Asmens duomenų teisinės apsaugos klausimai interneto kontekste
5 (100%) 1 vote

Asmens duomenų teisinės apsaugos klausimai interneto kontekste

TURINYS

ĮŽANGA…………………………………………………………………………….…..3

1. BENDRIEJI ASMENS DUOMENŲ APSAUGOS IR

INTERNETO KLAUSIMAI…………………………………………………………7

1.1. PRIVATUMO SAMPRATA………………………………………………………7

1.2. ASMENS DUOMENS SĄVOKA ………………………………………………11

1.3. ASMENS DUOMENŲ APSAUGOS IR INTERNETO SANTYKIS….………..14

1.4. ASMENS DUOMENŲ APSAUGOS PROBLEMOS SUSIJUSIOS

SU INTERNETO ATSIRADIMU……………………………………………….16

2. ASMENS DUOMENŲ TEISINĖS APSAUGOS FUNKCIONAVIMO

UŽTIKRINIMAS, ŠALINANT PAINIAVĄ IR APGAUDINĖJIMUS…………….23

2.1. ASMENS DUOMENŲ TEISINĖ APSAUGA INTERNETO KONTEKSTE….23

2.1.1. EBPO veikla užtikrinant asmens duomenų teisinę apsaugą

interneto kontekste …..……………………………………………………23

2.1.2. Europos Tarybos veikla, siekiant užtikrinti asmens duomenų apsaugą

interneto kontekste …………………………………………………………………………..25

2.1.3. Asmens duomenų teisinė apsauga interneto kontekste pagal

Europos Sąjungos teisę ……………………………………………………27

2.1.4. JAV ir Europos Sąjungos „Saugaus uosto“ principai…………………………….30

2.2. DUOMENŲ RENKAMŲ INTERNETO APLINKOJE IR ASMENS

DUOMENŲ SANTYKIS………………………………………………………………………….32

2.3. ASMENS DUOMENŲ SUBJEKTO TEISĖS………………………………….35

2.4. ASMENS DUOMENŲ VALDYTOJŲ PAREIGOS……………………………40

2.5. ASMENS DUOMENŲ PERDAVIMAS Į TREČIĄSIAS VALSTYBES………43

2.6. SAVIREGULIACIJA INTERNETE…………………………………………………………..46

3. IŠVADOS……………………………………………………………………………47

4. RESUME……………………………………………………………………………………………………..50

5. LITERATŪROS SĄRAŠAS ………………………………………………………52

ASMENS DUOMENŲ TEISINĖS APSAUGOS KLAUSIMAI INTERNETO KONTEKSTE

Kiekvienas asmuo turi teisę į asmeninio ir šeimos gyvenimo, namų ir korespondencijos privatumą.

– Europos žmogaus teisių ir pagrindinių laisvių konvencija

ĮŽANGA

Paskutinės kelios praeito šimtmečio dekados pasaulį sudrebino informacijos ir su ja susijusių procesų banga, kuri iššaukė informacinės visuomenės formavimąsi. Toks globalus reiškinys, kuomet beveik visos pasaulio valstybės vysto savo visuomenės transformavimo į naujo tipo visuomenę politiką, gali būti vadinamas pasauliniu informacinės visuomenės kūrimu . XX – XXI amžiuje informacijai yra skiriamas ypatingas dėmesys, gal todėl šis laikotarpis dar yra vadinamas “informacijos arba informacinių technologijų amžiumi” . Šį procesą lemia naujos technologijos ir jų sukeltos globalinės inovacijos, kurios tiesiogiai įtakoja tiek individų, tiek pačios visuomenės ir galiausiai pačios valstybės ateities perspektyvas. Jau liko praeityje laikai, kada kompiuterizavimas buvo suprantamas kaip asmeninio kompiuterio įsigijimas. Įmonėse, įstaigose, valstybinėse institucijose sparčiai kyla naujų uždavinių bei auga vartotojų poreikiai. Juos sąlygoja informacijos gausa bei noras ją racionaliai tvarkyti. Pamažu visi pradedame įsisąmoninti, kad “informacinė visuomenė” ne filosofų prasimanymas. Šiuolaikinė visuomenė tampa nebeįsivaizduojama be modernių informacijos apdorojimo, kaupimo ir perdavimo priemonių.

Informacija, kaip idealus socialinis fenomenas , pilietinės visuomenės kūrimo metu tampa viena iš svarbiausių visuomenės vertybių, nes, būtent informacija daro žmogaus elgesį prasmingą ir tikslingą. Pradėjus versti informaciją į skaitmeninius duomenis, kuriuos vis paprasčiau gali apdoroti kompiuteriai, informacijos sąvoka tapo ne tik technikos mokslų dalyku bet ir pagrindu milžiniškam įvairių valstybių ekonomikos vystymuisi.

Pagrindinė šio darbo prielaida – tai interneto kaip grėsmės šaltinio asmens duomenų apsaugai teisinė studija. Internetą įvairių valstybių mokslininkai apibrėžia kaip daugybę elektroninio ryšio pagalba sujungtų kompiuterių, kurie gali keistis tarpusavyje duomenimis. Kiekvienas kompiuteris net ir laikinai prisijungęs prie šio tinklo tampa interneto dalimi. Tokioje sistemoje sukuriamos unikalios sąlygos ne tik keistis informacija, bet ir pačiais įvairiausiais būdais ją rinkti.

Informacija, susijusi su asmens privačiu gyvenimu, naujosios ekonomikos kontekste tampa preke, turinčia didelę komercinę vertę. Suvokiant tokios asmeninės informacijos vertę, nenuostabu, kodėl dauguma komercinių subjektų linkę nepaisyti reikalavimo gerbti žmogaus teisės į privatumą.

Kartu su minėtais pokyčiais Pasaulio valstybės įvairiais lygiais bando suderinti galiojančius įstatymus su technikos pasiekimais. Dėmesys į naujas teisines problemas, susijusias su asmens duomenų apsauga, šioje srityje buvo atkreiptas gana seniai. Daugybė skirtingų asmens duomenų
apsaugos problemų, susijusių su interneto globalumu dar tik pradedamos spręsti. Jos sukelia daug nepageidaujamos painiavos rinkoje, be to mažina vartotojų pasitikėjimą interneto paslaugų teikėjais.

Pagrindinis šio darbo tikslas-išanalizuoti teisinius asmens duomenų teisinės apsaugos aspektus interneto kontekste ir padėti pagrindus tolesniems šios srities tyrimams Lietuvoje. Tokia užduotis nėra lengva jau vien todėl, kad lietuvių kalba apie internetą galima rasti tik bendro pobūdžio literatūros, kuri tik maža dalimi nagrinėja teisinio pobūdžio klausimus. Šio darbo autorei pavyko rasti tik keletą Lietuvoje publikuotų straipsnių ir publikacijų bent kiek susijusių su asmens duomenų teisine apsauga interneto kontekste. Kitos Pasaulio valstybės taip pat negali pasigirti tokio pobūdžio literatūros gausa, todėl didžiausias informacijos šaltinis šiame darbe nagrinėjama tema buvo pats internetas. Daugybė straipsnių, konferencijų, diskusijų medžiagos, ir net knygų pateiktų įvairių valstybių internetinėse svetainėse yra šios studijos pagrindas. Taip pat šio darbo autorė stengėsi remtis žinomų mokslininkų darbais, norminiais aktais, įvairių tarptautinių organizacijų tinklapiuose skelbiama informacija.

Akivaizdu, kad interneto specifika savaip pakreipė šio diplominio darbo rašymą. Spartus interneto tinklo plėtimasis paskatino autorius, rašiusius apie internetą, keisti savo ankstesnį požiūrį į daugelį su internetu susijusių klausimų. Dėl šios priežasties, renkant medžiagą šiam darbui visos publikacijos pasirodę iki 2000 metų savo turiniu ne visada gali būti teisingos, o moksliniai darbai, parašyti iki 1995 metų turėjo būti vertinami labai atsargiai .

Kai kuriose vietose šis darbas gali atrodyti per daug techninio pobūdžio, bet tai yra neišvengiama dėl interneto specifikos. Techninė terminologija neišvengiamai turės būti naudojama ne tik pavyzdžiuose ar situacijų aprašymuose, bet ir analizuojant teisės normas. Didžiausia problema kyla verčiant su informacinėmis technologijomis susijusius specialiuosius terminus. Iki šiol sunormintų vertimų į lietuvių kalbą nėra.

Rašant diplominį darbą naudotasi sisteminės analizės, dokumentų analizės, istorinių duomenų analizės, loginiu, lyginamuoju ir statistiniu metodais.

Diplominio darbo uždaviniai yra:

1) visapusiškai ir išsamiai pateikti tiek teisines, tiek technines žinias apie asmens duomenų apsaugą interneto kontekste;

2) išanalizuoti ir įvertinti svarbiausius Europos Sąjungos ir kitus Tarptautinės teisės aktus, reglamentuojančius asmens duomenų apsaugą internete (kadangi Lietuvoje priimti teisės aktai asmens duomenų apsaugos srityje iš esmės atkartoja ES teisės aktus, jie nebus atskirai nagrinėjami) ;

3) pateikti išsamų problemų susijusių su asmens duomenų apsauga internete ratą ir padėti tvirtus pagrindus tolimesnėms studijoms šioje srityje.

