Teisė būti pamirštam – ką reikia žinoti verslui
Turinys
Straipsnis parašytas remiantis teisės aktais, galiojusiais 2023-04-20
Tikriausiai esate girdėję apie ES šalyse galiojančią teisę būti pamirštam (angliškai “right to erasure”). Tai Bendrojo duomenų apsaugos reglamento (BDAR arba angliškai GDPR) 17 straipsniu grindžiama tvarka, kai privatus vartotojas gali pareikalauti pašalinti apie jį surinktus duomenis. Kaip tokiu atveju turi elgtis verslas? Kokių teisinių priemonių jam reikia, kad užtikrintų šį reikalavimą? Apie tai pabandysime padiskutuoti šiame straipsnyje.
Kas yra BDAR ir ką jis reiškia fiziniam asmeniui?
2016 metais Europos Sąjunga priėmė duomenų apsaugos direktyvos pagrindu sukurtą asmeninių duomenų reguliavimą. Taip gimė General Data Protection Regulation – GDPR. 2018 metais šį dokumentą jau buvo ratifikavusios visos ES narės, taip pat ir Lietuva. Lietuviškai šis dokumentas vadinamas BDAR – Bendrasis duomenų apsaugos reglamentas.
Pagrindinis BDAR tikslas – nustatyti taisykles ir sąlygas, kaip yra renkami, saugomi ir valdomi fizinių asmenų asmeniniai duomenys, naudojant įvairius skaitmeninius kanalus. Tai reiškia, kad visi asmeniniai duomenys, tokie, kaip vardas, pavardė, lytis, šeimyninė padėtis ir šeimos sudėtis, išsilavinimas, amžius, gyvenamoji vieta, prisijungimo prie interneto sąlygos (naršyklė, kompiuterio tipas, IP adresas ir t.t.), priklausomybė politinėms partijoms, nuotraukos, vaizdo įrašai ir t.t. yra saugomi ir valdomi vadovaujantis vieninga visai Europai taikoma tvarka.
Kadangi Lietuva yra ES narė ir nuo 2018 metų privalo duomenis tvarkyti vadovaudamasi BDAR nuostatomis, lietuviams, paliekantiems internete (ir gyvai) savo asmeninius duomenis įvairiems juridiniams asmenims ir verslo subjektams, galioja tam tikros teisės į asmeninių duomenų apsaugą.
Štai čia reiktų atkreipti dėmesį į BDAR 17-jį straipsnį, kuris sako, kad “Duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas nepagrįstai nedelsdamas ištrintų su juo susijusius asmens duomenis, o duomenų valdytojas yra įpareigotas nepagrįstai nedelsdamas ištrinti asmens duomenis”. Duomenų subjektas yra fizinis asmuo, o duomenų valdytojas – juridinis asmuo, renkantis ir saugantis tuos duomenis.
Ką reiškia “teisė būti pamirštam”?
Reiktų atkreipti dėmesį, kad vertimas į lietuvių kalbą yra ne pažodinis. Angliškai 17-tas straipsnis kalba apie “right to erasure” – teisę [duomenų] ištrynimui. Ši teisė numato atvejus, kada privatus asmuo gali reikalauti įmonės ar valstybinės institucijos ištrinti tam tikrus asmeninius duomenis. Yra keli tokie atvejai:
- Kai asmens duomenys nebėra reikalingi;
- Kai žmogus atšaukia savo sutikimą suteikti ir valdyti duomenis;
- Kai žmogus nesutinka su duomenų tvarkymo procesais ir tvarka;
- Kai žmogaus asmens duomenys buvo renkami ir tvarkomi neteisėtais būdais;
- Įmonei, tvarkančiai duomenis, buvo duotas oficialus nurodymas (pavyzdžiui, teismo) ištrinti duomenis;
- Kai duomenys buvo surinkti siekiant visuomenės informavimo tikslų.
Kaip visa tai atrodo realybėje?
Paprastas pavyzdys, iliustruojantis “teisę būti pamirštam” gali būti kad ir el. parduotuvė. Paprastai pirmojo pirkimo metu el. parduotuvė susirenka nemažą šūsnį asmeninių duomenų – kontaktinius duomenis, banko duomenis apmokėjimui, naršymo po el. parduotuvę duomenis, kas daug pasako apie žmogaus pomėgius ir poreikius. Po pirmojo pirkimo el. parduotuvė apie asmenį dažnai žino daugiau, nei jo artimiausias šeimos narys. Visi pateikti duomenys dažniausiai išsaugojami vėlesniems apsipirkimams, kad jų nereikėtų įvesti dar kartą (jei vartotojas sukuria savo paskyrą).
Kiekvienas pirkėjas turi teisę pareikalauti, kad jo asmeniniai duomenys būtų ištrinti iš el. parduotuvės serverių ir atminties laikmenų. Priežastis gali būti viena iš išvardintų aukščiau, pavyzdžiui, žmogus nesutinka su duomenų valdymo tvarka, kadangi kai kurie jo asmeniniai duomenys naudojami rinkodaros tikslais (tai kai apsilankius el. parduotuvėje visuose soc. tinkluose pradedama rodyti peržiūrėtų ir susijusių prekių reklama).
