Platus duomenų, failų ir jų tvarkymo apibrėžimas

Ištrauka iš Bruno DUMAY knygos: GDPR IŠŠIKRAVIMAS – vadovams, strateginiams skyriams ir įmonių bei organizacijų darbuotojams – Gaëlle MONTEILLER pratarmė

Manome, kad žinome, kas yra asmens duomenys (atkreipkite dėmesį, kad šis terminas nevartojamas vienaskaita, tikriausiai todėl, kad norint pradėti juos tvarkyti, būtina surinkti bent du duomenų elementus – pavyzdžiui, vardą, pavardę ir adresą). Tačiau būkite atsargūs, kad išvengtume klaidų, atsižvelgkime į Reglamento 4 straipsnyje suformuluotą apibrėžimą: „bet kokia informacija, susijusi su identifikuotu arba identifikuojamu fiziniu asmeniu; „identifikuojamas fizinis asmuo“ – tai asmuo, kurio tapatybė gali būti nustatyta tiesiogiai arba netiesiogiai, visų pirma remiantis identifikatoriumi, pavyzdžiui, vardu, pavarde, identifikavimo numeriu, buvimo vietos duomenimis, internetiniu identifikatoriumi arba vienu ar keliais to fizinio asmens fizinei, fiziologinei, genetinei, psichinei, ekonominei, kultūrinei ar socialinei tapatybei būdingais veiksniais.“

Nors formuluotė toli gražu nėra aiški, ji nepalieka abejonių dėl plačios reikšmės, kuria šį terminą reikėtų suprasti. „Bet kokia informacija“, susijusi su asmeniu, yra asmens duomenys. Su asmens „tapatybe“ susijusių būdvardžių sąrašas prireikus pabrėžia žodžio „informacija“ taikymo sritį. 

CNIL paaiškino asmens duomenų sąvoką Duomenų apsaugos įstatymo 2 straipsnio komentare: „Duomenys laikomi „asmeniniais“, kai jie susiję su tiesiogiai ar netiesiogiai identifikuotais fiziniais asmenimis. Asmuo identifikuojamas, kai, pavyzdžiui, jo vardas ir pavardė yra byloje.“

Asmuo yra atpažįstamas, kai faile yra informacijos, kuri netiesiogiai leidžia jį identifikuoti (pvz.: IP adresas, vardas, pavardė, registracijos numeris, telefono numeris, nuotrauka, biometriniai elementai, pvz., pirštų atspaudai, DNR, nacionalinis studento identifikavimo numeris (INE), informacijos rinkinys, leidžiantis diskriminuoti asmenį populiacijoje (tam tikros statistinės bylos), pvz., gyvenamoji vieta ir profesija, lytis ir amžius). Duomenys, kuriuos galite laikyti anoniminiais, gali būti laikomi asmens duomenimis, jei jie leidžia netiesiogiai arba kryžminėmis nuorodomis identifikuoti konkretų asmenį. Tai iš tikrųjų gali būti informacija, kuri nėra siejama su asmens vardu, bet leidžia lengvai jį identifikuoti ir sužinoti jo įpročius ar skonį.

Šia prasme asmens duomenys taip pat apima visą informaciją, kuri, susiejus su kita informacija, leidžia nustatyti konkretaus asmens tapatybę (pvz., pirštų atspaudai, DNR, gimimo data, susieta su gyvenamosios vietos savivaldybe)...

BDAR netaikomas valstybių veiksmams, susijusiems su jų saugumu (16^e konstatuojamąją dalį) ir, žinoma, grynai vidaus pobūdžio veiklą (2 straipsnis). Kita vertus, reglamentas taikomas visoms įmonėms (ir administracijoms, organizacijoms ir asociacijoms), kurios tvarko Europos piliečių duomenis, nesvarbu, ar jos įsisteigusios žemyne, ar ne. Panašiai, jei įmonė naudojasi subrangovu, įsisteigusiu už ES ribų, pastarasis taip pat privalo laikytis reikalavimų (3 straipsnis).

Kadangi šie duomenys saugomi failuose, atkreipkime dėmesį ir į šio žodžio apibrėžimą: „bet koks struktūrizuotas asmens duomenų rinkinys, prieinamas pagal konkrečius kriterijus, nesvarbu, ar šis rinkinys yra centralizuotas, decentralizuotas, ar paskirstytas funkciškai ar geografiškai“. Čia vėlgi akivaizdu, kad negalime būti gudrūs bandydami saugoti duomenis duomenų bazėse, kurios negalėtų būti vadinamos „failais“. Mūsų įrankis ne tik būtų perkvalifikuotas, bet ir priežiūros institucija neabejotinai tai laikytų sunkinančia aplinkybe.

Panašiai ir amatininkas, kuris priešinasi kompiuterizavimui ir kuris saugo popierines bylas apie savo klientus abėcėlės tvarka, negali išvengti BDAR (2 straipsnio 1 dalis).

Kadangi duomenys, sudarantys bylas, yra skirti tvarkyti, jie turi būti apsaugoti. Kas yra tvarkymas? „Bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, pavyzdžiui, rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, paieška, paieška, naudojimas, atskleidimas perduodant, platinant ar kitu būdu sudarant galimybę jais naudotis, sugretinimas ar sujungimas, apribojimas, ištrynimas ar sunaikinimas“ (4 straipsnio 2 dalis). Žodžių sąrašas beveik baigtinis: vos tik paliečiame duomenis, juos tvarkome ir todėl mums taikomas reglamentas. Juo labiau, profiliavimas – duomenų tvarkymas taip, kad būtų galima įvertinti ar numatyti elgesį – turi būti griežtai stebimas.

BDAR rekomenduoja, kai įmanoma, naudoti pseudoniminimą, kad duomenų nebebūtų galima susieti su fiziniu asmeniu nenaudojant papildomos informacijos. „Asmens duomenų pseudoniminimas gali sumažinti duomenų subjektams kylančią riziką ir padėti duomenų valdytojams bei tvarkytojams įvykdyti savo duomenų apsaugos įsipareigojimus“ (28).^e atsižvelgiant).  

Tvarkymo kontrolė yra ribota, nes ji peržengia sienas. Iš tiesų, už Europos Sąjungos ribų perduodamiems duomenims ir toliau taikoma Europos teisė, žinoma, tiek perdavimo, tiek vėlesnio tvarkymo atveju. Taip pat galima suabejoti, ar gali kilti teisinių ginčų, ypač su Kinija ar Jungtinėmis Valstijomis. Siekiant iš anksto informuoti už ES ribų įsisteigusius partnerius, reglamente rekomenduojama pasirašyti privalomas įmonių taisykles (ĮPT) arba priimti standartines sutarčių sąlygas, kurias patvirtintų Europos įstaiga.

Galiausiai patikslinkime, kad asmens duomenų saugumo pažeidimas yra „saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, neteisėtai atskleidžiami perduodami, saugomi ar kitaip tvarkomi asmens duomenys arba prie jų gaunama prieiga“ (4 straipsnio 12 dalis). Todėl ir čia šis terminas turi būti suprantamas labai plačiai.