Šio darbo autorė pasirinko asmens duomenų teisinės apsaugos interneto kontekste temą neatsitiktinai. Jau daugiau kaip du metai ji individualiai studijavo ir nagrinėjo daugelį informacinių technologijų teisės aspektų. Taip pat akivaizdu, kad ši tema yra labai aktuali ir nepakankamai giliai išnagrinėta.

Internetas ženkliai keičia asmens duomenų apsaugą beveik visose Pasaulio valstybėse. Problemų gausa dažnai lieka nepastebėta nepakankamai įsigilinus į šią temą. Dėl pastarosios priežasties pirmoje darbo dalyje bus aptarti bendrieji asmens duomenų apsaugos ir interneto klausimai, “privatumo” samprata, asmens duomens sąvoka, aptariamos konkrečios problemos, susijusios su interneto atsiradimu. Kitos dalys bus paremtos pirmojoje išdėstyta informacija ir apims dvi interneto sąlygotas problemų grupes. Ginti žmogaus privataus gyvenimo neliečiamumo teisę ryšium su asmens duomenų tvarkymu ir sudaryti sąlygas laisvam asmens duomenų judėjimui – tai dvi pagrindinės asmens duomenų teisinės apsaugos funkcijos, todėl antrojoje ir trečiojoje dalyje bus nagrinėjama kaip šias funkcijas paveikė internetas.

BENDRIEJI ASMENS DUOMENŲ APSAUGOS IR INTERNETO KLAUSIMAI

PRIVATUMO SAMPRATA

Kiekvienas individas turi poreikį saugoti su juo susijusią informaciją (asmens privataus gyvenimo paslaptį), siekdamas išsaugoti savo individualumą. Turėti paslaptį, tai reiškia išlikti arba išgyventi vienoje ar kitoje aplinkoje, vienose ar kitose gyvenimo sąlygose. Paslapties turėjimas yra ne kas kita, kaip individo biologinių, socialinių aplinkybių sąlygota reakcija į supančią aplinką. Nėra geresnio būdo apsaugoti individą nuo pavojaus susilieti su kitais, kaip turėti kokią nors paslaptį, kurią jis nori arba turi saugoti .

Atkreiptinas dėmesys, kad jau visuomenės formavimosi pradžioje išryškėja paslapčių poreikis, pavyzdžiui, pirmosios slaptos organizacijos pradėjo formuotis dar pirmykštėje bendruomeninėje santvarkoje. Pirmykštės bendruomeninės santvarkos irimas, sąlygotas perteklinio gamybos produkto atsiradimo, turėjo įtakos visuomeninių santykių pasikeitimui (formavosi naujos nuosavybės formos, visuomenė skirstėsi į klases ir pan.). Savo ruožtu, visuomeninių santykių pasikeitimas sudarė palankias sąlygas visuomeninių santykių dalyvių elgesio bei išraiškos laisvei, nes tuo metu atskiras individas jau nebebuvo taip glaudžiai
savo gentimi ar bendruomene. Visa tai sudarė palankias prielaidas tolesniam paslapčių plėtojimuisi bei įvairių paslapčių pasireiškimui. Ten, kur nėra pakankamai priežasčių saugoti paslaptį, “paslaptys” išrandamos arba padaromos, o po to jas “žino” ir “supranta” tik privilegijuoti išrinktieji. Ir jei, primityvioje visuomenės formavimosi pakopoje paslaptingumo poreikis yra gyvybiškai svarbus, nes bendra paslaptis sutvirtina visuomenę, palaiko jos solidarumą, tai aukštesniame visuomenės išsivystymo lygyje – socialinėje visuomenėje paslaptis kompensuoja individualios asmenybės vientisumo stoką. Taigi, asmuo bei pati visuomenė turi ir saugo paslaptį per visą savo vystymosi laikotarpį.

Būta labai daug pastangų apibrėžti “privatumą”, tačiau nuo pat tų laikų, kai privatumas pateko į teisinės regos lauką, autoriai nesutaria nei dėl jo koncepcijos, nei apimties.Vieni iš pirmųjų pabandę apibrėžti asmens teisę į privatumą arba “privacy” buvo amerikiečių teisininkai L. Brandeis ir S. Warren, kurie dar 1890 m. straipsnyje “The Right to Privacy” asmens teisę į privatumą įvardino, kaip “teisę likti vienam” .

A. Westin veikale “Privacy and Freedom” asmens teisę į privatumą apibrėžė, kaip individų, jų grupių ar juridinių asmenų apsisprendimo teisę spręsti kada, kokiais atvejais ir kokia apimtimi informacija apie juos gali būti patikėta kitiems asmenims .

R. Gavison asmens teisę į privatumą įvardino kaip būklę (būseną), kurią žmogus gali prarasti savo paties sprendimu ar dėl kitų žmonių veiksmų. Be to, R. Gavisonas teigė, kad asmens teisę į privatumą sudaro trys elementai: “anonimiškumas” (tai asmens teisė išlikti neatpažintam), “vienatvė” (tai asmens teisė nebūti stebimam) ir “intymumas” (tai asmens teisė bendrauti su paties pasirinktais asmenimis, nepatiriant išorinio kišimosi).

Europos Tarybos Generalinė Asamblėja rezoliucijoje 428/1990 “Dėl masinės informacijos priemonių” asmens privatų gyvenimą apibrėžė, kaip žmogaus teisę gyventi asmeninį gyvenimą, į kurį būtinai prireikus kišamasi kuo mažiausiai. Ši teisė apima privatų, šeimos ir namų gyvenimą, asmens fizinę ir psichinę neliečiamybę, garbę ir reputaciją, asmeninių faktų slaptumą, draudimą be leidimo publikuoti asmeninę nuotrauką, draudimą skelbti gautą ar surinktą konfidencialią informaciją.

Asmens teisė į privatumą taip pat yra apibrėžiama, kaip:

– “individo teisė būti apsaugotam nuo kišimosi (fizinėmis ar informacijos priemonėmis) į jo asmeninį, jo šeimos gyvenimą ar reikalus” ;

– “autonominė individo sritis, į kurią negali kištis nei valstybė, nei joks kitas asmuo” .

Kaip galime pastebėti iš pateiktų asmens teisės į privatumą apibrėžimų, asmens teisė į privatumą yra ne kas kita, kaip priemonė, padedanti konkrečiam asmeniui išlaikyti savo individualumą. Ar konkreti informacija sudaro asmens privataus gyvenimo paslaptį, gali nuspręsti tik pats žmogus, nes ši paslaptis yra sukuriama tik konkretaus žmogaus vidinių įsitikinimų dėka, todėl kitas (pašalinis) žmogus paprastai negali nuspręsti ar konkreti informacija sudaro vieno ar kito svetimo asmens privataus gyvenimo paslaptį ar ne (išimtis – asmens susirašinėjimo, pokalbių telefonu, telegrafo pranešimų ir kitokio susižinojimo neliečiamumas ir teisė į būsto arba teritorijos neliečiamumą). Privatumui yra būdingas subjektyvumo elementas – skirtingi žmonės savo privatumo ribas supranta ir įsivaizduoja nevienodai – tai, kas vienam žmogui atrodo privatu, kitam – ne; vieni apie savo privatų gyvenimą nesidrovi kalbėti viešai, kiti stengiasi išlaikyti savo privatų gyvenimą paslaptyje visais įmanomais būdais. Asmens teisė į privatumą yra ta priemonė, kuri suteikia galimybę asmeniui pabūti vienam, ir pačiam asmeniui suteikia pasirinkimo galimybę kada, su kokiais asmenimis ir kaip bendrauti . Visuomenėje gyvenantis žmogus tik tada gali laikyti save atskira, nepakartojama asmenybe, kai jis pats savo iniciatyva gali reguliuoti ir nusistatyti santykius su kitais visuomenėje gyvenančiais individais, pačia visuomene ir valstybe. Be to, žmogus negali jaustis visiškai saugus, jeigu jam nebus pripažinta ir garantuota teisė į tam tikrą neliečiamumo zoną . Gal todėl, pati žmogaus teisė turėti savo privatų gyvenimą arba privataus gyvenimo paslaptį yra prilyginama tokioms žmogaus teisėms, kaip teisė į gyvenimą, teisė į laisvę.

Tarptautinių teisės aktų analizė (žr., Visuotinės žmogaus teisių deklaracijos 12 straipsnį, Tarptautinio pilietinių ir politinių teisių pakto 17 straipsnį, Europos žmogaus teisių ir pagrindinių laisvių apsaugos konvencijos 8 straipsnį ir kt.) leidžia daryti išvadą, kad asmens teisės į privatumą turinį sudaro keturi savarankiški, ir kartu tarpusavyje susiję elementai:

– informacinis privatumas yra susijęs su duomenų apie asmenį tvarkymu ir vadinamas asmens duomenų apsauga ; t.y. kai asmuo pats savo iniciatyva gali disponuoti savo asmens duomenimis (asmens duomenys – bet kuri informacija, susijusi su fiziniu asmeniu ir kurio tapatybė tiesiogiai ar netiesiogiai gali būti nustatyta pasinaudojant tam tikrais duomenimis ), žinoti apie savo duomenų tvarkymą medicinos, kreditų ir kt. srityse, susipažinti su savo asmens duomenimis, kai juos
tvarko kiti asmenys, reikalauti ištaisyti savo duomenis ir pan. (žmogaus teisė į informacinį privatumą tiesiogiai susijusi su teise į informaciją. );

– fizinis privatumas (kūno neliečiamumas), t.y. nesant žmogaus sutikimo, jo atžvilgiu negali būti atliekami jokie medicininiai ar moksliniai bandymai (pavyzdžiui, privaloma tvarka atliekami narkotikų testai ir pan.);

– komunikacinis privatumas, t.y. asmens susirašinėjimo, pokalbių telefonu, telegrafo pranešimų ir kitokio susižinojimo neliečiamumas;

– teritorinis privatumas, t.y. asmens būsto arba teritorijos neliečiamumas.

