Pristatyti BDAR šiandien jau turbūt nereikia niekam. Bendrojo duomenų apsaugos reglamento akronimas greitai taps antruoju “blockchain” ar “ICO” pagal vartojimo populiarumą ir nuomonių skaičių: daugelis turi savo tvirtus įsitikinimus šiomis temomis, bet retas kuris iš tiesų supranta apie ką eina kalba. Visgi kitaip nei “blockchain” ar “ICO” atveju, duomenų apsaugos reglamento keliamų reikalavimų esmę ir reikšmę suvokti, o tuomet pritaikyti ir įgyvendinti turės absoliuti dauguma įmonių bei komercine veikla užsiimančių asmenų. Vieną iš tokių Reglamento reikalavimų ir noriu aptarti.

Sutikimas tvarkyti asmens duomenis dažnai klaidingai laikomas vieninteliu teisėtu pagrindu duomenims tvarkyti. Tai ypač aktualu rinkodaros agentūroms ar kitoms įmonėms, savo veikloje dažnai susiduriančioms su prekių ar paslaugų fiziniams asmenims teikimu. Tiesa, kad sutikimas yra vienas iš būdų laikytis Reglamento nuostatų, bet tai nėra vienintelis būdas. Tam, kad duomenų tvarkymas būtų teisėtas pagal BDAR, prieš pradedant tai daryti būtina identifikuoti teisinį pagrindą. Įsigytų maisto produktų pristatymas į namus; darbuotojo asmens duomenų tvarkymas; televizijos, radijo ar tinklapio auditorijos matavimas - visi šie pavyzdžiai skiriasi naudojamų teisinių pagrindų pasirinkimais, tačiau “sutikimas” nėra vienas iš jų. Reglamentas iš viso įtvirtina šešis galimus teisėtus duomenų tvarkymo pagrindus:

1. Sutarties sudarymas ar vykdymas (pvz., prekių pirkimo atveju būtini finansiniai duomenys)

2. Teisinė prievolė (pvz., darbuotojų asmens duomenų perdavimas valstybinėms įstaigoms)

3. Gyvybinių interesų apsauga (grėsmės asmens sveikatai ar gyvybei atveju)

4. Viešojo intereso užduotis (pvz., kova su sukčiavimu ar pinigų plovimu)

5. Teisėtas interesas (pvz., televizijos, radijo ar tinklapio auditorijos matavimas)

6. Sutikimas

Jeigu visgi nusprendėte naudoti sutikimą, jis turi atitikti kelis reikalavimus, t.y. būti duotas laisva valia ir tinkamai informuoto asmens, konkretus, o valios išreiškimas turi būti nedviprasmiškas. Duomenų apsaugos darbo grupė neseniai atnaujino gaires dėl sutikimo naudojimo (Guidelines on Consent under GDPR), kuriose detalizavo reikalavimus sutikimui gauti:

Laisva valia. Jei asmuo neturi realaus pasirinkimo, t.y., mano, jog nedavęs sutikimo patirs neigiamų pasekmių, toks sutikimas nebus laikomas galiojančiu. Kitaip tariant, jei sutikimas yra pristatomas kaip būtina paslaugų teikimo sąlyga, preziumuojama, jog jis nebuvo duotas laisva valia.

Pavyzdžiui: nuotraukų redagavimo programa leidžia ja naudotis tik tiems vartotojams, kurie sutinka aktyvuoti GPS funkciją savo telefone. Ši programa savo vartotojams taip pat nurodo, kad surinktus duomenis ji naudos elgesio reklamos tikslais. Nei geografinė lokacija, nei internetinė elgesio reklama nėra reikalinga nuotraukų redagavimo paslaugai teikti. Kadangi vartotojai negali naudoti programos nedavę sutikimo reklamos tikslams, toks sutikimas negali būti laikomas duotu laisva valia.

Visgi tuo atveju, kai duomenų valdytojas gali parodyti, kad paslaugos kokybė nesuprastėja asmeniui atšaukus savo sutikimą, tai galėtų būti vertinama kaip laisvos valios įrodymas.

Pavyzdžiui: mados žurnalas savo skaitytojams suteikia galimybę pirkti naujus makiažo produktus prieš jų oficialų pristatymą. Produktai netrukus bus parduodami viešai, tačiau šio žurnalo skaitytojams siūloma išankstinė šių produktų apžvalga. Norėdami pasinaudoti šia galimybe, žmonės turi nurodyti savo pašto adresą bei sutikti būti įtraukti į el. prenumeratorių sąrašą naujienoms ir pasiūlymams gauti. Pašto adresas yra būtinas produktų išsiuntimui, o el. prenumeratorių sąrašas skirtas komerciniams pasiūlymams, tokiems kaip kosmetika, siųsti. Įmonė paaiškina, kad el. paštai bus naudojami prekių reklamai, ką darys pats mados žurnalas, šie duomenys kitai organizacijai perduodami nebus. Jei skaitytojai dėl šios priežasties nenori sutikti perduoti savo duomenų, jokios žalos jie dėl to nepatirs, kadangi makiažo produktai greitu metu jiems vis tiek bus prieinami.