Asmuo, norėdamas pasinaudoti šia teise tiesiog kreipiasi raštiškai į el. parduotuvės administraciją, nurodydamas kad prašo ištrinti visus turimus duomenis apie save. El. parduotuvė privalo nedelsdama tai padaryti.
Žinoma, parduotuvė turi įsitikinti, jog adresantas yra būtent tas asmuo, kurio duomenis prašoma panaikinti.
Kaip teisė būti pamirštam keičia verslo procesus
Verslas, aktyviai renkantis duomenis apie savo klientus turėtų atitinkamai sustyguoti savo vidinius procesus, kad būtų užtikrinta tinkama duomenų apsauga ir BDAR laikymasis.
Kai klientų duomenys yra naudojami gana dažnai, analizuojami, rūšiuojami, perduodami iš vienos duomenų bazės į kitą, reikia įmonės viduje paskirti už duomenų saugumą atsakingą asmenį. Aišku, jo pareigybė turi būti tinkamai aprašyta ir įtraukta į įmonės struktūrą. Duomenų apsaugos specialistas arba vadovas rūpinasi tinkamu duomenų surinkimu, valdymu ir saugojimu. Jei įmonė gauna prašymą ištrinti tam tikro vartotojo duomenis, turi būti sparčiai į tokias užklausas reaguojama. Duomenų apsaugos vadovas turi turėti priėjimą prie saugomų duomenų, kad galėtų tinkamai išanalizuoti kiekvieną atvejį prieš priimdamas sprendimą. Pavyzdžiui, gali pasitaikyti situacijų, kai vartotojas gali paprašyti ištrinti ne visus, o tik tam tikrus duomenis apie save. Jei pats duomenų apsaugos vadovas negali to padaryti fiziškai, jis turi deleguoti techninį personalą, kad tai būtų padaroma kaip įmanoma sparčiau ir efektyviau.
Įmonės viduje taip pat reikia nustatyti tvarką, kaip duomenys apie klientus yra renkami tiesioginiu būdu. Pavyzdžiui, jei klientas ateina į klientų aptarnavimo skyrių. Svarbu nustatyti procedūras, kaip jis identifikuojamas, kokius duomenis mato klientų aptarnavimo skyriaus specialistas, dirbantis su klientu. Gali pasirodyti, kad tokia tvarka reikalinga tik bankams ir mobiliesiems operatoriams, tačiau iš tiesų to reikia kad ir nedidelei el. parduotuvei, į kurios biurą klientai užsuka atsiimti užsakytų prekių.
Teisė būti pamirštam ir Google
Viena įdomiausių teisės būti pamirštam proceso dalių yra tam tikrų duomenų šalinimas iš socialinių tinklų ir paieškos sistemų Google ir Bing. Šios paieškos sistemos taip pat renka duomenis apie kiekvieną iš mūsų, todėl kartais kyla situacijų, kai žmonės kreipiasi į Google, kad būtų pašalinta tam tikra trečiųjų šalių informacija, kurios vartotojas negali pats valdyti. Tai reiškia, kad savo asmeninę svetainę vartotojas gali redaguoti pats, Google duomenys gali būti valdomi per paskyrą, o štai norint, kad vardas dingtų iš internetinės žiniasklaidos ar komentarų, kurie yra randami per paiešką, teks gerokai paplušėti.
Google yra sukūrusi specialų polapį, kuriame galima pateikti užklausimą dėl informacijos ištrynimo: https://reportcontent.google.com/forms/rtbf.
Reikia pateikti priežastį, dėl kurios norima ištrinti viešai rodomus asmeninius duomenis. Tada Google darbuotojai peržiūri užklausą, ją įvertina ir priima atitinkamus sprendimus. Jei viskas teisėta, duomenys pašalinami. Bet kokiu atveju ši procedūra užtrunka, nes užklausų kiekvienoje šalyje pasitaiko gana daug. Žmonės jau ir Lietuvoje atranda šią teisę ir ja pasinaudoja. Ypač tais atvejais, kai jų vardai atsiduria gana neigiamoje informacinėje aplinkoje (skundai dėl galimai prastai atliktų paslaugų ar parduotų prekių, nusikaltimai, politiniai pasisakymai ir t.t.).
Nedidelėms įmonėms nereikia tokios sudėtingos tvarkos, kaip Google ar Bing paieškos sistemose, todėl viską galima padaryti ir paprasčiau. Svarbu, kad viskas būtų legalu, skaidru ir tvarkingai dokumentuojama. Kilus bet kokiam teisiniam ginčui dėl duomenų apsaugos, įmonė turi turėti tinkamai sutvarkytus BDAR procesus, kad teisme būtų galima įrodyti tam tikrų sprendimų teisingumą.
Parengta remiantis
1. Akcinių bendrovių įstatymas; e-seimas.lrs.lt/portal/legalAct/lt/TAD/TAIS.106080/asr