Kai kurių autorių nuomone, viena ar kita informacija galėtų būti pripažįstama, kaip informacija, sudaranti asmens privataus gyvenimo paslaptį, jei:

– informacija liečia konkretų asmenį;

– informacija yra konkrečiam asmeniui vertinga (reikšminga). Paprastai ar informacija yra vertinga (reikšminga), sprendžia pats asmuo (informacijos savininkas), kurį liečia tokia informacija;

– informacija yra apibrėžto turinio, kuri gali apimti: informacinį privatumą; kūno neliečiamumą; asmens susirašinėjimo, pokalbių telefonu ir kitokio susižinojimo neliečiamumą; asmens būsto ar teritorijos neliečiamumą;

– tokios informacijos turinį asmuo slepia nuo kitų asmenų.

Nors asmens teisė į privatumą buvo žinoma dar senovės Graikijoje ir Kinijoje, tačiau pirmas mums žinomas asmens teisės į privatumą įgyvendinimo pasireiškimas, ¬¬¬tai 1361m. Anglijos taikos teisėjo sankcionuotas “sekiotojų” ir pasiklausinėtojų areštas. 1765 m. anglų Lordas Camden panaikino įėjimo į privačius namus ir jų apieškos orderį bei nurodė: “Nėra jokios teisės normos, kuri leistų tokius dalykus; tokiu atveju mūsų visuomenės nariai prarastų bet kokį komfortą ir apsaugą”. Tuo pat metu parlamento narys W.Pitt rašė : “savo ¬namuose net ir didžiausias vargšas ar elgeta yra valdovas; net ir visa karaliaus kariauna yra bejėgė prieš jį”.

Pirmą kartą tarptautiniu lygiu ši teisė buvo pripažinta ir įtvirtinta kaip visuotinai pripažinta vertybė tik 1948 m. Visuotinės žmogaus teisių deklaracijos 12 straipsnyje, kuriame yra nustatyta, kad: “Niekas neturi patirti savavališko kišimosi į jo asmeninį ir šeiminį gyvenimą, jo buto neliečiamybę, susirašinėjimo slaptumą, kėsinimosi į jo garbę ir orumą. Kiekvienas žmogus turi teisę į įstatymo apsaugą nuo tokio kišimosi arba tokių pasikėsinimų”. Vėliau asmens teisė į privatumą buvo įtvirtinta ir kituose tarptautiniuose teisės aktuose (Tarptautinio pilietinių ir politinių teisių pakte, Europos žmogaus teisių ir pagrindinių laisvių apsaugos konvencijoje ir kt.). Šiuose pamatiniuose žmogaus teisių šaltiniuose asmens teisė į privatumą, slaptumą įtvirtinta kaip pagrindinė, fundamentali (nors be abejo – ne absoliuti) žmogaus teisė.

Tačiau net ir tais atvejais, kai nacionalinės konstitucijos bei tarptautiniai teisės aktai tiesiogiai garantuoja asmens teisę į privatumą arba, kitais žodžiais tariant, tiesioginę teisę turėti asmenines paslaptis, asmuo negali tikėtis visiško privatumo arba garantijų, kad jo paslaptys bus pilna apimtimi apsaugotos. Asmens teisė į privatumą nėra absoliuti. Tai, kad ši teisė gali būti pažeista, nulemia visuomenės interesai, kuriuos saugodama valstybė įstatymo nustatyta tvarka, protingose ribose gali šią teisę pažeisti.

Toliau šiame darbe bus nagrinėjamos problemos, kylančios dėl informacinio privatumo pažeidimo interneto kontekste. Kai kurie autoriai šiai sričiai priskiria atvejus, kai darbdavys turi teisę bet kada savo nuožiūra tikrinti darbuotojų elektroninius laiškus. Kadangi elektroninių laiškų tikrinimas labiau susijęs su komunikaciniu privatumu, t.y. asmens susirašinėjimo, pokalbių telefonu, telegrafo pranešimų ir kitokio susižinojimo neliečiamumu, ši problema nebus nagrinėjama tolimesnėje studijoje.

ASMENS DUOMENS SĄVOKA

Asmens duomenų apsaugos koncepcijos formavimosi pradžia galima būtų laikyti 1960-ųjų pabaigą. Tuomet Europos Taryba priėmė sprendimą, kuriame buvo pabrėžiamas poreikis ir reikalingumas užtikrinti teisę į asmeninės informacijos apsaugą. 1970 m. buvo priimtas Vokietijos Heseno žemės asmens duomenų apsaugos įstatymas – tai buvo pirmasis bandymas sureguliuoti asmens duomenų apsaugą, kuriuo vėliau pasekė Švedija, JAV, kitos Vakarų Europos valstybės.

Pagrindines asmens duomenų apsaugos gaires 1980 metais nubrėžė Ekonominio bendradarbiavimo ir plėtros organizacija (EBPO), atsižvelgdama į vis spartesnį pasaulio ekonominį ir demokratijos vystymąsi ir siekdama apsaugoti asmens privatumą bei nesudaryti kliūčių laisvam informacijos judėjimui. Šiuo aktu pirmą kartą buvo susisteminti pagrindiniai asmens duomenų tvarkymo principai, padarę didžiulę įtaka viso pasaulio valstybių įstatymų leidybai, nepaisant to, kad EBPO Tarybos rekomendacijos nėra teisiškai privalomos valstybėms narėms.

Daug dėmesio asmens duomenų apsaugai skiria Europos Taryba, kuri dar 1981 m. priėmė Strasbūro konvenciją dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu. Pagal šią Konvenciją asmens duomenys – tai informacija apie nustatytos tapatybės asmenį arba asmenį, kurio tapatybę galima nustatyti.

1995 metais asmens duomenų apsaugos rėžimas buvo įtvirtintas Europos Bendrijų (EB)
Siekiant pašalinti laisvo duomenų perdavimo kliūtis, nepakenkiant duomenų saugumui, buvo priimta Direktyva dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo 95/46/EB (duomenų apsaugos direktyva), harmonizuojanti nacionalinius teisės aktus šioje srityje. Ją įgyvendinus visi Europos Sąjungos piliečiai turi lygiavertę apsaugą ES ribose. Asmens duomenų apsaugos procesas EB buvo pratęstas priimant Direktyvą 97/66/EB dėl asmenų privatumo apsaugos telekomunikacijų sektoriuje, kurią nuo 2003 m. spalio 31 d. pakeis Direktyva 2002/58/EB dėl asmens duomenų tvarkymo ir privatumo apsaugos elektroninių ryšių sektoriuje (direktyva dėl privatumo ir elektroninių ryšių).

Asmens duomenų apsaugos esmė – apsaugoti žmonių teises. Pagrindinis jos tikslas yra užtikrinti, kad asmens duomenys būtų apdorojami taip, kad būtų užtikrinamas žmogaus privatumas ir kitos su tuo susijusios žmogaus teisės.

Asmens informacinio privatumo (asmens duomenų apsaugos) pažeidžiamumą padidino spartus informacijos technologijų diegimas. Naudojant kompiuterius ir duomenų perdavimo tinklus, sudaroma galimybė rinkti ir kaupti milžinišką informacijos kiekį, jį apdoroti ir greitai paskleisti.

Kalbėdami apie asmens duomenų apsaugą interneto kontekste, turime skirti dvi skirtingas, bet kartais sutapatinamas sąvokas: duomenų apsaugą (angl. data protection) ir duomenų saugumą (angl. data security). Duomenų apsauga yra susijusi su asmens duomenimis, t.y. draudimu viešai skelbti, platinti ir kitaip disponuoti fizinio asmens duomenimis be jo sutikimo, o duomenų saugumas yra užtikrinamas koduojant, šifruojant ar kitokiais būdais apsaugant skaitmeninius duomenis. Tiek nacionaliniai, tiek tarptautiniai teisės aktai, priimti asmens duomenų apsaugos tikslais, reglamentuoja ne duomenų saugumą, bet fizinių asmenų duomenų apsaugą.

Pagal Duomenų apsaugos direktyvos 95/46/EB 2 str. asmens duomenys reiškia bet kurią informaciją, susijusią su asmeniu (duomenų subjektu), kurio tapatybė yra nustatyta arba gali būti nustatyta; asmuo, kurio tapatybė gali būti nustatyta yra tas asmuo, kurio tapatybė gali būti nustatyta tiesiogiai ir netiesiogiai, ypač pasinaudojus nurodytu asmens identifikavimo kodu arba vienu ar keliais to asmens fizinei, fiziologinei, protinei, ekonominei, kultūrinei ar socialinei tapatybei būdingais veiksniais.

Tiek pagal 1981 m. Europos Tarybos konvenciją “Dėl asmenų apsaugos, susijusios su automatizuotu asmens duomenų apdorojimu”, tiek pagal EBPO Rekomendaciją “Dėl asmens privatumo apsaugos ir asmens duomenų judėjimo tarp valstybių narių gairių” asmens duomenys apibrėžiami kaip bet kokia informacija, susijusi su identifikuotu ar identifikuotinu asmeniu.

