Nors nuo liepos 1 dienos įsigaliojanti Asmens duomenų teisinės apsaugos įstatymo (ADTAĮ) pataisa žada suteikti taip verslo lauktų pokyčių, vis dėlto, kai kurių pakeitimų laukia ne visos įmonės. Kokie yra svarbiausi ir kam naujasis teisinis reglamentavimas turės didžiausią įtaką? Kaip šiame kontekste „CityBee“ bylos baigtis pakeis įmonių požiūrį? Teisininkai teigia, jog nuo šiol verslui reikės įvertinti keletą naujų rizikų.
Pirmiausia, atsiranda pareiga asmens duomenų apsaugą prižiūrinčioms institucijoms. Valstybinė duomenų apsaugos inspekcija (VDAI) ir Žurnalistų etikos inspektoriaus tarnyba (ŽEIT) įpareigojami savo internetinėse svetainėse skelbti visus sprendimus, priimtus atlikus tyrimą ir (arba) patikrinimą, ir (arba) išnagrinėjus skundą dėl duomenų apsaugos pažeidimo. Tuomet, kai VDAI ar ŽEIT nustatys Bendrojo duomenų apsaugos reglamento (BDAR) nesilaikymo atvejus, bus viešai paskelbiamas ir pažeidimą padariusios įmonės pavadinimas. Institucijoms atlikus tyrimą ir nenustačius pažeidimų, sprendimai bei susijusių įmonių pavadinimai skelbiami nebus.
Bus sunkiau suvaldyti grėsmę verslo reputacijai
„Dėl šio pasikeitimo sunerimti turėtų tos įmonėms, kurių atžvilgiu vykdomi tyrimai. Iki šiol VDAI turėjo laisvę pasirinkti, kurie sprendimai bus viešinami, todėl viešumoje pasirodydavo tik labai reikšmingi duomenų apsaugos pažeidimų atvejai. Norėdami valdyti reputacijos rizikas, tiriamų įmonių atstovai, teikdami reikiamą informaciją, susijusią su tiriamais pažeidimais, dažnai reikalaudavo institucijų laikytis konfidencialumo, motyvuodami tokį prašymą argumentu, jog paviešinimas, kad jų įmonė nesilaiko BDAR reikalavimų, gali neigiamai paveikti verslą“, – aiškina „Ellex Valiunas“ ekspertas Ignas Sidaras. Pasak jo, būtent todėl net ir VDAI nustačius BDAR neatitikimus, paskelbiamuose sprendimuose įmonių pavadinimai dažniausiai nefigūruodavo.
„Iš įstatymo pakeitimo ateinantis įpareigojimas skelbti tiek sprendimus, bylojančius apie įvykdytą nusižengimą, tiek nusižengusių įmonių pavadinimus leis geriau suprasti besikeičiančią VDAI poziciją bei paskatins įmones daugiau investuoti į BDAR atitiktį vardan verslo reputacijos. Atitikties siekiančios įmonės taip pat galės lengviau pritaikyti savo procesus bei privalomus dokumentus vadovaudamosi paviešintais sprendimais”, – teigia I. Sidaras.
Gali padaugėti skundų ir grupės ieškinių
Subjektų, galinčių pateikti skundą VDAI, ratą nuo liepos 1 dienos papildo ne pelno siekiančios įstaigos, organizacijos ar asociacijos (NVO). Jos pateikti skundą, pavyzdžiui, dėl vaizdo stebėjimo teisėtumo ar duomenų subjektų teisių įgyvendinimo, galės nepriklausomai nuo duomenų subjekto įgaliojimų. Tiesa, svarbu atkreipti dėmesį, jog tokia teisė bus suteikiama ne visoms NVO, bet tik toms, kurios savo veikloje, tarp kita ko, orientuojasi ir į asmenų teisių bei laisvių užtikrinimą duomenų apsaugos kontekste.
Įstatymo pakeitimas, leidžiantis NVO aktyviai dalyvauti skundų teikimo procese, pasak I. Sidaro, atveria vartus į efektyvesnę asmenų privatumo apsaugą ir kartais greitesnę reakciją į duomenų subjektų teisių pažeidimus, nes reikalavimo gauti asmens įgaliojimą atstovavimui VDAI skundo teikimo procese nebelieka.
„Viena geriausiai ES žinomų tokių NVO yra „Noyb“, kuri orientuoja savo veiklą į kovą prieš privatumo ir duomenų apsaugos pažeidimus. Ši organizacija jau ne kartą yra pateikusi skundus kitose valstybėse narėse, kuriose galimybė skundus teikti NVO jau egzistavo seniau. ADTAĮ pakeitimas greičiausiai padidins tikimybę, kad ši organizacija apie Lietuvoje įsikūrusių įmonių (galimus) nusižengimus pateiks ir VDAI. Lietuvoje taip pat yra aktyviai veikiančių vartotojus atstovaujančių NVO. Viena iš tokių organizacijų jau dabar teisme atstovauja asmenims, kuriuos paveikė „CityBee“ duomenų nutekinimo atvejis“, – pavyzdžiais dalinasi teisės ekspertas.
