Asmens teisė į privatumą tampa aktuali kaip niekada. Klysta tie, kurie vis dar teigia, kad šis asmens duomenų apsaugos „ažiotažas“ kilo tik dėl vieno teisės akto – Bendrojo duomenų apsaugos reglamento („BDAR“). 1890 m. du Jungtinių Valstijų teisininkai Samuel D. Warren ir Louis Brandeis parašė straipsnį, kuris vadinosi „Teisė į privatumą“. Šiame straipsnyje minėti teisininkai vartojo frazę „teisė būti paliktam vienam“, kuri turėjo būti suprantama kaip privatumo apibrėžimas. Vėliau sekė teisės aktai (1948 m. Visuotinė žmogaus teisių deklaracija, 1950 m. Europos žmogaus teisių ir pagrindinių laisvių apsaugos konvencija ir kt.), kurie palaipsniui skyrė vis didesnį dėmesį asmens duomenų apsaugai. Galiausiai buvo priimtas BDAR.
Įsigaliojus BDAR, dažnai įvairiuose straipsniuose buvo akcentuojama kokio dydžio baudas už BDAR pažeidimus priežiūros institucijos gali skirti organizacijoms, įmonėms. Prasidėjo „lenktynės“, kas labiau įbaugins tuos, kurie savo kasdienėje veikloje tvarko asmens duomenis. Vienas iš pirmųjų atvejų buvo Prancūzijos priežiūros institucijos skirta 50 mln. eurų bauda „Google“ už skaidrumo principo pažeidimą, nepakankamą duomenų subjektų informavimą, teisinio pagrindo tvarkyti duomenis nebuvimą. Tais pačiais 2019 m. Jungtinės Karalystės duomenų apsaugos priežiūros institucija paskelbė apie savo ketinimus skirti 183,39 mln. svarų sterlingų baudą „British Airways“ už BDAR 32 str. pažeidimus. Įmonei patyrus kibernetinio saugumo incidentą, paaiškėjo, jog dėl per silpnų bendrovės taikytų saugumo priemonių, buvo pažeista jos klientų informacija. Puikus pavyzdys pagąsdinimui, kad „jeigu nesilaikysit BDAR, štai kokios baudos Jūsų laukia“. Vėliau buvo mažai informacijos apie tai, jog galutinė bauda yra sumažinta iki 20 mln. svarų sterlingų. Pavydžių yra ne vienas apie skirtas milijonines baudas kitose Europos Sąjungos valstybėse ir neretai duomenų apsaugos ekspertų diskusijose pasigirdavo, jog Lietuvoje organizacijos, bendrovės iš esmės gali jaustis nebaudžiamos, nes mūsų nacionalinė priežiūros institucija nesisvaido tokiomis baudomis. Tačiau liepos pradžioje Valstybinė duomenų apsaugos inspekcija („VDAI“) paskelbė, jog pirmajam Lietuvos vienaragiui „Vinted“ skyrė 2 385 276 eurų administracinę baudą. Staiga vėl pasipylė priminimai dėl BDAR „siaubo“ – baudų.
„Vinted“ bauda
VDAI svetainėje nurodyta, jog „Vinted“ paskirta bauda „VDAI išnagrinėjus Prancūzijos ir Lenkijos priežiūros institucijų persiųstus pareiškėjų skundus ir nustačius Bendrojo duomenų apsaugos reglamento (BDAR) 5 straipsnio 1 dalies a punkto (teisėtumo, sąžiningumo ir skaidrumo principų), 5 straipsnio 2 dalies (atskaitomybės principo) bei 12 straipsnio 1 ir 4 dalių (skaidraus informavimo, pranešimo ir duomenų subjekto naudojimosi savo teisėmis sąlygų) pažeidimus“. Nurodytų straipsnių pažeidimai pagal BDAR nuostatas priskirtini prie „sunkesnių pažeidimų“, už kuriuos gali būti skiriamos administracinės baudos iki 20 mln. eurų arba, įmonės atveju – iki 4 % jos ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė. Pačios duomenų tvarkymo operacijos buvo tarpvalstybinės ir šis Lietuvos priežiūros institucijos sprendimas buvo derinamas tarp kelių skirtingų valstybių duomenų apsaugos priežiūros institucijų.