Fizinis asmuo paprastai identifikuojamas pagal tokią informaciją kaip vardas, pavardė, amžius, gimimo data, akių spalva ir t. t. arba pagal jam suteiktą tam tikrą numerį (kodą), pavyzdžiui, asmens kodą, vairuotojo pažymėjimo, socialinio draudimo, kreditinės kortelės numerį. Asmens duomenys tarsi sugrupuojami į dvi kategorijas: identifikatorius ir kitus duomenis. Identifikatoriai tiesiogiai ir vienareikšmiškai nurodo konkretų asmenį. Tipiškiausias identifikatoriaus pavyzdys – asmens kodas, registracijos numeris, leidimo numeris ir pan. Visi duomenys, identifikatoriaus susieti su asmens duomenų subjektu, tampa asmens duomenimis. Jeigu identifikatoriaus nėra, duomenys nebetenka asmens duomenų statuso, nors ir susiję su realiu asmeniu. Vis dėlto, asmeninė informacija gali tapti asmens duomeniu, tai yra tapti pakankama identifikuoti tam tikrą asmenį ne vien tik identifikatoriaus pagalba. Taip gali atsitikti tais atvejais, kai asmeninės informacijos sankaupa, sistema, kurios atskiri elementai yra susiję su konkrečiu asmeniu, tačiau vienareikšmiškai negali patvirtinti jo tapatybės, įgauna naują savybę, kuria negali pasižymėti jos sudedamosios dalys – identifikuoti konkretų asmenį. Šioje vietoje kyla asmeninės informacijos ir asmens duomens santykio problema. Asmeninė informacija savaime nėra ir negali būti asmens duomeniu iki tol, kol ją susiejus su kita asmenine informacija arba identifikatoriumi tampa įmanomas konkretaus asmens identifikavimas. Asmeninės informacijos ir asmens duomens santykio klausimas itin svarbus tuo, kad asmens duomenų apsaugos reikalavimai taikomi ne bet kokiai asmeninei informacijai, o tik tokiai, kurios pagalba galima konkretaus asmens identifikacija.

Asmens duomenys apie rasinę kilmę, politinius, religinius ar kitus įsitikinimus, taip pat duomenys apie teistumą, sveikatą ar intymų gyvenimą pagal 1981 m. Europos Tarybos konvenciją “Dėl asmenų apsaugos, susijusios su automatizuotu asmens duomenų apdorojimu” priskiriami specialioms asmens duomenų apsaugos kategorijoms ir negali būti apdorojami automatizuotai, nebent nacionalinėje teisėje būtų numatyta tinkama jų apsauga. Duomenų apsaugos direktyva 95/46/EB tokio pobūdžio duomenis įvardija kaip ypatingus asmens duomenis ir leidžia jų tvarkymą tik ypatingais atvejais.

ASMENS DUOMENŲ APSAUGOS IR INTERNETO SANTYKIS

Visapusiškai identifikuoti asmens duomenų apsaugos ir interneto santykį nėra lengva. Sunkumai kyla dėl paties interneto unikalios prigimties. Visų pirma, jo populiarumas įvairiose valstybėse yra skirtingas. Natūralu, kad ir visuomenės patirtis naudojantis
interneto tinklu yra skirtinga. Viena iš svarbiausių nepakankamo asmens duomenų apsaugos interneto erdvėje priežasčių, tai menkas žmonių suvokimas apie šias problemas. Kaip rodo užsienio valstybėse atlikti tyrimai , dauguma žmonių labai susirūpinę savo privatumu ir saugumu Internete, tačiau tik nedaugelis žino, kaip jų informacija yra renkama, kaip panaudojama, ir kaip nuo to apsisaugoti.

Besivystančiose šalyse vis sparčiau ir plačiau diegiamos informacinės technologijos bene visose veiklos srityse. Internetas dėl savo unikalios prigimties padeda žmonėms bendrauti nepriklausomai nuo atstumo, laiko, valstybių sienų. Tokiu būdu šioje unikalioje erdvėje panaikinami bet kokie geografiniai suvaržymai asmens duomenų judėjimui. Interneto teikiamų paslaugų dėka gyvenimas elektroninėje erdvėje tampa vis intensyvesnis, naujos bendravimo galimybės vis labiau domina pačius įvairiausius informacijos vartotojus.

Žvelgiant į skirtingus vartotojų poreikius, akivaizdi tampa kita svarbi problema – tai nuolatinis interneto keitimasis. Tos pačios valstybės, kurios dar visai neseniai tik kūrė informacinės visuomenės koncepcijas (ar vis dar tebekuria), gali greitai pasiūlyti naujų informacinių technologijų, o tai, savo ruožtu, gali radikaliai pakeisti daugelio autorių ir įstatymų leidėjų nuomonę apie asmens duomenų apsaugą interneto kontekste.

Ketvirtoji problema – informacinių technologinių sistemų konvergencija, kurios pagalba eliminuojami technologiniai barjerai tarp atskirų technologinių sistemų, internetas tampa vis labiau atviresnis. Minėtoji problema yra glaudžiai susijusi su kitu svarbiu dalyku – kelių asmeninės informacijos perdavimo formų sujungimu, kuris sąlygojo galimybę vieną formatą, kuriame surinkta informacija, keisti kitu. Šie du reiškiniai savo ruožtu dar labiau padidina galimybes itin greitai ir efektyviai rinkti ir platinti asmens duomenis.

Visos anksčiau išvardintos problemos yra tiesiogiai susijusios su asmens duomenų apsaugos interneto kontekste tyrimais. Internetas, kuris iš prigimties yra labai dinamiškas, nepripažįsta valstybių sienų. Svarbu pabrėžti, kad asmens duomenys, kaip ir pats asmuo, yra susiję su konkrečia valstybe. Tuo tarpu nacionalinės teisės normos reguliuojančios šią sritį dažnai yra skirtingos. Šie skirtumai gali sudaryti kliūčių laisvam informacijos judėjimui ir sąlygoti nepatogumus ūkio subjektams ir fiziniams asmenims. Šios priežastys sąlygojo veiksmų būtinumą Europos Sąjungos lygmenyje, kurie pasireiškė Europos Bendrijų direktyvų priėmimu. Be to studijos šia tema atliekamos ir kitose didelėse tarptautinėse organizacijose: Europos Taryboje, EBPO.

ASMENS DUOMENŲ APSAUGOS PROBLEMOS SUSIJUSIOS SU INTERNETO ATSIRADIMU

Pradedant aptarinėti konkrečius interneto įtakos asmens duomenų apsaugai aspektus, reikėtų atkreipti dėmesį į asmens duomenų apsaugą reguliuojančių normų paskirtį. Kas atsitiktų, jei turint galvoje anksčiau aptartą asmens duomenų apsaugos ir interneto santykį nebūtų jokios asmens duomenų apsaugos interneto kontekste. Jei bet kam būtų prieinama bet kuri informacija, daugelis nenorėtų rizikuoti ir naudotis konfidencialumo riziką didinančiomis informacinėmis technologijomis (tarp jų ir interneto teikiamomis paslaugomis). Tam, kad informacinių technologijų vystymasis nesustotų turi egzistuoti pakankamas jų kūrimo skatinimas.

Internetas pakeitė nusistovėjusią pusiausvyrą tarp teisės į informaciją ir teisės į privatumą. Pasikeitė visuomenės požiūris į informaciją – informacijos rinkimas, jos apdorojimas tapo svarbus ir ekonomine, ir moksline prasme.

Valstybės, savivaldos institucijos, įmonės bei pavieniai asmenys, teikdami informacines paslaugas, įgyvendindami elektroninius atsiskaitymus, siųsdami ir gaudami elektroninius laiškus, vykdydami įvairias marketingo akcijas, siūlo užpildyti įvairias anketas, renka, kaupia, apdoroja ir platina informaciją, taip pat ir fizinių bei juridinių asmenų duomenis. Informacija ir duomenys yra renkami pačiais įvairiausiais būdais: anketavimo, apklausų, socialinių tyrimų procedūrų realizavimo metu ir t.t.. Kita asmens duomenų teikimo bei rinkimo procedūra – kai veiksmas vyksta betarpiškai tarp asmens duomenų subjekto ir duomenų rinkėjo – tai pirkimo elektroninėse parduotuvėse procedūros, bilietų ir viešbučių rezervavimas, elektroniniai atsiskaitymai, bankinės paslaugos internetu. Daugumoje atvejų, kuomet duomenų subjektas įvykdo pirkimą arba naudojasi paslauga (pvz., prenumerata), yra privaloma pateikti asmens duomenis pardavėjui arba paslaugos teikėjui, siekiant patvirtinti pirkėjo autentiškumą, suteikti apmokėjimo garantijas, bei fizinį arba elektroninį adresą prekių bei paslaugų pristatymui. Klientas pats elektroniniu būdu pateikia paslaugos teikėjui savo asmens duomenis – kreditinės kortelės numerį, adresą, nurodo darbovietę, pareigas, amžių ir kt.. Tuo pat metu šie asmenys susiduria su kita rizika. Kadangi internetas yra atviras viešas tinklas su gerai žinomais protokolais , orientuotais daugiau į pasidalinimą informacija, o ne į jos konfidencialumo ar saugumo užtikrinimą, yra gana nesudėtinga bet kam, kas turi bent kiek techninių žinių, surasti tam tikrus programinės įrangos instrumentus, leidžiančius perimti ir atskleisti internetu
duomenis. Taipogi yra įmanoma apsimesti kita kompanija, pasitelkti įvairius apgaulės būdus siekiant gauti informacijos, kuri vėliau galėtų būti panaudota kokiems nors nusikalstamais tikslais.

