Teisė į privatų ir šeimos gyvenimą

II. Asmens duomenų apsauga

Nuotraukoje – protestas Vienoje prieš masinį duomenų saugojimą, 2012 m., Npr.org nuotrauka.

Asmens duomenų apsauga Lietuvoje išsamiau reglamentuota nuo 1996 m. specialiu Asmens duomenų teisinės apsaugos įstatymu,[1] priimtu įgyvendinant ES direktyvą 95/46/EB.[2] Kai kurie asmens duomenų apsaugos teisės aspektai yra reglamentuoti specialiuose įstatymuose, pavyzdžiui, Elektroninių ryšių įstatyme.[3]

Asmens duomenų teisinės apsaugos reguliavimas 2013-2014 m. laikotarpiu pasižymėjo iš esmės nesisteminiu požiūriu. Duomenų apsaugos reguliavimo iniciatyvų imtasi sprendžiant pavienius viešojo sektoriaus klausimus, bet esminės problemos toliau ignoruotos.

2013 m., Lietuvos pirmininkavimo Europos Sąjungai laikotarpiu, nepavyko priimti naujo ES Reglamento dėl asmens duomenų teisinės apsaugos, jo priėmimą atidedant neapibrėžtam laikotarpiui. Nei pirmininkavimo ES laikotarpiu, nei vėliau Lietuva neišsakė aiškios pozicijos dėl 2013-2014 m. paaiškėjusių asmens duomenų teisinės apsaugos problemų, susijusių su teisėsaugos ir specialiųjų tarnybų vykdomu masiniu asmens duomenų ir kitos privačios informacijos rinkimu, kurio mastą atskleidė Edvardas Snoudenas.

Nors 2013-2014 m. laikotarpiu ES Teisingumo teismas priėmė du svarbius sprendimus, kurie yra reikšmingi asmens duomenų teisinei apsaugai – dėl masinio duomenų saugojimo,[4] ir dėl teisės būti užmirštam internete,[5] šie sprendimai valstybės lygmeniu entuziazmo nesulaukė. Priešingai, 2014 m. pabaigoje priimtu Kibernetinio saugumo įstatymu buvo nustatytos papildomos asmens duomenų teisinės apsaugos išimtys, tuo parodant, kad neketinama atsisakyti masinio duomenų rinkimo.

Nepaisant atitikimo principinėms ES taisyklėms, asmens duomenų apsauga Lietuvoje iš esmės išlieka nominali. Tą sąlygoja trys pagrindinės priežastys. Pirma, itin mažos sankcijos už teisių į asmens duomenų apsaugą pažeidimus ir nepakankami administraciniai resursai skirti teisei į asmens duomenų apsaugą apginti. Antra, nevienoda asmens duomenų apsauga privačiame ir valstybiniame sektoriuje. Trečia, nepakankamas privatumo kaip viešosios vertybės, konstitucinės teisės suvokimas visuomenėje.

Nei pirmininkavimo ES laikotarpiu, nei vėliau Lietuva neišsakė aiškios pozicijos dėl 2013-2014 m. paaiškėjusių asmens duomenų teisinės apsaugos problemų, susijusių su teisėsaugos ir specialiųjų tarnybų vykdomu masiniu asmens duomenų ir kitos privačios informacijos rinkimu, kurio mastą atskleidė Edvardas Snoudenas.

Sankcijos už asmens duomenų apsaugos pažeidimus yra nustatytos Administracinių teisės pažeidimų kodekse;[6] jos buvo nustatytos 1998 m. ir nuo to laiko liko neperžiūrėtos. Maksimali galima sankcija – 2000 litų (apie 580 eurų) bauda,[7] kuri, ginant konstitucines teises, yra nepakankama. Paminėtina, kad civilinė atsakomybė už asmens duomenų teisinės apsaugos pažeidimus (tais atvejais, kai tai nesusiję su privačios informacijos paviešinimu žiniasklaidoje ir/ar garbės bei orumo gynimu) praktikoje iš esmės netaikoma. Lietuvoje nustatytų sankcijų neproporcingumas geriausiai matyti lyginant jas su ES Reglamento dėl asmens duomenų teisinės apsaugos projekte siūlomomis sankcijomis, kurios yra didesnės tūkstančius kartų.

