Sustiprintos asmenų teisės prieš įmones

Ištrauka iš Bruno DUMAY knygos: GDPR IŠŠIKRAVIMAS – vadovams, strateginiams skyriams ir įmonių bei organizacijų darbuotojams – Gaëlle MONTEILLER pratarmė

Demokratinių visuomenių normos turėtų garantuoti pusiausvyrą tarp interesų, kurie gali būti prieštaringi. Tačiau daugumoje svarbių tekstų yra orientacija – aukščiau kalbėjau apie filosofiją – kuri palanki vienai šaliai kitos nenaudai, arba todėl, kad šiuos tekstus primesianti institucija nori nustatyti naują kryptį, arba todėl, kad po tam tikrų nukrypimų viena kryptimi, dėl kurių tarp šalių susiklostė asimetriški santykiai, buvo pajusta būtinybė atkurti pusiausvyrą. BDAR neabejotinai yra priemonė atkurti asmenų teises, susidūrus su visagaliomis įmonėmis, kurios nebesirūpino privatumo gerbimu.  

Visas reglamento III skyrius skirtas „Duomenų subjekto teisėms“. Būtent „duomenų valdytojas“ yra atsakingas už šių teisių įgyvendinimo palengvinimą. Jis privalo atsakyti „kuo greičiau ir bet kuriuo atveju per vieną mėnesį nuo prašymo gavimo. Prireikus šis laikotarpis gali būti pratęstas dviem mėnesiais, atsižvelgiant į prašymų sudėtingumą ir skaičių“ (12-3 straipsnis). Todėl galima daryti išvadą, kad į prašymą atsakyti skiriami trys mėnesiai ir kad vien šis laikotarpis gali atgrasyti daugelį pareiškėjų. Iš tikrųjų ne; viena vertus, nes šis pratęsimas turi būti pagrįstas „poreikiu“ arba „sudėtingumu“, kita vertus, nes prašymą teikiantis asmuo per vieną mėnesį turi būti informuotas apie šio pratęsimo priežastis (vėlgi 12-3 straipsnis). Ir jei duomenų valdytojas mano, kad prašymas yra nepagrįstas, jis turi įrodyti šį nepagrįstumą (12-5 straipsnis).

13 straipsnyje išvardyta visa informacija, kurią reikia pateikti renkant duomenis apie asmenį. Tai revoliucinis pokytis: negalime sutikti su tuo, prieš tai neužtikrindami reglamento nuostatų sąžiningumo. Niekas negalės pasikliauti savo dydžiu, reputacija ar darbo stažu, kad įtikintų interneto vartotojus atskleisti savo tapatybę.

Todėl bendrovė turi iš anksto pateikti:

– duomenų valdytojo tapatybė ir kontaktiniai duomenys;

– duomenų apsaugos pareigūno kontaktiniai duomenys (struktūrose, kuriose tai privaloma, apie tai pakalbėsime atskirai);

– duomenų tvarkymo tikslai, kuriems skirti duomenys, taip pat šio tvarkymo teisinis pagrindas;

– duomenų gavėjai, įskaitant atvejus, kai planuojama perduoti duomenis trečiajai šaliai.

Gavus duomenis (tekste nurodoma „tuo metu…“), vis tiek reikia pranešti:

– galiojimo laikas;

– teisė reikalauti ištaisyti duomenis, juos ištrinti, apriboti jų tvarkymą, nesutikti su tvarkymu, teisė į duomenų perkeliamumą (prie kiekvienos iš šių teisių dar grįšime);

– teisę pateikti skundą priežiūros institucijoms;

– duomenų nepateikimo pasekmės;

– duomenų pateikimo pasekmės, ypač automatizuoto sprendimų priėmimo ar profiliavimo požiūriu.

Kai duomenys surinkti ne iš duomenų subjekto, prievolės yra tos pačios, prie kurių pridedama „šaltinis, iš kurio gauti asmens duomenys“. Šios informacijos pateikti nereikia, kai duomenys tvarkomi archyvavimo, tyrimų ar statistiniais viešojo intereso tikslais.  

Duomenų subjektui perdavus duomenis, jie jam lieka neatsakingi (vėlgi tai didelis pokytis, palyginti su dabartine praktika). Iš tiesų, BDAR pirmiausia (iš naujo) sukuria teisę susipažinti su duomenimis (15 straipsnis). Ši teisė susipažinti su duomenimis jau egzistuoja Prancūzijoje, tačiau ji mažai žinoma ir sudėtinga įgyvendinti. Čia ji apima visą 13 straipsnyje nurodytą informaciją. Prieiga suteikiama juos perduodant pateikus paprastą prašymą: „Duomenų valdytojas pateikia tvarkomų asmens duomenų kopiją“ (15-3 straipsnis). Ši kopija yra nemokama (už papildomą kopiją gali būti imami pagrįsti mokesčiai). Kai prašymas pateikiamas elektroniniu būdu, atsakymas pateikiamas ta pačia forma, nebent prašymas skiriasi.

Antra aiškiai įtvirtinta teisė: teisė reikalauti ištaisyti duomenis (16 straipsnis). Ši teisė susijusi su duomenimis, kurie yra netikslūs ir neišsamūs, atsižvelgiant į tvarkymo tikslą.