Elektroninio pašto adresas yra svarbus informacijos šaltinis, turintis asmeninius duomenis apie vartotoją. Elektroninio pašto adresus galima rinkti keliais būdais:

– elektroninio pašto adreso savininko programinės įrangos, nuperkamos arba gaunamos nemokamai, gamintojas gali paprašyti užsiregistruoti,

– elektroninio pašto adresas gali būti užklausiamas įvairių svetainių įvairiomis aplinkybėmis (pvz., komercinėse svetainėse atliekant pirkimo užsakymą, registruojantis prieš patenkant į pasikalbėjimų svetainę, t.t.),

– elektroninio pašto adresai gali būti renkami interneto aplinkoje įvairiais kitais būdais.

Visi aukščiau išvardyti asmens duomenų rinkimo būdai pasižymi tuo, kad šių duomenų rinkimo proceso metu išskiriamas asmens valios išreiškimo faktorius (t.y. duomenys perduodami su duomenų subjekto žinia). Tuo tarpu interneto kontekste labai plačiai paplitęs slaptas asmens duomenų rinkimas. Tie patys elektroninio pašto adresai gali būti renkami asmeniui apie tai nieko nežinant:

– yra įmanoma įvesti programinį kodą į kliento programinę įrangą, kuris perduos jo elektroninio pašto adresą programinės įrangos gamintojui apie tai nežinant šios programos vartotojui,

– kai kuriose naršyklėse buvo pastebėtos apsaugos spragos, kurios leidžia svetainei sužinoti lankytojų elektroninio pašto adresus. Tai galima padaryti piktavališkai iš anksto numatytais veiksmais naudojant, pavyzdžiui JavaScript priemones.

Didžiausią pavojų asmeninės informacijos konfidencialumui kelia šios internetinės technologijos:

• TCP/IP protokolas. Internetas yra pasaulinis kompiuterių tinklas, kuriame kompiuteriai tarpusavyje bendrauja TCP/IP protokolo (Transmission Control Protocol/Internet Protocol) pagalba. TCP/IP protokolo atžvilgiu, yra išskiriamos trys savybės, kurios sudaro potencialią galimybę konfidencialumo (asmens duomenų saugumo) pažeidimui:

a) maršrutas, kuriuo keliauja TCP/IP informacijos paketai , yra dinaminis ir vadovaujasi darbo logika. Teoriškai jis gali pasikeisti pakraunant interneto tinklapį arba siunčiant elektroninio pašto žinutę, tačiau praktikoje dažniausiai jis nekinta. Vidutinis interneto paslaugų vartotojas (toliau interneto vartotojas) neturi jokių tinkamų priemonių šiam maršrutui pakeisti, net jei jis žino, kuriuo maršrutu keliauja jo informacija tam tikru laiko momentu.

b) kadangi domeno pavadinimo ir skaitmeninio IP adreso keitimas vyksta per DNS serverį , kurio funkcijos yra užtikrinti šį keitimą, minėtas DNS serveris gauna ir gali atsekti visus interneto serverių pavadinimus, su kuriais bandė kontaktuoti interneto vartotojas.

c) ping komanda, kuria galima naudotis visose operacinėse sistemose, leidžia bet kam, kas yra prisijungęs prie interneto, sužinoti, ar tam tikras kompiuteris yra įjungtas ir prijungtas prie interneto. Tai komanda, kuriai aktyvuoti tereikia surinkti komandą ping ir pasirinkto kompiuterio IP adresą (arba atitinkamą vardą). Kompiuterio, kurio atžvilgiu yra panaudota ping komanda, vartotojas paprastai net nežino, kada ir dėl kokių priežasčių kažkas bandė išsiaiškinti, ar jis buvo prisijungęs tam tikru laiko momentu prie interneto.

• Naršyklės sisteminiai pranešimai (angl. the browser’s chattering). Geriausiai žinoma bendravimo per internetą priemonė yra interneto naršymas, kuri leidžia vartotojams atrasti informaciją, saugomą nutolusiuose kompiuteriuose. Internetas sudarytas iš didelio skaičiaus dokumentų, saugomų skirtinguose kompiuteriuose visame pasaulyje. Naršyklė užklausos metu į interneto svetainę nusiunčia ne tik IP adresą ir norimo pamatyti internetinio puslapio pavadinimą, bet ir kitus duomenis (kalba, kuria kalba (naudojasi) interneto vartotojas, jo naudojamų kompiuterinių programų versijas), kuriais galima charakterizuoti tą puslapį aplankiusį asmenį.

• Nematomos nuorodos į kitus tinklapius (angl. invisible hyperlinks). Jos leidžia naršyti iš vieno kontinento į kitą paprasčiausiai paspaudžiant pelės (ar kito atitinkamo kompiuterinio įrenginio) klavišą. Paprastas interneto vartotojas gali net nepastebėti, kad internetinė svetainė, siųsdama tinklapio vaizdą, įterpia komandą papildomai įkelti tam tikrus vaizdus. Šie vaizdai gali būti paimti iš visai kitos svetainės. Taip sudaroma galimybė pamatyti vartotojo įvestą informaciją, pavyzdžiui paieškos raktažodžius.

• Slapukai (angl. cookies). Slapukai yra maži duomenų paketai, kurie gali būti saugomi bylose, įrašomose į interneto paslaugų vartotojo kompiuterio kietąjį diską (kiekvienam inetrneto vartotojui suteikiant unikalų kodą ), o jų kopijos laikomos svetainėje. Slapukai yra laikomi interneto vartotojo kompiuterio kietajame diske ir juose yra visa informacija apie asmenį, kuri gali būti atsekama interneto svetainės, kurioje ji yra saugoma, arba bet ko, kas turi supratimą apie tos interneto svetainės duomenų formatą. Interneto svetainė turi papildomų galimybių rinkti informaciją, jeigu ji naudoja slapukus. Jie gali būti persiunčiami be kliūčių su IP srautu. Tokie slapukai išplečia svetainių galimybę saugoti ir “įasmeninti” informaciją apie jų lankytojus. Slapukas
gali būti reguliariai nuskaitomas svetainės, siekiant identifikuoti interneto vartotoją ir atpažinti jį, kai jis pakartotinai apsilanko, patikrinti galimus slaptažodžius, įrašyti ir analizuoti veiksmų seką svetainėje seanso metu, ir t.t.. Slapukai gali būti dviejų skirtingų rūšių: jie gali būti nuolatiniai arba ribotos trukmės. Kai kurie slapukai yra naudingi ir neidentifikuojantys (pvz., pageidaujama kalba). Kiti yra identifikuojantys, tačiau gali būti naudojami laikantis konfidencialumo taisyklių. Slapukuose gali būti įvairi informacija: peržiūrėti internetiniai puslapiai, reklamos skelbimai ir t.t. Kai kuriais atvejais jie gali būti naudingi, norint suteikti tam tikrą paslaugą per internetą arba palengvinti interneto vartotojo naršymą. Kai kurios svetainės neleidžia į jas patekti vartotojams, kurie nenori priimti slapukų.

Panaudojant visas šias technologijas, apie interneto vartotojus yra surenkami milžiniški duomenų kiekiai, patiems vartotojams dažnai apie tai nieko nežinant. Šie duomenys, naudojant juos drauge, leidžia išvesti naujus duomenis, tokius, kaip:

– šalis, kurioje gyvena interneto paslaugų vartotojas (kurioje kompiuteris prijungiamas prie interneto);

– interneto domenas (adresas), kuriam priklauso interneto paslaugų vartotojas;

– įmonės, kurioje dirba interneto paslaugų vartotojas, veiklos sritis;

– įmonės, kurioje dirba interneto paslaugų vartotojas, apyvarta;

– interneto paslaugų vartotojo pareigos įmonėje;

– kas yra internetinių paslaugų teikėjas;

– svetainių, kuriose lankosi interneto paslaugų vartotojas, tipologija;

– interneto paslaugų vartotojo naudojamos naršyklės versija;

– interneto paslaugų vartotojo naudojama operacinė sistema ir kita programinė įranga;

– paieškos varikliuose įvesti raktiniai žodžiai ar jų junginiai;

– kalbos preferencijos;

– apsilankymo interneto svetainėje data ir laikas;

– kai kuriais atvejais elektroninio pašto adresas;

– kt..

Svarbu pabrėžti, kad visos anksčiau išvardintos duomenų apdorojimo operacijos yra teisėtos ir, priklausomai nuo aplinkybių, yra neišvengiamos sklandžiam interneto tinklo darbui. Tačiau akivaizdu, kad šioje aplinkoje kyla konfliktas tarp interneto “atviro pobūdžio” ir interneto vartotojų privatumo apsaugos. Net jeigu šios duomenų apdorojimo operacijos ir yra teisėtos, interneto vartotojas turėtų būti informuojamas apie tai bei apie apsaugos priemones.