Asmens duomenų apsaugos priežiūros institucijos – Valstybinės duomenų apsaugos inspekcijos (toliau – VDAI) – administraciniai resursai ir faktinė galia yra nepakankami, todėl didesnių asmens duomenų tvarkytojų (finansų įstaigų, prekybos tinklų, interneto paslaugų tiekėjų) priežiūra privačiame sektoriuje, ar juo labiau viešajame, ypač teisėsaugos, sektoriuje yra ribota, neveiksminga. Šiuo metu VDAI vaidmuo daugiausia yra pasyvus, tiriami viešai išaiškėję pažeidimai arba reaguojama į skundus. Tokiu būdu galima daryti išvadą, kad didžioji dalis asmens duomenų pažeidimų Lietuvoje lieka latentiniai, o už asmens duomenų pažeidimus atsakingi asmenys (ypač viešajame sektoriuje) lieka nebaudžiami. VDAI taip pat neturi teisėkūros iniciatyvos asmens duomenų teisinės apsaugos srityje.

Antra problema yra nevienoda asmens duomenų apsauga privačiame ir valstybiniame sektoriuje. Viešasis sektorius, disponuojantis didžiausiais asmens duomenų kiekiais ir ypač jautriais asmens duomenimis, yra nepakankamai atskaitingas už jų apsaugą. Be to, užuot stiprindamos asmens duomenų apsaugą ir rodydamos pagarbos privatumui pavyzdį, įvairios institucijos kuria sau palankias teisines išimtis. Incidentai, susiję su ypač grubiais arba sunkiausias pasekmes sukeliančias asmens duomenų apsaugos teisių pažeidimais Lietuvoje, yra sietini būtent su viešuoju sektoriumi. Tarp jų paminėtini kartotiniai atvejai, kai policijos pareigūnai galimai prekiavo asmens duomenimis,[8] arba dėl teismo darbuotojų kaltės buvo paviešinti nepilnamečių, susijusių su seksualine prievarta, asmens duomenys.[9] Nepaisant rezonanso žiniasklaidoje šių incidentų baigtis ir kaltininkams taikyta atsakomybė yra neaiški.

Dar vienas iliustratyvus viešojo sektoriaus požiūrio į privatumą pavyzdys yra per 2013-2014 m. neįgyvendintas Vyriausiojo administracinio teismo sprendimas dėl privatumo pažeidimų VĮ “Registrų centras” išduodamuose elektroninio parašo sertifikatuose.[10] Vietoje to, kad būtų apsaugotas pasirašančių asmenų privatumas elektroniniuose parašuose, 2013-2014 m. laikotarpiu buvo priimti prieštaringi teisės aktai, iškraipantys asmens duomenų teisinės apsaugos sistemą (dirbtinai sukuriant teisės aktų koliziją) ir sąlygojantys besitęsiantį asmens kodų viešinimą viešuose elektroninių parašų sertifikatuose.

Viešojo sektoriaus siekį apriboti asmens duomenų teisinę apsaugą, nustatant specialias išimtis ir tęsiant masinį asmens duomenų tvarkymą, rodo 2014 m. priimtas Kibernetinio saugumo įstatymas.[11] Šiame įstatyme nustatytos ypač plačios teisėsaugos struktūrų teisės rinkti elektroninius asmens duomenis, t.y. “informaciją, reikalingą teisės pažeidimams, galimai turintiems nusikalstamos veikos požymių, kibernetinėje erdvėje užkardyti ir tirti“, nėra atsvertos proporcingais privatumo ir asmens duomenų teisinės apsaugos saugikliais. Šios informacijos teikimo tvarka ir sąlygos numenkintos iki reglamentavimo poįstatyminiuose aktuose. Beveik analogiškas atvejis – finansinių duomenų masinis teikimas mokesčių priežiūros institucijoms, siūlomas nustatyti Mokesčių administravimo įstatymo pakeitimais.[12] Nors pastarieji siūlymai dar nepriimti, tačiau jų priėmimo procedūros yra pasistūmėjusios ir tikėtinos 2015 m.

Privatumas nėra gerbiamas, nėra skiepijamas kaip vertybė švietimo sistemoje ir šeimoje, nėra suvokiamas kaip svarbi konstitucinė teisė, todėl dažnai asmenys patys neapgalvotai platina privačią informaciją socialiniuose tinkluose, internete. Tėvai ypač neatsakingai socialiniuose tinkluose talpina informaciją apie vaikus, tuo rodydami neigiamą pavyzdį ir jaunajai kartai. Dėl tų pačių priežasčių taikstomasi su privatumo ribojimais darbo vietoje ir gyvenamojoje aplinkoje.

