Nuo 2018 m. vidurio įsigaliosiantis Bendrasis Asmens Duomenų Apsaugos Reglamentas (BDAR) įtvirtina sudėtinę asmens duomenų sąvoką: (i) informacija, (ii) susijusi su asmeniu, (iii) kurio tapatybė jau yra nustatyta arba gali būti nustatyta.

Galimas dvejopas tapatybės nustatymas: tiesioginis – pagal identifikatorių (pagal asmens vardą, pavardę, asmens kodą, interneto identifikatorių ir pan.), arba netiesioginis (pagal asmeniui būdingus fizinius, fiziologinius, protinius, kultūrinius, ekonominius, socialinius tapatybės veiksnius).

BDAR preambulės 24 punktas pateikia pavyzdinį identifikatorių sąrašą: IP adresas, slapukų identifikatoriai ir radijo dažninio atpažinimo žymenys, išskyrus jei šie identifikatoriai nesusiję su nustatytu arba nustatytinu fiziniu asmeniu.

1. Ar Fake News (netikros žinios - liet.) yra informacija?

Informacija apima bet kokius duomenis apie asmenį ar galinčius turėti ryšį su juo. Ji neturi būti teisinga, objektyvi ar įrodyta. Vakarų pasaulis gūžčioja pečiais – net ir fake news yra informacija, kuri neretai daro didesnę įtaką nei objektyviai patikrinta informacija.

Internetas netikros ir klaidingos informacijos mastą pakėlė į baisiausias aukštumas - atvėręs duris į informacijos pasaulį kartu pagimdė naujo tipo chimerą, kurios jau net nebegalima vadinti dezinformacija - tai darinys, kurios rengėjai net nesibodi jos pridengti tikrovės priedanga. Tai informacija, kurios atitikimas tikrovei neturi jokios reikšmės, kadangi jos galiojimas itin trumpas, o poveikis itin staigus, bet išliekantis ilgai - jį palaiko vis nauja netikros informacijos banga.

Be to, informacijos atitiktis tikrovei nėra juodos ir baltos perskyra, ypač kai ji susipynusi su nuomonėmis, vertinimais ar subtilesnėmis išraiškos formomis, todėl realybėje internete esančią informaciją ne visuomet įmanoma patikrinti tikrovės matu (jau nekalbant apie tai, kad absoliuti dauguma jos vartotojų net nesivargina to daryti).

Internete svarbu tai, kas turi prieigą prie informacijos, o ne tai, kokioje vietoje ji yra.
Mindaugas Civilka

Informacija internete neturi baigtinės formos, nėra fiksuota turinio, vietos ar laiko požiūriu. Internete skirtingi informacijos elementai egzistuoja skirtingose vietose, juos tvarko skirtingi subjektai, dalis tokių elementų yra paviešintų teisėtai, dalis – į internetą patekusių neteisėtai. Internete svarbu tai, kas turi prieigą prie informacijos, o ne tai, kokioje vietoje ji yra.

Ta pati informacija vienu metu gali būti analizuojama daugybėje vietų, jos fragmentai išsibarstę tinkle.

Visgi, BDAR informacija neretai tebesuprantama kaip užfiksuotas, fizinėje vietoje padėtas empirinis daiktas, kurį galima patikrinti tiesos ar tikrovės matu.

2. Ar momentinė informacija yra informacija?

Ar asmens duomenų režimas taikytinas trumpą laiką atkuriamiems / galiojantiems duomenims (pvz., Snapchat)?

BDAR asmens duomenų apsaugos režimas siejamas su tam tikroje formoje užfiksuotais duomenimis (pvz., asmens teisė susipažinti su apie jį saugomais duomenimis, prašyti ištaisyti duomenis ir pan.), todėl gali nutikti taip, kad Reglamentas nebus taikomas ribotą laiką demonstruojamiems duomenims.

3. Sąsajumas su asmeniu

Informacijos sąsajumo su asmeniu ribos internete išblukę. Internete išimtimi tampa informacija, neturinti ryšio su asmeniu – pvz., sunku sugalvoti socialiniuose tinkluose publikuojamos informacijos pavyzdį, kuri būtų visiškai nesusijusi su jokiu asmeniu.

