Bendrojo duomenų apsaugos reglamento (GDPR) įgyvendinimas Lietuvoje: Asmens duomenų teisinės apsaugos įstatymo pakeitimo įstatymo projektas

Birželio viduryje Teisingumo ministerija pristatė Asmens duomenų teisinės apsaugos įstatymo pakeitimo įstatymo projektą, kurio tikslas yra pasiruošti Bendrojo asmens duomenų teisinės apsaugos reglamento (GDPR) įgyvendinimui Lietuvoje. Projektą galima rasti čia.

Projektas yra palyginti nominalus ir lakoniškas. Iš pirmo žvilgsnio tai gali pasirodyti privalumu, tačiau, panagrinėjus bendrą duomenų apsaugos situaciją Lietuvoje, projektą ir galiojantį įstatymą, kurį jis pakeis, detaliau, atrodo greičiau priešingai. Noriu atkreipti dėmesį į keletą projekto problemų:

1 problema: Projektas padidina teisinį neapibrėžtumą

Tiek akademikai, tiek praktikai didžiausia Bendrojo duomenų apsaugos reglamento (GDPR) problema įvardija jo neapibrėžtumą. Reglamente ypač daug vertinamojo pobūdžio teisės normų, kurių įgyvendinimas bus didelis galvos skausmas ir priežiūros institucijoms, ir duomenų valdytojams. Neapibrėžtumas yra Lietuvos asmens duomenų teisinės apsaugos sinonimas jau du dešimtmečius.

Lietuva asmens duomenų teisinės apsaugos srityje yra užsitarnavusi nestabilios, perdėtai konservatyvios ir biurokratiškos jurisdikcijos reputaciją. Nestabilios, kadangi priežiūros institucijos praktika ir nuomonė keičiasi pernelyg dažnai, be to, skirtingų subjektų priežiūra yra nevienoda (ypač valstybinių v. privačių), arba jos išvis nėra (UAB Grožio chirurgija atvejis yra puikus priežiūros trūkumo pavyzdys). Konservatyvios ir biurokratiškos, kadangi duomenų apsaugą Lietuvoje priežiūros institucija supranta kaip leidimus ir popierizmą (pvz. Lietuva yra vienintelė ES šalis, kurioje formaliai būtini leidimai Lietuvos subjektams perduoti duomenis į trečiąsias (ne EEA) šalis, nors realiai priežiūros institucija neturi absoliučiai jokių galimybių įsigilinti į realią duomenų perdavimo situaciją ar juo labiau kontroliuoti, kaip yra laikomasi perdavimo sąlygų, – taip imituojame svarbų darbą, nors nesusitvarkome ten, kur pavojai asmens duomenims yra kartais didesni (toje pačioje UAB Grožio chirurgija)). Tuo tarpu į realius žmonių skundus žiūrima kaip į papildomą darbą (geriausiu atveju) arba jie tiesiog ignoruojami.

Iš dalies dėl tokios situacijos Lietuvos subjektams nėra naujiena kai kurie GDPR reikalavimai, kurie kelia baimę duomenų valdytojams kitose ES šalyse (pvz. reikalavimai dėl duomenų subjekto sutikimo, GDPR 7 str.). Savo ruožtu, tai rodo, kad Lietuvoje daugiau nei dešimtmetį ribojama daug teisėtų veiklų, o konkurencinės sąlygos yra blogesnės nei kaimyninėse šalyse (nuo Estijos ypač atsiliekame).

Šiuo metu galiojantis Asmens duomenų teisinės apsaugos įstatymas kai kuriais atžvilgiais yra gana detalus ir atspindi mūsų visuomenėje dažniausias situacijas. Pavyzdžiui, galiojančio ADTAĮ 8-14, 16-17 ir 21-22 str. reglamentuoja konkrečius atvejus, kai asmens duomenis leidžiama tvarkyti dėl duomenų valdytojo teisėto intereso. Šios normos nėra tobulos, turi daug trūkumų, tačiau jos yra nusistovėję, turi susiformavusią praktiką. Vietoje to, kad normas patobulinti ir aktualizuoti įgyvendinant GDPR (paminėsiu, kad GDPR nedraudžia išsaugoti nacionalinio reguliavimo šiais konkrečiais atvejais), projekte jų urmu atsisakoma, paliekant tik abstrakčią išlygą dėl asmens duomenų tvarkymo žurnalistikos arba akademinės, meninės ar literatūrinės saviraiškos tikslais (Projekto 4 str.). Taip daugeliu atveju grįžtama į visiško neapibrėžtumo situaciją ir nubraukiama per 20 metų susiformavusi praktika.