Įdomus aspektas, jog Europos Sąjungos mastu statistika rodo, kad baudų TOP trejetukas pagal skirtos baudos sumą yra skiriamas už (i) bendrųjų BDAR principų pažeidimus, (ii) nepakankamą duomenų tvarkymo teisinį pagrindą bei (iii) netinkamai pasirinktas/išvis netaikytas technines ir organizacines saugumo priemones. Baudų TOP trejetukas pagal baudų skaičių yra už (i) nepakankamą (arba) netinkamą duomenų tvarkymo teisinį pagrindą, (ii) bendrųjų BDAR principų pažeidimus ir (iii) netinkamai pasirinktas/išvis netaikytas technines ir organizacines saugumo priemones. O štai „Vinted“ atveju bauda be bendrųjų duomenų tvarkymo pažeidimų, skirta dar ir už duomenų subjektų teisių netinkamą įgyvendinimą. VDAI pranešime akcentuojama, jog „Vinted“ netinkamai įgyvendino jų prašymus dėl teisės reikalauti ištrinti duomenis („teisės būti pamirštam“) ir dėl teisės susipažinti su duomenimis.
Teisė būti pamirštam
BDAR 17 str. numato, kad duomenų subjektas turi teisę reikalauti, jog duomenų valdytojas ištrintų su juo susijusius asmens duomenis, jei yra tam tikrų sąlygų. Tačiau ši teisė nėra absoliuti ir tam tikrais atvejais (teisinė prievolė taikoma duomenų valdytojui, siekiant atlikti užduotį, vykdomą viešojo intereso labui, kt.) gali būti neįgyvendinta. „Vinted“ atveju, kaip nurodo VDAI, bendrovė, atsakydama į pareiškėjų prašymus, nurodė, jog nesiims veiksmų dėl konkretaus prašymo ištrinti duomenis, nes atitinkamas pareiškėjas savo prašyme neįvardijo „konkrečių pagrindų“, įtvirtintų BDAR 17 str. – neįvardijo konkrečios priežasties, atitinkančios BDAR 17 str. 1 d., taip pat bendrovė nenurodė visų neveikimo priežasčių, t. y. tikslų, dėl kurių ir toliau po prašymo pateikimo bus tvarkomi konkrečios apimties pareiškėjų duomenys. Šioje vietoje norėtųsi atkreipti dėmesį, jog organizacijų ir bendrovių specialistai, dirbantys su asmens duomenų apsaugos atitiktimi, tikrai sugebėtų parengti detalų paklausimą, pasiremti ir atitinkama praktika, tačiau jeigu tai yra vidutinis vartotojas, kuris tiesiog girdėjęs apie tai, jog yra toks teisės aktas kaip BDAR, numatantis tam tikras teises jam, nerengiantis kasdien teisine kalba prašymų ir raštų, gali ir negebėti parengti tobulo prašymo, kuriame preciziškai nurodytų, kokiomis gi teisėmis jis nori pasinaudoti. Iš priežiūros institucijos požiūrio galima išvada, jog tinkamai reaguoti į duomenų subjektų užklausas būtina ir jeigu atsisakoma jas įgyvendinti, motyvai turi būti aiškūs ir suprantami vartotojui. Visgi, derėtų nepamiršti ir to, jog teisė būti pamirštam pati savaime turi vis dar neatsakytų klausimų, susijusių su šios teisės praktiniu įgyvendinimu bei taikymo apimtimi, todėl nežinant „Vinted“ argumentacijos sunku vienareikšmiškai pasakyti, ar pažeidimo apimtis buvo tokia, jog reikėjo skirti aptariamo dydžio baudą.
