Asmens duomenų apsaugos teisiniai aspektai
5 (100%) 1 vote

Asmens duomenų apsaugos teisiniai aspektai

VILNIAUS UNIVERSITETO

KAUNO HUMANITARINIS FAKULTETAS

Informatikos katedra

ASMENS DUOMENŲ APSAUGOS TEISINIAI ASPEKTAI

s a v a r a n k i š k a s d a r b a s

Atliko: A. Kalašinskas

KAUNAS 2004

TURINYS

1. ĮVADAS 4

2. TEISINĖS ASMENS DUOMENŲ APSAUGOS TENDENCIJOS EUROPOS SĄJUNGOJE 5

2.1 ES piliečių požiūris į privatumą IT kontekste 5

2.2 Pagrindinės ES valdžios institucijų veiklos gairės asmens duomenų teisinės apsaugos srityje 2003 – 2004 m. 6

3. TEISINIS DUOMENŲ APSAUGOS REGULIAVIMAS LIETUVOJE 13

3.1 Bendra situacija 13

3.2 Teisinė bazė 13

3.3 Kontrolė ir priežiūra 14

3.4 Problemos, iškylančios duomenų apsaugos teisinio reguliavimo prosesuose ir jų sprendimo būdai Lietuvoje 21

3.4.1 Dažniausiai pasitaikantys pažeidimai 21

3.4.2 Bendro pobūdžio problematika 24

4. IŠVADOS 26

6. PRIEDAI 30

6.1 Priedas nr.1 Lindqvist bylos esmė 30

6.2 Priedas nr.2 Asmens duomenų teisinės apsaugos įstatymas 32

1. ĮVADAS

Didėjant ekonominei informacijos naudai, didėja ir įvairių rūšių pagundos pasinaudoti tokia nauda neteisėtiems tikslams. Privatumą sauganti techninė bei programinė įranga susiduria su ypatingai pažeidžiama sistemos grandimi – žmogiškuoju faktoriumi.

Teisinė duomenų apsauga apima platų spektrą sistemos elementų – reguliuoja tiek techninę, programinę sistemos dalis tiek ir tų sistemų administratorių bei vartotojų veiksmus – žmogiškąjį faktorių.

Šio darbo tikslas – apibrėžti pagrindines teisinio asmens duomenų reguliavimo kryptis Lietuvoje bei visoje Europos sąjungoje, identifikuoti pagrindines iškylančias problemas bei tų problemų sprendimo variantus.

Darbas susideda iš dviejų pagrindinių dalių – pirmoje, remiantis pastaraisiais metais vykusių konferencijų medžiaga nurodomos pagrindinės duomenų apsaugos specialistų darbo kryptys Europos sąjungos mastu.

Antroje dalyje aprašoma situacija Lietuvoje, pateikiami asmes duomenų apsaugą reguliuojančių teisės aktų sąrašas, kontrolės ir įstatymų tobulinmo mechanizmai, pateikiamos ištraukos iš konkrečių bylų.2. TEISINĖS ASMENS DUOMENŲ APSAUGOS TENDENCIJOS EUROPOS SĄJUNGOJE

Duomenų apsaugos priežiūros institucijoms susiduriant su naujais iššūkiais (tokiais kaip biometrinių duomenų naudojimas, duomenų kaip prekės vaidmens didėjimas, taip pat globalizacija ir kt.) teisinį tokių situacijų formalizavimą bei jo lankstumą įgyvendinti darosi sudėtingiau.

Europos Taryba jau nuo 1972 m. dirba duomenų apsaugos srityje, kreipdama dėmesį į asmens duomenų tvarkymą automatiniu būdu. 1981 m. Strasbūro konvencija dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu tebelieka svarbiausiu tarptautinės teisės dokumentu, kurio pagrindinis tikslas yra apginti žmogaus teisę į privatų gyvenimą, ir kuris keičiantis situacijai plečiasi ir adaptuojasi. Konvencijos papildomo protokolo priėmimas praplėtė reglamentavimą dviem aspektais – dėl duomenų apsaugos priežiūros institucijų nepriklausomumo ir dėl duomenų srautų, kertančių valstybių sienas.[1]

2.1 ES piliečių požiūris į privatumą IT kontekste

2003 m. rudenį Europos Komisija atliko Eurobarometer tyrimą dėl asmens duomenų apsaugos ir laisvo asmens duomenų judėjimo. 2004 m. sausio pabaigoje Europos Komisija ataskaitoje apie šį tyrimą pateikė įdomią informaciją apie Europos Sąjungos piliečių požiūrį į privatumą, jų asmens duomenų tvarkymą viešosiose institucijose ir privačiose organizacijose.[2] Įdomu tai, kad beveik 3 iš 4 respondentų pasitiki policijos informacinėms sistemomis, kuriose tvarkoma asmeninė informacija, reikalinga vykdydant šios institucijos funkcijas. Didžiausias pasitikėjimo laipsnis nustatytas Šiaurės valstybėse, pvz., Suomijoje pasitiki 87 % respondentų. Mažiausiai pasitikima tinkamu asmens duomenų tvarkymu policijos sektoriuje Belgijoje – 64 % ir Jungtinėje Karalystėje – 66 %. Valstybinėmis institucijomis vidutiniškai pasitiki 55 % respondentų. Mažiausiai pasitikima šių institucijų tinkamu asmens duomenų tvarkymu Airijoje ir Jungtinėje Karalystėje. Didžiausias pasitikėjimas nustatytas Danijoje – 76 %.

