Nereikėtų pasiduoti visuotinei panikai ir netinkamą asmens duomenų naudojimą įžvelgti visais atvejais, kai jūsų prašoma pateikti informaciją apie save. Pavyzdžiui, poliklinikoje paprašyti nurodyti savo asmens kodą neturėtumėte iškart susirūpinti: tikriausiai remdamasi teisės aktais gydymo įstaiga tvarko visų tokius savo pacientų asmens duomenis, kaip asmens kodas, o šiuo atveju kodas bus naudojamas siekiant suvaldyti pacientų srautus. Jei vis dėlto panašiose situacijose iškyla abejonių, pakanka paprašyti institucijos (šiuo atveju – poliklinikos) pateikti informaciją, kuo remiantis ji prašo jūsų duomenų.

Klausite, kaip suprasti, kad jūsų duomenys naudojami netinkamai? Jei kas nors iš jūsų reikalauja atlygio už tai, kad informacija apie jus nebūtų viešinama ar vėl atgautumėte jos valdymą, tai jau galimas nusikaltimas. Jei jūsų duomenys naudojami plačiau, nei davėte sutikimą, galima kelti neteisėto jų gavimo, panaudojimo klausimus ir neteisingai jūsų duomenis naudojančio pardavėjo, paslaugų teikėjo ar kito duomenų valdytojo prašyti atlyginti jums padarytą žalą.

Su savo asmens duomenimis išties reikia elgtis labai atsakingai ir apgalvotai. Šie duomenys yra tarsi raktas į asmens tapatybę. Jeigu pamesime raktą, prarasime ir tapatybę, todėl savo duomenų saugumui turime teikti ypatingą dėmesį.

Dalinuosi keliais kertiniais patarimais, padėsiančiais atsargiai elgtis su savo duomenimis, juos saugoti ir, esant reikalui, apginti:

1) visada – ypač internete – pateikite tik tokią informaciją, kuri būtina, venkite perteklinių duomenų pateikimo; pavyzdžiui: sudarydami nuomos sutartį veikiausiai privalėsite pateikti ir savo asmens kodą, o norėdami įsigyti prekę elektroninėje parduotuvėje – savo adresą, kad pardavėjas galėtų prekę jums pristatyti, tačiau nė vienu atveju iš jūsų neturėtų būti reikalaujama asmeninių nuotraukų ar kitų duomenų, kurie keltų jums pagrįstų abejonių dėl teisėto intereso jų reikalauti ir juos tvarkyti; taigi reikia suprasti, kad tam tikri duomenys turi būti suteikiami tam, kad būtų įvykdyta sutartis, sandoris ar suteikta paslauga, parduota prekė;

2) įvertinkite įmonės, internetinio puslapio, programėlės ar kito duomenų valdytojo patikimumą: šiais laikais visada galima patikrinti įmonės kreditingumą, perskaityti vartotojų atsiliepimus ir pan.; turėkite galvoje, kad tam tikrais atvejais, tarkime, darbinantis, privalote darbdaviui pateikti asmens duomenis, kad būtų galima sudaryti ir vykdyti darbo sutartį, kad darbdavys galėtų tam tikrus duomenis perduoti SoDrai: tokiose situacijose įstatymas įpareigoja duomenų valdytoją tvarkyti jūsų duomenis, tad abejonių dėl duomenų valdytojo patikimumo kilti neturėtų;

Arūnas Purvainis
3) pateikite asmens duomenis elektroninėje erdvėje, tik tada, kai tai neišvengiamai būtina ir nėra kitos alternatyvos, pavyzdžiui, nėra galimybės apsipirkti elektroninėje parduotuvėje be išankstinės registracijos, nepateikus mokėjimo kortelės duomenų ir t.t.;

4) visada skaitykite asmens duomenų naudojimo sąlygas ir sutikite – tarkime, uždėkite varnelę – tik su tomis sąlygomis, su kuriomis iš tiesų sutinkate: jei pardavėjui ar paslaugos teikėjui duosite sutikimą jūsų duomenis naudoti tik prekės pardavimo, paslaugos teikimo ar sutarties vykdymo tikslais, duomenys nebus naudojami rinkodaros – reklamų siuntimo jums ar jūsų duomenų (vardo, atvaizdo ir kt.) panaudojimo – tikslais; jei vis dėlto neįsigilinę sutiksite su visomis sąlygomis, nenustebkite savo vardą ar net atvaizdą pamatę reklaminiame plakate ar gavę naujienlaiškį;

5) kilus pagrįstoms abejonėms, ar subjektas, kuriam teikiate duomenis, teisėtai jų reikalauja, visuomet galite kreiptis į patį subjektą, kad jis pateiktų informaciją tiek dėl teisinio pagrindo, tiek dėl to, kieno interesais bus naudojami duomenys ir kt.; jei su subjektu nerandate kompromiso ar įžvelgiate nusikalstamą veiką savo duomenų atžvilgiu, kreipkitės į Asmens duomenų apsaugos inspekciją ar kitas institucijas, kurios nedelsiant imsis veiksmų, padėsiančių apsaugoti informaciją apie jus.
Jei prireiktų ginti savo asmens duomenis, būtų pravartu žinoti, į kokias institucijas ir kokiais klausimais galite kreiptis.

