Technologijoms nesustojant tobulėti, asmens duomenų apsaugos institucijų reikšmė vis labiau auga. Asmens duomenų apsaugos inspekcijos direktorius Raimondas Andrijauskas kalbėdamas su IQ apžvalgininku Gyčiu Kapsevičiumi pasidalijo nuomone apie institucijos veiklą, visuomenės požiūrį į duomenų apsaugą ir didžiausius iššūkius.
– Asmens duomenų apsaugos inspekcijos vadovu dirbate jau trečius metus. Kas per tą laiką nuveikta?
– Darbą pradėjau 2018 m. vasarį. Tai buvo pats pasiruošimo įgyvendinti Bendrąjį duomenų apsaugos reglamentą (BDAR), kuris turėjo įsigalioti nuo gegužės 25 d., pikas. Kilo nemažai iššūkių. Visų pirma, reglamentas įpareigojo valstybes nares priimti nacionalinius teisės aktus, kartu su reglamentu įsigaliojo ir vadinamoji Teisėsaugos direktyva, kurioje irgi numatomas asmens duomenų tvarkymas.
Mes spėjome su tuo susitvarkyti. Seime šiek tiek pavėluotai, liepą, šie įstatymai buvo patvirtinti. Pasikeitusios nuostatos nulėmė ir mūsų vidinę veiklą, nes kai kurios procedūros buvo naujos ir priežiūros institucijoms – pakeista skundų nagrinėjimo tvarka, nauji derinimai tarptautiniu lygiu. Teko parengti elgesio kodus, sudėlioti mechanizmus, perskirstyti žmogiškuosius išteklius, nes daugelyje valstybių narių buvo pastebimas protų nutekėjimas, kai iš priežiūros institucijų asmens duomenų apsaugos specialistus išgraibstė verslai.
Taip pat nereikėtų pamiršti neigiamos pirmiausia verslo reakcijos į pasikeitusias taisykles, nes tai reikalavo papildomų finansinių ir žmogiškųjų išteklių. Mums teko tarsi ramintojų vaidmuo, kai konsultacijomis, rekomendacijomis ir per nuolatinius susitikimus buvo atsakinėjama į verslui rūpimus klausimus, kaip reikėtų organizuoti ir įgyvendinti vieną ar kitą teisę, kylančią duomenų apsaugos srityje.
Tai buvo intensyvus švietimo ir darbo su ūkio subjektais bei asmenimis periodas. Turbūt reikėtų pasidžiaugti rezultatais, nes visuomenėje matome, kad gerokai didesnė dalis asmenų žino apie savo teises duomenų apsaugos srityje ir apie BDAR. Dar 2016 m. šis skaičius nesiekė 50 proc., o dabar esame peržengę 70 proc. ribą. Manome, kad tai yra puikūs rezultatai.
Tai buvo įdomus laikotarpis. Pamatėme, kad verslui tinkamai pasiruošti tų dvejų metų nepakako, ir reikėjo jam pagelbėti, jį konsultuoti. Buvo net neformalus sutarimas, jog neskirsime to laiko baudoms, o padėsime susitvarkyti, teiksime nurodymus ir nustatysime pagrįstą laikotarpį, kad įmonės galėtų prisitaikyti prie pakitusių veiklos standartų.
Viena priemonių, skirtų pakitusios veiklos skaidrumui prieš duomenų valdytojus ir institucijas parodyti, buvo naujai atsiradusi pareiga. Jeigu įmonėje ar organizacijoje buvo pastebėtas duomenų saugumo pažeidimas, susijęs su asmens duomenų atskleidimu, konfidencialumo praradimu, įvairiais incidentais, verslas pats apie tai praneša. Bendrovė išanalizuoja incidentą, padarinius asmenims, nurodo, kokių ėmėsi veiksmų, kad užkirstų kelią pažeidimui ateityje.
Matoma akivaizdi tendencija: 2017 m. tokių pranešimų beveik nebūdavo, o 2018 m. jų užfiksuota apie 100, 2019 m. – 175. Vadinasi, įmonės į tai pasižiūrėjo atsakingai ir suprato, jog priežiūros institucija skirta ne bausti, o padėti. Požiūris į inspekciją pamažu gerėja, o pirminis neigimo efektas išnyko. Dabar jeigu verslas ketina užsiimti nauja veikla, iškart galvojama ir apie asmens duomenų apsaugą.
– BDAR iš pradžių daug sumaišties sukėlė ne tik versle, bet ir institucijose, kur įvyko net ir gana kuriozinių situacijų. Kaip vertinate padėtį po dvejų metų, ar jau apsipratome su naujais reikalavimais?