84 % apklaustųjų tiki, kad sveikatos priežiūros įstaigos tinkamai tvarko jų asmens duomenis. Tuo tarpu, draudimo kompanijomis pasitiki tik 48 % apklaustųjų. Dar mažiau Europos Sąjungos piliečių pasitiki kreditinių kortelių kompanijomis, nepasitikėjimas jomis siekia iki 42 %. 15 Europos Sąjungos valstybių piliečių pasitikėjimas bankais ir finansinėmis institucijomis siekia maždaug 55%.

2.2 Pagrindinės ES valdžios institucijų veiklos gairės asmens duomenų teisinės apsaugos srityje 2003 – 2004 m.

· Biometrinių duomenų naudojimas asmenybei identifikuoti.

2003 m. rugsėjo 8 d. Australijoje vyko konferencija “Kūnas kaip duomenys”, skirta šiuo metu ypač plačiai diskutuojamai galimybei identifikuoti asmenis panaudojant naudoti žmogaus lasteles bei kitus organus. Tokiu atvėju mūsų kūnas tampa informacijos šaltiniu, slaptažodžiu (pirštų atspaudai, balsas, parašas, DNR). Šie duomenys yra skirti ne tik tapatybei nustatyti, bet ir papildomų atpažinimo, identifikavimo programų sukūrimui. Čia atsiranda viena iš problemų – tam tikri biometriniai duomenys apima daugiau informacijos nei yra reikalinga identifikavimui. Kovoje prieš terorizmą
prioritetas suteikiamas saugumui, tačiau ginant vienas vertybes automatiškai sumažinama kitų apsauga. Kalbant apie biometrinius duomenis reikia nepamiršti žmogaus teisės į sveikatą ir sveiką gyvenimą, taip pat į savo asmenybės apsaugą. Europos Sąjungos žmogaus teisių chartijos 7 ir 8 straipsniai aiškiai nustato šių žmogaus teisių apsaugos standartus, o duomenų apsauga įvardijama kaip viena iš svarbiausių asmens laisvės komponenčių, konstitucinė vertybė arba asmens konstitucionalizavimas [4]. Turi būti gerbiamas asmens fizinis ir intelektinis vientisumas, negalima atimti galimybės individui kontroliuoti savo kūną, asmenybę.

Kita vertus, biometrinių duomenų naudojimas gali stiprinti saugumą, tačiau pamiršti šių duomenų naudojimo tikslo ir mechanizmų nereikėtų. Visų pirma duomenys turi būti tikslūs. Taip pat reikia atsižvelgti į tai, jog tam tikrų biometrinių duomenų naudojimas kelia problemas: kaip pavyzdį galima pateikti pirštų atspaudų naudojimą, kuomet tokie duomenys gali būti panaudoti visai kitiems tikslams, nei identifikavimas ar autentifikavimas – pirštų atspaudų atgaminimo rezultatai gali būti paskelbti, tokie duomenys gali būti paprasčiausiai pavogti.

Biometriniai duomenys neturėtų būti saugomi duomenų bazėje. Duomenų subjekto sutikimas ne visada yra tinkamas sprendimas, gaunant genetinius duomenis.

Sąvoka „asmeninė informacija“ turi būti suprantama kiek įmanoma plačiau. Konferencijoje buvo pateiktas pavyzdys, kuomet norvegų mokslininkas buvo pasamdytas ligoninės, tam kad atliktų savo kraujo tyrimus, tačiau po šių tyrimų mokslininkui nebuvo leista pasiimti savo kraujo mėginių, nes tai yra ligoninės turtas. Norvegijos Duomenų priežiūros institucija pritarė ligoninės požiūriui į kraujo mėginius. I-os instancijos teismas priėmė sprendimą, kad kraujo pavyzdžiai nėra asmens duomenys. Tačiau ši byla konferencijos vykimo metu dar nebuvo galutinai baigta, ji pateko į aukštesniam teismui [4].

Kūno materija nėra duomenys, tačiau informacija, gaunama iš jos, yra asmens duomenys, todėl visuomet tavrkant asmeninius duomenis turi būti tokio tvarkymo priežastis – teisinis pagrindas. Reikia spręsti, ar tinkamai yra taikomas asmens duomenų apsaugos įstatymas šiems audiniams. Pvz., jei asmuo rado nosinę su kraujo dėmėmis ir nunešė ją tirti, tai gali būti nusikaltimas, nes tai darysi be nosinės savininko žinios ir sutikimo.

