Įžvalgos
Lietuva
Tinklaraštis
Advokatų kontora, kuri rūpinasi savo klientais

Asmens kodo, kaip duomens, teisėtas tvarkymas pagal LR ADTAĮ ir Bendrąjį duomenų apsaugos reglamentą. Ar kas nors keičiasi?

LR asmens duomenų apsaugos įstatyme (LR ADTAĮ) iš esmės galime rasti dvi asmens duomenų kategorijas: neypatingi asmens duomenys ir ypatingi (LR 2 str. 1 d., 8 d.).

Neypatingi asmens duomenys yra tokie duomenys, kaip asmens vardas, pavardė, lytis,  interneto protokolo (IP) adresas, telefono numeris, el. pašto adresas ir panašiai. Tuo tarpu ypatingi duomenys yra duomenys, susiję su asmens sveikata, politiniais, filosofiniais ir kitais įsitikinimais, teistumu ir t.t.

Ypatingų asmens duomenų tvarkymui yra keliami griežtesni teisiniai reikalavimai. Atkreipkite dėmesį, kad asmens duomenų tvarkymas reiškia bet kokį su asmens duomenimis atliekamą veiksmą ar veiksmų rinkinį – rinkimą, užrašymą, kaupimą, saugojimą, klasifikavimą, paskelbimą, paiešką ir kt. (LR ADTAĮ 2 str. 4 d.).

Taigi tvarkant ypatingus asmens duomenis reikalaujama iš duomenų valdytojo įdiegti griežtesnes organizacines ir technines saugumo priemones. Taip pat jeigu tokie duomenys tvarkomi, Valstybinė duomenų apsaugos inspekcija (VDAI) privalo atlikti išankstinę patikrą, išskyrus tam tikras išimtis, numatytas įstatyme (LR ADTAI 33 str.), ir kita.

Daugelis klaidingai mano, kad asmens kodas yra ypatingas  asmens duomuo. Toks įspūdis gali būti susidaręs dėl to, kad dar nuo vaikystės esate tėvų “įskiepyti” saugoti asmens kodą. Pastarojo, skirtingai nei  kokio kito duomens, pavyzdžiui, vardo, Jums nereikia atskleisti bet kokios socialinės interakcijos metu ar norint paprasčiausiai apsipirkti elektroninėje parduotuvėje. Taip pat visi žinome, kad asmens kodo, kokį turiu aš, neturi niekas kitas, nes Jūsų asmens kodas, vadovaujantis LR Gyventojų registro įstatymu (LR GRĮ), yra unikali ir nekeičiama skaitmenų seka (LR GRĮ 2 str. 3 d., 8 str.). Taigi kiekvieno asmens kodas yra unikalus konkretaus asmens identifikatorius. Vadinasi, ypatingas.

Bet, nepaisant jo unikalumo ir to, kad asmens kodą naudojate retai ir iš esmės tie atvejai yra daugiau išimtiniai, asmens kodas yra “paprastas”, t. y. neypatingas duomuo. Tačiau net ir šiuo atveju jam yra taikomi griežtesni reikalavimai nei kitų neypatingų duomenų, tokių kaip vardo, lyties ir pan. tvarkymui.

Šiuo įrašu paanalizuokime, kaip šiuo metu yra reglamentuojamas asmens kodo, kaip duomens, tvarkymas ir kaip asmens kodo tvarkymas pasikeis, jei visgi pasikeis po Bendrojo Duomenų Apsaugos Reglamento (GDPR) įsigaliojimo 2018 m. gegužės  25 d. Lietuvoje.

Asmens kodo duomenų tvarkymui LR ADTAĮ yra skirtas visas 7 straipsnis. Jau vien tai, kad šio duomens tvarkymo reglamentavimas išskirtas iš kitų neypatingų duomenų, rodo, kad tai nėra tokio paties “lygio” duomuo kaip lytis, vardas ar, pavyzdžiui, pavardė.

LR GRĮ 8 str. 2 d. apibrėžta, kas sudaro tą unikalią skaitmenų seką – pirmasis skaitmuo atitinka lytį ir gimimo šimtmetį, antrasis ir trečiasis – gimimo metų du paskutinius skaitmenis, ketvirtasis ir penktasis – gimimo mėnesį ir kt. Taigi, asmens kodas ne tik pats savaime yra duomuo, bet taip pat talpina dalį kitų asmens duomenų, priklausančių konkretaus asmens kodo turėtojui. Jeigu žinodami asmens vardą ir neturėdami kitų to asmens duomenų, su kuriais galėtume susieti vardą, tik jį ir žinosime, tai turėdami patį asmens kodą vienareikšmiškai apie tą asmenį jau per sužinosime daugiau (lytį, gimimo metus, mėnesį ir kt.) bei turėsime galimybę, įvedę į vieną ar kitą informacinę sistemą šį duomenį, sužinoti dar daugiau – asmens tapatybę, jo finansinius įsipareigojimus, jo sveikatos būklę ir pan., priklausomai nuo to, kokiu tikslu asmens kodas yra tvarkomas. Taigi, asmens kodas yra susietas su kitais ypatingais ar neypatingais duomenimis.