Reklamos pardavėjams rūpi sąsajumas ne vien su fizine tapatybe, bet ir su jos virtualia atmaina - svarbu, kad reklama atlieptų tiek fizines, tiek ir virtualias vartotojo savybes (pvz., jeigu Jūsų internetinių pirkinių sąrašas nekoreliuoja su virtualiai deklaruojamu gyvenimo būdu, Jums reklamą ir turinį siūlantys algoritmai turėtų atpažinti abi tapatybės puses).

4. Potenciali asmens identifikavimo galimybė

Stanfordo universiteto mokslininko Jonathan Mayer nuomone, kompiuterių moksle iš principo neegzistuoja tokia informacijos kategorija, kuri negalėtų būti laikoma identifikuojančia asmenį. Informacijos sąsajumo su asmeniu pasekmė yra ta, kad bet kuri su asmeniu susijusi informacija gali identifikuoti asmenį priklausomai nuo to, kas, kokiu tikslu ir pasitelkiant kokias priemones tą informaciją vertina[1].

Reklamos pardavėjams rūpi sąsajumas ne vien su fizine tapatybe, bet ir su jos virtualia atmaina.
Mindaugas Civilka

BDAR laikomasi tradicinio (t.y., Direktyvos 95/46/EB) požiūrio - sprendžiant, ar galimas tapatybės nustatymas, reikėtų atsižvelgti į visas priemones, kurias šiam tikslui pagrįstai galėtų naudoti duomenų valdytojas ar kitas asmuo, įvertinus objektyvius veiksnius, pavyzdžiui, sąnaudas ir laiko trukmę, kurių prireiktų tapatybei nustatyti, turint omenyje duomenų tvarkymo metu turimas technologijas bei technologinę plėtrą.

Taigi, potenciali asmens identifikavimo galimybė visuomet yra empirinis laipsnio klausimas, į kurį nėra apriorinio atsakymo. Šis klausimas yra varginantis kaip tik dėl minėto reliatyvumo.

Internete tapatybė patikrinama įvairiai: (a) prisijungimo duomenimis; (b) elektroniniu parašu ir kitomis sertifikatais pagrįstomis priemonėmis; (c) biometriniais duomenimis. Kai kurios e-platformos nustato griežtus reikalavimus naujo vartotojo tapatybės nustatymui (pvz., Airbnb.com), kitoms pakanka galiojančio elektroninio pašto adreso.

4.1. Kvazi-duomenys: tikimybinis vartotojo paveikslas

Visgi, reikia skirti tapatybės patikrinimą tiesiogiai bendraujant su asmeniu (mainais už tai asmuo įgyja tiesioginių naudų – pvz., prieigą prie internetinio produkto), nuo tų atvejų, kai duomenys apie interneto vartotoją renkami latentiškai, netiesiogiai. Tokie duomenys sudaro esminę internete aptinkamos informacijos dalį. Virtualioje aplinkoje vartotojo identifikacija vyksta nenaudojant tikrojo asmenvardžio.

Čia svarbiau yra išskirti asmenį iš asmenų grupės, jį atpažinti kaip tam tikromis savybėmis pasižymintį vartotoją. Šiam tikslui svarbūs kvazi-asmens duomenys: IP adresas, prisijungimo prie įvairių profilių dažnis, perkamų prekių asortimentas, reklamų peržiūros, lankomi tinklapiai, juose praleidžiamas laikas ir t.t.

Sugretinus internete randamą informaciją (pvz., pasisakymai forumuose, nuotraukos, draugų sąrašas socialiniame tinkle, slapyvardis, e-pašto adresas) vartotojui yra nesunku aptikti asmenų tarpusavio ryšius, iš asmenų grupės išskirti konkretų individą.

Viešos (pvz. adreso, automobilio ir jo numerio, užimamų pareigų, pajamų) ir neviešos (pvz. išlaidų, gyvenimo būdo, asmeninių santykių) asmeninės informacijos ryšiai, leidžiantys išskirti asmenį iš asmenų grupės ir traktuoti jį skirtingai, yra reikšmingi asmens tapatybės vientisumui[2].