Konkretus. BDAR nustato, jog duomenų subjekto sutikimas turi būti duotas “vienam ar keliems konkretiems tikslams”. Reikalavimas sutikimo “konkretumui” yra orientuotas į duomenų subjektų kontrolę bei skaidrumą. Tai reiškia, jog duomenų valdytojas turi:

1. Aiškiai apibrėžti tikslus, kurių siekiama

2. Išsamiai aprašyti prašymus dėl sutikimo;

3. Aiškiai atskirti informaciją, susijusią su sutikimo tvarkyti asmens duomenis gavimu, nuo informacijos apie kitus dalykus.​

Pavyzdžiui: kabelinės televizijos tinklas renka abonentų asmeninius duomenis, remdamasis jų sutikimu, su tikslu pateikti asmeninius naujų filmų pasiūlymus, atsižvelgiant į jų žiūrėjimo įpročius. Po kurio laiko televizijos tinklas nusprendžia, kad norėtų, jog trečiosios šalys galėtų siųsti (arba rodyti) tikslinę reklamą, remiantis abonento žiūrėjimo įpročiais. Atsižvelgiant į šį naują tikslą, reikalingas naujas sutikimas.

Informatyvus. Suteikti išsamią informaciją prieš gaunant duomenų subjektų sutikimą yra būtina, kad asmenys galėtų priimti pagrįstus sprendimus, suprasti, su kuo sutinka, ir turėtų realią galimybę pasinaudoti teise atšaukti savo sutikimą. Jei duomenų valdytojas nepateikia prieinamos informacijos, vartotojo kontrolė tampa iliuzinė, o sutikimas - negaliojančiu pagrindu duomenų tvarkymui.

Tam, kad sutikimas būtų informatyvus, duomenų subjektui būtina pateikti bent esminę informaciją, kuri, remiantis Duomenų apsaugos darbo grupės nuomone, yra ši:

1. Duomenų valdytojo tapatybė

2. Kiekvienos duomenų tvarkymo operacijos, kuriai prašoma sutikimo, tikslas

3. Kokio tipo duomenys bus renkami ir naudojami

4. Teisė atšaukti sutikimą

5. Informacija apie duomenų naudojimą automatiniam sprendimų priėmimui

Visgi, atsižvelgiant į konkrečios situacijos aplinkybes ir kontekstą, gali prireikti ir daugiau informacijos, kad duomenų subjektas galėtų iš tikrųjų suprasti atliekamos tvarkymo operacijos pobūdį. Dar daugiau, siekdami sutikimo duomenų valdytojai turėtų užtikrinti, kad visais atvejais yra naudojama aiški ir suprantama kalba. Kitaip tariant, pateikiama informacija turėtų būti lengvai suprantama eiliniam vartotojui, o ne teisininkui. Pavyzdžiui, jeigu jūsų auditoriją sudaro nepilnamečiai asmenys, vartojama kalba turėtų būti suprantama būtent jiems.

Nedviprasmiškas valios išreiškimas. BDAR nustato, jog asmens valia turi būti išreikšta pareiškimu arba vienareikšmiais veiksmais. Kaip tai reikėtų suprasti? Iš principo sutikimą galima gauti raštu, žodžiu (įrašant sutikimą) ar el. priemonių pagalba. Svarbu atkreipti dėmesį, jog iš anksto pažymėtų langelių (pre-ticked boxes) naudojimas pagal BDAR yra negalimas. Duomenų subjekto tyla ar neveikimas taip pat negali būti laikoma aktyvia pasirinkimo indikacija. Tas pats galioja ir tuo atveju, kai asmuo paprasčiausiai tęsia naudojimąsi paslaugomis (pvz., toliau naršo svetainėje).

Pavyzdžiui: diegiant programinę įrangą, programa prašo duomenų subjekto duoti sutikimą naudoti neanonimizuotas klaidų ataskaitas, kad būtų tobulinama programinė įranga. Prie prašymo duoti sutikimą pridedamas lydintis privatumo pranešimas, kuriame pateikiama būtina informacija. Aktyviai pažymėdamas pasirinktinį langelį "Aš sutinku", vartotojas vienareikšmiškai išreiškia savo valią.

Atkreiptinas dėmesys, jog sutikimo negalima gauti jį paprasčiausiai įtraukiant į pasirašomą sutartį ar taikomas bendrąsias paslaugų teikimo sąlygas. Aklas pritarimas bendrosioms sąlygoms negali būti laikomas tinkamai išreikšta asmens valia sutikimui duoti. BDAR neleidžia siūlyti ne tik iš anksto pažymėtų langelių (pre-ticked boxes), bet ir atsisakymo (opt-out) konstrukcijų, kurios reikalauja duomenų subjekto įsikišimo, norint užkirsti kelią susitarimui sudaryti.

---

Skaičiuojant paskutines savaites iki BDAR taikymo, sukūriau klausimyną, kurio pagalba kiekviena įmonė gali nesunkiai inventorizuoti bei įsivertinti turimą duomenų ūkį. Tai pirmas būtinas žingsnis pasirengimo Reglamentui procese!

Duomenų audito klausimyną rasite čia.