Asmens duomenų apsaugos teisiniai aspektai ir duomenų valdytojo pareigos

Asmens duomenų apsaugos
teisiniai aspektai ir duomenų
valdytojo pareigos
Prof. dr. Mindaugas Kiškis
Partneris, FORT Vilnius
m.kiskis@fortlegal.om
http://www.fortlegal.com / http://kiskis.eu
© Mindaugas Kiškis, 2017; naudoti bet kokiu būdu be sutikimo
ir nuorodos į autorių draudžiama
1

Šiandien kalbėsiu apie tai
• Kodėl asmens duomenų teisinė apsauga yra vis labiau
reguliuojama ir kaip ji reguliuojama?
• Kokios duomenų valdytojų pareigos yra šiuo metu?
• Kokios duomenų valdytojų pareigos gresia ateityje?
• Kokia atsakomybė ir sankcijos?
2

Asmens duomenų apsaugos teisiniai aspektai
• Privatumas ir asmens duomenų apsauga ne tas pats
• Privatumas yra plati konstitucinė teisė, apimanti įvairias
privataus gyvenimo sritis
• Asmens duomenų apsauga yra siauresnė teisė, tačiau dalinai
išeinanti iš privatumo ribų
• Asmens duomenų apsauga yra labiausiai/plačiausiai
reglamentuojama
3

Asmens teisė į privatumą yra sudėtinė
• Teisė į privataus gyvenimo neliečiamumą
• Teisė neduoti parodymų prieš save, šeimos narius
• Teisė į komunikacijos slaptumą
• Asmens duomenų apsauga
• Specialusis privatumas – viešųjų asmenų, pacientų,
nepilnamečių, etc.
• Advokato-kliento komunikacijos privatumas
• Profesinė ir pan. paslaptis
• ...
4© Mindaugas Kiškis, 2017; naudoti bet kokiu būdu be sutikimo

EŽTK
8 str. Teisė į privataus ir šeimos gyvenimo gerbimą
• 1. Kiekvienas turi teisę į tai, kad būtų gerbiamas jo privatus ir
šeimos gyvenimas, būsto neliečiamybė ir susirašinėjimo
slaptumas.
• 2. Valstybės institucijos neturi teisės apriboti naudojimosi šiomis
teisėmis, išskyrus įstatymų nustatytus atvejus ir, kai tai būtina
demokratinėje visuomenėje valstybės saugumo, visuomenės
saugos ar šalies ekonominės gerovės interesams, siekiant užkirsti
kelią viešos tvarkos pažeidimams ar nusikaltimams, taip pat
žmonių sveikatai ar moralei arba kitų asmenų teisėms ir laisvėms
apsaugoti.
5

LR Konstitucijos 22 str.
• Žmogaus privatus gyvenimas neliečiamas.
• Asmens susirašinėjimas, pokalbiai telefonu, telegrafo pranešimai
ir kitoks susižinojimas neliečiami.
Informacija apie privatų asmens gyvenimą gali būti renkama tik
motyvuotu teismo sprendimu ir tik pagal įstatymą.
• Įstatymas ir teismas saugo, kad niekas nepatirtų savavališko ar
neteisėto kišimosi į jo asmeninį ir šeimyninį gyvenimą,
kėsinimosi į jo garbę ir orumą.
• Kitos privatumo nuostatos išmėtytos.
6

LR KT praktikoje
• Asmens teisė į privatumą apima asmeninį, šeimos ir namų
gyvenimą, žmogaus fizinę ir psichinę neliečiamybę, garbę ir
reputaciją, asmeninių faktų slaptumą, draudimą skelbti
gautą ar surinktą konfidencialią informaciją ir kt.
• Privataus gyvenimo teisinė samprata siejama ir su asmens
būsena, kai asmuo gali tikėtis privatumo, su jo teisėtais
privataus gyvenimo lūkesčiais
• LR KT pažodžiui perėmė EŽTT doktriną
7