Vienas iš dažniausiai pasitaikančių internete surinktų asmens duomenų panaudojimo būdų yra reklama. Internetas yra ne vien tik pasaulinė informacijos platforma, bet taipogi ir pasaulinė rinka, kur tarpusavyje konkuruojančios įmonės bando pritraukti potencialius pirkėjus. Jų sėkmė priklauso nuo jų sugebėjimo pasiekti kuo galima daugiau vartotojų ir ypatingai tuos, kuriuos iš tikrųjų domina tam tikras įmonės siūlomas produktas ar paslauga. Norėdamos tai atlikti, jos naudojasi tiksline reklama, kuri remiasi asmens duomenų analize, ir kuri yra skelbiama antraštėse, patalpinamose interneto svetainėse. Šiuo metu turimomis duomenų kaupimo ir duomenų gavybos technologijomis galima apdoroti milžiniškus informacijos kiekius, ne vien tik tam, kad atrinkti asmenis, atitinkančius kokius nors reikalavimus ar kriterijus, bet ir tam, kad atrasti užslėptus ryšius tarp iš pirmo žvilgsnio visiškai tarpusavyje nesusijusių duomenų ir taip išsiaiškinti elgsenos modelius , kurie galėtų būti naudojami priimant komercinius ar administracinius sprendimus tam tikrų asmenų atžvilgiu. Identifikavus asmenį pagal duomenis, gautus jam pateikus informaciją užsiregistruojant interneto svetainėje arba kokių nors kitų priemonių (pvz., slapukų) pagalba, informacija apie jo mėgstamus užsiėmimus, interesus, lankomas vietas internete ar pirkinius naudojama reklaminei komunikacijai (angl. spamming) . Dažniausiai tokių reklaminių komunikacijų metu dideliais kiekiais siunčiami komercinio pobūdžio neprašyti pranešimai elektroniniu paštu, kurie sukelia nemažai nemalonumų interneto paslaugų vartotojams.

Pasinaudodama apie asmenį surinkta informacija interneto svetainė siūlo interneto paslaugų vartotojui pritaikytus produktus (pvz., knygas) arba nuorodas į kitas svetaines, kurios gali sudominti šį vartotoją.

Šiuo metu yra vystoma nauja technologija – mobili elektroninė prekyba, paremta trečios kartos mobiliais telefonais ir kitais rankiniais prietaisais, kurie gali saugiai jungtis prie interneto tinklo. Tokiu būdu per mobilius telefonus galima sekti vartotojo buvimo vietą ir jo judėjimą, kas leistų dar tiksliau apibūdinti vartotoją.

Kai duomenų valdytojai pasinaudoja duomenų gavybos technologijomis, jie turi technines galimybes ne tik apdoroti duomenis, bet ir atrasti naujas sąsajas ir savybes, susijusias su duomenų subjektu, kuris paprastai net nenutuokia apie tokią galimybę ir nesitiki tokio duomenų apdorojimo. Be to kai kurie duomenys yra laikomi labai ilgą laiko tarpą; elektroninio pašto adresų sąrašai dažnai yra saugomi kelis metus ir jais galima pasinaudoti atbulinės paieškos mechanizmų pagalba.

Taigi, sekančioje darbo dalyje bus išsamiai nagrinėjamas interneto poveikis asmens duomenų apsaugai, aptariant jį keliais aspektais. Pirmiausia bus aptariami Pasauliniu ir regioniniu mąstu priimti teisės aktai, reguliuojantys asmens duomenų apsaugą internete. Kitas svarbus aspektas –
tai asmens duomenų subjektų teisės ir asmens duomenų valdytojų pareigos. Taip pat bus aptariami ypatumai susiję su asmens duomenų perdavimu į kitas valstybes.

ASMENS DUOMENŲ TEISINĖS APSAUGOS FUNKCIONAVIMO

UŽTIKRINIMAS, ŠALINANT PAINIAVĄ IR APGAUDINĖJIMUS

ASMENS DUOMENŲ TEISINĖ APSAUGA INTERNETO KONTEKSTE

Asmens duomenų apsaugos problemoms spręsti gali būti naudojami teisės aktai, savireguliacija ir technologijos. Duomenų apsaugos įstatymai yra palyginus nauja teisinio reguliavimo sritis. Pradžioje buvo baiminamasi, kad valstybinės institucijos naudos asmens duomenis neteisingiems tikslams. Vėliau paaiškėjo, kad privatiems asmenims tvarkant asmens duomenis atsirado daugybė spragų, todėl reikėjo imtis atsargumo priemonių. Šiuo metu nusistovėjusi praktika yra tokia, kad asmens duomenų tvarkymas reglamentuojamas labiau akcentuojant duomenų subjektų teises (teisę į privatų gyvenimą, informacinį privatumą), o ne žmogaus teisę į informaciją (teisę ieškoti, gauti, naudotis ir skleisti informaciją).

EBPO veikla užtikrinant asmens duomenų teisinę apsaugą interneto kontekste

Siekiant apsaugoti asmens informacinį privatumą esminius asmens duomenų tvarkymo principus įtvirtino EBPO Rekomendacijoje dėl asmens privatumo apsaugos ir asmens duomenų judėjimo tarp valstybių narių gairių :

Asmens duomenų rinkimo apribojimo principas pabrėžia būtinybę, kad būtų nustatytos asmens duomenų rinkimo ribos, o bet kokie asmens duomenys būtų gaunami teisėtai ir naudojant teisingas priemones, apie tai žinant pačiam asmens duomenų subjektui ir esant jo sutikimui.

Asmens duomenų kokybės principas: asmens duomenys turi atitikti tikslus, kuriems jie yra ar bus naudojami. Be to duomenys turi būti kiek įmanoma tikslūs ir nuolat atnaujinami.

Tikslo nustatymo principas išreiškia būtinybę ne vėliau nei asmens duomenų rinkimo metu nurodyti tikslus, kuriems renkami asmens duomenys. Tolesnis duomenų naudojimas yra apribojamas tais pačiais tikslais arba kitais, kurie nėra nurodyti, bet yra suderinami su anksčiau nurodytais.

Asmens duomenų naudojimo apribojimo principas – asmens duomenys negali būti atskleisti ar tapti prieinami dėl kitų priežasčių, išskyrus tuos atvejus, kai gaunamas asmens duomenų subjekto sutikimas arba kai taip nurodyta įstatyme.

Saugumo užtikrinimo principas: asmens duomenys privalo būti protingomis priemonėmis apsaugoti nuo tokių pavojų kaip asmens duomenų netekimas, praradimas, neteisėtas priėjimas prie asmens duomenų, jų sunaikinimas, panaudojimas, pakeitimas ar atskleidimas.

Atvirumo principas. Turi būti nustatyta bendra atvirumo politika dėl asmens duomenų vystymosi, formavimosi, praktikos ir pan. Priemonės turi būti prieinamos ir tinkamos, siekiant nustatyti asmens duomenų buvimą ir prigimtį, jų naudojimo pagrindinį tikslą, taipogi asmens duomenų valdytojo tapatybę ir jo buvimo vietą.

Individualaus dalyvavimo principas reiškia asmens teisę:

– iš asmens duomenų valdytojo gauti patvirtinimą, ar šis turi duomenų, susijusių su juo;

– kad suprantamu būdu, per protingą laiko tarpą ir už ne per didelį mokestį jam būtų pranešta apie duomenis, kuriuos asmens duomenų valdytojas turi apie jį;

– jei atsisakoma pranešti kokius duomenis apie renka asmens duomenų valdytojas, turi būti nurodomos priežastys ir motyvai, suteikiant teisę ginčyti tokius nesuteikimo pagrindus;

– ginčyti jo manymu neteisingus asmens duomenis, reikalauti jų pataisymo, papildymo, pakeitimo ar panaikinimo.

Atskaitomybės principas: asmens duomenų valdytojas turi atsiskaityti kaip laikosi anksčiau nurodytų principų.

Nors šie principai nėra privalomi, jų pagrindu buvo leidžiami daugelio valstybių įstatymai asmens duomenų apsaugos srityje. Šiuo pavyzdžiu sekė vėlesnių tarptautinių teisės aktų kūrimo procesas. Ir nors daugeliu atvejų šie principai neatspindi šiandienos realijų, jie išlieka tokie pat svarbūs.

EBPO neapsiribojo asmens privatumo apsaugos ir asmens duomenų judėjimo tarp valstybių narių gairių priėmimu 1980 metais ir tęsia savo veiklą, derindama asmens duomenų tvarkymo principus prie šiuolaikinių informacinių technologijų. Šiam darbui pasitelkiamas DSTI ICCP committee , kuris 1997 m. pradėjo EBPO asmens privatumo apsaugos ir asmens duomenų judėjimo tarp valstybių narių gairių įgyvendinimo elektroninėje aplinkoje programą, kur didžiausias dėmesys skiriamas internetui. 1998 m. vykusios EBPO ministrų konferencijos Otavoje metu buvo priimta Deklaracija dėl privatumo apsaugos pasauliniuose tinkluose. 1999 m. ICCP committee paskirta darbo grupė informacijos apsaugai ir privatumui parengė Priemonių ir mechanizmų, skirtų EBPO principų įgyvendinimui globaliuose tinkluose, aprašą, kuriame pabrėžiama, kad duomenų subjektui online aplinkoje turi būti suteikiama galimybė apsispręsti pateikti ar ne savo duomenis, jis turi būti informuojamas kokiomis priemonėmis yra užtikrinamas jo privatumas. Taip pat pabrėžiama būtinybė užtikrinti asmens duomenų apsaugą, esant tarptautiniam asmens duomenų srautų judėjimui.

