Asmens duomenų teisinės apsaugos klausimai interneto kontekste

TURINYS

ĮŽANGA…………………………………………………………………………….…..31. BENDRIEJI ASMENS DUOMENŲ APSAUGOS IR INTERNETO KLAUSIMAI…………………………………………………………71.1. PRIVATUMO SAMPRATA………………………………………………………71.2. ASMENS DUOMENS SĄVOKA ………………………………………………111.3. ASMENS DUOMENŲ APSAUGOS IR INTERNETO SANTYKIS….………..141.4. ASMENS DUOMENŲ APSAUGOS PROBLEMOS SUSIJUSIOS SU INTERNETO ATSIRADIMU……………………………………………….162. ASMENS DUOMENŲ TEISINĖS APSAUGOS FUNKCIONAVIMO UŽTIKRINIMAS, ŠALINANT PAINIAVĄ IR APGAUDINĖJIMUS…………….23 2.1. ASMENS DUOMENŲ TEISINĖ APSAUGA INTERNETO KONTEKSTE….23 2.1.1. EBPO veikla užtikrinant asmens duomenų teisinę apsaugą interneto kontekste …..……………………………………………………23 2.1.2. Europos Tarybos veikla, siekiant užtikrinti asmens duomenų apsaugą interneto kontekste …………………………………………………………………………..25 2.1.3. Asmens duomenų teisinė apsauga interneto kontekste pagal Europos Sąjungos teisę ……………………………………………………27 2.1.4. JAV ir Europos Sąjungos „Saugaus uosto“ principai…………………………….30 2.2. DUOMENŲ RENKAMŲ INTERNETO APLINKOJE IR ASMENS DUOMENŲ SANTYKIS………………………………………………………………………….32 2.3. ASMENS DUOMENŲ SUBJEKTO TEISĖS………………………………….35 2.4. ASMENS DUOMENŲ VALDYTOJŲ PAREIGOS……………………………40 2.5. ASMENS DUOMENŲ PERDAVIMAS Į TREČIĄSIAS VALSTYBES………43 2.6. SAVIREGULIACIJA INTERNETE…………………………………………………………..463. IŠVADOS……………………………………………………………………………474. RESUME……………………………………………………………………………………………………..505. LITERATŪROS SĄRAŠAS ………………………………………………………52

ASMENS DUOMENŲ TEISINĖS APSAUGOS KLAUSIMAI INTERNETO KONTEKSTE

Kiekvienas asmuo turi teisę į asmeninio ir šeimos gyvenimo, namų ir korespondencijos privatumą.– Europos žmogaus teisių ir pagrindinių laisvių konvencija