Pasak, I. Sidaro tarp Lietuvos žmonių nėra itin populiaru teikti skundus valstybės institucijoms ar teismams. Tačiau po šio pakeitimo galima numatyti, kad bendras skundų skaičius padidės būtent dėl NVO suteiktos laisvės veikti asmenų vardu be įgaliojimo.
Ekspertas taip pat prognozuoja, kad tiek prievolė viešinti visus VDAI sprendimus, tiek atsiradusi galimybė NVO teikti skundus be duomenų subjektų įgaliojimų gali padidinti grupės ieškinių tikimybę Lietuvoje. „Vis dėlto, daugumos kitų ES šalių teismai taiko gana griežtą žalos įrodinėjimo naštą, todėl realią žalą vis dar turi įrodyti duomenų subjektai. Be to, jei NVO atstovautų nukentėjusių duomenų subjektų grupei teisme ir reikalautų atlyginti žalą, jos vis tiek turėtų gauti visų nukentėjusių duomenų subjektų, kuriems nori atstovauti, įgaliojimus“, – pažymi ekspertas.
Visgi, tokia praktika gali keistis. I. Sidaras pažymi, kad praėjusią savaitę apeliacinis teismas tenkino NVO atstovaujamų asmenų ieškinį dėl po „CityBee“ duomenų nutekėjimo patirto žalos atlyginimo. Priešingai nei pirmos instancijos teismas, apeliacijoje nebuvo numatyta pareiga įrodyti kiekvieno paveikto asmens patirtą žalą ir tenkintas prašymas priteisti kiekvienam ieškinio dalyviui po 300 Eur neturtinės žalos. Ekspertas pažymi, kad šis sprendimas dar gali būti skundžiamas kasaciniam teismui, tačiau jau dabar numatoma, kad grupės ieškiniai gali tapti realia rizika, kurią turės įsivertinti verslas.
Darbdaviai galės tvarkyti darbuotojų teistumo duomenis, bet yra sąlygų
Dar viena sritis, kurią palietė pokyčiai – tai duomenų apie darbuotojų ir kandidatų į darbo vietas teistumą tvarkymas. Nuo liepos 1 d. darbdaviai galės tvarkyti darbuotojų ir pretendentų teistumo duomenis, kai toks tvarkymas yra būtinas darbdavio teisėtiems interesams pasiekti, išskyrus atvejus, kai darbuotojų interesai yra svarbesni už darbdavio interesus. Pavyzdžiui, kai kurių tarptautinių įmonių Lietuvos filialų darbuotojų neteistumas turi būti patikrintas pagal užsienyje įsisteigusios valdančiosios įmonės reikalavimus. Praktikoje, pasak I. Sidaro, tai dažniausiai yra už piniginių operacijų atlikimą ar valdymą atsakingi asmenys.
Vis dėlto, darbdaviai šia teistumo duomenų tvarkymo galimybe galės pasinaudoti tik tokiu atveju, jei laikysis BDAR reikalavimų ir šių ADTAĮ įtvirtintų duomenų subjektų teisių ir laisvių apsaugos priemonių: a) pirmiausia turės būti įvertinami teisėti interesai ir pateikta vertinimo ataskaita; b) pareigybės, kurioms reikalingas teistumo patikrinimas, bus viešai paskelbtos įmonės interneto svetainėje; c) šiuos duomenis įmonei pateiks pats potencialus darbuotojas.
„Anksčiau Lietuva buvo viena iš nedaugelio ES valstybių narių, kuri leido tvarkyti darbuotojų teistumą tik tuo atveju, jei tai buvo būtina teisinei prievolei įvykdyti – patikrinti, ar asmuo atitinka įstatymuose ir įgyvendinamuosiuose teisės aktuose nustatytus reikalavimus. Tokie apribojimai kartais apsunkindavo tarptautinių bendrovių, kurios viduje reikalavo, kad darbuotojai būtų „nepriekaištingos reputacijos“, įdarbinimo procesą Lietuvos finansinių ar IT paslaugų įmonių filialuose. Dabar tokia našta bus iš dalies palengvinta, aišku, jei įmonės prieš tai pirmiausia atliks minėtas procedūras“, – sako „Ellex Valiunas“ ekspertas I. Sidaras.
Apžvelgus artėjančius pokyčius, teisininko nuomone, tampa akivaizdu, kad atsakingos BDAR atitikties užtikrinimas vėl taps svarbiausiu prioritetu įmonių veikloje. Naujosios reguliavimo nuostatos aiškiai rodo, jog įmonėms teks skirti daugiau dėmesio ir resursų siekiant užtikrinti, kad jų duomenų apsaugos praktikos atitiktų griežtesnius reikalavimus.