2003 m. vasario 12 d. ICCP committee pateikė Ataskaitą apie privatumo apsaugos įgyvendinimą online aplinkoje , kurioje aptariamos valstybėse narėse ir tarptautiniu mąstu, siekiant sumažinti ir panaikinti pavojus,
kuriuos privatumui kelia online aplinka, nustatytos taisyklės. Ataskaitoje daromos išvados, kad vis dar būtina tobulinti teisės aktus, reglamentuojančius tarptautinį asmens duomenų srautų judėjimą, be to nemažiau svarbios lieka ir kitos anksčiau minėtos problemos.

Europos Tarybos veikla, siekiant užtikrinti asmens duomenų apsaugą internete

1950 m. priėmus Europos žmogaus teisių ir pagrindinių laisvių konvenciją (EŽTK) ir 8 str. įtvirtinus asmens teisę į privatumą, buvo padėti pagrindai asmens duomenų apsaugai. Tačiau vien tik EŽTK nepakanka tinkamai ir efektyviai apsaugoti asmens duomenis, todėl prireikė kitų instrumentų.

1981 m. Europos Taryba (ET) priėmė Konvenciją dėl asmenų apsaugos, susijusios su automatizuotu asmens duomenų apdorojimu (toliau Konvencija). Pagrindinis Konvencijos tikslas yra ginti žmogaus asmeninį gyvenimą, ypač teisę į privatumą. Konvenciją pasirašė beveik visos keturiasdešimt ET valstybių narių.

Šia Konvencija siekiama užtikrinti, kad, automatizuotai tvarkant asmens duomenis, visų šalių teritorijose butų gerbiamos kiekvieno asmens, nepaisant jo tautybės ir gyvenamosios vietos, teisės ir pagrindinės laisvės. Pabrėžiama būtinybė garantuoti žmogaus teisę į privatų gyvenimą, įvertinant vis didėjančius asmens duomenų srautus, kurie kerta valstybių sienas . Tokiu būdu valstybėms Konvencijos dalyvėms neleidžiama drausti perduoti asmens duomenis į kitos šalies teritoriją, išskyrus atvejus, kai: a) jos įstatymuose yra konkrečios nuostatos dėl tam tikrų asmens duomenų arba automatizuotų asmens duomenų rinkmenų pobūdžio, b) duomenys iš vienos valstybės į kitą valstybę, kuri nėra šios konvencijos dalyvė, perduodami per kitos šalies tarpininką, vengiant šiais perdavimais pažeisti pirmosios valstybės įstatymus.

Konvencija taikoma automatizuotoms asmens duomenų rinkmenoms ir valstybinio bei privataus sektoriaus asmens duomenims automatizuotai tvarkyti. Tiesa, valstybės gali pareikšti, kad konvencijos netaikys tam tikroms automatizuotoms asmens duomenų rinkmenoms.

ET Konvencija išskiria panašius duomenų apsaugos principus kaip ir EBPO Asmens privatumo apsaugos ir asmens duomenų judėjimo tarp valstybių narių gairės. Reikalaujama, kad asmens duomenys būtų:

– gauti ir tvarkomi sąžiningai ir teisėtai;

– saugomi konkrečiam ir teisėtam tikslui ir nenaudojami kitu, šiam tikslui prieštaraujančiu būdu;

– tinkami, svarbūs ir ne pernelyg didelės apimties, kurie atitinka konkrečius tikslus;

– tikslūs, prireikus papildomi nauja informacija;

– laikomi tokio pavidalo, kad duomenų subjektų tapatybes būtų galima nustatyti ne ilgiau, nei tai yra reikalinga tam tikslui, dėl kurių duomenys buvo saugomi.

Užtikrinant asmens duomenų apsaugą, pabrėžiama būtinybė imtis tinkamų apsaugos priemonių, kurios neleistų jų netyčia ar neteisėtai sunaikinti, prarasti, neleistinai palikti juos prieinamus, keisti ar platinti.

Kita labai svarbi konvencijoje išskiriama nauja sritis tai – ypatingų asmens duomenų apsauga. Asmens duomenys apie rasinę kilmę, politines pažiūras ir religinius bei kitus įsitikinimus ir asmens duomenys apie sveikatą bei intymų gyvenimą negali būti tvarkomi automatizuotai, jeigu nacionaliniuose teisės aktuose nėra numatyta atitinkamų apsaugos garantijų. Tokie patys reikalavimai taikomi ir asmens duomenims apie teistumą.

Europos Taryba išskyrė keletą itin svarbių šios Konvencijos taikymo sričių, kuriose išleido eilę rekomendacijų:

– 1985 m. rekomendaciją “Dėl asmens duomenų, naudojamų tiesioginei rinkodarai, apsaugos”;

– 1990 m. rekomendaciją “Dėl asmens duomenų, naudojamų mokėjimo ir kitoms operacijoms, apsaugos”;

– 1999 m. rekomendacija “Dėl asmenų apsaugos atsižvelgiant į asmens duomenų rinkimą ir apdorojimą informacijos greitkeliuose”.

– ir kt..

Visos šios rekomendacijos yra siejamos su asmens duomenų apsauga interneto kontekste, tačiau pati svarbiausia 1999 m. rekomendacija “Dėl asmenų apsaugos atsižvelgiant į asmens duomenų rinkimą ir apdorojimą informacijos greitkeliuose”. Tai bendro pobūdžio dokumentas, kuriuo siekiama:

– gilinti interneto paslaugų vartotojų žinias apie privatumo išsaugojimą interneto aplinkoje;

– garantuoti, kad interneto paslaugų teikėjai užtikrintu asmens duomenų apsaugą interneto kontekste ir prisiimtų atsakomybę už tokių veiksmų neatlikimą.

Asmens duomenų teisinė apsauga interneto kontekste pagal Europos Sąjungos teisę

Europos sąjungos teisėje ilgą laiką nebuvo specialaus dokumento, reglamentuojančio žmogaus teisių apsaugą. Šį trūkumą papildė Europos žmogaus teisių konvencijos nuostatos, po to kai Mastrichto sutartimi nuspręsta traktuoti šias nuostatas kaip bendrus Europos bendrijų teisės principus.

2000 m. Buvo priimta europos sąjungos pagrindinių teisių chartija . Chartijos 8 str. Formuluojamas asmens duomenų apsaugos reikalavimas ir nustatoma, kad kiekvienas turi teisę į savo asmens duomenų apsaugą. Tačiau dar prieš priimant chartiją Europos Bendrijose, siekiant užtikrinti bendros rinkos funkcionavimą buvo priimami teisės aktai tiesiogiai paveikę asmens duomenų apsaugą (taip pat ir asmens duomenų apsaugą interneto kontekste).

Kompiuterinių technologijų pažanga drauge su naujais telekomunikacijų tinklais sudarė galimybes lengviau
asmens duomenis už valstybės sienos ribų. To pasekoje vienos valstybės narės asmens duomenys galėjo būti tvarkomi kitos valstybės narės ribose. Nacionaliniai asmens duomenų apsaugą reglamentavę teisės aktai reikalavo gerų duomenų valdymo įgūdžių iš duomenų valdytojų. Jie įtraukė pareigą tvarkyti duomenis teisingai ir saugiai bei naudoti juos aiškiems ir teisėtiems tikslams. Nacionaliniai teisės aktai taip pat garantavo tam tikras asmenų teises, tame tarpe teisę būti informuotiems apie duomenų tvarkymą ir jo tikslus, teisę naudoti duomenis esant būtinumui, teisę taisyti duomenis ar juos ištrinti.

Nežiūrint to, kad nacionaliniai teisės aktai, reglamentavę duomenų apsaugą, siekė garantuoti tas pačias teises, juose egzistavo tam tikri skirtumai . Šie skirtumai galėjo sudaryti kliūčių laisvam informacijos judėjimui ir sąlygoti papildomus nepatogumus ūkio subjektams ir fiziniams asmenims, riboti bendros rinkos funkcionavimą. Pagrindiniai skirtumai buvo reikalavimas registruotis ar gauti leidimą duomenų tvarkymui iš įgaliotų institucijų kai kuriose valstybėse narėse, taip pat reikalavimai laikytis skirtingų standartų ir galimi duomenų perdavimo į kitas valstybės nares apribojimai. Be to, kai kurios valstybės narės iš viso neturėjo duomenų apsaugą reglamentuojančių teisės aktų. Šios priežastys sąlygojo veiksmų būtinumą, kuris pasireiškė Europos Bendrijų direktyvomis.

Siekiant pašalinti laisvo duomenų perdavimo kliūtis nepakenkiant duomenų saugumui, buvo išleista 95/46/EB Duomenų apsaugos direktyva, harmonizuojanti nacionalinius teisės aktus šioje srityje.

Duomenų apsaugos direktyva taikoma kiekvienai operacijai ar operacijų rinkiniui, atliekamam su asmens duomenimis. Šios operacijos apima duomenų rinkimą, laikymą, atskleidimą ir pan. Direktyva taikoma duomenims, tvarkomiems automatiniu būdu (pvz., kompiuterinė klientų duomenų bazė) ir duomenims, kurie naudojami ar ketinami naudoti kaip dalis neautomatizuotų laikmenų kaupimo sistemų, iš kurių duomenys gali būti gaunami pagal tam tikrą kriterijų (pvz.; tradicinės popierinės bylos, kortelių failai).

