Asmens duomenų apsauga (žmogaus teisės į privatų gyvenimą užtikrinimas (1))
Asmens duomenų apsauga – vienas iš žmogaus teisės į privatų gyvenimą, įtvirtintos Europos žmogaus teisių ir pagrindinių laisvių apsaugos konvencijos 8 straipsnyje, aspektų. Nesuklysime teigdami, jog Lietuvos Respublikoje asmens duomenų apsauga pradėta rūpintis jau 1992 m., priėmus LR Konstituciją1 . Tačiau realiai asmens duomenų teisinės apsaugos mechanizmas pradėjo veikti įsigaliojus 1996 m. LR asmens duomenų teisinės apsaugos įstatymui (toliau – ADTAĮ). 2001 m. sausio 1 d. įsigaliojus 2000 m. liepos 17 d. ADTAĮ pakeitimo įstatymui, buvo žengtas svarbus žingsnis derinant LR teisę su Europos Sąjungos teise. Pateiksime išsamią vadovams aktualių naujojo ADTAĮ nuostatų analizę. Ji turėtų padėti įvertinti, ar tinkamai įgyvendinamas šis įstatymas.
Kas yra asmens duomenys
Asmens duomenys – tai bet kuri informacija, susijusi su fiziniu asmeniu, kurio tapatybė yra žinoma arba gali būti tiesiogiai ar netiesiogiai nustatoma pasinaudojant tokiais duomenimis kaip asmens kodas, vienas ar keli asmeniui būdingi fizinio, fiziologinio, ekonominio, kultūrinio, socialinio ir kitokio pobūdžio požymiai (pavyzdžiui, vardas, pavardė, gyvenamoji vieta, gimimo metai, išsilavinimas, ūgis, svoris, atlyginimas, narystė ir kt.).
Remiantis šiuo apibrėžimu, visus asmens duomenis, kurių apsauga turi būti užtikrinta, galima suskirstyti į tris grupes:
- informacija, susijusi su fiziniu asmeniu, kurio tapatybė yra žinoma;
- informacija, susijusi su fiziniu asmeniu, kurio tapatybė gali būti tiesiogiai nustatoma;
- informacija, susijusi su fiziniu asmeniu, kurio tapatybė gali būti netiesiogiai nustatoma.
Matyt, daugiausia neaiškumų yra susiję su trečiąja asmens duomenų grupe. Kokia informacija apie fizinį asmenį leidžia netiesiogiai nustatyti jo tapatybę? Valstybinės duomenų apsaugos inspekcijos prie Valdymo reformų ir savivaldybių reikalų ministerijos pozicija yra gana aiški: informacija, susijusi su fiziniu asmeniu, leidžia netiesiogiai nustatyti fizinio asmens tapatybę, kai ji nukreipia į gana siaurą asmenų grupę. Todėl, pavyzdžiui, informacija apie fizinio asmens gyvenamąją vietą vienu atveju gali būti prilyginama asmens duomenims, kurių apsauga turi būti užtikrinta, kitu atveju – ne. Jeigu yra žinomas tik miestas ir/ar gatvė, tokių duomenų, matyt, negalima priskirti asmens duomenų grupei, leidžiančiai netiesiogiai nustatyti asmens tapatybę. Netgi jei yra žinomas miestas, kuriame asmuo gyvena, gatvė ir namo numeris, tokius duomenis ne visada galima priskirti trečiajai asmens duomenų grupei. Tik tokiu atveju, jei namas, kurio numeris yra žinomas, yra individualus gyvenamasis namas, duomenys apie asmens gyvenamąją vietą bus pakankami netiesiogiai nustatyti fizinio asmens tapatybę, o kartu turės būti įgyvendinama jų apsauga pagal ADTAĮ.
Visi asmens duomenys, kuriuos tvarkant susiklostančius santykius reglamentuoja ADTAĮ, skirstomi į dvi kategorijas:
- ypatingi asmens duomenys,
- neypatingi asmens duomenys.