EŽTT praktikoje
• „Nėra nei galimybės, nei būtinybės išsamiai apibrėžti sąvoką „privatus
gyvenimas“ (EŽTT N. prieš Vokietiją, Nr. 13710/88)
• EŽTT praktikoje privatus gyvenimas taip pat apima teisę į atvaizdą, balso
įrašus, pirštų antspaudų, DNR ir audinių pavyzdžių tvarkymą, GPS
sekimą
• Privati informacija siejama su privatumo lūkesčiais, subjektyviu
privatumo suvokimu
• Net ir profesinėje ar komercinėje veikloje žmogus turi tam tikrą teisę į
privatumą, ir tai visų pirma pasakytina apie laisvųjų profesijų
darbuotojus, kurių gyvenamoji vieta gali būti ir darbo vieta
8

LAT baudžiamųjų bylų praktikoje
• BK komentaras: Privatus žmogaus gyvenimas vyksta ne
viešumoje, o tose srityse, kur asmuo turi teisę pasilikti
vienas ar su laisvai pasirinktais žmonėmis ir kur be to
asmens sutikimo kitiems negalima kištis: tai vidiniai asmens
šeimos santykiai, jo lytinis, dvasinis, religinis gyvenimas,
sveikatos būklė, privatus susirašinėjimas, privatūs pokalbiai,
kilmė, privati kompiuteryje saugoma informacija ir t.t.
9

Naujausioje LAT ATP praktikoje
• ADTAĮ 1 str. 1 d.: Šio įstatymo tikslas – ginti žmogaus privataus
gyvenimo neliečiamumo teisę tvarkant asmens duomenis.
• ADTAĮ 2 str. 1 d.: Asmens duomenys – bet kuri informacija,
susijusi su fiziniu asmeniu – duomenų subjektu, kurio tapatybė
yra žinoma arba gali būti tiesiogiai ar netiesiogiai nustatyta
pasinaudojant tokiais duomenimis kaip asmens kodas, vienas
arba keli asmeniui būdingi fizinio, fiziologinio, psichologinio,
ekonominio, kultūrinio ar socialinio pobūdžio požymiai.
• Ar neprivati informacija susijusi su fiziniu asmeniu (informacija
nesusijusi su privačiu gyvenimu) yra asmens duomenys?
10

Asmens duomenų apsauga tampa savarankiška
• Panašią praktika dar 2010 m. suformavo ESTT (9C-28/08,
Commission v. Bavarian Lager Co), nors ji kritikuojama
doktrinoje
• Asmens duomenų apsauga išeina iš privatumo apsaugos ribų,
tampa savarankiška teise
• Kaip atskira teisė įtvirtinta 2016 m. Europos Sąjungos
pagrindinių teisių chartijos 8 str. 1 d. ir 2012 m. Sutarties dėl
Europos Sąjungos veikimo 16 str. 1 d.
• GDPR reglamentas nebesieja asmens duomenų su privačiu
gyvenimu
11

Mus supa asmens duomenys
• Visi verslai tvarko anketinius asmens duomenis
• Dauguma tvarko ir ypatingus asmens duomenis
• Tipiškai dauguma įmonių, tvarko darbuotojų, tiekėjų, partnerių,
vaizdo stebėjimo duomenis
• Šiuo metu visi duomenys tvarkomi automatiniu (elektroniniu)
būdu
• Duomenys tvarkomi debesyse, per kompiuterių tinklus
prijungtus prie interneto, per mobilius įrenginius
• Dažnai tvarkoma daug papildomų duomenų (CRM sistemos)
12

Verslas tvarko asmens duomenis naudojant
modernias technologijas
13
84
78
66
32
22
16
6
8
El. paštas
Įmonės informacinės sistemos įmonės serveryje
Debesų saugyklos (Dropbox, Google Driveir pan.)
Mobilieji įrenginiai, per kuriuos galima prisijungti prie
įmonės ITsistemų
Nutolusios saugyklos (failų serveriai)
Išorinės laikmenos (USB ir pan.)
Mūsų įmonės duomenis tvarko išorinis paslaugų tiekėjas
(SaS) (pvz. Office 365)
Kitielektroniniai būdai
Kuriais iš išvardintų būdų Jūsų įmonė tvarko asmens duomenis?