Duomenų apsaugos direktyva netaikoma tais atvejais, kai duomenys tvarkomi grynai asmeniniais tikslais ar namų ūkio reikmėms (pvz., asmeninis kompiuterinis dienoraštis ar failai su draugų ar šeimos narių duomenimis). Ji taip pat netaikoma valstybės saugumo, gynybos ir operatyvinės veiklos sritims, kadangi šių sričių reglamentavimas yra ne ES, o valstybių narių prerogatyva. Nacionalinė įstatyminė bazė paprastai užtikrina individų saugumą šiose srityse.

Kitas žingsnis žengtas asmens duomenų apsaugos srityje Direktyvos 97/66/EB, reglamentuojančios privatumo apsaugą telekomunikacijų sektoriuje priėmimas. Direktyva numato, kad valstybės narės privalo užtikrinti telekomunikacijų konfidencialumą nacionalinėmis teisinėmis priemonėmis. Tai reiškia, kad bet koks atitinkamų institucijų nesankcionuotas klausymasis, įrašinėjimas, saugojimas ar kitoks telekomunikacijų priežiūros perėmimas yra neteisėtas.

Pastaruoju metu kilo būtinybė Direktyvą 97/66/EB priderinti prie elektroninių ryšių paslaugų rinkų ir technologijų raidos, kad būtų užtikrintas vienodas asmens duomenų ir privatumo apsaugos lygis visiems elektroninių ryšių paslaugų vartotojams nepaisant to, kokia technologija būtų taikoma.

EB viešųjų ryšių tinkluose imtos diegti naujos skaitmeninės technologijos, kurios kelia specifinius reikalavimus vartotojo asmens duomenų ir privatumo apsaugai. Platiesiems visuomenės sluoksniams tampa techniškai prieinami ir įperkami skaitmeniniai judrieji tinklai. Tokie skaitmeniniai tinklai, tarp jų ir internetas, turi didžiulius išteklius ir galimybes tvarkyti asmens duomenis. Internetas tradicinę rinkos struktūrą pakeičia į bendrą, pasaulinę infrastruktūrą plačios pasiūlos elektroninių ryšių paslaugoms teikti. Lengvai prieinamos interneto paslaugos atveria naujas galimybes vartotojams, bet sukelia naują grėsmę jų asmens duomenų saugumui.

Kilo būtinybė skaitmeniniams tinklams nustatyti specialias teisines nuostatas, kad būtų apsaugotos fizinių asmenų pagrindinės teisės ir laisvės bei juridinių asmenų teisėti interesai dėl didėjančių automatinio duomenų kaupimo ir tvarkymo išteklių, kuriais remiantis tvarkomi vartotojų duomenys. Siekiant anksčiau išvardintų tikslų, o taip pat išvengti kliūčių bendrai elektroninių ryšių rinkai funkcionuoti, nuspręsta Direktyvą 97/66/EB, reglamentuojančią privatumo apsaugą telekomunikacijų sektoriuje pakeisti Direktyva 2002/58/EB dėl asmens duomenų tvarkymo ir privatumo apsaugos elektroninių ryšių sektoriuje (direktyva dėl privatumo ir elektroninių ryšių).

Valstybės narės iki 2003 m. spalio 31 d. turi priimti teisės nuostatas, kurios būtinos, kad būtų laikomasi šios direktyvos. Nuo tos pačios datos atšaukiama Direktyva 97/66/EB dėl privatumo apsaugos telekomunikacijų sektoriuje.

Direktyva dėl privatumo ir elektroninių ryšių suderina valstybių narių teisines nuostatas, užtikrinančias vienodą pagrindinių teisių ir laisvių apsaugos lygį, ir ypač teisę į privatumą, susijusią su asmens duomenų tvarkymu elektroninių ryšių sektoriuje, užtikrinant laisvą tokių duomenų, elektroninių ryšių įrangos ir paslaugų judėjimą Bendrijoje .
Įgyvendinant šiuos tikslus Direktyvos nuostatos papildo Direktyvą 95/46/EB.

Ši Direktyva netaikoma veikoms, kurių neapima Europos Bendrijos steigimo sutarties taikymo sritis: veikoms, susijusioms su visuomenės saugumu, valstybės gynyba, valstybės saugumu (įskaitant valstybės ekonominę gerovę, kai atitinkamos veikos susijusios su valstybės saugumo klausimais) ir valstybės veiksmais baudžiamosios teisės srityje . Be to, joje numatyta vartotojų, kurie yra juridiniai asmenys, teisėtų interesų apsauga.

JAV ir Europos Sąjungos „Saugaus uosto“ principai

Duomenų apsaugos direktyvoje nustatytas reikalavimas, kad asmens duomenų tarptautinis perdavimas į trečiąją valstybę būtų leidžiamas tik tuo atveju, jeigu priimančioje valstybėje, kuri nėra ES narė, yra adekvatus asmens duomenų apsaugos lygis. Siekiant bendro sutarimo dėl adekvatumo sampratos JAV Komercijos departamentas pradėjo derybas su ES Komisija dėl „Saugaus uosto“ principų (Safe Harbour Principles) priėmimo .

Europoje į privatumo apsaugą žvelgiama rimčiau nei JAV. Bendra JAV teisinio reguliavimo situacija asmens duomenų apsaugos srityje yra gan chaotiška. Asmens duomenų apsaugos teisinis reguliavimas vykdomas įvairiais lygiais (valstijų ir federaciniu lygiu), į vienas (medicinos, finansų) sritis atkreipiant daugiau dėmesio, kitas paliekant nuošalyje. Tuo pat metu interneto paslaugų teikėjai teigia, kad interneto aplinkoje nereikalingas valdžios kyšimasis ir aršiai gina savo pozicijas.

JAV kaip ir dauguma valstybių yra priėmusi 1974 m. Privatumo aktą. Pradedant 1973 m. įvairios JAV valstybinės institucijos išskyrė pagrindinius privatumo principus, kuriuos 1979 m. apibendrino ir paskelbė JAV Sveikatos, švietimo ir socialinės gerovės departamentas, pavadindamas “Teisingo asmeninės informacijos tvarkymo principais” (Fair Information Practise Principles):

– pranešimas (angl. notice) – asmens duomenų valdytojai privalo atskleisti jų naudojamą asmens duomenų tvarkymo strategiją, prieš pradėdami rinkti asmeninę informaciją iš vartotojų;

– pasirinkimas (angl. choice) – vartotojams turi būti suteikiama galimybė pasirinkti kaip bus apsaugomas jų privatumas. Galimi du būdai:

opt-in – šis būdas labiausiai apsaugo privatumą, nes asmens duomenys renkami tik subjektui davus aiškų sutikimą;

opt-out – visada galima tvarkyti asmens duomenis , išskyrus atvejus kai asmens duomenų subjektas tam prieštarauja;

– priėjimas (angl. access) – asmens duomenų subjektui turi būti suteikta galimybė susipažinti su apie jį renkamais duomenimis, bei juos pataisyti. Reikalaujamo priėjimo būdas priklauso nuo renkamos informacijos pobūdžio, rinkimo tikslo ir pan. Jautriems ir identifikuojantiems duomenims gali reikėti griežtesnių standartų, nes juos žymiai svarbiau pataisyti, o kartais ir susipažinti su jais;

– saugumas (angl. security) – asmens duomenų valdytojas privalo imtis protingų priemonių, kad iš asmenų surinkta informacija būtų tiksli, nauja, saugi nuo bet kokio neteisėto jos panaudojimo;

– įgyvendinimas (angl. enforcement) – reikalingos tam tikros priemonės aukščiau minėtiems principams įgyvendinti.

Pagrindinis “Saugaus uosto” principų tikslas – skatinti ir vystyti prekybą bei komercinius santykius tarp JAV ir Europos Sąjungos. Įtvirtinti septyni “Saugaus uosto” principai, iš kurių keturi (pranešimas, pasirinkimas, saugumas, priėjimas) perimti iš JAV “Teisingo asmeninės informacijos tvarkymo principų”, o kiti labiau susiję duomenų trečiosioms šalims:

– duomenų valdytojas privalo suteikti duomenų subjektams galimybę pasirinkti, ar jie nori, kad apie juos surinkta informacija būtų perduota ar atskleista trečiosioms šalims;

– duomenų valdytojas turi teisę surinktus asmens duomenis tvarkyti tik tais tikslais, kuriems jie buvo surinkti taip pat privalo užtikrinti, turimi asmens duomenys būtų tikslūs, pakankamai pilni ir nauji;

– turi būti prieinamos teisinės gynybos priemones, esant reikalui turi būti atlyginti nuostoliai; asmens duomenų valdytojai turi būti tikrinami kaip laikosi privatumo apsaugos principų.

Kiekvienas asmens duomenų valdytojas gali prisijungti ir įsipareigoti laikytis “Saugaus uosto” principų.

DUOMENŲ RENKAMŲ INTERNETO APLINKOJE IR ASMENS DUOMENŲ SANTYKIS

Duomenų renkamų interneto aplinkoje ir asmens duomenų santykio problema yra svarbi, siekiant išsiaiškinti ar anksčiau aptarti duomenys , surinkti interneto aplinkoje, gali būti laikomi asmens duomenimis.

Asmens duomens sąvoka šiuo metu yra apibrėžta trijuose tarptautiniuose teisės aktuose: Duomenų apsaugos direktyvoje, Stra