Minėta praktika ir teisės aktai demonstruoja vienašališką valstybės intervenciją į asmens privatumą, nenustatant tam net teisminės priežiūros ir nesuteikiant jokių galimybių ginti savo privatumą tuo metu, kai jis pažeidžiamas. ES 29 straipsnio duomenų apsaugos darbo grupės nutarimu pabrėžiama, kad nacionaliniuose įstatymuose turėtų būti atsisakyta masinio asmens duomenų tvarkymo, vietoje jo nustatant duomenų diferencijavimo, ribojimo ir išskyrimo taisykles, taip pat užtikrinant, kad duomenys valstybinėms struktūroms būtų prieinami tik esant būtinybei.[13] Į šiuos siūlymus Lietuvoje kol kas neįsiklausyta.

Privačiame sektoriuje 2013-2014 m. laikotarpiu taip pat išliko svarbių asmens duomenų teisinės apsaugos problemų (ypač dėl asmens duomenų panaudojimo rinkodarai),[14] tačiau atsirado ir geros praktikos apraiškų, pavyzdžiui, senesnių interneto komentarų slėpimas interneto žiniasklaidos priemonėse, taip apribojant dažnai neigiamos informacijos viešą sklaidą.

Viešojo sektoriaus požiūris į asmens duomenų apsaugą yra bendros privatumo devalvacijos visuomenėje išraiška ir tuo pačiu viena iš priežasčių. Privatumas nėra gerbiamas, nėra skiepijamas kaip vertybė švietimo sistemoje ir šeimoje, nėra suvokiamas kaip svarbi konstitucinė teisė, todėl dažnai asmenys patys neapgalvotai platina privačią informaciją socialiniuose tinkluose, internete. Tėvai ypač neatsakingai socialiniuose tinkluose talpina informaciją apie vaikus, tuo rodydami neigiamą pavyzdį ir jaunajai kartai. Dėl tų pačių priežasčių taikstomasi su privatumo ribojimais darbo vietoje ir gyvenamojoje aplinkoje.

Deja, privatumo devalvacijos atmosferoje jo apsauga menkai rūpi ir valstybei. Kaip minėta, per beveik du dešimtmečius Lietuvoje nesiimta jokių iniciatyvų griežtinti atsakomybę už asmens duomenų teisinės apsaugos pažeidimus, net jeigu jie sukėlė didelę žalą ar žalą nepilnamečiams, taip pat nemėginta reglamentuoti privatumo socialiniuose tinkluose ar darbo vietoje. Teisinis reglamentavimas dažniausiai nustatomas post factum, reaguojant į rezonansinius incidentus, be to yra abstraktus, o administracinė praktika nenuosekli. Į naują ES praktiką privatumo apsaugos srityje Lietuva taip pat reaguoja vangiai.

Išvados ir rekomendacijos

  • Asmens duomenų apsaugos situacija Lietuvoje 2013-2014 m. iš esmės degradavo, vien dėl to, kad nuolat didėjančio valstybės ir privačių subjektų kišimosi į asmens privatumą kontekste, asmens duomenų ir privatumo apsaugos reglamentavimas ir praktika išliko statiški ar pasipildė naujomis išimtimis, tenkinančiomis siaurus interesus. Naujame nacionaliniame teisiniame reglamentavime, priimtame šiuo laikotarpiu, (pavyzdžiui, Kibernetinio saugumo įstatyme) menkai vadovautasi konstituciniu imperatyvu, kad privatumo ribojimai turi būti objektyviai pateisinami ir proporcingi. Vietoje to plėtojama nuostata, kad viešieji interesai yra besąlygiškai svarbesni už asmens privatumą, tęsiamas masinis neselektyvus asmens duomenų tvarkymas.
  • Lietuvoje vėluojama koreguoti sankcijas už asmens duomenų teisinės apsaugos pažeidimus. Atsižvelgiant į neapibrėžtą situaciją dėl naujo ES Reglamento dėl asmens duomenų teisinės apsaugos priėmimo, manytina, kad sankcijų klausimas turi būti kuo greičiau sprendžiamas nacionalinėje teisėje. Tuo pačiu turi būti skiriami didesni resursai asmens duomenų teisinės apsaugos priežiūrai, ypač didelį dėmesį skiriant didiesiems asmens duomenų tvarkytojams ir realiam pažeidėjų nubaudimui.
  • Neigiamai vertintina praktika nustatyti specialias išimtis atskiriems asmens duomenų tvarkymo atvejams ir ypač neigiamai vertintini siekiai išplėsti masinį asmens duomenų rinkimą ir saugojimą. Nors masinį neselektyvų duomenų tvarkymą ypač kritiškai įvertino ES Teisingumo teismas ir ES 29 straipsnio duomenų apsaugos darbo grupė, tokio duomenų tvarkymo Lietuvoje nenorima atsisakyti.