Kalbant apie biometrinius duomenis labai svarbu yra atkreipti dėmesį į tokius klausimus: ar yra įmanoma identifikuoti asmenį per atstumą, ar biometriniai duomenys palieka pėdsakus. Ypač svarbus yra kontekstas, kur šie duomenys yra tvarkomi ir naudojami. Biometriniai duomenys ne visada būna tikslūs, gali būti, kad ateityje žmogaus kūne bus įmanoma patalpinti prietaisus, kurių nebus galima pašalinti, ir žmogų bus galima visiškai kontroliuoti, t.y. jo buvimo vietą, jo pomėgius, ir t.t.

Taigi, kalbant apie biometrinius duomenis buvo pasiekta vieninga nuomonė, kad, visų pirma, turi būti atskirti tie duomenys, kurie palieka pėdsakus, ir tie, kurie jų nepalieka. Taip pat yra svarbu, kad tokių duomenų saugojimas be duomenų subjekto informavimo būtų uždraustas. Vokietijoje yra leista naudoti tokius duomenis asmens tapatybės kortelėje.

Europos Tarybos projektų grupė dėl duomenų apsaugos nutarė paruošti gaires dėl biometrinių duomenų tvarkymo.

Dar vienas šios srities problematikos aspektas – akies rainelės (IRIS) atpažinimo ir identifikavimo technologijos, kalbant apie kurias, iškyla toks privatumo apsaugos klausimas: ar šios technologijos labai giliai įsibrauna į asmens privatų gyvenimą, ar šiomis technologijomis atliekamos procedūros yra atviros ir savanoriškos. IRIS yra individualus ir unikalus asmens duomuo. Kiekviena IRIS duomenų bazėje yra unikali, ji nesikeičia visą žmogaus gyvenimą. Nemažai valstybių IRIS naudoja kaip asmens pasą, pagal kurį galima tiksliai identifikuoti asmenį, pvz., Hong Konge, Korėjoje, Olandijoje, kt. IRIS yra naudojama oro uostuose. Šios technologijos labai patikimos, klaidos galimybė ypač maža. IRIS identifikavimo technologijos suteikia labai daug galimybių, ir tik nuo pačių žmonių priklauso, kokiu būdu jos bus panaudotos. Vienur yra kaupiamos IRIS duomenų bazės, kitur ši informacija yra mikroprocesorinėse kortelėse. Svarbu yra tai, jog Iš IRIS jokios kitos informacijos, išskyrus reikalingą asmens identifikavimui išgauti negalima [4].

· Duomenų teikimo trečiosioms šalims klausimai.

Pastaruoju metu ši problema tampa visa aktualesnė. Keičiantis pasaulio politinei situacijai, stiprėjant tokiems reiškiniams kaip terorizmas taip pat globalizacija – duomenys vis dažniau “kerta” valstybių sienas, arba jų visai nepaiso. Teisinis tokių procesu reglamentavimas tampa problematiškas dėl nesuderintų atskirų valstybių teisės aktų bei grėsmių (terorizmo atvėju), atsirandančių duomenų nesuteikimo atvejais.Teisinės duomenų apsaugos specialistai pripažįsta, jog įtakos tam tikram savitumui privatumo apsaugos ir požiūrio į patį privatumą skirtinguose pasaulio

regionuose turėjo kultūrų, teisinių sistemų skirtumai, taip pat ekonominiai ir socialiniai aspektai, tradicijos.

2003 – 2004 m. ypač aktualios diskusijos dėl apie JAV ir Europos Sąjungos nesutarimus dėl oro linijų keleivių duomenų
perdavimo JAV, motyvuojant tuo, kad šie duomenys yra reikalingi kovai su terorizmu. 2003 m. birželio 16-18 d. Vykusios ES Konvencijos dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu patariamojo komiteto darbo grupės susitikime buvo išreikšta nuomonė, kad tikslas nėra labai aiškus, per daug platus ir nekonkretus. Jungtinės Karalystės atstovas pažymėjo, kad susitikimuose JAV pasienio pareigūnai patvirtino, kad jiems ypatingų asmens duomenų nereikia. Tačiau šiuo atveju reikia tiksliai nustatyti, kokie duomenys yra reikalingi, kad nebūtų pažeistas proporcingumo principas. [5]

Pagrindiniai duomenų apsaugos principai, įtvirtinti Konvencijos dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu 5 straipsnyje, neturi būti pažeisti. Nors Konvencijos 9 straipsnis numato išimtis, tačiau jos negali būti aiškinamos ir taikomos perplačiai, kad netaptų taisykle.