„Šešėlinis blokavimas“
Šešėlinis blokavimas (angl. shadow banning) yra paslėpta turinio blokavimo forma, naudojama socialiniuose tinkluose ir kitose internetinėse platformose. Vartotojui gali atrodyti, kad jo turinys yra publikuojamas ir matomas kitiems, tačiau iš tikrųjų jis yra slepiamas arba rodomas mažesniam žmonių skaičiui. Tikslus šešėlinio blokavimo mechanizmas gali skirtis priklausomai nuo platformos, tačiau paprastai naudojami algoritmai, kurie identifikuoja ir filtruoja turinį, laikomą netinkamu ar pažeidžiančiu platformos taisykles. Šis turinys gali būti paslėptas paieškos rezultatuose, sumažintas jo rodymas naujienų sraute, arba netgi visiškai užblokuotas. „Vinted“ atveju buvo nustatyta, kad bendrovė naudojo šį mechanizmą, siekdama užtikrinti platformos ir jos naudotojų saugumą, tačiau tuo pačiu buvo pažeisti sąžiningumo ir skaidrumo principai, su tikslu, kad asmuo, galimai pažeidžiantis „Vinted“ platformos veiklos principus, paliktų platformą, nežinodamas apie tokį jo asmens duomenų tvarkymą. Visa tai lėmė, jog netinkamas minėtų principų įgyvendinimas neigiamai įtakojo „Vinted“ vartotojų galimybes pasinaudoti kitomis BDAR įtvirtintomis teisėmis ir jų gynimo priemonėmis. Šioje vietoje galime įžvelgti, kad BDAR reikalavimai persipina ir su Skaitmeninių paslaugų aktu. Pastarasis teisės aktas reikalauja, kad platformos turinį moderuotų skaidriai, įpareigojama užtikrinti skaidrumą dėl šešėlinio blokavimo ir panašaus turinio moderavimo. Kai paskyra apribojama, naudotojas turi būti informuojamas ir turi teisę sprendimą apskųsti. Taip pat reikalaujama, kad paslaugų teikėjai atskleistų savo moderavimo politiką ir kaip ji įgyvendinama, užtikrindami pasitikėjimą ir aiškią komunikaciją tarp platformų ir naudotojų[1]. Žinoma, „Vinted“ nustatytų pažeidimų laikotarpiu Skaitmeninių paslaugų aktas dar negaliojo, tačiau tai nereiškia, kad atlikti veiksmai buvo teisėti. Vartotojai, kuriems buvo taikomas arba galimai gali būti taikomas šešėlinis blokavimas turėjo būti apie tai informuoti, o to nesant, tikėtina ir buvo konstatuotas pažeidimas. Tačiau ir čia vėl derėtų neužmiršti, kad nežinant „Vinted“ paaiškinimų, vienareikšmių išvadų daryti nederėtų.
Ar išties būtina sunerimti visoms Lietuvoje veikiančioms įmonėms?
Būtų naivu teigti, jog VDAI signalas skiriant tokio dydžio baudą, neturės jokios įtakos. Tikrai turės. Tačiau verta atkreipti dėmesį, jog baudos skyrimas neturi būti naudojamas kaip gąsdinimo įrankis, juolab aptariamu atveju „Vinted“ jau viešai paskelbė, kad šį VDAI sprendimą skųs teisme, kas reiškia, jog galutinio baudos dydžio šiai dienai niekas negali prognozuoti. Nepaisant galutinio sprendimo, kitos organizacijos bei bendrovės turėtų pasinaudoti proga ir atkreipti dėmesį į šiai dienai paskelbtą VDAI informaciją bei pasitikrinti:
Aukščiau nurodytas sąrašas yra minimalus „Vinted“ baudos kontekste, tačiau tuo atveju, jeigu vis dar yra spragų su asmens duomenų apsaugos atitiktimi, tai gali būti atspirties taškas siekiant išvengti galimų BDAR pažeidimų.
[1] https://europa.eu/newsroom/ecpc-failover/pdf/qanda-20-2348_lt.pdf
Vyresnioji teisininkė
Milda Šlekytė