– Kuriozinės situacijos turbūt buvo nulemtos didelio šoko, nes už reglamento nesilaikymą buvo galima skirti dideles baudas. Specialistų, gebančių pakonsultuoti asmens duomenų apsaugos temomis, nebuvo daug. BDAR nuostatų aiškinimas buvo paremtas arba kiekvieno iš mūsų asmeniniu suvokimu, arba tiesiog kreipiantis į advokatus ar teisinių konsultacijų įmones, kurios taip pat neturėjo bendros pozicijos. Siekdami apsidrausti, žmonės tam tikrais atvejais net persistengė.
Turbūt geriausiai prisimenamas atvejis Vokietijoje dėl Kalėdų eglutės, ant kurios tradiciškai būdavo galima kabinti norus, tačiau tais metais savivaldybė nusprendė to nedaryti dėl BDAR.
Turbūt geriausiai prisimenamas atvejis Vokietijoje dėl Kalėdų eglutės, ant kurios tradiciškai būdavo galima kabinti norus, tačiau tais metais savivaldybė nusprendė to nedaryti dėl BDAR. Žinoma, tos situacijos buvo sprendžiamos, apie jas reikėjo viešai diskutuoti, ir atvirumas įnešė aiškumo. Kai pastebėta, kad duomenų apsaugos reglamentas nėra toks didelis baubas ir reikėtų ne jo bijoti, o pasikonsultuoti su pareigūnais ir institucijomis, panašių situacijų nebeliko.
– Ar per pastaruosius metus pasikeitė inspekcijos gaunamų skundų skaičius ir turinys?
– 2018–2019 m. skundų padvigubėjo. Lietuviai dažniausiai skundžiasi dėl tiesioginės rinkodaros – nepageidaujamų pranešimų elektroniniu paštu arba trumposiomis žinutėmis. Kita problema – vaizdo stebėjimo duomenys, kai nesutariama, ar tikrai teisėta tam tikrose vietose filmuoti.
Žinoma, pasitaiko ir sudėtingesnių atvejų, susijusių su informacinėmis sistemomis. Kartais kai kuriose valstybės informacinėse sistemose tvarkomi arba netikslūs duomenys, arba dėl programavimo klaidų jautrūs duomenys, pavyzdžiui, informacija apie sveikatos būklę, kurie persiunčiami ne tiems adresatams.
Situacijos yra bendros, bet kiekvienas atvejis – individualus, nes vieno atsakymo duomenų tvarkymo srityje nėra. Tai labai priklauso ir nuo duomenų valdytojo, ir nuo paties subjekto. Kai kuriais atvejais didelę reikšmę turi ir teisėtas interesas. Pavyzdžiui, vienais atvejais filmuoti tam tikrą erdvę yra tavo teisėtas interesas, kitu atveju tai bus nepagrįsta. Teisėtas interesas galėtų būti, pavyzdžiui, jei jums pakartotinai išdaužia langą – turbūt būtų pateisinama tą vietą stebėti ir nustatyti pažeidėjus. Kitais atvejais, nesant jokių su saugumu susijusių incidentų, o tiesiog užsimanius stebėti erdvę, tai jau būtų nepateisinama.
– Tobulėjant technologijoms daugiau žiūrime patogumo ir jau esame pripratę įrenginiams atiduoti daug prieigos prie duomenų. Kokių asmens duomenų apsaugos švietimo priemonių šiuo metu reikėtų?
– Per metus parengiame metodinių dokumentų, organizuojame susitikimus su duomenų apsaugos pareigūnais, šviečiame aktualiomis temomis, ruošiame susitikimus su universitetais.
Bet rinkoje nėra daug organizuojamų mokymų asmens duomenų saugos tema, kuriuose iš esmės būtų aptarti rūpimi klausimai. Į tokius mokymus galėtų susirinkti labiau pažengę specialistai ir gauti jiems aktualią informaciją. Bendriniai klausimai yra tikrai pakankamai apkalbėti, informacijos netrūksta, tačiau tų specifinių, nukreiptų į tam tikrą sritį, galėtų būti ir daugiau.
Kalbamės ir su universitetais. Tam tikra dalis informacijos pateikiama šalia kitų dėstomų dalykų, tačiau atskirai duomenų apsaugai nėra skirta studijų programų. Kiek pastebime, būna tik keli moksliniai darbai, dažniausiai magistriniai, rašomi duomenų apsaugos tematika. Manome, kad jų galėtų būti daugiau.