2003 m. lapkričio 20 – 21 d. Briuselyje vykusiame 29-ojo straipsnio duomenų apsaugos darbo grupės susitikime [6] pažymėta, kad derybose su JAV yra pasiekta pažanga, tačiau ji nepakankama. Akcentuota, kad perduodamų duomenų sąrašas turi būti mažinamas, duomenų saugojimo terminas tikslinamas, nustatant ilgesnį terminą dėl sunkių baudžiamųjų nusikaltimų. Reiktų numatyti papildomas saugumo priemones dėl senų duomenų saugojimo. Šiuo klausimu numatoma susitikti su specialiųjų tarnybų atstovais. Buvo kalbama apie tarptautinės sutarties dėl duomenų teikimo į JAV (taip pat į Australiją ir kt.) reikalingumą. Pabrėžta, kad reikia kuo greičiau atrasti teisiškai pagrįstą sprendimą dėl tokių duomenų teikimo ir ieškoti ilgalaikio sprendimo dėl duomenų apsaugos adekvatumo. Buvo kalbama apie būtinumą parengti integruotą požiūrį dėl vizų, paso, biometrinių duomenų, siekiant, kad žmogaus teisės būtų labiau užtikrinamos. Pasakota, kad Olandijoje buvo atliktas tikrinimas ir nustatyta, kad ne visos oro linijų kompanijos teisingai informuoja asmenis ir dėl to joms buvo pateikti raštai.

· Paieškos variklių problema.

2003 m. birželio 16-18 d. Vykusios ES Konvencijos dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu patariamojo komiteto darbo grupės susitikime buvo atkreiptas dėmesys į būtinybę domėtis vadinamaisiais paieškos varikliais (pvz. www.google.com), kur yra galimybė įvedus vardą ir pavardę gauti apie žmogų visą informaciją, kuri yra paskelbta internete [7].

· Ypatingas dėmesys – visuomenės informavimui ir švietimui.

Duomenų apsaugos institucijos veiklos viešumas daro ją atsakingą prieš visuomenę, ši institucija turi būti pajėgi paaiškinti, ką ji veikia, atsiskaityti visuomenei apie savo veiklą. Ypač yra svarbu skelbti bylas, kurios buvo išspręstos, taikant asmens duomenų teisinės apsaugos įstatymą. Kitas būdas yra teikti informaciją privačiajam sektoriui, tokiu būdu skatinant geresnį įstatymo nuostatų laikymąsi ir tuo pačiu išvengti interesų konflikto ateityje [8].

· Teisės aktų, reglamentuojančių asmens duomenų tvarkymą suvienodinimas visoje ES teritorijoje.

Šioje srityje dirba Europos komisijos Darbo grupė asmens apsaugai tvarkant asmens duomenis (DG 29) tiek pareikšdama nuomones, tiek priimdama darbinius dokumentus, tačiau bendradarbiavimas Europoje nėra pakankamas. Europos taryba, Europos komisija, Europos tarybos valstybės narės kartais dubliuoja atliekamus darbus.[3]

Greta atskirų klausimų sprendimo grupėse, toliau lygegrečiai vyksta prieš keletą metų pradėtas valstybių narių ir ES duomenų apsaugą reglamentuojančių teisės aktų harmonizavimas. Taip pat išlieka nuomonė, jog tkslinga nustatyti tarptautinius privatumo apsaugos standartus.

Tarptautinė vartotojų organizacija (Consumers International) atliko tyrimą, kuriuo nustatė, jog 50% ES įkurtų internetinių verslo puslapių neturėjo privatumo pareiškimo. Vartotojams ypač svarbu, kad būtų keliamas vartotojų žinių lygis, sukurti privatumo praktikos standartai, stiprinamas įstatymų privatumo nuostatų įgyvendinimas, bendradarbiaujama su kitomis valstybėmis. Kalbant apie privatumo pareiškimą, – jis ų būti kiekviename internetiniame puslapyje, renkančiame ir tvarkančiame asmens duomenis siekiant pelno, ir būtų ne 10 lapų, o 5 trumpi sakiniai, kuriuos galima perskaityti per 20 sekundžių.

· Ekonominės gerovės ir asmens teisės į privatų gyvenimą derinimas.

Asmens duomenų ekonominė vertė yra būtina ekonominiuose sandoriuose, tačiau kita vertybė yra asmens teisė į privatų gyvenimą. Ką reiškia laisvas asmens duomenų judėjimas šiame pasaulyje?

2003 m. rugsėjo 10 – 12 d. Sidnėjuje (Australija) vykusios 25-osios tarptautinės duomenų apsaugos ir privatumo komisionierių konferencijos metu šiuo klausimu pranešimus skaitė keletas stambių tarptautinių kompanijų atstovai. ichael Mitchell, Australijos aviakompanijos „Qantas“ atstovas, pristatė savo kompanijos privatumo strategiją ir veiklą, stiprinant klientų pasitikėjimą dėl jų asmens duomenų tvarkymo. Konferencijos dalyviai buvo informuoti, kokią informaciją kompanija renka apie savo klientus (identifikavimo duomenys, kelionės agentas, dažnai keliaujančio keleivio statusas ir privilegijos, bilietų rezervavimas, bilietai, maršrutas (gali paprašyti medicininių duomenų), užsiregistravimas ir įsėdimas, saugumas ir pasienio
Keleivių informacija naudojama operaciniais tikslais (Vokietijoje bilietų rezervavimo sistema), ekonominei prognozei, taip pat tiesioginei rinkodarai ir pan. Problemos kyla, tvarkant šiuos asmens duomenis, dažniausiai dėl informacijos naudojimo kompanijos dukterinėse įmonėse ir šakose, o taip pat dėl tarptautinių skirtumų privatumo įstatymuose. Tačiau pranešėjas pabrėžė, kad yra labai gerai kontroliuojamas priėjimas prie šių sąrašų.

