asmens duomenų apsaugos teisiniai aspektai ir duomenų valdytojo pareigos

Asmens duomenų apsaugosteisiniai aspektai ir duomenų

valdytojo pareigosProf. dr. Mindaugas Kiškis

Partneris, FORT [email protected]

http://www.fortlegal.com / http://kiskis.eu© Mindaugas Kiškis, 2017; naudoti bet kokiu būdu be sutikimo

ir nuorodos į autorių draudžiama1

mailto:[email protected]

http://www.fortlegal.com/

http://kiskis.eu/

Šiandien kalbėsiu apie tai

• Kodėl asmens duomenų teisinė apsauga yra vis labiau reguliuojama ir kaip ji reguliuojama?

• Kokios duomenų valdytojų pareigos yra šiuo metu?

• Kokios duomenų valdytojų pareigos gresia ateityje?

• Kokia atsakomybė ir sankcijos?

© Mindaugas Kiškis, 2017; naudoti bet kokiu būdu be sutikimo ir nuorodos į autorių draudžiama

2

Asmens duomenų apsaugos teisiniai aspektai

• Privatumas ir asmens duomenų apsauga ne tas pats

• Privatumas yra plati konstitucinė teisė, apimanti įvairias privataus gyvenimo sritis

• Asmens duomenų apsauga yra siauresnė teisė, tačiau dalinai išeinanti iš privatumo ribų

• Asmens duomenų apsauga yra labiausiai/plačiausiai reglamentuojama


3

Asmens teisė į privatumą yra sudėtinė

• Teisė į privataus gyvenimo neliečiamumą• Teisė neduoti parodymų prieš save, šeimos narius • Teisė į komunikacijos slaptumą• Asmens duomenų apsauga• Specialusis privatumas – viešųjų asmenų, pacientų,

nepilnamečių, etc.• Advokato-kliento komunikacijos privatumas• Profesinė ir pan. paslaptis• ...

4© Mindaugas Kiškis, 2017; naudoti bet kokiu būdu be sutikimo ir nuorodos į autorių draudžiama

EŽTK

8 str. Teisė į privataus ir šeimos gyvenimo gerbimą • 1. Kiekvienas turi teisę į tai, kad būtų gerbiamas jo privatus ir

šeimos gyvenimas, būsto neliečiamybė ir susirašinėjimo slaptumas.

• 2. Valstybės institucijos neturi teisės apriboti naudojimosi šiomis teisėmis, išskyrus įstatymų nustatytus atvejus ir, kai tai būtina demokratinėje visuomenėje valstybės saugumo, visuomenės saugos ar šalies ekonominės gerovės interesams, siekiant užkirsti kelią viešos tvarkos pažeidimams ar nusikaltimams, taip pat žmonių sveikatai ar moralei arba kitų asmenų teisėms ir laisvėms apsaugoti.


5

LR Konstitucijos 22 str.

• Žmogaus privatus gyvenimas neliečiamas.• Asmens susirašinėjimas, pokalbiai telefonu, telegrafo pranešimai

ir kitoks susižinojimas neliečiami.Informacija apie privatų asmens gyvenimą gali būti renkama tik motyvuotu teismo sprendimu ir tik pagal įstatymą.

• Įstatymas ir teismas saugo, kad niekas nepatirtų savavališko ar neteisėto kišimosi į jo asmeninį ir šeimyninį gyvenimą, kėsinimosi į jo garbę ir orumą.

• Kitos privatumo nuostatos išmėtytos.


6

LR KT praktikoje

• Asmens teisė į privatumą apima asmeninį, šeimos ir namųgyvenimą, žmogaus fizinę ir psichinę neliečiamybę, garbę ir reputaciją, asmeninių faktų slaptumą, draudimą skelbti gautą ar surinktą konfidencialią informaciją ir kt.

