patikimumo, nes pripažinta, kad neatsargus informacijos technologijų panaudojimas gali juos sugadinti ar iškreipti. Duomenų apsauga traktuojama kaip žmogaus teisė į privatumą informaciniu aspektu.
Lietuvoje duomenų apsaugos veikla yra nauja, lyginant su kitomis valstybėmis, bet per šešerius metus ji jau pasiekė tokį lygį, kuris verčia nerimauti ne tik kiekvieną žmogų, kurio teisę gina įstatymas, bet ir valdžios institucijas, ir ne tik jas, bet ir kiekvieną duomenų valdytoją – bet kurią įmonę, įstaigą ar organizaciją.
Šiandien svarstome klausimą, ar valstybė garantuoja žmogaus teisę į privatumą, kai tvarkomi asmens duomenys? Neabejodama turėčiau atsakyti TAIP, nes iš esmės turime sukūrę tokius teisinius pagrindus, kokių reikalauja EB teisė. Tačiau norėčiau kelti šiek tiek gilesnius klausimus, PIRMA, ar duomenų valdytojai sugeba tinkamai taikyti valstybės įteisintus duomenų apsaugos principus ir kaip valstybė gali jiems padėti. ANTRA, ar žmogus, būdamas duomenų subjektu, sugeba įgyvendinti savo teises ir kaip valstybė gali jam pagelbėti. TREČIA, ar teisinė bazė aiškiai ir pilnai, kaip to reikalauja duomenų apsaugos principai, apibrėžia asmens duomenų tvarkymą viešajame sektoriuje, leisdama tik tokias išimtis, kurios būtinos demokratinėje visuomenėje ir kurios proporcingai derėtų su valstybėje pripažintais bendrųjų interesų tikslais ar būtinybe ginti kitų teises ir laisves.
Atsakymo į šį klausimą gaires galime rasti praeitų metų pradžioje Inspekcijos patvirtintoje ir viešai paskelbtoje Duomenų apsaugos plėtojimo programoje 2002-2004 metams. Tikiuosi, kad ją įgyvendinus galėsime geriau jaustis visuomenės akivaizdoje.
Paminėsiu kelis programoje nustatytus uždavinius.
Pirmasis uždavinys – tobulinti duomenų apsaugos teisinę bazę. Vykdant šį uždavinį dar laukia ypač sunkūs ir svarbūs sprendimai, susiję su Europolo ir Šengeno konvencijomis.
Antrasis uždavinys – stiprinti ir ugdyti ne tik priežiūros bei teisėsaugos institucijų, bet ir duomenų valdytojų administracinius gebėjimus duomenų apsaugos srityje. Nuo liepos 1d. pusantrų metų turėsime PHARE pagalbą šiam uždaviniui įgyvendinti. Artimiausiomis dienomis rengiamės pasirašyti sutartį dėl projekto, kurį padės įgyvendinti Austrijos, Vokietijos, Prancūzijos duomenų apsaugos specialistai. Tikimės gauti reikalingą užsienio ekspertų pagalbą dėl asmens duomenų tvarkymo organizavimo viešajame sektoriuje, nes nerimą mums kelia valstybės registrai, kurie įstatymais įtvirtinti kaip vieši ir kurių paskirtis teikti informaciją juridiniams ir fiziniams asmenims, neįvardijant įstatyme teikimo ir tolesnio naudojimo tikslų. Nėra lengva nustatyti pusiausvyrą tarp viešo ir privataus intereso, derinti asmens teisę į pagarbą jo privačiam gyvenimui ir saviraiškos laisvę, tačiau demokratinėje valstybėje yra privalu tinkamai tai suderinti.
Trečiasis uždavinys – aktyvinti bendradarbiavimą su kitomis valstybėmis ir tarptautinėmis organizacijomis, siekiant perimti tarptautinę praktiką ir užtikrinti saugų ir teisėtą asmens duomenų judėjimą, kertantį valstybės sienas. Yra užmegzti glaudūs ryšiai su visomis esamų ir būsimųjų ES valstybių analogiškomis priežiūros institucijomis ir galime pasidžiaugti, kad susitikimuose ES valstybių priežiūros institucijų, turinčių ilgalaikę duomenų apsaugos patirtį, vadovai pripažįsta mūsų geruosius pradus ir atranda kai ką ir iš mūsų pasimokyti.
Ketvirtasis uždavinys – suformuluoti technologinius reikalavimus duomenų valdytojams duomenų apsaugai stiprinti. Didesnę iniciatyvą šia linkme turėtų rodyti duomenų valdytojai, ypač valstybės institucijos, tačiau ir Inspekcija rengiasi metodiškai daugiau jiems padėti.
Penktasis uždavinys – turime išvystyti visuomenės informavimo apie duomenų subjekto teises sistemą bei mokyti ir šviesti visuomenę duomenų apsaugos klausimais. Šia kryptimi taip pat numatyta PHARE pagalba. Norėčiau trumpai apžvelgti mūsų visuomenės informuotumo lygį ir palyginti su Europos Sąjungos rezultatais.
