BDAR ir CCPA

2018 m. gegužę įsigaliojęs BDAR laikomas vienu iš pažangiausių ES teisės aktų, kuris daro ir darys poveikį visoms teisės taikymo sritims. Tai antrinis asmens duomenų apsaugos teisės šaltinis, pakeitęs iki tol pagrindiniu ES duomenų apsaugos teisės šaltiniu laikytą ES duomenų apsaugos direktyvą. BDAR, kaip ir visi kiti ES reglamentai, yra tiesioginio taikymo aktas, todėl jo nereikia perkelti į ES valstybių narių nacionalinę teisę.

Kad būtų teisėtas, duomenų tvarkymas visoje ES turi atitikti visus BDAR nustatytus reikalavimus. Šie reikalavimai išsamiai aprašyti pačiame BDAR ir galioja tiek privačiam, tiek viešajam sektoriui.

Primintina, kad asmens duomenimis laikoma bet kokia informacija, kuri tiesiogiai ar netiesiogiai gali padėti identifikuoti asmenį (Goddard, 2017, p. 703). Asmens duomenys apima informaciją apie asmens buvimo vietą, etninę kilmę, lytį, biometrinius duomenis, religinius įsitikinimus ar interneto slapukus. Pseudonimų duomenys taip pat gali būti įtraukti į asmens duomenų kontekstą, jeigu jais naudojantis galima lengvai atskleisti asmens tapatybę.

BDAR buvo sukurtas ir priimtas kaip ES dokumentas, tačiau taikomas viso pasaulio organizacijoms ir institucijoms, jeigu tik jos sąveikauja su ES piliečiais ir renka apie juos duomenis (Wolford, 2019). Taigi, nepriklausomai nuo vietos, kur jų duomenys tvarkomi, visi ES gyventojai yra saugomi europinio BDAR.

 

Baudos

Pažeidus BDAR, numatomos tikrai didelės baudos. Jos yra dviejų tipų. Pirmojo tipo bauda gali siekti maždaug 20 mln. eurų, arba 4 % institucijos metinių pasaulinių pajamų. Antrojo tipo baudos yra finansinės kompensacijos tiems žmonėms, kurių duomenys nebuvo tinkamai apsaugoti (Wolford, 2019).

7 pagrindiniai duomenų tvarkymo ir apsaugos principai:

  1. Skaidrumas – teisėtumas – sąžiningumas.
  2. Tikslų apribojimas: duomenys turėtų būti naudojami tik tiems tikslams, apie kuriuos subjektas buvo informuotas.
  3. Duomenų kiekio mažinimas: turėtų būti renkami tik tie duomenys, kurie yra būtini tikslui pasiekti.
  4. Tikslumas: duomenys turi būti tikslūs ir atnaujinti.
  5. Saugojimo apribojimai: duomenis galima saugoti tik tol, kol to reikia tikslui pasiekti.
  6. Vientisumas ir konfidencialumas: duomenys turi būti tvarkomi taip, kad būtų užtikrinta jų apsauga ir konfidencialumas.
  7. Atskaitomybė: duomenis tvarkantis asmuo turi įrodyti, kad laikosi visų pirmiau minėtų BDAR principų.

Sutikimas

Tam, kad būtų galima tinkamai ir teisėtai tvarkyti asmens duomenis, privaloma gauti pačių asmenų sutikimą. Ką reiškia tas sutikimas?

  1. Sutikimas turi būti duotas laisva valia, konkretus ir nedviprasmiškas;
  2. Prašymas duoti sutikimą turi būti aiškus, aiškiai pastebimas ir pateiktas paprastais žodžiais;
  3. Duomenų subjektai turi teisę atsiimti sutikimą kada tik panorėję;
  4. Kalbant apie vaikus iki 13 metų, privaloma gauti tėvų leidimą;
  5. Būtina saugoti sutikimą įrodančius dokumentus.

Privatumo teisės

Asmuo, sutinkantis atskleisti savo asmens duomenis, turi teisę į privatumą. Šios teisės išvardytos toliau:

  1. Teisė būti informuotam;
  2. Teisė susipažinti;
  3. Teisė pataisyti;
  4. Teisė ištrinti;
  5. Teisė apriboti duomenų tvarkymą;
  6. Teisė perkelti duomenis;
  7. Teisė nesutikti;
  8. Teisės, susijusios su automatizuotu sprendimų priėmimu ir profiliavimu.

 

Pavyzdys, kaip prašoma prieigos prie asmens duomenų internete.

 

2020 m. sausio 1 d. įsigaliojo dar vienas svarbus asmens duomenų apsaugos teisės aktas – Kalifornijos vartotojų privatumo apsaugos įstatymas (angl. California Consumer Privacy Act, CCPA). Tai Jungtinių Valstijų Kalifornijos valstijos įstatymas, vartotojams suteikiantis įvairių privatumo teisių (Cooman, 2020 m.).

Pagal CCPA, asmens duomenimis laikoma bet kokia informacija, kurią naudojant asmuo gali būti identifikuotas: pvz., vardas, pavardė, adresas, el. pašto adresas, paso numeris, socialinio draudimo numeris ir kt., taip pat komercinė informacija (pvz., įsigyti produktai), veikla elektroniniame tinkle, garso įrašai arba vaizdo duomenys arba išvados, kurias galima padaryti, remiantis bet kuria pirmiau minėta informacija, ir taip sukurti asmeninį vartotojo profilį, atspindintį jo preferencijas.

Panašiai kaip ir BDAR, naujasis Kalifornijos CCPA įstatymas įtvirtina asmenų teises gauti iš technologijų įmonių informaciją, kokių duomenų jos yra sukaupusios apie konkretų vartotoją, ir reikalauti, kad įmonės ištrintų visus turimus asmeninius vartotojo duomenis.

Vienas iš kertinių CCPA aspektų yra susijęs su vartotojų asmeninių duomenų pardavimu: CCPA numato, kad vartotojai ne tik turi teisę reikalauti, kad bendrovės atskleistų, kokie duomenys apie konkretų vartotoją yra renkami pardavimo ir verslo tikslais, bet ir tai, jog vartotojai gali reikalauti, kad jų asmeniniai duomenys ne(be)būtų parduodami.

CCPA tikslai:

  1. Asmens duomenys priklauso konkrečiam asmeniui;
  2. Asmuo turi teisę kontroliuoti savo asmens duomenis;
  3. Asmuo turi teisę į savo asmens duomenų apsaugą;
  4. Asmuo turi teisę iš stambių įmonių reikalauti atsakomybės.

 

Pagrindiniai CCPA elementai  

 

Pagrindiniai BDAR ir CCPA skirtumai

Nors BDAR ir CCPA kalba apie tą patį, jie vienas kito nepakeičia. Pagrindiniai abiejų teisės aktų skirtumai yra jų galiojimo teritorija ir taikymo  ypatumai, skirtingos nuobaudos pažeidimo atveju, duomenų rinkimo pobūdis ir apribojimai. Be to, BDAR reikalauja teisėto pagrindo visam asmens duomenų tvarkymui.