• Privataus gyvenimo teisinė samprata siejama ir su asmens būsena, kai asmuo gali tikėtis privatumo, su jo teisėtais privataus gyvenimo lūkesčiais

• LR KT pažodžiui perėmė EŽTT doktriną


7

EŽTT praktikoje

• „Nėra nei galimybės, nei būtinybės išsamiai apibrėžti sąvoką „privatus gyvenimas“ (EŽTT N. prieš Vokietiją, Nr. 13710/88)

• EŽTT praktikoje privatus gyvenimas taip pat apima teisę į atvaizdą, balso įrašus, pirštų antspaudų, DNR ir audinių pavyzdžių tvarkymą, GPS sekimą

• Privati informacija siejama su privatumo lūkesčiais, subjektyviu privatumo suvokimu

• Net ir profesinėje ar komercinėje veikloje žmogus turi tam tikrą teisę į privatumą, ir tai visų pirma pasakytina apie laisvųjų profesijų darbuotojus, kurių gyvenamoji vieta gali būti ir darbo vieta


8

LAT baudžiamųjų bylų praktikoje

• BK komentaras: Privatus žmogaus gyvenimas vyksta ne viešumoje, o tose srityse, kur asmuo turi teisę pasilikti vienas ar su laisvai pasirinktais žmonėmis ir kur be to asmens sutikimo kitiems negalima kištis: tai vidiniai asmens šeimos santykiai, jo lytinis, dvasinis, religinis gyvenimas, sveikatos būklė, privatus susirašinėjimas, privatūs pokalbiai, kilmė, privati kompiuteryje saugoma informacija ir t.t.


9

Naujausioje LAT ATP praktikoje

• ADTAĮ 1 str. 1 d.: Šio įstatymo tikslas – ginti žmogaus privataus gyvenimo neliečiamumo teisę tvarkant asmens duomenis.

• ADTAĮ 2 str. 1 d.: Asmens duomenys – bet kuri informacija, susijusi su fiziniu asmeniu – duomenų subjektu, kurio tapatybė yra žinoma arba gali būti tiesiogiai ar netiesiogiai nustatyta pasinaudojant tokiais duomenimis kaip asmens kodas, vienas arba keli asmeniui būdingi fizinio, fiziologinio, psichologinio, ekonominio, kultūrinio ar socialinio pobūdžio požymiai.

• Ar neprivati informacija susijusi su fiziniu asmeniu (informacijanesusijusi su privačiu gyvenimu) yra asmens duomenys?


10

Asmens duomenų apsauga tampa savarankiška

• Panašią praktika dar 2010 m. suformavo ESTT (9C-28/08, Commission v. Bavarian Lager Co), nors ji kritikuojama doktrinoje

• Asmens duomenų apsauga išeina iš privatumo apsaugos ribų, tampa savarankiška teise

• Kaip atskira teisė įtvirtinta 2016 m. Europos Sąjungos pagrindinių teisių chartijos 8 str. 1 d. ir 2012 m. Sutarties dėl Europos Sąjungos veikimo 16 str. 1 d.

• GDPR reglamentas nebesieja asmens duomenų su privačiu gyvenimu


11

Mus supa asmens duomenys

• Visi verslai tvarko anketinius asmens duomenis

• Dauguma tvarko ir ypatingus asmens duomenis

• Tipiškai dauguma įmonių, tvarko darbuotojų, tiekėjų, partnerių, vaizdo stebėjimo duomenis

• Šiuo metu visi duomenys tvarkomi automatiniu (elektroniniu) būdu

• Duomenys tvarkomi debesyse, per kompiuterių tinklusprijungtus prie interneto, per mobilius įrenginius

• Dažnai tvarkoma daug papildomų duomenų (CRM sistemos)


12

Verslas tvarko asmens duomenis naudojant modernias technologijas


13

84

78

66

32

22

16

6

8

El. paštas

Įmonės informacinės sistemos įmonės serveryje

Debesų saugyklos (Dropbox, Google Drive ir pan.)

Mobilieji įrenginiai, per kuriuos galima prisijungti prieįmonės IT sistemų

Nutolusios saugyklos (failų serveriai)

Išorinės laikmenos (USB ir pan.)

Mūsų įmonės duomenis tvarko išorinis paslaugų tiekėjas(SaS) (pvz. Office 365)

Kiti elektroniniai būdai

Kuriais iš išvardintų būdų Jūsų įmonė tvarko asmens duomenis?