Asmens duomenų apsaugos inspekcija (Inspekcija) prižiūri, kad būtų apsaugotos fizinių asmenų pagrindinės teisės ir laisvės tvarkant asmens duomenis bei sudarytos palankesnės sąlygos laisvam asmens duomenų judėjimui Europos Sąjungoje. Inspekcija taip pat nagrinėja prašymus ir skundus Lietuvos Respublikos viešojo administravimo įstatymo nustatyta tvarka. Pavyzdžiui: asmuo pateikė skundą ir nurodė, kad policijoje atliekant eismo įvykio tyrimą jam buvo pateikta filmuota vaizdo stebėjimo kamerų medžiaga, iš kurios jis suprato, kad jo kaimynystėje gyvenantis asmuo stebi jo privačią teritoriją. Inspekcija nusprendė pareikšti stebėjimą vykdančiam asmeniui papeikimą. Toks sprendimas gali būti skundžiamas Administracinių bylų teisenos įstatymo nustatyta tvarka administraciniam teismui, kuris patikrina priimto sprendimo teisėtumą ir pagrįstumą.

Jei asmuo lieka nepatenkintas Inspekcijos sprendimu, gali jį apskųsti administraciniam teismui. Jei žmogus jaučia patyręs žalą, gali kreiptis į bendrosios kompetencijos teismą ir civilinėje byloje prašyti priteisti žalos atlyginimą.

Administraciniai teismai nagrinėja skundus dėl Valstybinės duomenų apsaugos inspekcijos sprendimų ir tai yra taip vadinamosios administracinės bylos. Pavyzdžiui, apygardų administraciniuose teismuose 2020 m. buvo išnagrinėtos 53 administracinės bylos, priskirtinos Asmens duomenų teisinės apsaugos kategorijai.

Inspekcija turi įgaliojimus pradėti administracinių nusižengimų teiseną, atlikti administracinių nusižengimų tyrimą ir surašyti administracinių nusižengimų protokolus. Priimtas nutarimas tokio pobūdžio byloje gali būti skundžiamas jau bendrosios kompetencijos teismui. Pavyzdžiui: Inspekcijos nutarimu asmuo buvo pripažintas kaltu padaręs administracinį nusižengimą, už tai, kad būdamas vienos įmonės direktoriumi neužtikrino, kad įmonė neturėdama išankstinio pareiškėjo sutikimo naudoti telefono numerį tiesioginės rinkodaros tikslais į kito asmens telefono numerį nusiuntė SMS žinutę, reklamuojančią ir siūlančią įsigyti tam tikrų prekių ar paslaugų. Nesutikdamas su minėtu nutarimu, už SMS žinutės siuntimą atsakingas apeliantas pateikė skundą apylinkės teismui, kuriuo prašė Inspekcijos nutarimą panaikinti ir administracinio nusižengimo teiseną jo atžvilgiu nutraukti, nesant administracinio nusižengimo sudėties.

Bendrosios kompetencijos teismai taip pat nagrinėja civilines bylas, kai keliamas civilinės atsakomybės dėl žalos, atsiradusios dėl neteisėto asmens duomenų tvarkymo, klausimas. Taip pat nagrinėja ir baudžiamąsias bylas, kai pagal savo pobūdį asmens duomenų pažeidimas turi nusikalstamos veikos ar kelių tokių veikų sudėties požymių.

Neretai dėl vieno ir to paties įvykio taikoma tiek baudžiamoji, tiek ir civilinė atsakomybė: už tai atsakomybėn būna patraukti ne tik, tarkime, neteisėtai įsilaužę į informacinę sistemą ir iš jos perėmę asmens duomenis asmenys, bet ir tokius duomenis netinkamai sistemoje tvarkę asmenys. Pavyzdžiui: teismas nagrinėjo ir baudžiamąją bylą, kai į sistemą įsilaužę kaltininkai perėmė įmonės klientų duomenis ir vėliau už jų neviešinimą reikalavo išpirkos, ir dėl to paties įvykio nagrinėtoje civilinėje byloje buvo sprendžiamas ginčas dėl asmens duomenų valdytojo atsakomybės už ypatingų asmens duomenų neišsaugojimą.