Bendra asmens kodo tvarkymo taisyklė yra ta, kad asmens kodą galima tvarkyti tik gavus to asmens sutikimą (LR ADTAĮ 7 str. 2 d.). Kas yra
„sutikimas” apibrėžiama LR ADTAĮ  2 str. 12 d. – tai savanoriškas duomenų subjekto valios pareiškimas tvarkyti jo asmens duomenis jam žinomu tikslu. Kadangi asmens kodas nėra ypatingas asmens duomuo, nebūtina gauti duomenų subjekto rašytinį ar rašytinei formai prilygintą sutikimą – duomenų subjekto sutikimas būtų teisėtas ir tada, kai būtų išreikštas žodžiu.

To paties straipsnio 3 dalyje yra nurodytos išimtys iš bendros taisyklės, t. y. kada nebūtina gauti duomenų subjekto sutikimo tvarkyti asmens kodą. Šioje dalyje yra įtvirtinta, kad sutikimo nereikia:

  1. jeigu tokia teisė yra nustatyta LR ADTAĮ ir kituose įstatymuose;
  2. mokslinių, statistinių tyrimų atlikimo tikslai;
  3. valstybės, žinybiniuose registruose, informacinėse sistemose;
  4. paskolų teikimo, skolų išieškojimo, draudimo, lizingo įmonės, sveikatos apsaugos, socialinio draudimo, socialinę paramą teikiančių institucijų, švietimo įstaigų veikloje;
  5. tvarkant įslaptintus duomenis.

LR ADTAĮ 7 str. 4 ir 5 d. įtvirtintos imperatyvios nuostatos, pagal kurias, net ir gavus duomenų subjekto sutikimą, draudžiama tvarkyti asmens identifikacinį kodą tiesioginės rinkodaros tikslu (LR ADTAĮ 2 str. 13 str.) bei draudžiama asmens kodą skelbti viešai.

Iš esmės toks asmens kodo teisėto tvarkymo reglamentavimas yra nustatytas LR ADTAĮ. Ką apie asmens kodo tvarkymą sako GDPR’as (Reglamentas)?

GDPR šioje vietoje lakoniškas. Reglamento 87 straipsnis yra skirtas nacionalinio asmens identifikavimo numerio tvarkymui reglamentuoti. Jame nurodyta, kad “Valstybės narės gali tiksliau apibrėžti konkrečias sąlygas, kuriomis tvarkomas nacionalinis asmens identifikavimo numeris ar bet kuris kitas bendro taikymo identifikatorius. Tuo atveju nacionalinis asmens identifikavimo numeris ar bet kuris kitas bendro taikymo identifikatorius naudojamas tik jei laikomasi tinkamų duomenų subjekto teisių ir laisvių apsaugos priemonių pagal šį reglamentą.“

Kaip žinia, LR Teisingumo ministerija šių metų birželio mėnesį parengė LR Asmens duomenų teisinės apsaugos įstatymo pakeitimo įstatymo projektą.

Projekto  3 straipsnis yra skirtas asmens kodo tvarkymo ypatumams.  Jame iš esmės kaip ir dabar galiojančiame LR ADTAĮ išlieka kelios nuostatos, susijusios su draudimu tvarkyti asmens kodą tiesioginės rinkodaros tikslais bei draudimu asmens kodą skelbti viešai.

Tuo tarpu Projekto 3 str. 1 d. yra nurodyta, kad asmens kodas gali būti tvarkomas, jeigu yra nors vienas iš asmens duomenų tvarkymo pagrindų, nurodytų Reglamento 6 straipsnio 1 dalyje.

Ką tai reiškia? Tai reiškia, kad patvirtintus tokį Projektą, prasiplėstų teisinių pagrindų sąrašas, kuriuo remiantis duomenų valdytojas galės tvarkyti asmens kodą. Minėta, kad pagal dabar galiojantį LR ADTAĮ 7 str. 2 d., asmens kodą galima tvarkyti tik su duomenų subjekto sutikimu, išskyrus tam tikrus išimtinius atvejus.

Tuo tarpu, priėmus dabartinį Projektą, asmens kodą tvarkyti būtų galima, jeigu:

  1. duomenų subjektas davė sutikimą, kad jo asmens duomenys būtų tvarkomi vienu ar keliais konkrečiais tikslais;
  2. tvarkyti duomenis būtina siekiant įvykdyti sutartį, kurios šalis yra duomenų subjektas, arba siekiant imtis veiksmų duomenų subjekto prašymu prieš sudarant sutartį;
  3. tvarkyti duomenis būtina, kad būtų įvykdyta duomenų valdytojui taikoma teisinė prievolė;
  4. tvarkyti duomenis būtina siekiant apsaugoti gyvybinius duomenų subjekto ar kito fizinio asmens interesus;
  5. tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas;
  6. tvarkyti duomenis būtina siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų, išskyrus atvejus, kai tokie duomenų subjekto interesai arba pagrindinės teisės ir laisvės, dėl kurių būtina užtikrinti asmens duomenų apsaugą, yra už juos viršesni, ypač kai duomenų subjektas yra vaikas (GDPR 6 str. 1 d.)