Advokatai asmens duomenis tvarko kasdien
• Be asmens duomenų tvarkymo darbas yra neįmanomas
• Visi mūsų klientų duomenys yra asmens duomenys
• Taip pat tvarkome kitų asmenų asmens duomenis (oponentų,
liudytojų, ekspertų, etc.)
• Įrodymai yra asmens duomenys
• Labai dažnai tvarkome ypatingus ir ypač jautrius duomenis
• Pačių advokatų duomenys taip pat yra asmens duomenys
• Nevienodos teisės lyginant su teismais, kaltintojais ir valstybe
14

Asmens duomenų apsauga yra formali ar reali?
• Deklaruojamas reguliavimo tikslas yra „pasitikėjimas“
elektroninėje erdvėje
• Privatumo paradoksas – žmonės laisvai viešina ir dalijasi net
ir labai privačiais duomenimis
• Valstybė su asmens duomenimis iš esmės daro ką nori be
atsakomybės
• Ekstrateritorinė apsauga neveikia ir yra neįgyvendinama
15

Dar keli bendri pastebėjimai
• Dvigubi standartai viešajam ir privačiam sektoriui
• Valstybė su asmens duomenų apsauga visiškai nesiskaito – blogas pavyzdys
užkrečia
• Šiuo metu sankcijos už asmens duomenų pažeidimus Lietuvoje yra vienos
mažiausių ES (nors ANK padidino >x2)
• Žalos atlyginimas už privatumo pažeidimus taip pat yra nerimtas
• Kaštų (rizikų) / naudos požiūriu asmens duomenų apsaugą pažeisti „apsimoka“
• Priežiūros resursai ir kompetencija labai riboti, praktika labai nenuosekli
• Realiai praktika apsiriboja „mailiumi“, sprendimai dėl „banginių“ reti ir dažnai
neįgyvendinami

Ar dar turime apie ką kalbėti?
17

Keletas advokatams aktualių
asmens duomenų apsaugos
aspektų
18

Advokatas siunčia pretenziją faksu į darbovietę
(2AT-75/2014)
• Advokatas, neturėdamas pareiškėjo sutikimo, į pareiškėjo
darbovietės faksą atviru pavidalu išsiuntė jam adresuotą
reikalavimą padengti įsiskolinimą taip pažeidė ADTAĮ 30 str.
7 d.
• Siuntimas faksu laikomas automatiniu duomenų tvarkymu

Advokatas informuoja potencialius liudininkus
apie bylą (2AT-4-677/2015)
• Atskleista informacija:
–,,Kauno apylinkės teisme yra nagrinėjama civilinė
byla Nr. 2-632-451/2013 pagal ieškovo E. Z. ieškinį
dėl santuokos nutraukimo, esant kito sutuoktinio
kaltei, tarp E. Z. ir V. Z.“
• Ši informacija tapati informacijai viešame
nagrinėjamų bylų tvarkaraštyje
• Pažeidimas ar ne?

Advokatai neteikia informacijos VDAI (2AT-
46/2014; 2AT-48/2014)
• Advokatas iš registrų gauna informacija
• VDAI prašo pateikti „visą informaciją“ apie tai
• Advokatai atsisako teikti informaciją VDAI
motyvuodami advokato profesine paslaptimi
• Kas turi konkretumo pareigą?

Būtinos advokatų veiklos garantijos
• Advokatai yra reguliuojama profesija, esminė teisių gynimui
• Mes esame davę priesaiką saugoti klientų
paslaptis/privatumą/informaciją, turime etikos kodeksą,
vidines kontrolės/priežiūros institucijas
• Turi būti išimtis atleidžiant nuo biurokratijos (formalių
duomenų valdytojo pareigų)
• Duomenų subjektų teises turime įgyvendinti tik ta apimtimi,
kiek tai neprieštarauja advokato veiklai
22

Bendrosios duomenų valdytojų
pareigos
23

Bendrosios duomenų valdytojo pareigos
• Tvarkyti duomenis tik turint teisinį pagrindą
• Tvarkyti tik tiek duomenų, kiek reikia tikslui
• Registracija duomenų valdytoju (atskiras pranešimas
kiekvienam tikslui)
• Vidinė duomenų apsaugos dokumentacija
• Saugumas (organizacinės-techninės apsaugos priemonės)
• Duomenų subjektų teisių paisymas
24