Ypatingi asmens duomenys – tai duomenys apie fizinio asmens rasinę ir etninę kilmę, politinius, religinius, filosofinius ar kitus įsitikinimus, narystę profesinėse sąjungose ir politinėse partijose, sveikatą, lytinį gyvenimą, teistumą. Šių duomenų apsauga pasižymi tam tikromis ypatybėmis (apie tai – kitame žurnalo numeryje).
Neypatingi asmens duomenys – tai asmens vardas, pavardė, asmens kodas, gyvenamoji vieta, išsilavinimas, ūgis, atlyginimas ir kiti ypatingų asmens duomenų kategorijai nepriskirti duomenys, kurie leidžia tiesiogiai ar netiesiogiai identifikuoti asmenį.
Kas yra asmens duomenų tvarkymas
Įstatymas apibrėžia asmens duomenų tvarkymą kaip bet kurį su asmens duomenimis atliekamą veiksmą: rinkimą, užrašymą, kaupimą, saugojimą, klasifikavimą, grupavimą, jungimą, keitimą (papildymą ar taisymą), teikimą, paskelbimą, naudojimą ar naikinimą arba veiksmų rinkinį.
Atkreiptinas dėmesys į tai, jog naujasis ADTAĮ išplečia reglamentuojamų santykių sritį: nuo 2001 m. sausio 1 d. įstatymas reglamentuoja ne tik santykius, kurie susiklosto automatiniu būdu (pradedant reliacinėmis duomenų bazėmis ir baigiant suformatuotu ištisiniu tekstu) tvarkant asmens duomenis, bet ir santykius, kurie atsiranda neautomatiniu būdu tvarkant asmens duomenų susistemintas rinkmenas (sąrašus, kartotekas, bylas, sąvadus). Neautomatinį asmens duomenų tvarkymo būdą galima pailiustruoti tokiu pavyzdžiu: įmonė B, vykdydama savo veiklą, susirašinėja su fiziniais asmenimis A-K. Korespondencija, gaunama iš atskirų fizinių asmenų, kurioje neretai matyti ir asmens duomenys, kaupiama atskirose asmenų A-K bylose. Arba dar vienas pavyzdys: įmonė C dokumentus, susijusius su kiekvieno jos darbuotojo L-Ž darbu toje įmonėje (darbo sutartį, jos pakeitimus, įvairius įsakymus, tiesiogiai ar netiesiogiai susijusius su darbuotoju, ir pan.), kurie leidžia nustatyti ne tik darbuotojo pareigas, atlyginimą bei kitas darbo sąlygas, bet ir asmens kodą, paso numerį, valstybinio socialinio draudimo pažymėjimo numerį, gimimo datą, gyvenamąją vietą, taip pat darbuotojo išsilavinimą, buvusias darbovietes, sveikatos būklę ir pan., kaupia darbuotojų L-Ž asmens bylose. Šiuo atveju tai susistemintos asmens duomenų rinkmenos – bylos, todėl tokį asmens duomenų rinkimą, kaupimą, teikimą, paskelbimą ar pan. reglamentuoja 2001 m. sausio 1 d. įsigaliojęs ADTAĮ.
Įstatymas numato tam tikras išimtis, kai santykiai, kurie formaliai nors ir atitinka anksčiau minėtus požymius, nepatenka į įstatymo reguliuojamų santykių sritį. ADTAĮ netaikomas, jeigu asmens duomenys tvarkomi:
- valstybės saugumo, gynybos ir operatyvinės veiklos, taip pat Europos Sąjungos bendrosios užsienio ir saugumo politikos tikslais;
- bendradarbiaujant su valstybėmis Europos Sąjungos narėmis teisingumo ir vidaus reikalų srityse;
- fizinio asmens ir tik asmeniniais tikslais (pavyzdžiui, asmuo savo užrašų knygutėje arba asmeniniame kompiuteryje užrašo ir kaupia savo draugų vardus, pavardes, gimimo datas, adresus, mokymosi įstaigą).