2 problema: Projektas nutyli GDPR praktikos koordinavimą

Viena iš priežasčių priimti GDPR buvo dideli asmens duomenų teisinės apsaugos skirtumai tarp ES šalių narių. Siekiant išvengti GDPR taikymo skirtumų, reglamentas priežiūros institucijoms numato ypatingas bendradarbiavimo pareigas, pareigą koordinuoti sprendimus dėl keliose ES valstybėse veikiančių subjektų ir kt. (tam skirtas visas Reglamento VII skyrius).

Labai svarbi GDPR praktinio taikymo dalis yra taip vadinamos „išankstinės konsultacijos“ (GDPR 36 str.). Visais atvejais, kai duomenų valdytojui kils abejonių ar rizikų dėl asmens duomenų
tvarkymo, duomenų valdytojas privalės kreiptis konsultacijos į priežiūros instituciją. Be to, „išankstinės konsultacijos“ procedūrą netiesiogiai gali inicijuoti ir pati priežiūros institucija. Realiai
tai yra vienintelis įrankis pačiai priežiūros institucijai imtis aktyvių veiksmų.

Turint omenyje komplikuotą priežiūros situaciją Lietuvoje (aprašyta aukščiau) tikėtinos situacijos, kai Lietuvos subjektams bus taikomos griežtesnės taisyklės ar draudimai nei kitose ES šalyse. Jokių galimybių išvengti tokios situacijos (pvz. remtis kitų ES šalių praktika vien Lietuvoje veikiantiems subjektams) projektas nenumato, tačiau projekte atsirado vietos ypač išsamiai reglamentuoti skundų nagrinėjimo ir sankcijų skyrimo procedūras (projekto 25-37 str.). Tokie akcentai kalba patys už save.

3 problema: Duomenų subjektas ir toliau „lieka ant ledo“

Dar viena labai rimta praktinė asmens duomenų apsaugos problema yra civilinės atsakomybės už duomenų apsaugos pažeidimus nebuvimas.

Šiuo metu turime kuriozinę situaciją, kai pažeidus asmens privatumą iš to faktiškai pasipelno valstybė (baudos surenkamos valstybės), tačiau pati auka nieko negauna. Žinoma, galima kaltinti pačius nukentėjusiuosius, kad jie yra pasyvūs ir negina savo teisių, tačiau tam taip pat yra priežastys didele dalimi priklausomos nuo valstybės.
Galiojančio Asmens duomenų teisinės apsaugos įstatymo 54 straipsnis numato turtinės ir neturtinės žalos atlyginimą už asmens duomenų apsaugos pažeidimus, nors praktikoje jis yra nominalus. Panašios normos yra GDPR 82 str. Deja, projekte nelieka vietos galiojančiai normai ar naujoms taisyklėms įgyvendinant GDPR 82 str. ir taisant esamą padėtį.Civilinės atsakomybės už asmens duomenų pažeidimus tema yra verta atskiros analizės – apie tai parašysiu atskirai, tačiau projekte tikrai galima pabandyti pagelbėti nukentėjusiesiems ginti savo teises. Dviračio tam išradinėti nereikia. Ginant kitas nematerialias civilines teises yra sukurta pakankamai pagalbinių civilinės atsakomybės įrankių, kurie puikiai tiktų ir asmens duomenų teisinei apsaugai (pvz. numatyti minimalias atsakomybės ribas, arba teisę reikalauti konkrečios kompensacijos). Tokios nuostatos neprieštarautų GDPR ir būtų rimtas žingsnis realiai ginant žmones, o ne plikus asmens duomenis.

Šiame tinklaraštyje talpinu ir kitą informaciją apie privatumą, asmens duomenis ir kt. Jei reikia racionalaus ir nesavanaudiško patarimo, visuomet galite kreiptis.

Parašykite komentarą

El. pašto adresas nebus skelbiamas. Būtini laukeliai pažymėti *