Ypatingų duomenų valdytojo pareigos
• Ypatingų asmens duomenų, tvarkymui nustatytos
papildomos pareigos:
– Išankstinė patikra
– Registracija duomenų valdytoju (atskiras pranešimas kiekvienam
tikslui)
– Padidintos organizacinės-techninės apsaugos priemonės
25

Specialios pareigos
• Vaizdo stebėjimui
• Duomenų apie mokumo ir finansinės rizikos vertinimą ir
įsiskolinimo valdymą tvarkymui
• Tuo atveju, jei paskiriamas duomenų tvarkytojas, valdytojas
atsako, kad duomenys turi būti tvarkomi tik pagal duomenų
valdytojo nurodymus
26

Asmens duomenų tvarkymo pagrindai (kriterijai)
• Duomenų subjekto sutikimas
• Sutartis su duomenų subjektu
• Įstatyminis įpareigojimas
• Siekiama apsaugoti duomenų subjekto esminius interesus
• Sutikimas turi būti įformintas raštu ir geriausia atskirai
• Teisėtas interesas
• SVARBU: Nuostatos dėl asmens duomenų tvarkymo
rekomenduojamos visose sutartyse
27

Duomenų subjekto teisės
• Žinoti (būti informuotam) apie savo asmens duomenų
tvarkymą
• Susipažinti su savo asmens duomenimis ir kaip jie yra
tvarkomi (raštu; nemokamai 1 kart./12 mėn.)
• Reikalauti ištaisyti, sunaikinti savo asmens duomenis arba
sustabdyti, išskyrus saugojimą, savo asmens duomenų
tvarkymo veiksmus, kai duomenys tvarkomi nesilaikant
įstatymų nuostatų
• Nesutikti, kad būtų tvarkomi jo asmens duomenys
28

Automatiniai sprendimai (savybių įvertinimas
automatiniu būdu)
• Negali būti priimamas sprendimas dėl duomenų subjekto
savybių (kreditingumo, patikimumo, darbingumo ir kt.),
jeigu tokios savybės buvo įvertintos tik automatiniu būdu,
kai toks sprendimas gali sukelti duomenų subjektui teisinių
pasekmių ar kitaip jį paveikti
• Galima jeigu sprendimas teigiamas, arba subjektas gali
apeliuoti
29

Duomenų saugumas
• Valdytojo pareiga - įgyvendinti tinkamas organizacines ir
technines priemones, skirtas apsaugoti asmens duomenims
nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo,
atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo
• Priemonės turi užtikrinti saugumo lygį pagal duomenų
pobūdį ir riziką
• Turi būti išdėstytos rašytinės formos dokumente
• Valdytojo atsakomybės prezumpcija
30

Atsakomybė šiuo metu
• Administracinė atsakomybė
• ANK 82 str. Asmens duomenų teisinės apsaugos įstatymo
pažeidimas
• Bauda juridinių asmenų vadovams ar kitiems atsakingiems
asmenims – nuo 300 iki 1150 EUR. Už pakartotinį pažeidimą – iki
3000 EUR.
• Civilinė atsakomybė - esama praktika iki 5000 EUR už pažeidimą
• Reputacinė atsakomybė ?
31

Mažiau nei po metų (nuo 2018
05 25)
32

ES Bendrasis duomenų apsaugos reglamentas
• 2018 05 25 įsigalioja naujas ES Bendrasis duomenų
apsaugos reglamentas (GDPR)
• Iš esmės išlieka visos esamos pareigos + atsiranda naujos
pareigos
• Pareigos proaktyvios (vs. reaktyvios šiuo metu)
• Papildomos duomenų subjekto teisės
33

ES Bendrasis duomenų apsaugos reglamento maži
privalumai
• Vieno subjekto principas įmonių grupėms
• Vieno langelio priežiūros principas tarptautinėms įmonėms
• Lietuvoje gali būti atsisakoma duomenų valdytojų formalaus
registravimo (2017-06-15 ADTAĮ projektas)
• Didžiausia problema reguliavimo ir atitikties neapibrėžtumas
34