Duomenimis mintančios įmonės (e-reklamos įmonės) kartais specialiai prašauna pro šalį ir vartotojui pasiūlo ne jam skirtas reklamas.
Mindaugas Civilka

Kai kurios rinkodaros kompanijos (pvz., AdTruth), siekdamos išvengti kaltinimų privatumo pažeidimais, apie savo klientus specialiai renka ir sistemina tik mažiau asmeninę informaciją, tokią kaip ekrano dydis, programinė įranga, kalba, laiko zona, lokacijos duomenys, kurių pagalba galima sudaryti „tikimybinį“ išmaniojo prietaiso naudotojo paveikslą.

Rinkodaros poreikius dažnai tenkina net ir 85 procentų tikslumo duomenys[3]. Duomenimis mintančios įmonės (e-reklamos įmonės) kartais specialiai prašauna pro šalį ir vartotojui pasiūlo ne jam skirtas reklamas.

Be abejo, asmens duomenų taisyklių taikymas kvazi-asmens duomenims nebūtų proporcingas ir protingai realizuojamas (pabandykime įsivaizduoti kvazi-duomenų subjekto prašymą kvazi-valdytojui apie kvazi-duomenų tvarkymą).

Taigi, tik reikšmingas asmens išskyrimas iš grupės turėtų būti laikomas adekvačiu minėto režimo taikymui:

a) 2001 m. lapkričio 6 d. ESTT Lindquist[4] byloje nusprendė, kad „identifikacija galima pagal vardą ar kitus požymius, pavyzdžiui, pagal telefono numerį ar informaciją atspindinčią jų darbą, pomėgius<..>“;

b) 2012 m. spalio 5 d. 29 straipsnio Darbo grupės nuomonėje Nr. 08/2012 nurodoma, kad asmens duomenimis laikytina bet kokia informacija, leidžianti grupėje išskirti asmenį iš kitų asmenų ir traktuoti jį skirtingai;

c) 2014 m. lapkričio 26 d. 29 straipsnio Darbo grupės gairėse dėl Google bylos sprendimo įgyvendinimo pseudonimai bei slapyvardžiai laikomi lygiaverčiais vardui ir pavardei.

5. Tapatybės nustatymo testas: šulinys be dugno

„Tapatybės nustatymo“ testas skamba panašiai kaip „asmens dokumentų patikrinimas“ – tai gajus popierinės eros reliktas, kuris sunkiai užleidžia vietą „vartotojo atpažįstamumo“, „išskyrimo“ realijoms.

Svarbiausia tai, kad BDAR nėra detalizuojamas nei „tapatybės“, nei „tapatybės nustatymo“ turinys, todėl tapatybės nustatymo momentas, kriterijai ir taisyklės ES valstybėse skiriasi. Neretai norint tikrumo dėl informacijos pripažinimo asmens duomeniu, belieka sulaukti teismų išaiškinimų (pvz., 2016 m. spalio 19 d. ESTT[5] nusprendė, kad dinaminis IP adresas, kurį elektroninių paslaugų teikėjas išsaugo asmeniui apsilankius šio teikėjo interneto puslapyje, šio paslaugų teikėjo atžvilgiu yra asmens duomenys, jeigu jis turi teisėtų priemonių asmens tapatybei nustatyti, remdamasis papildoma informacija, kurios turi šio asmens interneto prieigos teikėjas).

Ar tai reiškia, kad reikės laukti teismų išvadų dėl WIFI potinklio pavadinimo, išmaniojo įrenginio pavadinimo (matomo kitiems įrenginiams per bluetooth), prisijungimo vardo, slapukuose esančios informacijos prilyginimo asmens duomenims?

Džiugu bent tai, kad Lietuvos teismų praktika krypsta dinamiškesnės asmens duomenų sąvokos link. 2012 m. liepos 26 d. nutartyje Lietuvos vyriausiasis administracinis teismas pažymėjo, kad automobilio valstybinis numeris, automobilio modelis, pagaminimo metai yra laikytini asmens duomenimis, nes netiesiogiai gali būti siejami su konkrečiu asmeniu – automobilio savininku[6].