Pažymėtina ir Lenkijos patirtis šioje asmens duomenų apsaugos srityje [10] – Lenkijos duomenų apsaugos institucija priėmė sprendimą, kad bendrovės negali keistis duomenimis tų asmenų, kurie ketina tapti klientais, t.y. negalima rinkti duomenų ,,ateities tikslams“.

· Informacijos rinkimas be duomenų subjekto sutikimo.

Tai tiesioginis asmens privatumo teisės pažeidimas, pasitaikantis ganėtinai dažnai. ES, taipogi kitų valstybių duomenų apsaugos specialistai reiškia susirūpinimą dėl policijos darbe pasitaikančių pažeidimų (mobilaus telefono informacijos naudojimas be atitinkamų sankcijų, pirštų atspaudų ėmimas, kartais juos nuskenuojant tiesiog gatvėje, DNR charakteristikų darymas be subjekto informavimo).

Tokie duomenys gali būti naudojami diskriminavimo ir kitais, pvz. įdarbinimo tikslais. Sena informacija gali būti klaidinga ir panaudota prieš duomenų subjektą. Tokią seną informaciją dažnai saugo policijos komisariatuose, daugumoje atvejų – dėl jau nebevykdomų tyrimų.

Sutariama, jog visuomenei reikia teikti informaciją. Reikalingos tinkamos teisės gynimo priemonės, reikia atsižvelgti į naujas technologijas, kurias vis daugiau ir daugiau naudos teisėsaugos institucijos.

· Mokslo tyrimams naudojami duomenys turi būti paversti absoliučiai anonimiškais.

Šis klausimas buvo iškeltas 2003 m spalio 27 d. Romoje (Italija) vykusiame VII-ajame ES Skundu nagrinėjimo teisinėje duomenų apsaugoje seminare. Prancūzijos ir Graikijos atstovai pareiškė, jog net kai kiekvieno asmens duomenims yra suteiktas kodas, vis tiek yra galimybė juos vėl paversti individualizuotais, todėl turi būti stengiamasi, kad taip padaryti nebūtų įmanoma [10]. Buvo aptariama problema, ar ligoninėje gulinčio asmens sutikimas moksliniams tyrimams visada yra duodamas jo paties sutikimu, t.y. savanoriškai. Juk sergantis asmuo gali neadekvačiai vertinti savo veiksmus ar būdamas ligotas gali būti paveiktas kitų faktorių, pvz., gydytojo įtikinėjimas, ligos ir mirties baimė.3. TEISINIS DUOMENŲ APSAUGOS REGULIAVIMAS LIETUVOJE

3.1 Bendra situacija

2003 m. Europos Komitetas užsakė tyrimą, kurio metu buvo atlikta Lietuvos gyventojų apklausa. Tyrimas parodė, kad apie asmens duomenų tvarkymo sąlygas ir su tuo susijusias teises žino daugiau nei pusė (61,5%) Lietuvos gyventojų, o jų pasitikėjimas duomenų valdytojais yra mažesnis už vidutinį (40%). Valstybinės duomenų apsaugos inspekcijos darbą teigiamai vertino daugiau nei pusė (57%) šio tyrimo duomenų valdytojų apklausos respondentų, vidutiniškai – 5%, neigiamai – 8% (nurodę Inspekcijos darbo lankstumo stoką), neturėjo nuomonės – 30% [11].

3.2 Teisinė bazė

Lietuvoje, kaip ir visoje Europoje, vis dažniau asmens duomenys tvarkomi automatinėmis priemonėmis, taip pat ir internete. Reikalavimai asmens duomenų tvarkymui automatinėmis priemonėmis yra įtvirtinti Asmens duomenų teisinės apsaugos įstatyme, kuris suderintas su Europos Parlamento ir Tarybos direktyva dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo Tvarkant asmens duomenis reikia vadovautis ne tik teisės aktais, bet ir teismų praktika. Labai svarbių sprendimų, aiškinant direktyvos nuostatas 2003 m. lapkričio mėn. priėmė Europos Teisingumo Teismas Lindqvist byloje (žr. priedą nr. 1: “Lindqvist bylos esmė”).