[1] Asmens duomenų teisinės apsaugos įstatymas, 1996 m. birželio 11 d., Nr. I-1374, http://www3.lrs.lt/pls/inter3/dokpaieska.showdoc_l?p_id=400103

[2] Europos Parlamento ir Tarybos direktyva 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, 1995 m. spalio 24 d., http://eur-lex.europa.eu/legal-content/LT/TXT/HTML/?uri=CELEX:31995L0046&from=EN

[3] Elektroninių ryšių įstatymas, 2004 m. balandžio 15 d., Nr. IX-2135, http://www3.lrs.lt/pls/inter3/dokpaieska.showdoc_l?p_id=463812

[4] ESTT 2014 m. balandžio 8 d. sprendimas sujungtose bylose C-293/12 ir C-594/12 dėl masinio duomenų saugojimo (data retention)

[5] ESTT 2014 m. gegužės 13 d. sprendimas C-131/12 dėl teisės būti užmirštam internete

[6] Administracinių teisės pažeidimų kodeksas, 1984 m, gruodžio 13 d., Nr. X-4449, 214(14)-214(17) str., http://www3.lrs.lt/pls/inter3/dokpaieska.showdoc_l?p_id=493978

[7] Administracinių teisės pažeidimų kodeksas, 1984 m, gruodžio 13 d., Nr. X-4449, 214(14)-214(17) str., http://www3.lrs.lt/pls/inter3/dokpaieska.showdoc_l?p_id=493978

[8] “Alytaus policijos pareigūnai įtariami neteisėtai rinkę asmens duomenis“, 15min.lt, 2013 m. vasario 7 d., http://www.15min.lt/naujiena/aktualu/lietuva/alytaus-policijos-pareigunai-itariami-neteisetai-rinke-asmens-duomenis-56-304478

[9] Inga Smaskienė, “Skandalas: detales apie moksleivės patirtą seksualinę prievartą nagrinėjo visa mokykla“, delfi.lt, 2014 m. birželio 4 d., http://www.delfi.lt/news/daily/law/skandalas-detales-apie-moksleives-patirta-seksualine-prievarta-nagrinejo-visa-mokykla.d?id=64964429

[10] Vyriausiojo administracinio teismo 2012 m. gruodžio 18 d. sprendimas dėl privatumo pažeidimų VĮ Registrų centras išduodamuose elektroninio parašo sertifikatuose

[11] Kibernetinio saugumo įstatymas, 2014 m. gruodžio 11 d., Nr. XII-1428, http://www3.lrs.lt/pls/inter3/dokpaieska.showdoc_l?p_id=492070&p_tr2=2

[12] Mokesčių administravimo įstatymo Nr. IX-2112 28, 41, 55, 61, 68, 87, 89, 101, 104(1), 104(2), 110, 111, 129, 131, 154 straipsnių pakeitimo, Įstatymo papildymo 55(1) straipsniu bei 56, 57, 58, 59, 60 straipsnių pripažinimo netekusiais galios įstatymo projektas, 2014 m., 3 ir 4 str., http://www3.lrs.lt/pls/inter3/dokpaieska.showdoc_l?p_id=473864

[13] ES 29 straipsnio duomenų apsaugos darbo grupės nutarimas, 2014 m. rugpjūčio 1 d., WP 220, http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp220_en.pdf

[14] Valstybinė duomenų apsaugos inspekcija, “Dėl mobiliojo ryšio operatorių vykdomos tiesioginės rinkodaros“, 2014 m. kovo 28 d., https://www.ada.lt/go.php/lit/IMG/188