Trečiosios teisės svarba pamažu išryškėjo per pastaruosius dešimt metų, nuo Web 2.0 ir socialinių tinklų atsiradimo. Būtent nuo šios datos mes suvokėme duomenų svarbą, o kolekcijos buvo tvarkomos ir dauginamos. Kadangi informacija apie mus yra nežinomų rankų, reikalavimas dėl teisės ištrinti duomenis (arba teisės būti pamirštam) tapo formalizuotas. Prancūzija bandė tai padaryti 2010 m., priimdama Chartijas dėl teisės būti pamirštam, tačiau „Facebook“ ir „Google“ atsisakė jas pasirašyti. Būtent Europos Sąjungos Teisingumo Teismas 2014 m. birželį suteikė teisę būti pamirštam, po to pagrindiniai skaitmeniniai žaidėjai, įskaitant „Google“, turėjo nustatyti procedūras, įskaitant „formos“ paskelbimą internete, leidžiančią interneto vartotojui pasinaudoti šia teise. Dėl šios formos šimtai tūkstančių žmonių galėjo pašalinti savo rezultatus iš savo duomenų bazės.

BDAR įtvirtina šią teisę Europos lygmeniu ir išdėsto ją paprastai (17 straipsnis). Duomenų subjekto prašymu duomenų valdytojas privalo kuo greičiau ištrinti asmens duomenis:

– jei duomenys nebėra reikalingi tikslams, kuriems jie buvo surinkti;

– jei sutikimas atšaukiamas;

– jei yra prieštaravimas tvarkymui.

Duomenų subjektas neprivalo pagrįsti savo prašymo. Vieninteliai šios teisės ištrinti duomenis apribojimai yra šie:

– Sąjungos ar valstybės narės teisės aktuose numatytos teisinės prievolės laikymasis;

– teisėtų teisių įgyvendinimas;

– viešojo archyvavimo, mokslinių tyrimų ar statistikos, taip pat visuomenės sveikatos priežastys;

– galiausiai, „teisės į saviraiškos ir informacijos laisvę įgyvendinimas“ (17-3a str.). Kyla klausimas, ką su tuo turi bendro saviraiškos ir informacijos laisvė. Ar žiniasklaidos interesus atstovaujančios lobistų grupės turėjo kokią nors įtaką? O gal teksto rengėjams primetė save tiesiog žiniasklaidos visagalybė – tokia pat stipri kaip ir duomenų?

Taip pat numatyta „teisė apriboti duomenų tvarkymą“, ypač kol tikrinamas duomenų tikslumas arba kai tvarkymas yra neteisėtas, bet duomenų subjektas prieštarauja duomenų ištrynimui (18 straipsnis). Apie apribojimą, kaip ir apie tvarkymą, duomenų subjektas turi būti informuotas (19 straipsnis).        

BDAR, numatydama „teisę į duomenų perkeliamumą“, leidžia asmeniui gauti duomenis, kuriuos jis pateikė organizacijai, „struktūrizuotu, įprastai naudojamu ir kompiuterio skaitomu formatu“ (20-1 straipsnis). Jie gali tai daryti asmeniniam naudojimui arba perduoti duomenis kitai organizacijai. Jie netgi gali prašyti, kad jų duomenys būtų tiesiogiai perduoti iš vieno duomenų valdytojo kitam. CNIL nurodo, kad negalima reikalauti duomenų, kurie yra „išvesti, apskaičiuoti ar numanomi“, t. y. sukurti organizacijos (tai skiriasi nuo teisės susipažinti su duomenimis). Tačiau gauti duomenys gali apimti „antrinę“ informaciją, susijusią su trečiosiomis šalimis.

WP29 – pagal 1995 m. Europos direktyvos 29 straipsnį įsteigta Europos darbo grupė, kuri siekia išaiškinti BDAR prieš jai tampant Europos duomenų apsaugos valdyba, rekomenduoja duomenų perdavimui įkėlimo mechanizmą, atsižvelgiant į teisę į perkeliamumą. Visais atvejais nuostata turi būti lengvai prieinama ir saugi. Šiuo metu nenurodytas joks konkretus formatas, tačiau „WP29 ragina pramonės atstovus ir profesines asociacijas parengti sąveikius standartus ir formatus, kad būtų laikomasi šių teisės į perkeliamumą prielaidų“.

Duomenų valdytojas raginamas aiškiai informuoti apie teisę į duomenų perkeliamumą, prieš perduodant prašomus duomenis įdiegti autentifikavimo procedūrą ir teikti šią paslaugą nemokamai, nebent prašymas yra akivaizdžiai nepagrįstas arba neproporcingas, „ypač dėl savo pasikartojančio pobūdžio“. Reikėtų atkreipti dėmesį, kad duomenys, perduoti pagal teisę į duomenų perkeliamumą, neprivalo būti ištrinti iš pirminio failo.

Kiekvienas asmuo turi teisę bet kuriuo metu nesutikti (21 str.). Šis nesutikimas gali būti susijęs su bet kokiu tvarkymu, o tiksliau – su žvalgyba (21 str. 2 d.) ir net su moksliniais ar istoriniais tyrimais, „nebent tvarkymas yra būtinas atliekant užduotį viešojo intereso labui“ (21 str. 6 d.). Gali būti, kad šia teise pirmiausia bus naudojamasi siekiant nesutikti su komerciniais tikslais.

Galiausiai, BDAR reglamentuoja profiliavimą. „Duomenų subjektas turi teisę, kad jam nebūtų taikomas tik automatizuotu duomenų tvarkymu, įskaitant profiliavimą, pagrįstas sprendimas, kuris jam sukelia teisinių pasekmių arba jam panašiai daro didelį poveikį“ (22 straipsnis). Tai leidžiama pagal sutartį arba jei tai grindžiama aiškiu susitarimu. Tokiais atvejais duomenų valdytojas užtikrina „duomenų subjekto teisių, laisvių ir teisėtų interesų apsaugą“.