Advokatai asmens duomenis tvarko kasdien

• Be asmens duomenų tvarkymo darbas yra neįmanomas

• Visi mūsų klientų duomenys yra asmens duomenys

• Taip pat tvarkome kitų asmenų asmens duomenis (oponentų, liudytojų, ekspertų, etc.)

• Įrodymai yra asmens duomenys

• Labai dažnai tvarkome ypatingus ir ypač jautrius duomenis

• Pačių advokatų duomenys taip pat yra asmens duomenys

• Nevienodos teisės lyginant su teismais, kaltintojais ir valstybe


14

Asmens duomenų apsauga yra formali ar reali?

• Deklaruojamas reguliavimo tikslas yra „pasitikėjimas“ elektroninėje erdvėje

• Privatumo paradoksas – žmonės laisvai viešina ir dalijasi net ir labai privačiais duomenimis

• Valstybė su asmens duomenimis iš esmės daro ką nori be atsakomybės

• Ekstrateritorinė apsauga neveikia ir yra neįgyvendinama


15

Dar keli bendri pastebėjimai

• Dvigubi standartai viešajam ir privačiam sektoriui• Valstybė su asmens duomenų apsauga visiškai nesiskaito – blogas pavyzdys

užkrečia• Šiuo metu sankcijos už asmens duomenų pažeidimus Lietuvoje yra vienos

mažiausių ES (nors ANK padidino >x2)• Žalos atlyginimas už privatumo pažeidimus taip pat yra nerimtas• Kaštų (rizikų) / naudos požiūriu asmens duomenų apsaugą pažeisti „apsimoka“• Priežiūros resursai ir kompetencija labai riboti, praktika labai nenuosekli• Realiai praktika apsiriboja „mailiumi“, sprendimai dėl „banginių“ reti ir dažnai

neįgyvendinami


Ar dar turime apie ką kalbėti?


17

Keletas advokatams aktualių asmens duomenų apsaugos

aspektų


18

Advokatas siunčia pretenziją faksu į darbovietę (2AT-75/2014)

• Advokatas, neturėdamas pareiškėjo sutikimo, į pareiškėjo darbovietės faksą atviru pavidalu išsiuntė jam adresuotą reikalavimą padengti įsiskolinimą taip pažeidė ADTAĮ 30 str. 7 d.

• Siuntimas faksu laikomas automatiniu duomenų tvarkymu


Advokatas informuoja potencialius liudininkus apie bylą (2AT-4-677/2015)

• Atskleista informacija: –,,Kauno apylinkės teisme yra nagrinėjama civilinė

byla Nr. 2-632-451/2013 pagal ieškovo E. Z. ieškinį dėl santuokos nutraukimo, esant kito sutuoktinio kaltei, tarp E. Z. ir V. Z.“

• Ši informacija tapati informacijai viešame nagrinėjamų bylų tvarkaraštyje

• Pažeidimas ar ne?20© Mindaugas Kiškis, 2017; naudoti bet kokiu būdu be sutikimo

ir nuorodos į autorių draudžiama

Advokatai neteikia informacijos VDAI (2AT-46/2014; 2AT-48/2014)

• Advokatas iš registrų gauna informacija

• VDAI prašo pateikti „visą informaciją“ apie tai

• Advokatai atsisako teikti informaciją VDAI motyvuodami advokato profesine paslaptimi

• Kas turi konkretumo pareigą?


Būtinos advokatų veiklos garantijos

• Advokatai yra reguliuojama profesija, esminė teisių gynimui

• Mes esame davę priesaiką saugoti klientų paslaptis/privatumą/informaciją, turime etikos kodeksą, vidines kontrolės/priežiūros institucijas

• Turi būti išimtis atleidžiant nuo biurokratijos (formalių duomenų valdytojo pareigų)

• Duomenų subjektų teises turime įgyvendinti tik ta apimtimi, kiek tai neprieštarauja advokato veiklai


22

Bendrosios duomenų valdytojų pareigos


23

Bendrosios duomenų valdytojo pareigos

• Tvarkyti duomenis tik turint teisinį pagrindą

• Tvarkyti tik tiek duomenų, kiek reikia tikslui

• Registracija duomenų valdytoju (atskiras pranešimaskiekvienam tikslui)