Praeitais metais Europos Komiteto užsakymu atlikto Duomenų apsaugos EB direktyvos ir ET Konvencijos įgyvendinimo pasekmių įvertinimo tyrimo rezultatai Lietuvoje nėra blogi. Tyrimo atlikta reprezentatyvi gyventojų apklausa parodė, kad didžioji dalis (61 %) Lietuvos gyventojų žino apie asmens duomenų tvarkymo sąlygas ir su tuo susijusias savo teises, bet gyventojų pasitikėjimas duomenų valdytojais yra mažesnis nei vidutinis (40 %).
Ar Europos Sąjungos piliečiai pakankamai žino apie duomenų apsaugą neseniai tyrė Europos Komisija. Rezultatai Europos Sąjungoje nėra geresni, nes tik trijų % respondentų žinios apie duomenų apsaugą yra labai geros, 11 % – geros, 19 % – pakankamos, 30 % – nepakankamos, 18 % – blogos, 16 % – labai blogos.
Nedidelis, nors ir sparčiai didėjantis Inspekcijoje gaunamų skundų skaičius parodo, kad mūsų visuomenė šioje srityje dar nėra labai pažeidžiama. 2001 metais gavome ir išnagrinėjome tik 8 skundus, 2002 – 21, per šių metų penkis mėnesius skundų padaugėjo ir jau viršijome planuotą metinį skaičių. Inspekcija, turėdama mažus resursus, gali džiaugtis, kad metiniai skundų rodikliai yra daug mažesni nei kitose valstybėse, pvz. D.Britanijoje – 12.000, Prancūzijoje – 4.000, Lenkijoje – 830, Airijoje – 182. Tačiau maži rodikliai pas mus parodo, kad duomenų subjekto teisės čia dar nėra giliai suvokiamos.
Prisimenant viešajame sektoriuje sukauptų asmens duomenų naudojimo problemas, reiktų suabejoti, ar teisinis reglamentavimas dėl asmens duomenų tvarkymo viešajame sektoriuje ir ypač valstybės registruose ir valstybės informacinėse sistemose, yra tobulas. Norėčiau pažymėti, kad asmens duomenų tvarkymo ir apsaugos viešajame sektoriuje klausimas yra aktualus ne tik Lietuvoje. Šiuo metu Europos Sąjungoje svarstomas naujos direktyvos projektas dėl viešojo sektoriaus informacijos antrinio ir tolesnio panaudojimo, siekiama darnos tarp piliečių teisės į privatumą ir teisės gauti informaciją iš viešojo sektoriaus. Norima į naują dokumentą įjungti bendruosius duomenų apsaugos principus, tokius kaip duomenų rinkimo ir naudojimo tikslų suderinamumas, piliečio teisę būti informuotam, kam jo duomenys atskleidžiami. Svarstoma, kokiomis sąlygomis viešajame sektoriuje sukaupti asmens duomenys gali būti naudojami komerciniais tikslais.
Kalbėdamas apie duomenų apsaugos įgyvendinimą Europos Sąjungoje, Vidaus rinkos įgaliotinis Frits Bolkestein visiškai neseniai pasakė, kad duomenų apsaugos direktyvos įgyvendinimas (per 5 metus) įtikino, kad Europos piliečiai praktiškai gali naudotis savo (kaip duomenų subjekto) teisėmis, ir pažymėjo, kad be laisvo duomenų judėjimo Europos ekonomika negalėtų tinkamai funkcionuoti, o duomenų judėjimo laisvė Europoje labai priklauso nuo to, kaip vykdomi duomenų apsaugos reikalavimai. Europos Komisija pripažino, kad taikant Duomenų apsaugos direktyvą atsirado skirtumų valstybėse narėse, ir pripažino tokius trūkumus Europos Sąjungoje, kokie yra ir pas mus, tai – nepakankamas žinojimas, įstatymų suvokimas bei jų įgyvendinimas, ir užsibrėžė tikslą iki 2004 m. pabaigos padėti valstybėms narėms įgyvendinti duomenų apsaugos principus pagal vienodą standartą.
Siekiant užtikrinti veiksmingą asmens duomenų apsaugą, didelis vaidmuo tenka priežiūros institucijai – Valstybinei duomenų apsaugos inspekcijai. EB teisė nustato, kad tokios institucijos turėtų padėti asmenims apsaugoti savo teises ir laisves. O pareiga siekti ir užtikrinti, kad duomenų valdytojo, taip pat valstybinių institucijų, žinioje esantys asmens duomenys būtų tvarkomi griežtai laikantys įstatymo, Asmens duomenų teisinės apsaugos įstatyme nustatyta duomenų valdytojui, o ne Inspekcijai.
