Neatmenamais laikais, kai žmonių buvo mažai ir gyvenimą reguliavo gentinės moralės nuostatos, teisės nebuvo. Nes teisingumas ir dorovė buvo žmonių asmeninės tarpusavio atsakomybės ir bendrystės dalimi, o kaimyno turtą pasisavinęs ar sugadinęs gentainis pasislėpti nuo kaimo rūstybės neturėjo kur.
Teisė, kaip rašytinė ir jėga įgyvendinama elgesio taisyklė, atsirado tuomet, kai žmonių tapo žymiai daugiau, negu įmanoma asmeniškai pažinoti, ir, pažiūrėjus į akis, pareikalauti už vištą atsiskaityti.
Kiekvienam netinkamam elgesiui teisė ėmė kurti po sakinį, ko daryti negalima, ir kas už tai bus. Tokiu būdu teisė iki šiol vejasi gyvenimą ir, eidama iš paskos, saugo, reguliuoja, draudžia.
Kaip suprasti BDAR?
Norint geriau suprasti asmens duomenų apsaugos teisės aktų atsiradimą ir paskirtį, verta prisiminti, ką tuo metu pasaulyje veikė gentainiai ir svetimtaučiai, savo mažesniais ir dideliais žygdarbiais užrūstinę Europos Sąjungos postuose sėdinčius tvarkos saugotojus, surašiusius Bendrąjį Duomenų Apsaugos Reglamentą (angl. GDPR: General Data Protection Regulation (GDPR) (EU) 2016/679) – BDAR.
Baigiantis XX a. atvykome į skaitmeninės revoliucijos erą, kurioje ėmė rastis teisei nematyti dalykai: kompiuteriai, smart-telefonai, sekimo įrenginiai, duomenų rinkimo ir analitiniai įrankiai, pigios duomenų talpos ir masinės rinkmenos, įvairiausi skaitmeniniai produktai. Ir visa tai žmonės ėmė naudoti tam, kad uždirbti.
Naujai atsivėrusioje žaidimų aikštelėje siautėjo tiesiogiai su vartotojų duomenimis dirbančios kompanijos. Ko gero dažniausiai dėl duomenų apsaugos aiškinosi Facebook, kuri 2009 m. pristatė „Like“ mygtuką, o 2012 m. pasiekusi 1 milijardo vartotojų skaičių aktyviai naudojo fantaziją, ką veikti su turimu didžiausiu ir “savanoriškai” suteiktų asmens duomenų debesimi.
Kol žmonės džiaugėsi naujomis technologijomis ir bendravimo galimybėmis, kompanijos rinko visus jų duomenis. Įvairiausiais pelną nešančiais būdais, įskaitant psichologinius eksperimentus, naudoti ne tik vartotojų kontaktiniai duomenys, bet ir informacija apie jų ligas, emocines reakcijas, politines ir kitas pažiūras, mobilaus telefono buvimo vietą, visus „online“ vykstančius pasirinkimus.
Apie 2005 – 2010 metus pirmieji eilinių žmonių milijonai buvo uždirbti internetu parduodant ką tik netingi. Laptopų milijonieriai visais būdais rinko elektroninio pašto adresus tam, kad siųsti jais reklamines žinutes, o vėliau tam, kad šiuos adresų rinkinius parduoti. Reklaminė žinutė „Go from ZERO to $10,000 a month in 28 days and discover financial freedom online!“ tapo geidžiamu gyvenimo būdu. Apie jokį sutikimą dėl duomenų rinkimo ar gaunamų tiesioginio marketingo žinučių atsisakymą nebuvo kalbos.
Kol kompanijos ir naujieji verslininkai duomenis rinko ir kaupė, hakeriai dirbo savo darbą ir šiuos duomenis vogė. Masine problema tapo duomenų nutekėjimo, paviešinimo, melagingos tapatybės pateikimo, kredito kortelių klonavimo, paskyrų pasisavinimo atvejai ir su tuo susiję finansiniai nuostoliai, patikimumo praradimai, virusinių programų sklaida. Tapo žinomi tokie apgaudinėjimo ir manipuliacijų reiškiniai, kaip „spoofing“, „phishing“ ir „social engineering“.
Tokiame kontekste 2010 m. Europos Komisija paskelbė pirmąją konsultaciją, skirtą duomenų apsaugos reglamentavimo reformai, o 2012 m. – pirmąją BDAR versiją, kurią suderino ir patvirtino per keturis metus, ir kuri pilnai įsigaliojo 2018 m.
BDAR griežtumas – stilius ar būtinybė?
BDAR neabejotinai yra vienas ambicingiausių ir išsamiausių XXI a. teisės aktų. Šiuo sudėtingu dokumentu siekta vieningo ir praktiškai įgyvendinamo teisės į asmens duomenų apsaugą reglamentavimo itin plačioje technologijų ir naudojimo atvejų srityje.
Duomenų apsaugos reglamentas ne tik sudėtingas, bet ir išskirtinai griežtas. Duomenų subjektui suteikiamos teisės, sudarančios galimybę įtakoti ir kontroliuoti vykdomą jo asmens duomenų tvarkymą. Sugriežtintos sutikimo dėl duomenų tvarkymo sąlygos. Nustatytos griežtos duomenų perdavimo, saugumo pažeidimų ir atskaitomybės taisyklės. Nors BDAR nurodo, jog jį taikant turi būti atsižvelgta į labai mažų, mažųjų ir vidutinių įmonių padėtį, tačiau taikant reikalavimus realaus skirtumo nėra. O įgyvendinimą užtikrina didelės finansinės sankcijos.
Siekdamas apsaugoti žmogų, BDAR nustato, kad duomenų valdytojai turi nuolat gebėti įrodyti savo atitiktį reglamentui. Tokiu būdu tarytum įvedama kaltės prezumpcija, užfiksuojant egzistuojantį galios tarp eilinio žmogaus ir korporacijos disbalansą, sudėtingomis pareigomis apkraunant net smulkiausius rinkos dalyvius. BDAR nedaro skirtumo tarp didelio masto duomenimis operuojančių korporacijų ir laisvai samdomų specialistų, kaupiančių asmeninių kontaktų sąrašą. Ir tai tik vienas iš jo trūkumų.
BDAR griežtumas nebuvo atsitiktinis, atsirado reaguojant į realius chuliganiškus veiksmus, ir atitiko tuometinį jų mastą. BDAR pasiekė savo tikslą: laukiniai asmens duomenų vakarai nurimo, įvesta kontrolė ir kultūra, edukacija ir pagarba. Tačiau greitai dešimtmetį skaičiuosiantis teisės aktas gali imti atrodyti pasenęs pasaulyje, kuris vystosi žymiai greičiau. Ir jeigu nori išlikti gerbiamas, ko gero turės imtis pokyčių, ypač smulkiojo verslo atžvilgiu.
Ką daryti?
Europos komisarai dar tik pradeda kalbėti apie tai, kad pokyčiai reikalingi (Michael McGrath, ES teisingumo ir vartotojų apsaugos komisaras, 2025 m. kovas). Tačiau realių BDAR švelninimo veiksmų artimiausiu metu tikėtis dar negalime. Tad, kaip gi su BDAR gyventi? Kaip tvarkytis kino gamybos ir kitose verslo srityse, kuriose asmens duomenys nėra prekė ir tikslas, o tik natūrali bendravimo dalis?
Apie tai skaitykite antrojoje straipsnio dalyje, čia: Asmens duomenų paslaptys: Sąžiningumas, Saugumas, Skundas
Parengė Kino teisininkė Daiva Jurkonytė