Taip pat svarbu, kad, jeigu būtų priimtas dabartinis LR ADTAĮ pakeitimo įstatymas, asmens kodas negalėtų “būti naudojamas kaip vienintelis paieškos kriterijus atliekant kitų asmens duomenų paiešką“. (Projekto 3 str. 4 d.).  Šiuo metu tokio reikalavimo įstatyminiame lygmeny nėra nustatyta.

Paprastais žodžiais tariant, duomenų valdytojas ar (ir) tvarkytojas, jų darbuotojai ir pan. negalėtų duomenų bazėse, informacinėse sistemose ar kt. į paieškos lauką įvesti tik asmens identifikacinį numerį, siekdami surasti kitus to asmens duomenis. Tai reiškia, kad turėtų privalomai paieškos laukuose būtų įvedami dar ir kiti to asmens duomenys, pavyzdžiui, vardas, pavardė ar kita.

Projekto aiškinamajame rašte lakoniškai užsimenama, kad toks reikalavimas turi būti vertinamas kaip papildoma saugumo priemonė, kuria siekiama užtikrinti, kad asmens duomenys nebūtų atskleisti asmenims, neturintiems teisės tvarkyti šių duomenų (pvz., per klaidą suvedus ne tą identifikacinį numerį, piktnaudžiaujant prieigos teisėmis ir pan.).

Objektyviai vertinant, klaidos tikimybė iš tikrųjų turėtų sumažėtų, jeigu paieškos lauke būtų įvestas ne vienas, o keli tam asmeniui priklausantys duomenys. Kuo daugiau duomenų suvesta (pavyzdžiui, asmens kodas, vardas ir pavardė), tuo tikslesni paieškos rezultatai ir tuo mažesnė rizika apsirikti bei prieiti prie kito asmens duomenų. Duomenų subjektams tokio reikalavimo įtvirtinimas, tikėtina, suteiktų didesnes saugumo garantijas. Tačiau, ar toks reikalavimas yra proporcingas duomenų valdytojams ir (ar) tvarkytojams?

Iš tikrųjų pastaroji teisinė nuostata sukėlė didelį privačių ir viešų įmonių, įstaigų, institucijų nepasitenkinimą. Kodėl? Pagrindinė priežastis yra ta, kad reikėtų keisti savo turimas ir jau naudojamas informacines sistemas, paieškos sistemas, kas reikalautų didelių kaštų ir laiko sąnaudų, tam tikrais atvejais ir kūrybingumo, ieškant optimaliausio sprendimo varianto bei galimybių faktiškai užtikrinti tokį reikalavimą. Vėlgi, Lietuvoje nustatant griežtesnius teisinius reikalavimus nei kitose ES šalyse, verslas nenoriai kurtųsi ir plėtotų savo veiklą Lietuvoje. Tokiu reikalavimu, kuris būtų taikomas visiems duomenų valdytojas (ir tvarkytojams) be išimties, būtų neproporcingai didinama našta  vidutinėms ar (ir) mažoms įmonėms.

Visgi, reikėtų prisiminti GDPR 25 straipsnį, kuriame įtvirtintas visai naujas teisinis reikalavimas duomenų valdytojui – pritaikytosios duomenų apsaugos užtikrinimas (angl. – privacy by design).

Šiame straipsnyje nurodyta, kad “Atsižvelgdamas į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas bei duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat į duomenų tvarkymo keliamus įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas, tiek nustatydamas duomenų tvarkymo priemones, tiek paties duomenų tvarkymo metu, įgyvendina tinkamas technines ir organizacines priemones <…>“.

Taigi, pagal šį straipsnį duomenų valdytojai, įsivertinę savo veiklos pobūdį, tikslus tvarkomus duomenis ir kt. privalo a priori įsidiegti tokias technines ir organizacines priemones, informacines sistemas, kurios užtikrintų atitikimą Reglamento reikalavimas bei būtų tinkamos ir pritaikytos duomenų valdytojo konkrečioms duomenų tvarkymo operacijoms.

Tiesą sakant, svarstytina, ar toks reguliavimas, visais atvejais uždraudžiantis naudoti asmens kodą kaip vienintelį paieškos kriterijų yra proporcingas visų įmonių, įstaigų ar institucijų atžvilgiu ir ar dera su kitomis teisėmis ir laisvėmis, pavyzdžiui, su pagrindine teise užsiimti verslu. Galima rasti nemažai argumentų, kodėl toks reguliavimas yra nenaudingas ir neprotingas. Kita vertus, tokio reikalavimo įtvirtinimas įstatyme duomenų subjektams suteiktų didesnes saugumo garantijas, o verslui – reguliavimo aiškumą ir didesnę atitiktį asmens duomenų tvarkymą reguliuojantiems teisės aktams.