Nacionalinis kibernetinio saugumo centras – pagrindinė Lietuvos kibernetinio saugumo institucija, atsakinga už vieningą kibernetinių incidentų valdymą, kibernetinio saugumo reikalavimų įgyvendinimo stebėseną ir kontrolę, ypatingos svarbos informacinės infrastruktūros kibernetinį saugumą ir informacinių išteklių akreditaciją.

Klausite, kaip Inspekcija ar teismai sprendžia asmens duomenų naudojimo pažeidimų klausimus? Aiškumo dėlei reikėtų atskirti porą dalykų: tyčines asmens duomenų vagystes, kurių imasi vadinamieji programišiai, siekdami užvaldyti asmens duomenis ir juos panaudoti pasipelnymo tikslais, ir netyčinius paslaugų ar prekių tiekėjų, įmonių, įstaigų, kuriems pateikiate savo duomenis, veiksmus. Abiem atvejais kalbame apie kaltę, kuri yra būtina sąlyga kilti atsakomybei, kitaip tariant, abiem atvejais reikia išsiaiškinti, kas kaltas, ar iš tiesų kaltas, ir nustatyti, kam tenka atsakomybė už netinkamą asmens duomenų naudojimą.

Veikdamas tyčia asmuo supranta, kad jis veikia pavojingai, neteisėtai, žino, į ką kėsinasi, kokio tikslo siekia, ir visa tai atlieka aktyviais veiksmais. Pavyzdžiui: programišius, pasitelkęs kenkėjišką programinę įrangą ir aiškiai suvokdamas tokios įrangos neteisėtumą, pažeidžia tam tikros informacinės sistemos saugumo priemones, prie jos prisijungia, perima iš ten neviešus asmens duomenis tam, kad vėliau grasindamas juos paviešinti pareikalautų iš asmenų, kurių duomenis jis perėmė, išpirkos už tai, kad jie nebūtų atskleisti. Sutikite, tai akivaizdi tyčinė veika ir aišku, kad už ją turi atsakyti blogų ketinimų turėjęs ar juos pasiekęs asmuo.

Netyčia, neatsargiai veikdamas asmuo paprastai nesupranta ir nenumato, kad dėl tokios jo veikos atsiras kokie nors neigiami padariniai, arba, nors ir numato ar galėjo numatyti, tačiau lengvabūdiškai tikisi tokių padarinių išvengti. Tarkime, pardavėjas gauna asmens sutikimą, kad jo duomenys būtų kaupiami ir panaudojami jo mokumui įvertinti, tačiau suvedant į informacinę sistemą, atsakingas darbuotojas suklysta ir neteisingai nurodo, kad žmogus sutinka su platesnėmis jo duomenų panaudojimo galimybėmis, pavyzdžiui, rinkodaros tikslais. Vėliau duomenis teikęs žmogus pastebi, kad jo vardas, pavardė ar net atvaizdas naudojami reklamose be jo sutikimo. Pasiteisinimas – duomenys paviešinti netyčia. Tačiau čia galima įžvelgti kaltę, nes netyčia padaryti veiksmai gali rodyti nesugebėjimą elgtis atitinkamomis sąlygomis taip atsargiai, apdairiai ir rūpestingai, kad žala neatsirastų.

Žinoma, tai tik pavyzdys, kurio nereikėtų suprasti kaip taisyklės, nes kiekvienas atvejis ir jo aplinkybės yra unikalūs ir, jei patenka į teismą ar kitą instituciją, vertinami iš esmės, remiantis įstatymais. Jei įrodomi neteisėti pardavėjo veiksmai, paprastai daroma išvada, kad atsakovas dėl kilusios žalos yra kaltas ir tą žalą asmeniui, kurio asmens duomenis neapdairiai paviešino, turi atlyginti. Atlyginimo dydis priklauso nuo paties žmogaus vertinimo, kokio dydžio žalą jis jaučia patyręs, taip pat nuo neteisėtai atskleistų duomenų pobūdžio, kiek paviešinimas truko, kokio jis buvo masto, ar tokie veiksmai buvo kvalifikuoti kaip nusikaltimas ir pan.

Kiekvienas turime būti ypatingai atidūs patikėdami savo asmens duomenis tvarkyti kitiems. Skubotai spręsdami, kiek plačiai ir kokiam tikslui ar kieno interesais mes suteikiame teisę naudoti savo duomenis, galime vienaip ar kitaip dėl to suklysti, o vėliau dėl padarytos klaidos įvykus asmens duomenų pažeidimui, gali būti sudėtinga greitai ir efektyviai apginti teisėtą interesą.