Fizinius, juridinius asmenis, taip pat įmones, neturinčias juridinio asmens teisių, kurie automatiniu būdu renka, kaupia, saugo, klasifikuoja, naudoja ar kitu būdu tvarko asmens duomenis arba neautomatiniu būdu tvarko asmens duomenų susistemintas rinkmenas, įstatymas apibrėžia kaip duomenų valdytojus.
Kokios yra duomenų valdytojo pareigos
Juridiniams asmenims ar įmonėms, neturinčioms juridinio asmens teisių, kurie identifikavo save kaip duomenų valdytojus, ADTAĮ numato tam tikras pareigas.
Pirma, ADTAĮ 3-4 straipsniuose reikalaujama iš duomenų valdytojo užtikrinti, kad asmens duomenys būtų:
- renkami apibrėžtais ir teisėtais tikslais, nustatytais prieš renkant asmens duomenis, ir paskui tvarkomi su šiais tikslais suderintais būdais. Vadinasi, netikslingas duomenų rinkimas arba asmens duomenų rinkimas neteisėtais tikslais, taip pat ir tolesnis asmens duomenų tvarkymas, nesuderinamas su iš anksto nustatytais teisėtais tikslais, yra neteisėtas ir užtraukia įstatymų numatytą atsakomybę (apie tai – kitame žurnalo numeryje);
- tvarkomi tiksliai ir teisėtai. ADTAĮ, apibrėždamas asmens duomenų teisėto tvarkymo kriterijus, nurodo, jog asmens duomenys gali būti tvarkomi, jei:
- Tais atvejais, kai asmens duomenys yra tvarkomi duomenų valdytojo iniciatyva, pastarasis, nesvarbu, ar duomenų subjekto sutikimas bus duodamas žodžiu, raštu, ar jį bus galima suprasti iš duomenų subjekto elgesio, privalo neatlygintinai supažindinti duomenų subjektą su teise nesutikti dėl jo asmens duomenų tvarkymo. ADTAĮ nustato rašytinę nesutikimo arba sutikimo panaikinimo formą. Siekiant įgyvendinti šią įstatymo nuostatą, būtina užtikrinti, jog tais atvejais, kai asmens sutikimas tvarkyti jo duomenis yra tam tikro dokumento, pavyzdžiui, įsidarbinimo anketos, sudedamoji dalis, tame dokumente būtų numatyta ne tik sutikimo, bet ir nesutikimo su asmens duomenų tvarkymu galimybė; o valdymo reformų ir savivaldybių reikalų ministro pasiūlytą rašytinę sutikimo formą, matyt, būtų racionalu papildyti nuostata dėl duomenų subjekto informavimo apie teisę nesutikti dėl jo asmens duomenų tvarkymo;
- b) sudaroma arba vykdoma sutartis, kai viena iš šalių yra duomenų subjektas. Šiuo kriterijumi, tvarkydami asmens duomenis, dažniausiai remiasi tie juridiniai asmenys arba įmonės, neturinčios juridinio asmens teisių, kurie yra sudarę sutartis su duomenų subjektu dėl tam tikrų paslaugų teikimo ar pan., pavyzdžiui, telekomunikacijų, komunalinių paslaugų įmonės, draudimo bendrovės, bankai, kelionių agentūros ir pan. Šiuo atveju duomenų valdytojas, kurio iniciatyva yra atliekamas duomenų tvarkymo veiksmas, taip pat privalo supažindinti duomenų subjektą su jo teise nesutikti dėl asmens duomenų tvarkymo. Tuo tikslu rekomenduotina į sutartis dėl įvairių paslaugų teikimo įtraukti sąlygą dėl asmens supažindinimo su teise nesutikti dėl jo asmens duomenų tvarkymo;
- c) pagal įstatymus duomenų valdytojas yra įpareigotas tvarkyti asmens duomenis. Įstatymai tvarkyti asmens duomenis įpareigoja Valstybinę mokesčių inspekciją, “Sodrą”, Statistikos departamentą, Darbo biržą, Vidaus reikalų ministeriją ir kitas panašaus pobūdžio funkcijas atliekančias institucijas;