Mūsų tyrimai atskleidžia labai įdomų dalyką. Visuomenės informavimo priemonėmis labiausiai pasiekiami yra 27–45 metų žmonės. Vadinasi, nepasiekiami patys jauniausi ir vyresnio amžiaus asmenys.
Balandį buvome susitikę su Švietimo, mokslo ir sporto ministerijos atstovais. Išreiškėme poreikį, kad mokymosi programose turėtų atsirasti duomenų apsaugos, internetinės higienos pagrindai. Gavome patvirtinimą, kad tai viena sričių, kurioms ministerija pritaria. Dabar rengiame galimas temas, kurias būtų galima įtraukti į mokymosi programą ir pradėti skleisti tą žinutę: kalbėti tiek apie galimas rizikas, tiek apie saugumo reikalavimus ir mokyti, kaip neduoti leidimų prieiti prie tam tikrų asmens duomenų.
– Pastaruoju metu daug kalbų sukėlė pasiūlymai kovojant su COVID-19 virusu sekti gyventojus. Apskritai tikslas galbūt ir geras, tačiau platesniame kontekste kelia daug klausimų. Kokia jūsų pozicija?
– Visų pirma, šios priemonės turėtų būti aiškios ir skaidrios. Reikėtų atsižvelgti į du aspektus. Pirmas, kai asmenims yra privaloma saviizoliuotis, ir valstybė sudaro sąlygas tai daryti arba sukuriama alternatyva asmeniui pačiam pasirinkti, kaip laikytis reikalavimų. Tokiu atveju kaip ir būtų galima tai pateisinti. Vėlgi turėtume akcentuoti tokių priemonių laikinumą – kai tik baigsis epidemija, tai neturėtų būti tęsiama. Kitas dalykas – surinkti duomenys vėliau turėtų būti sunaikinti. Mes apie tai kalbame ir su Vyriausybe, ir su Sveikatos apsaugos ministerija.
Kitas niuansas, kuris plačiai diskutuojamas ir ES, yra papildomi saugikliai. Asmenys galėtų tarpusavyje keistis informacija naudodamiesi technologijomis su valstybės institucijų įsikišimu. Jis padėtų išvengti papildomo išgąsčio. Perspėjimas būtų anoniminis, nerenkant kitų subjektų asmens duomenų. COVID-19 atvejai turi būti patvirtinti – turėjote kontaktą. Tai įmanoma, apie tai kalbama, yra paruoštos gairės.
Neeilinė situacija reikalauja neeilinio požiūrio į ją ir sprendimo būdų. Svarbiausia nepamiršti, kad asmens duomenų apsauga tikrai egzistuoja, ji neužkerta kelio siekti pandemijos suvaldymo tikslų. Tačiau kiekvienu atveju reikėtų išlaikyti pusiausvyrą tarp to, ko mes siekiame, ir pagrindinių žmogaus teisių, neperžengti privatumo ribos ir nebrukti asmenims programėlių arba kitų sprendimų, kai jie to tikrai nenori.
– Kiek ES turi įtakos vietiniams duomenų apsaugos sričių sprendimams?
– Jei kalbėtume apie pandemiją, dabartinė situacija įgalina valstybes patvirtinti tam tikrus mechanizmus, pavyzdžiui, paskelbti nepaprastąją ar ekstremaliąją padėtį. Visa tai susiję su valstybės saugumu, jos gyvensena, ir ES iš esmės į tai nesikiša. Nacionaliniuose kai kurių valstybių teisės aktuose tam tikrais išskirtiniais atvejais galimi žmogaus teisių apribojimai.
ES atkreipia dėmesį tuomet, kai pagal nacionalinę teisę leidžiamos priemonės yra pernelyg ribojančios arba matoma grėsmė, kad bus paneigtos pagrindinės ES veikimo sutartyje įtvirtintos teisės. Galima prisiminti situaciją Vengrijoje, kai buvo nuspręsta apriboti tam tikrų BDAR teisių įgyvendinimą.
Europos Komisija nuolat bendrauja su vietos valdžia, domisi, kokiais būdais, kodėl priimami sprendimai ir panašiai.
– JAV konfliktai dėl „Huawei“, Lietuvos institucijų rekomendacijos dėl „Yandex.Taxi“ ar tas pats BDAR, apribojęs prieigą prie kai kurių ne ES internetinių išteklių, gerai parodo, kad globaliame pasaulyje dėl duomenų saugumo susikerta ne tik verslas ir institucijos, tačiau ir skirtingos ideologijos. Ar galimas dar didesnis regioninis susiskaldymas dėl asmens duomenų apsaugos aspektų?