2003 m. sausio 21 d. LR Seime priimta nauja Asmens duomenų teisinės apsaugos įstatymo redakcija, kuri įsigaliojo nuo 2003 m. liepos 1 dienos. Įgyvendinant Asmens duomenų teisinės apsaugos įstatymą ir Telekomunikacijų įstatymą, Vyriausybės nutarimu buvo pakeisti Valstybinės duomenų apsaugos inspekcijos nuostatai – Valstybinė duomenų inspekcija paskirta atsakinga už asmens duomenų tvarkymo teisėtumo nacionalinėje Šengeno informacinėje sistemoje patikrinimą nuo Lietuvos Respublikos prisijungimo prie Šengeno susitarimo dienos.

Pažymėtinas ir įstatymo pakeitimas dėl asmens duomenų keitimosi be duomenų subjekto žinios – atsižvelgiant į tai, kad bankų ir kitų kredito įstaigų bei finansų įmonių, kurios verčiasi kreditine ar finansine veikla, rizika nukentėti nuo nesąžiningų klientų yra didelė, šioms įmonėms suteikta teisė, sutikus duomenų subjektui, keistis paskolas paėmusių duomenų subjektų duomenimis, siekiant įvertinti jų mokumą.

Pagrindiniai teisės aktai, reglamentuojantys duomenų apsaugos veiklą Lietuvos Respublikoje, yra [13]:

1. Asmens duomenų teisinės apsaugos įstatymas (žr. priedą nr.2: ”Asmens duomenų teisinės apsaugos įstatymas” );

2. Įstatymas „Dėl Konvencijos dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu su Europos Tarybos Ministrų Komiteto priimtomis pataisomis ratifikavimo“;

3. Administracinių teisės pažeidimų kodeksas;

4. Telekomunikacijų įstatymas;

5. Valstybės registrų įstatymas ;

6. Lietuvos Respublikos Vyriausybės 2002 m. vasario 22 d.
nutarimas Nr. 262 „Dėl asmens duomenų valdytojų valstybės registro reorganizavimo, šio registro nuostatų ir asmens duomenų valdytojų pranešimo apie duomenų tvarkymą automatiniu būdu tvarkos patvirtinimo“.

3.3 Kontrolė ir priežiūra

Duomenų apsaugos teisinės bazės vykdymą kontroliuoja ir prižiūri Valstybinė duomenų apsaugos inspekcija. Europos Bendrijų teisė nustato, kad tokios institucijos turi padėti asmenims apsaugoti jų teisę į privataus gyvenimo neliečiamumą ir kartu prisidėti prie sąlygų laisvam duomenų judėjimui sudarymo.

· Valstybinė duomenų apsaugos inspekcijos tikslai ir uždaviniai.

Svarbiausieji Valstybinės duomenų apsaugos inspekcijos veiklos tikslai yra plėtoti duomenų apsaugą, prižiūrėti asmens duomenų valdytojų veiklą tvarkant asmens duomenis, kontroliuoti asmens duomenų tvarkymo teisėtumą, kovoti su duomenų tvarkymo pažeidimais ir užtikrinti duomenų subjekto teisių apsaugą.

Svarbiausieji Inspekcijos uždaviniai yra “prižiūrėti ir kontroliuoti Asmens duomenų teisinės apsaugos įstatymo (išskyrus 8 straipsnį) vykdymą ir įgyvendinti Konvencijos dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu su Europos Tarybos Ministrų Komiteto priimtomis pataisomis nuostatas.

Valstybinė duomenų apsaugos inspekcija siekia, kad asmens duomenų apsauga Lietuvos Respublikoje atitiktų Europos Sąjungos reikalavimus ir tinkamai būtų užtikrinama informacinės visuomenės aplinkoje” [12].

· Duomenų valdytojų registravimo funkcija.

Pagal Lietuvos Respublikos teisinės duomenų apsaugos įstatymą, kiekvienas juridinis asmuo, norėdamas tvarkyti kitų asmenų asmens duomenis privalo užsiregistruoti kaip duomenų valdytojas Valstybinėje duomenų apsaugos inspekcijoje. Tą galima padaryti užpildžius anketą raštu bei internetu. Žemiau pateikiamame paveiksle matome duomenų valdytojo registracijos dialogo langą.

Pav. nr. 1 Asmens duomenų valdytojų registravimosi anketa Valstybinės duomenų apsaugos inspekcijos interneto svetainėje.

Sekančioje diagramoje pateikiama duomenų valdytojų registravimo dinamika 2001 – 2003 m.Pav. nr. 3: Duomenų valdytojų registravimo dinamika 2001 – 2003 m. Šaltinis: Valstybinės duomenų apsaugos inspekcijos 2003 m. veiklos ataskaita.

· Skundų nagrinėjimo funkcija.

Asmens duomenų teisinės apsaugos įstatymas suteikia teisę kiekvienam Lietuvos Respublikos gyventojui kreiptis į duomenų valdytoją ir skųstis dėl jo asmens duomenų tvarkymo.