Praktinis pavyzdys (GDPR preambulės 91 p.)
• Duomenų tvarkymo dideliu mastu apibrėžimas:
• [Poveikio vertinimas turi būti taikomas] didelio masto duomenų tvarkymo operacijoms, kuriomis siekiama regioniniu,
nacionaliniu ar viršnacionaliniu lygmeniu tvarkyti didelį kiekį asmens duomenų, kurios galėtų daryti poveikį daugeliui duomenų
subjektų ir kurios gali kelti didelį pavojų, pavyzdžiui, dėl jų jautraus pobūdžio, kai atsižvelgiant į pasiektą technologinių žinių lygį
nauja technologija yra naudojama dideliu mastu, taip pat taikoma kitoms duomenų tvarkymo operacijoms, kurios kelia didelį
pavojų duomenų subjektų teisėms ir laisvėms, visų pirma, kai duomenų subjektams dėl šių operacijų yra sunkiau naudotis savo
teisėmis. Poveikio duomenų apsaugai vertinimas taip pat turėtų būti atliktas tais atvejais, kai asmens duomenys yra tvarkomi
siekiant priimti sprendimus dėl konkrečių fizinių asmenų atlikus su fiziniais asmenimis susijusį sistemingą ir plataus masto
asmeninių aspektų įvertinimą, remiantis tų duomenų profiliavimu, arba atlikus specialių kategorijų asmens duomenų, biometrinių
duomenų ar duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas ar susijusias saugumo priemones tvarkymą.
Poveikio duomenų apsaugai vertinimo taip pat reikalaujama siekiant vykdyti viešų vietų stebėjimą dideliu mastu, ypač naudojant
optinius elektroninius prietaisus, arba vykdant kitas operacijas, kurių atveju kompetentinga priežiūros institucija laikosi
nuomonės, kad tvarkant duomenis gali kilti didelis pavojus duomenų subjektų teisėms ir laisvėms, visų pirma dėl to, kad jas
vykdant duomenų subjektams užkertamas kelias naudotis savo teisėmis, paslaugomis arba sudaryti sutartis, arba dėl to, kad jos
yra vykdomos sistemingai dideliu mastu. Asmens duomenų tvarkymas neturėtų būti laikomas didelio masto duomenų tvarkymu,
jei tai yra atskirų gydytojų, kitų sveikatos priežiūros specialistų pacientų arba teisininko klientų asmens duomenų tvarkymas.
Tokiais atvejais neturėtų būti privaloma atlikti poveikio duomenų apsaugai vertinimo.
35

Naujos pareigos pagal GDPR (nuo 2018 05 25)
• Privalomas duomenų apsaugos pareigūnas
• Privalomas poveikio duomenų apsaugai vertinimas
• Privalomi darbuotojų mokymai
• Techninės pareigos - duomenų pseudonimizavimas /
šifravimas, numatytoji duomenų apsauga (by design)
• Dar išsamesnis duomenų tvarkymo dokumentavimas (detali
dokumentacija)
• Privalomi pranešimai apie duomenų incidentus per 72 val.
36

Naujos duomenų subjektų teisės
• Griežtesnės sutikimo sąlygos
• Teisė į duomenų perkeliamumą
• Teisė reikalauti ištrinti duomenis
• Teisė reikalauti neautomatiniu tvarkymu grįsto sprendimo
(įskaitant profiliavimą)
• Specialios teisės dėl asmens duomenų tvarkymo su darbo
santykiais susijusiame kontekste
37

Atsakomybė pagal GDPR (nuo 2018 05 25)
• GDPR sankcijos valdytojams priklausomai nuo pažeidimo iki
20m EUR arba 4% metinės apyvartos (jeigu 4% yra >20m
EUR)
• Diferencijuojama pagal konkretų pažeidimą
• Civilinė atsakomybė ateityje stipriai didės
• SVARBU: civilinė atsakomybė gali būti ribojama sutartimis
38

Ačiū už dėmesį!
m.kiskis@fortlegal.com
39

Asmens duomenų apsaugos teisiniai aspektai ir duomenų valdytojo pareigos

Recommended

Recommended

More Related Content

More from Mindaugas Kiskis

More from Mindaugas Kiskis (13)

Asmens duomenų apsaugos teisiniai aspektai ir duomenų valdytojo pareigos