• Vidinė duomenų apsaugos dokumentacija

• Saugumas (organizacinės-techninės apsaugos priemonės)

• Duomenų subjektų teisių paisymas


24

Ypatingų duomenų valdytojo pareigos

• Ypatingų asmens duomenų, tvarkymui nustatytospapildomos pareigos:

– Išankstinė patikra

– Registracija duomenų valdytoju (atskiras pranešimas kiekvienamtikslui)

– Padidintos organizacinės-techninės apsaugos priemonės


25

Specialios pareigos

• Vaizdo stebėjimui

• Duomenų apie mokumo ir finansinės rizikos vertinimą ir įsiskolinimo valdymą tvarkymui

• Tuo atveju, jei paskiriamas duomenų tvarkytojas, valdytojas atsako, kad duomenys turi būti tvarkomi tik pagal duomenų valdytojo nurodymus


26

Asmens duomenų tvarkymo pagrindai (kriterijai)

• Duomenų subjekto sutikimas

• Sutartis su duomenų subjektu

• Įstatyminis įpareigojimas

• Siekiama apsaugoti duomenų subjekto esminius interesus

• Sutikimas turi būti įformintas raštu ir geriausia atskirai

• Teisėtas interesas

• SVARBU: Nuostatos dėl asmens duomenų tvarkymorekomenduojamos visose sutartyse


27

Duomenų subjekto teisės

• Žinoti (būti informuotam) apie savo asmens duomenų tvarkymą

• Susipažinti su savo asmens duomenimis ir kaip jie yra tvarkomi (raštu; nemokamai 1 kart./12 mėn.)

• Reikalauti ištaisyti, sunaikinti savo asmens duomenis arba sustabdyti, išskyrus saugojimą, savo asmens duomenų tvarkymo veiksmus, kai duomenys tvarkomi nesilaikant įstatymų nuostatų

• Nesutikti, kad būtų tvarkomi jo asmens duomenys© Mindaugas Kiškis, 2017; naudoti bet kokiu būdu be sutikimo

ir nuorodos į autorių draudžiama28

Automatiniai sprendimai (savybių įvertinimas automatiniu būdu)

• Negali būti priimamas sprendimas dėl duomenų subjekto savybių (kreditingumo, patikimumo, darbingumo ir kt.), jeigu tokios savybės buvo įvertintos tik automatiniu būdu, kai toks sprendimas gali sukelti duomenų subjektui teisinių pasekmių ar kitaip jį paveikti

• Galima jeigu sprendimas teigiamas, arba subjektas gali apeliuoti


29

Duomenų saugumas

• Valdytojo pareiga - įgyvendinti tinkamas organizacines ir technines priemones, skirtas apsaugoti asmens duomenims nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo

• Priemonės turi užtikrinti saugumo lygį pagal duomenų pobūdį ir riziką

• Turi būti išdėstytos rašytinės formos dokumente

• Valdytojo atsakomybės prezumpcija


30

Atsakomybė šiuo metu

• Administracinė atsakomybė

• ANK 82 str. Asmens duomenų teisinės apsaugos įstatymo pažeidimas

• Bauda juridinių asmenų vadovams ar kitiems atsakingiems asmenims – nuo 300 iki 1150 EUR. Už pakartotinį pažeidimą – iki 3000 EUR.

• Civilinė atsakomybė - esama praktika iki 5000 EUR už pažeidimą

• Reputacinė atsakomybė ?


31

Mažiau nei po metų (nuo 2018 05 25)


32

ES Bendrasis duomenų apsaugos reglamentas

• 2018 05 25 įsigalioja naujas ES Bendrasis duomenųapsaugos reglamentas (GDPR)

• Iš esmės išlieka visos esamos pareigos + atsiranda naujos pareigos

• Pareigos proaktyvios (vs. reaktyvios šiuo metu)

• Papildomos duomenų subjekto teisės


33

ES Bendrasis duomenų apsaugos reglamento mažiprivalumai

• Vieno subjekto principas įmonių grupėms

• Vieno langelio priežiūros principas tarptautinėms įmonėms

• Lietuvoje gali būti atsisakoma duomenų valdytojų formalaus registravimo (2017-06-15 ADTAĮ projektas)

• Didžiausia problema reguliavimo ir atitikties neapibrėžtumas


34

Praktinis pavyzdys (GDPR preambulės 91 p.)