Duomenų subjektas turi teisę kreiptis į Inspekciją ir skųsti duomenų valdytojo veiksmus (neveikimą), kai duomenų valdytojas neįgyvendina jo teisių arba jas įgyvendina netinkamai.

2003 m. gautų skundų Valstybinėje duomenų apsaugos isnpekcijoje pasiskirstymas pagal skundžiamą instituciją pateikiamas sekančioje diagramoje:

Pav. 3 Skundų pasiskirstymas pagal skundžiamą instituciją. Šaltinis: Valstybinės duomenų apsaugos inspekcijos 2003 m. veiklos ataskaita.

Toliau pateiksiu keletą charakteringų skundų nagrinėjimo atvejų.

“Inspekcija gavo skundą, kuriame buvo prašoma ištirti, ar SP UAB „Šilutės šilumos tinklai“, SP UAB „Šilutės vandenys“ ir UAB „Šilutės komunalininkas“, perduodamos skolų išieškojimu užsiimančiai bendrovei skolininkų asmens duomenis apie tai jų neinformavus, nepažeidė skolininkų teisių.

Inspekcija, nagrinėdama skundą, patikrino asmens duomenų tvarkymo teisėtumą minėtose bendrovėse ir nustatė, kad jos tvarkė asmens duomenis automatiniu būdu, tačiau apie tai nebuvo pranešusios Inspekcijai, neinformavo duomenų subjektų, kad jų asmens duomenys buvo teikiami skolų išieškojimo bendrovei, nesupažindino duomenų subjektų su teise nesutikti dėl jų asmens duomenų tvarkymo. Inspekcija šių trijų bendrovių vadovams surašė administracinių teisės pažeidimų protokolus, kurių pagrindu teismas skyrė baudas…” [14]

“…buvo gautas skundas, kuriame pareiškėjas, dirbantis Kultūros paveldo centre, teigė, kad kreipėsi į įstaigos direktorių su prašymu susipažinti su savo asmens byla. Įstaigos vadovas bylos nepateikė ir paprašė išdėstyti, kokie dokumentai domina, o paprašius pateikti visą bylą, ji pateikta nebuvo.

Inspekcija tikrinimo metu nustatė, kad pareiškėjui buvo trukdoma įgyvendinti Asmens duomenų teisinės apsaugos įstatyme įtvirtintą duomenų subjekto teisę susipažinti su savo asmens duomenimis ir kaip jie yra tvarkomi. Taip pat buvo pažeisti minėto įstatymo straipsniai, numatantys duomenų valdytojo pareigą, gavus duomenų subjekto prašymą, pateikti atsakymą per nustatytą terminą bei pateikti duomenų subjektui jo prašomus duomenis. Kultūros paveldo centro direktoriui buvo surašytas administracinio teisės pažeidimo protokolas. Teismas 2003 metais bylos neišnagrinėjo…” [14]

Sekančioje diagramoje pateikiami skundų nagrinėjimo rezultatai pagal pažeidimo pobūdį 2003-aisiais metais:

Pav. 4 Skundų pasiskirstymas pagl pobūdį. Šaltinis: Valstybinės duomenų apsaugos inspekcijos 2003 m. veiklos ataskaita.

· Konsultacijos, rekomendacijos, visuomenės informavimo funkcijos.

Inspekcija informuoja visuomenę duomenų apsaugos klausimais, rengdama pranešimus spaudai, jos atstovams pasisakant ir dalyvaujant televizijos ir radijo laidose.

Informacija skelbiama Inspekcijos interneto svetainėje.

Rengiami
informaciniai lankstinukai (pvz. ,,Asmens duomenys bendrojo lavinimo mokyklose“, ,,Mums svarbu, kaip tvarkomi mūsų asmens duomenys“, ,,Ar žinote savo – duomenų subjekto – teises?“ ir kt.).

Inspekcija rengia rekomendacijas, taip pat keičia anksčiau parengtas rekomendacijas, atsižvelgdama į šiuo metu galiojančius teisės aktus.

· Tarptautinis bendradarbiavimas.

Inspekcija, bendradarbiaudama su kitų šalių duomenų apsaugos priežiūros institucijomis, teikia informaciją joms apie savo veiklą, administracinius gebėjimus bei naujoves. Užsienio šalių duomenų apsaugos priežiūros institucijos kasmet Inspekcijai siunčia savo veiklos metines ataskaitas.