6. Reglamento rengėjai pristigo drąsos?

Pagal pirminį Europos Komisijos pasiūlymą asmens duomenys buvo apibrėžti kaip bet kokia informacija susijusi su duomenų subjektu. Toks apibrėžimas, neapribojantis sąsajumo požymio, būtų tapęs ambicingu postūmiu asmens duomenų sampratos raidai.

Savaime suprantama, griežtų asmens duomenų taisyklių taikymo išplėtimas kvazi-duomenims savaime nėra joks gėris. Bet pasvajokime - pripažinus egzistuojant tokią beveik-asmeninės informacijos grupę, atsirastų galimybė jai nustatyti ir taikyti lengvus reikalavimus, o griežti reikalavimai būtų taikomi tik asmens duomenims stricto sensu. Gal toks kelių greičių reguliavimas dinamiškiau atlieptų e-tendencijas?

Džiugu bent tai, kad Lietuvos teismų praktika krypsta dinamiškesnės asmens duomenų sąvokos link.
Mindaugas Civilka
Vis dėlto, priimtame BDAR sugrįžtama prie asmens duomenų apibrėžties ištakų. Tiesa, BDAR atsiranda tokios sąvokos kaip pseudoniminiai duomenys, profiliavimas, kuris siejamas su galimybe tvarkyti pseudoniminius asmens duomenis siekiant analizuoti tik kai kuriuos asmens tapatybei būdingus bruožus ir nuspėti asmens pasiekimus darbe, jo ekonominę situaciją, buvimo vietą, pomėgius, patikimumą ir elgesį.

BDAR rengėjai ne tik pristigo postūmio tolimesnei sampratos raidai. Jie praleido gerą progą „tapatybės nustatymo“ testą pakeisti arba bent jau papildyti „vartotojo atpažįstamumo“ pratimu.

7. Išvados verslui:

- inventorizuokite renkamus duomenis ir jų rūšis pagal duomenų subjektus, naudojimo tikslą, gavimo šaltinius bei gavėjus; jeigu kyla abejonių, ar renkami duomenys yra asmens duomenys (pvz., vidutinis krepšelio dydis, lojalumo kortelės numeris), tvarkykite juos kaip asmens duomenis;

- apibendrintus duomenis anonimizuokite;

- kvazi-duomenis / naršymo duomenis (internetinio srauto duomenis) saugokite atskirai nuo asmens duomenų (pvz., prisijungimo duomenys); kvazi-duomenis tvarkykite taip, lyg jie bet kurią akimirką galėtų tapti asmens duomenimis.


Šaltiniai:

[1] FLORIDI L. Information a very short introduction, Oxford University Press, March 26, 2010. p. 1.

[2] KIŠKIS M. Viešų asmens duomenų apsauga, Mindaugo Kiškio tinklaraštis, 2014 m. rugpjūčio 13 d. http://kiskis.eu/post/94633314095/viesu-asmens-duomenu-apsauga.

[3] Financial Times, Privacy Concerns Colour Success of the Smartphone, 2015 March 2, p. 2.

[4] ESTT 2003 m. lapkričio 6 d. sprendimas byloje Nr. C-101/01 (Lindquist), 24 paragrafas.

[5] ESTT 2016 m. spalio 19 d. sprendimas byloje Nr. C‑582/14 (Patrick Breyer prieš Vokietijos Federacinę Respubliką).

[6] Lietuvos vyriausiojo administracinio teismo 2012 m. liepos 26 d. nutartis administracinėje byloje Nr. A-858-2133-12.

Šaltinis
Temos
Griežtai draudžiama DELFI paskelbtą informaciją panaudoti kitose interneto svetainėse, žiniasklaidos priemonėse ar kitur arba platinti mūsų medžiagą kuriuo nors pavidalu be sutikimo, o jei sutikimas gautas, būtina nurodyti DELFI kaip šaltinį.
www.DELFI.lt
Prisijungti prie diskusijos Rodyti diskusiją (9)