• Duomenų tvarkymo dideliu mastu apibrėžimas:• [Poveikio vertinimas turi būti taikomas] didelio masto duomenų tvarkymo operacijoms, kuriomis siekiama regioniniu,

nacionaliniu ar viršnacionaliniu lygmeniu tvarkyti didelį kiekį asmens duomenų, kurios galėtų daryti poveikį daugeliui duomenų subjektų ir kurios gali kelti didelį pavojų, pavyzdžiui, dėl jų jautraus pobūdžio, kai atsižvelgiant į pasiektą technologinių žinių lygį nauja technologija yra naudojama dideliu mastu, taip pat taikoma kitoms duomenų tvarkymo operacijoms, kurios kelia didelį pavojų duomenų subjektų teisėms ir laisvėms, visų pirma, kai duomenų subjektams dėl šių operacijų yra sunkiau naudotis savo teisėmis. Poveikio duomenų apsaugai vertinimas taip pat turėtų būti atliktas tais atvejais, kai asmens duomenys yra tvarkomi siekiant priimti sprendimus dėl konkrečių fizinių asmenų atlikus su fiziniais asmenimis susijusį sistemingą ir plataus masto asmeninių aspektų įvertinimą, remiantis tų duomenų profiliavimu, arba atlikus specialių kategorijų asmens duomenų, biometrinių duomenų ar duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas ar susijusias saugumo priemones tvarkymą. Poveikio duomenų apsaugai vertinimo taip pat reikalaujama siekiant vykdyti viešų vietų stebėjimą dideliu mastu, ypač naudojant optinius elektroninius prietaisus, arba vykdant kitas operacijas, kurių atveju kompetentinga priežiūros institucija laikosi nuomonės, kad tvarkant duomenis gali kilti didelis pavojus duomenų subjektų teisėms ir laisvėms, visų pirma dėl to, kad jas vykdant duomenų subjektams užkertamas kelias naudotis savo teisėmis, paslaugomis arba sudaryti sutartis, arba dėl to, kad josyra vykdomos sistemingai dideliu mastu. Asmens duomenų tvarkymas neturėtų būti laikomas didelio masto duomenų tvarkymu, jei tai yra atskirų gydytojų, kitų sveikatos priežiūros specialistų pacientų arba teisininko klientų asmens duomenų tvarkymas. Tokiais atvejais neturėtų būti privaloma atlikti poveikio duomenų apsaugai vertinimo.


35

Naujos pareigos pagal GDPR (nuo 2018 05 25)

• Privalomas duomenų apsaugos pareigūnas

• Privalomas poveikio duomenų apsaugai vertinimas

• Privalomi darbuotojų mokymai

• Techninės pareigos - duomenų pseudonimizavimas / šifravimas, numatytoji duomenų apsauga (by design)

• Dar išsamesnis duomenų tvarkymo dokumentavimas (detali dokumentacija)

• Privalomi pranešimai apie duomenų incidentus per 72 val.


36

Naujos duomenų subjektų teisės

• Griežtesnės sutikimo sąlygos

• Teisė į duomenų perkeliamumą

• Teisė reikalauti ištrinti duomenis

• Teisė reikalauti neautomatiniu tvarkymu grįsto sprendimo (įskaitant profiliavimą)

• Specialios teisės dėl asmens duomenų tvarkymo su darbo santykiais susijusiame kontekste


37

Atsakomybė pagal GDPR (nuo 2018 05 25)

• GDPR sankcijos valdytojams priklausomai nuo pažeidimo iki 20m EUR arba 4% metinės apyvartos (jeigu 4% yra >20m EUR)

• Diferencijuojama pagal konkretų pažeidimą

• Civilinė atsakomybė ateityje stipriai didės

• SVARBU: civilinė atsakomybė gali būti ribojama sutartimis


38

Ačiū už dėmesį[email protected]


39

mailto:[email protected]

asmens duomenų apsaugos teisiniai aspektai ir duomenų valdytojo pareigos

Law