Pirmaisiais veiklos metais stengėmės duomenų valdytojams daugiau aiškinti, teikti nurodymus ir siūlyti teismui bausti tik kraštutiniu atveju, kai nurodymai nevykdomi. Tačiau pastebėjome, kad toks būdas neskatina duomenų valdytojų savo iniciatyva stiprinti duomenų apsaugą ir dažniausiai laukiama Inspekcijos nurodymų. Pastaraisiais metais teko pasirinkti kitokią taktiką – esant pažeidimams surašyti ATP protokolus ir išsiųsti teismui, kartu apie tai viešai paskelbiant. Praeitais metais surašėme ATPP dešimt kartų daugiau nei 2001 metais (19/2). Tokiu būdu pastebėjome didesnį duomenų valdytojų susirūpinimą dėl asmens duomenų tvarkymo ir pasiekėme geresnius rezultatus: lyginant su 2001 metais, 2 kart padidėjo per metus pranešusių apie asmens duomenų tvarkymą duomenų valdytojų skaičius (įregistruota 574 – 2001m. ir 1004 – 2002 m.). Savo iniciatyva atliktų patikrinimų rezultatai pagerėjo – 2002 m. pažeidimų nustatyta tik 60% tikrinimų, kai 2001 m. būdavo nustatomi pažeidimai beveik 90 %.
Šiais metais, atsižvelgdami į Vyriausybės vasario 17 d. kreipimąsi į Valstybinę duomenų apsaugos inspekciją, “sprendžiant duomenų apsaugos klausimus, glaudžiau bendradarbiauti su institucijomis – duomenų valdytojomis, prireikus nustatytąja tvarka teikti pasiūlymus dėl veiklos šioje srityje tobulinimo, reikiamo teisės aktų patikslinimo”, vėl keičiame savo taktiką tikrinimų atžvilgiu. Tikrinimo nuostatuose apibrėžėme, kad kai nustatomi įstatymo pažeidimai, nesant duomenų subjekto teisių pažeidimams, teikiami nurodymai duomenų valdytojui ir suteikiama jam galimybė pašalinti pažeidimus per nustatytą terminą. ATP protokolai bus surašomi iš esmės tik esant duomenų subjekto teisių pažeidimui ir kitu atveju – kai duomenų valdytojas laiku neįvykdys Inspekcijos nurodymų. Užsibrėžėme tikslą – stengtis kuo daugiau padėti duomenų valdytojams ir duomenų tvarkytojams geriau suvokti duomenų apsaugos principus ir reikalavimus.
Tačiau ne tik valstybės ir priežiūros institucijos, bet kiekvieno žmogaus rūpinimasis savo duomenų apsauga bei asmeninės iniciatyvos rodymas, ginant savo, kaip duomenų subjekto, teises, būtų geriausia priemonė, priverčianti duomenų valdytojus sugriežtinti duomenų apsaugos reikalavimų įgyvendinimą ir stiprinanti duomenų apsaugos principų taikymą, nes neliečiamo privatumo ribas dažniausiai gali nustatyti kiekvienas asmuo ir tik sau. Tačiau mums reiktų prisiminti Konstitucinio Teismo aiškinimą, kad kai asmuo atlieka viešo pobūdžio veikas ir tą supranta arba turi ir gali suprasti, nors ir savo namuose ar kitose privačiose valdose, tai tokios viešo pobūdžio veikos nebus apsaugos objektas ir asmuo negali tikėtis privatumo.
Baigdama norėčiau pabrėžti, jog istorija lėmė, kad duomenų apsaugos teisė mūsų visuomenėje yra tik žinoma, bet nėra ir labai greit negali būti giliai suvokiama, nors ir yra sukurti teisinės bazės pagrindai: Asmens duomenų teisinės apsaugos įstatymas, ratifikuota Konvencija “Dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu”.
Nors duomenų apsauga Lietuvoje per trumpą laiką yra pasiekusi neblogą lygį (tai konstatuoja kitų valstybių pareigūnai), kiekvienam – ir duomenų subjektui, ir duomenų valdytojui, ir įstatymo priežiūros institucijos tarnautojams ir teisėjams – dar reikia įgusti naudotis įstatymu ir giliai suvokti ne tik informacijos technologijų privalumus, bet ir jų keliamus pavojus.
Aš tikiu, kad kasmet didėjantis (ir ypač šių metų pradžioje dešimteriopai padidėjęs) žmonių aktyvumas ir rūpinimasis savo asmens duomenimis labiau pakels duomenų apsaugos lygį mūsų šalyje, pagerins duomenų apsaugos principų taikymą ir privers duomenų valdytojus sukurti institucijose, įmonėse, įstaigose ar organizacijose tokią aplinką, kurioje žmogus jaustųsi saugus ir pasitikėtų savo duomenų valdytojais.
Ona Jakštaitė
Valstybinės Duomenų
Apsaugos Inspekcijos
Viršininkė