– BDAR buvo turbūt tas pirmasis žingsnis, kurį reikėjo žengti, tačiau niekas nedrįso. ES pirmoji ėmėsi šios iniciatyvos, juk seniausios žmogaus teisės kilusios iš Europos. Pastebime, kad BDAR pavyzdžiu pradėjo sekti kai kurios JAV valstijos, taip pat Kanada, Australija, Brazilija, Naujoji Zelandija, Japonija. Tai plinta. Galbūt nereikia tikėtis, kad tai plis žaibišku greičiu, bet poveikis jaučiamas.
Dėl „Yandex“ ar „Huawei“ turime kalbėti ne tiek apie bendroves, kiek apie už jų slypinčias valstybes, su kurių vykdoma politika ir interesais jos turbūt glaudžiai susijusios. Šios įmonės pačios kuria technologijas, jų rankose sutelkti nemenki ištekliai, todėl valstybėms galbūt sudėtinga priimti bendrus sprendimus. O ir tiesių teiginių apie problemas nėra, tik pasvarstymai, tam tikri išvestiniai duomenys. Tačiau tuomet, kai veikiama kitos šalies jurisdikcijoje ir su kitos valstybės žinia, išsireikalauti papildomų teisinių priemonių, net ir nustačius pažeidimus, būtų sudėtinga.
Turime kalbėti apie tas rizikas, apie tai, kad galima tuos duomenis surinkti ir panaudoti netinkamai. Geriausia vadovautis aktualiausiomis Krašto apsaugos ministerijos, Nacionalinio kibernetinio saugumo centro rekomendacijomis. Jose aiškiai pasakoma, kurių valstybių arba bendrovių produktai gali būti skirti netinkamiems tikslams. Reikėtų į tai žiūrėti atsakingai, nes tokios informacijos kompetentingos institucijos neplatina be reikalo.
Bet vėlgi, jeigu asmenys patys sutinka perduoti duomenis, o dažniausiai tai vyksta neperskaičius sąlygų, tiesiog paspaudžiant „sutinku“, būna labai sunku pagrįsti pažeidimus, nes faktiškai pats asmuo su tuo sutiko.
– Kokius ateities iššūkius asmens duomenų apsaugos srityje matytumėte artimiausiu metu?
– Skaitmeninimo srityje matome, kad aktualiausias šiuo metu yra dirbtinio intelekto įdiegimas. Čia vėl kyla nacionalinio reguliavimo klausimų, kaip tam tikrus sprendimus reikėtų apibrėžti, kaip reguliuoti jų naudojimą, kokie tai sektoriai galėtų būti. Matome, kad dirbtinis intelektas pradedamas naudoti ne tik versle, bet ir įvairiose institucijose, pavyzdžiui, policijoje, teisėsaugoje, ir natūralu, kad dėl to kyla klausimų.
Dirbtinis intelektas pradedamas naudoti ne tik versle, bet ir įvairiose institucijose, todėl natūralu, kad dėl to kyla naujų teisinių klausimų.
Kita veiklos sritis – įvairūs moksliniai ir socialiniai tyrimai. BDAR leidžia naudoti asmens duomenis moksliniams tyrimams, tačiau šiuo atveju pasigendama detalesnio nacionalinio reguliavimo. Suprantama, kad mokslas ir jo pažanga yra valstybės konkurencingumui aktualus klausimas, tačiau būtina tinkamai reglamentuoti šią veiklą. Galų gale pati valstybė yra didžiulė asmens duomenų valdytoja, kurios ištekliais būtų galima pasinaudoti vykdant mokslinius tyrimus. Prisidėti prie bendro gėrio yra iššūkis, kurį artimiausiu metu reikėtų spręsti, nes atsiliksime, jeigu jį atidėsime.
R. Andrejauskas
- Gimė 1987 m.
- 2009 m. Mykolo Romerio universitete įgijo teisės bakalauro laipsnį, o 2011 m. tapo teisės magistru.
- 2008–2012 m. buvo Neįgalumo ir darbingumo nustatymo tarnybos prie Socialinės apsaugos ir darbo ministerijos Vilniaus 4-ojo teritorinio skyriaus vyriausiasis specialistas.
- Nuo 2012 m. ėjo įvairias pareigas Valstybinės maisto ir veterinarijos tarnybos Teisės skyriuje, nuo 2014 m. – skyriaus vedėjas.
- 2018 m. paskirtas Valstybinės duomenų apsaugos inspekcijos direktoriumi.