- d) siekiama apsaugoti duomenų subjekto gyvybę ir jei duomenų subjektas nepajėgia duoti sutikimo;
- e) įgyvendinami valstybės valdžios ir valdymo bei savivaldybių įstaigų įgaliojimai, suteikti duomenų valdytojui arba trečiajam asmeniui, kuriam teikiami asmens duomenys. Šiuo atveju duomenų valdytojas taip pat privalo informuoti duomenų subjektą apie jo teisę nesutikti dėl jo asmens duomenų tvarkymo (analogiška pareigai, įvardytai a) ir b) punktuose);
- f) tai daroma dėl teisėto intereso, kurio siekia duomenų valdytojas arba trečiasis asmuo, kuriam teikiami asmens duomenys, ir jei duomenų subjekto interesai nėra svarbesni. Šis asmens duomenų teisėto tvarkymo kriterijus yra gana komplikuotas jau vien dėl to, jog duomenų valdytojas, kiekvieną kartą norėdamas atlikti asmens duomenų tvarkymo veiksmą, turi įvertinti bei palyginti interesą, kurio siekia, ir duomenų subjekto interesą. Kai vertinama subjektyviai, galimos klaidos, o kartu – dažni teisminiai ginčai. Šį teisėto asmens duomenų tvarkymo kriterijų komplikuoja ir duomenų valdytojo pareiga informuoti duomenų subjektą apie jo teisę nesutikti dėl asmens duomenų tvarkymo (analogiška a), b) ir e) punktuose nurodytai pareigai). Šiuo atveju komplikuotumas pasireiškia ribota šio teisėto tvarkymo kriterijaus taikymo galimybe, nes asmens duomenų subjektas, informuotas apie teisę nesutikti dėl jo asmens duomenų tvarkymo, gali neduoti sutikimo arba vėliau panaikinti duotąjį. Pailiustruokime šį painų atvejį pavyzdžiu. Tarkime, įmonė C, kuri verčiasi vadinamuoju “skolų išmušinėjimo verslu”, teisėtai surenka duomenis apie fizinius asmenis, t. y. duomenis apie fizinius asmenis įmonei C pateikia subjektai, kurie turi teisę tai daryti, tarkime, jie turi fizinių asmenų sutikimus tvarkyti (įskaitant ir teikimą) asmens duomenis. Įmonė C nori perduoti duomenis apie nepatikimus asmenis tuo suinteresuotai draudimo bendrovei F, siekdama, kad pastaroji išvengtų nuostolių dėl nemokių klientų. Atrodytų, jog įmonė C šiuo atveju galėtų teikti gautus duomenis ADTAĮ 5 str. 1 d. 6 punkto pagrindu, t. y. kai reikia tvarkyti duomenis dėl teisėto intereso, kurio siekia duomenų valdytojas arba trečiasis asmuo, su sąlyga, kad duomenų subjekto interesas nėra svarbesnis. Šiuo atveju, matyt, galima sutikti, kad draudimo bendrovės F interesai yra svarbesni už duomenų subjekto interesą, ypač jei jis nori nuslėpti savo sunkią finansinę padėtį. Deja, įstatymas šiuo atveju numato įmonės C pareigą informuoti asmens duomenų subjektą apie jo teisę nesutikti teikti savo duomenis tretiesiems asmenims. Duomenų subjektui raštu nesutikus, įmonė C netenka galimybės teisėtai teikti šiuos duomenis draudimo bendrovei F. Turint galvoje, jog tokie atsisakymai gali būti labai dažni, šio įstatyme numatyto kriterijaus būtinybė yra abejotina;
- tikslūs ir, jei reikia dėl asmens duomenų tvarkymo, nuolat atnaujinami;