· Valstybinės duomenų apsaugos inspekcijos silpnybės

1. netolygus gaunamų duomenų valdytojų pranešimų apie asmens duomenų tvarkymą srautas;

2. darbuotojų patirties duomenų apsaugos srityje stoka;

3. finansavimo trūkumas (ypač nepaprastosioms išlaidoms) ir dažna darbuotojų kaita, susijusi su perėjimu į geriau apmokamas pareigas kitose valstybės institucijose;

4. finansavimo trūkumas aktyviai atstovauti Inspekciją darbo grupėje, sudarytoje pagal Direktyvos 95/46/EB 29 straipsnį, Šengeno Jungtinėje priežiūros institucijoje, Muitinės Jungtinėje priežiūros institucijoje, Europolo Jungtinėje priežiūros institucijoje; Tarptautinėje darbo grupėje dėl duomenų apsaugos telekomunikacijose ir dalyvauti tarptautiniuose renginiuose duomenų apsaugos klausimais;

5. Lietuvos Respublikos telekomunikacijų įstatymo 6 straipsnio 1 dalyje yra nustatyta, kad Inspekcija yra atsakinga už Lietuvos Respublikos telekomunikacijų įstatymo 49-56 straipsnių įgyvendinimą, tačiau iki šiol jai nėra pavesta prižiūrėti šių normų vykdymą bei nėra suteikti įgaliojimai surašyti tokių administracinių teisės pažeidimų protokolus ar teikti nurodymus;

· Veiklos gairės.

2004 metais Lietuvai įstojus į Europos Sąjungą, asmens duomenų apsaugos srityje laukia nemažai permainų. Nuo įstojimo dienos prasiplės Inspekcijos, kaip institucijos, prižiūrinčios asmens duomenų tvarkymą ir plėtojančios duomenų apsaugą, veiklos sritis.

2004 metai yra baigiamieji Inspekcijos direktoriaus 2002 m. vasario 26 d. įsakymu Nr. 01-10-01 „Dėl duomenų apsaugos plėtojimo 2002–2004 metais programos patvirtinimo“ patvirtintos programos metai [14]. Programa svarbi informacinės ir žinių visuomenės plėtrai bei derinimui su pagrindinių žmogaus teisių ir laisvių apsauga. Programai vykdyti numatyta PHARE Dvynių projekto parama, kurioje pagrindinis dėmesys skiriamas administracinių gebėjimų stiprinimui ir visuomenės informavimui. 3.4 Problemos, iškylančios duomenų apsaugos teisinio reguliavimo prosesuose ir jų sprendimo būdai Lietuvoje

3.4.1 Dažniausiai pasitaikantys pažeidimai

· Juridiškai nepagrįstas duomenų apie asmenis teikimas tretiesiems asmenims.

Pavyzdys: “2003 m. nustatyta, kad Valstybinė socialinio draudimo fondo valdyba neteisėtai teikia duomenis Vidaus reikalų ministerijai. Tarp šių institucijų sudarytoje duomenų teikimo sutartyje duomenų teikimo tikslu, remiantis Operatyvinės veiklos įstatymu nurodomas operatyvinės veiklos organizavimas, tačiau Vidaus reikalų ministerijai teisės aktai nesuteikia operatyvinės veiklos subjekto teisių”.

· Perteklinių duomenų kaupimas ir teikimas.

Pavyzdys: „2003 m. nustatyta kad Valstybinė socialinio draudimo fondo valdyba (VSDFV), teikdama Valstybės saugumo departamentui, VRM, Specialiųjų tyrimų tarnybai savo duomenų bazės kopiją su 2 milijonais įrašų, teikia minėtoms institucijoms perteklinius duomenis. Asmens duomenų teisinės apsaugos įstatymas nustato, kad duomenys turi būti tokios apimties, kuri reikalinga jų tvarkymo tikslams. VSDFV teikia minėtą bazės kopiją operatyvinės veiklos tikslams, nors akivaizdu, kad nusikaltimų tyrimui nėra būtinas toks didelis kiekis duomenų, t.y. operatyvinei veiklai reikalingi konkrečių asmenų, o ne visų Lietuvos gyventojų, apdraustų valstybiniu socialiniu draudimu, duomenys (pavardė, vardas, gimimo data, asmens kodas, asmens socialinio draudimo pažymėjimo serija, numeris, socialinio draudimo pažymėjimą išdavęs skyrius ir išdavimo data, laikotarpis, už kurį mokamos įmokos, draudžiamųjų pajamų suma, įmokų tarifas, įmokų suma, įmokų tipas, o taip pat duomenys apie draudėją). Operatyvinę veiklą vykdantys pareigūnai naudojasi gauta duomenų baze pateikdami užklausas apie įtariamus dėl daromų ar padariusių nusikaltimus asmenis, tačiau jie turi galimybę pamatyti ir visų asmenų, esančių duomenų bazės kopijoje, duomenis. Tokiu būdu pareigūnai gali sužinoti duomenis net ir tų asmenų, kurie nepatenka į operatyvinės veiklos akiratį ir nėra įtariami, paieškomi, darantys ar padarę nusikaltimus asmenys“ [15].

Šiuo metu Jūs matote 51% šio straipsnio.
Matomi 4292 žodžiai iš 8484 žodžių.
Siųskite sms numeriu 1337 su tekstu INFO MEDIA (kaina 1,45 €) ir įveskite gautą kodą į laukelį žemiau:
Kodas suteikia galimybę atrakinti iki 100 straispnių svetainėje ir galioja 24 val.