- tokios apimties, kuri būtina asmens duomenims tvarkyti. Ši nuostata reiškia, jog asmens duomenys negali būti pertekliniai. Jei, pavyzdžiui, asmens duomenys yra renkami ir toliau tvarkomi siekiant vykdyti draudiminę veiklą, duomenys apie fizinio asmens priklausomybę politinei partijai, sudėjimą (jei tai nėra gyvybės draudimas) ir panašūs duomenys būtų pertekliniai, o jų tvarkymas – neteisėtas;
- asmens duomenys saugomi ne ilgiau, nei to reikalauja duomenų tvarkymo tikslai. Pagal įstatymą asmens duomenys, kurių nebereikia pagal jų tvarkymo tikslus, turi būti sunaikinti, išskyrus tuos, kurie įstatymų nustatytais atvejais perduodami į valstybės archyvus. Panagrinėkime restorano, pristatančio užsakymus į namus, pavyzdį. Norėdamas užsisakyti maistą į namus, asmuo, be abejo, turi pasakyti savo vardą, pavardę, gyvenamąją vietą, dažnai ir telefono numerį. Šie duomenys paprastai yra fiksuojami kompiuterio laikmenose. Tokio veiksmo teisėtumo kriterijus – sudaroma ir vykdoma sutartis dėl maisto pirkimo-pardavimo bei jo pristatymo. Kad toks asmens duomenų rinkimas ir saugojimas būtų visiškai teisėtas pagal ADTAĮ, būtina užtikrinti, jog kompiuterio laikmenose užfiksuoti asmens duomenys būtų sunaikinti tuoj pat, kai tik bus atliktas užsakymas, aišku, jeigu restoranas neinformavo kliento (apie šią pareigą bus rašoma kitame žurnalo numeryje) apie kitą duomenų tvarkymo tikslą ir negavo kliento sutikimo tvarkyti asmens duomenis tuo tikslu.
Kitame žurnalo numeryje nurodysime ypatingų asmens duomenų teisėto tvarkymo kriterijus, asmens duomenų saugumo užtikrinimo priemones, duomenų subjektų teises, kurias įgyvendinti privalo padėti duomenų valdytojai, rašysime apie automatinį asmens duomenų tvarkymą bei privalomą šiuo būdu asmens duomenis tvarkančių duomenų valdytojų registravimą.
NOTA BENE:
- Asmens duomenų valdytojai – tai fiziniai, juridiniai asmenys ar įmonės, neturinčios juridinio asmens teisių, kurie tvarko, t. y. renka, užrašo, kaupia, saugo, klasifikuoja, grupuoja, jungia, keičia (papildo ar taiso), teikia, paskelbia, naudoja ar naikina, fizinio, fiziologinio, ekonominio, kultūrinio, socialinio ir kitokio pobūdžio informaciją, susijusią su fiziniu asmeniu, kurio tapatybė yra žinoma arba gali būti tiesiogiai ar netiesiogiai nustatoma pasinaudojant tokiais duomenimis.
- Nuo 2001 m. sausio 1 d. prie asmens duomenų valdytojų, privalančių užtikrinti asmens duomenų apsaugą, priskiriami ne tik fiziniai, juridiniai asmenys bei įmonės, neturinčios juridinio asmens teisių, kurie automatiniu būdu tvarko asmens duomenis, bet ir neautomatiniu būdu tvarkantys asmens duomenų susistemintas rinkmenas.
- Asmens duomenys turi būti tvarkomi tik apibrėžtais tikslais ir teisėtai, jie privalo būti tikslūs, nepertekliniai, saugomi ne ilgiau, nei to reikalauja tikslas.
- ADTAĮ numatytais atvejais duomenų valdytojas privalo supažindinti duomenų subjektą su jo teise nesutikti dėl jo asmens duomenų tvarkymo.
1LR Konstitucijos 22 str. 1 dalyje skelbiama, jog žmogaus privatus gyvenimas neliečiamas.