ĮŽANGA

Paskutinės kelios praeito šimtmečio dekados pasaulį sudrebino informacijos ir su ja susijusių procesų banga, kuri iššaukė informacinės visuomenės formavimąsi. Toks globalus reiškinys, kuomet beveik visos pasaulio valstybės vysto savo visuomenės transformavimo į naujo tipo visuomenę politiką, gali būti vadinamas pasauliniu informacinės visuomenės kūrimu . XX – XXI amžiuje informacijai yra skiriamas ypatingas dėmesys, gal todėl šis laikotarpis dar yra vadinamas “informacijos arba informacinių technologijų amžiumi” . Šį procesą lemia naujos technologijos ir jų sukeltos globalinės inovacijos, kurios tiesiogiai įtakoja tiek individų, tiek pačios visuomenės ir galiausiai pačios valstybės ateities perspektyvas. Jau liko praeityje laikai, kada kompiuterizavimas buvo suprantamas kaip asmeninio kompiuterio įsigijimas. Įmonėse, įstaigose, valstybinėse institucijose sparčiai kyla naujų uždavinių bei auga vartotojų poreikiai. Juos sąlygoja informacijos gausa bei noras ją racionaliai tvarkyti. Pamažu visi pradedame įsisąmoninti, kad “informacinė visuomenė” ne filosofų prasimanymas. Šiuolaikinė visuomenė tampa nebeįsivaizduojama be modernių informacijos apdorojimo, kaupimo ir perdavimo priemonių.Informacija, kaip idealus socialinis fenomenas , pilietinės visuomenės kūrimo metu tampa viena iš svarbiausių visuomenės vertybių, nes, būtent informacija daro žmogaus elgesį prasmingą ir tikslingą. Pradėjus versti informaciją į skaitmeninius duomenis, kuriuos vis paprasčiau gali apdoroti kompiuteriai, informacijos sąvoka tapo ne tik technikos mokslų dalyku bet ir pagrindu milžiniškam įvairių valstybių ekonomikos vystymuisi. Pagrindinė šio darbo prielaida – tai interneto kaip grėsmės šaltinio asmens duomenų apsaugai teisinė studija. Internetą įvairių valstybių mokslininkai apibrėžia kaip daugybę elektroninio ryšio pagalba sujungtų kompiuterių, kurie gali keistis tarpusavyje duomenimis. Kiekvienas kompiuteris net ir laikinai prisijungęs prie šio tinklo tampa interneto dalimi. Tokioje sistemoje sukuriamos unikalios sąlygos ne tik keistis informacija, bet ir pačiais įvairiausiais būdais ją rinkti. Informacija, susijusi su asmens privačiu gyvenimu, naujosios ekonomikos kontekste tampa preke, turinčia didelę komercinę vertę. Suvokiant tokios asmeninės informacijos vertę, nenuostabu, kodėl dauguma komercinių subjektų linkę nepaisyti reikalavimo gerbti žmogaus teisės į privatumą. Kartu su minėtais pokyčiais Pasaulio valstybės įvairiais lygiais bando suderinti galiojančius įstatymus su technikos pasiekimais. Dėmesys į naujas teisines problemas, susijusias su asmens duomenų apsauga, šioje srityje buvo atkreiptas gana seniai. Daugybė skirtingų asmens duomenų apsaugos problemų, susijusių su interneto globalumu dar tik pradedamos spręsti. Jos sukelia daug nepageidaujamos painiavos rinkoje, be to mažina vartotojų pasitikėjimą interneto paslaugų teikėjais. Pagrindinis šio darbo tikslas-išanalizuoti teisinius asmens duomenų teisinės apsaugos aspektus interneto kontekste ir padėti pagrindus tolesniems šios srities tyrimams Lietuvoje. Tokia užduotis nėra lengva jau vien todėl, kad lietuvių kalba apie internetą galima rasti tik bendro pobūdžio literatūros, kuri tik maža dalimi nagrinėja teisinio pobūdžio klausimus. Šio darbo autorei pavyko rasti tik keletą Lietuvoje publikuotų straipsnių ir publikacijų bent kiek susijusių su asmens duomenų teisine apsauga interneto kontekste. Kitos Pasaulio valstybės taip pat negali pasigirti tokio pobūdžio literatūros gausa, todėl didžiausias informacijos šaltinis šiame darbe nagrinėjama tema buvo pats internetas. Daugybė straipsnių, konferencijų, diskusijų medžiagos, ir net knygų pateiktų įvairių valstybių internetinėse svetainėse yra šios studijos pagrindas. Taip pat šio darbo autorė stengėsi remtis žinomų mokslininkų darbais, norminiais aktais, įvairių tarptautinių organizacijų tinklapiuose skelbiama informacija. Akivaizdu, kad interneto specifika savaip pakreipė šio diplominio darbo rašymą. Spartus interneto tinklo plėtimasis paskatino autorius, rašiusius apie internetą, keisti savo ankstesnį požiūrį į daugelį su internetu susijusių klausimų. Dėl šios priežasties, renkant medžiagą šiam darbui visos publikacijos pasirodę iki 2000 metų savo turiniu ne visada gali būti teisingos, o moksliniai darbai, parašyti iki 1995 metų turėjo būti vertinami labai atsargiai .Kai kuriose vietose šis darbas gali atrodyti per daug techninio pobūdžio, bet tai yra neišvengiama dėl interneto specifikos. Techninė terminologija neišvengiamai turės būti naudojama ne tik pavyzdžiuose ar situacijų aprašymuose, bet ir analizuojant teisės normas. Didžiausia problema kyla verčiant su informacinėmis technologijomis susijusius specialiuosius terminus. Iki šiol sunormintų vertimų į lietuvių kalbą nėra. Rašant diplominį darbą naudotasi sisteminės analizės, dokumentų analizės, istorinių duomenų analizės, loginiu, lyginamuoju ir statistiniu metodais.Diplominio darbo uždaviniai yra:1) visapusiškai ir išsamiai pateikti tiek teisines, tiek technines žinias apie asmens duomenų apsaugą interneto kontekste;2) išanalizuoti ir įvertinti svarbiausius Europos Sąjungos ir kitus Tarptautinės teisės aktus, reglamentuojančius asmens duomenų apsaugą internete (kadangi Lietuvoje priimti teisės aktai asmens duomenų apsaugos srityje iš esmės atkartoja ES teisės aktus, jie nebus atskirai nagrinėjami) ;3) pateikti išsamų problemų susijusių su asmens duomenų apsauga internete ratą ir padėti tvirtus pagrindus tolimesnėms studijoms šioje srityje.Šio darbo autorė pasirinko asmens duomenų teisinės apsaugos interneto kontekste temą neatsitiktinai. Jau daugiau kaip du metai ji individualiai studijavo ir nagrinėjo daugelį informacinių technologijų teisės aspektų. Taip pat akivaizdu, kad ši tema yra labai aktuali ir nepakankamai giliai išnagrinėta.Internetas ženkliai keičia asmens duomenų apsaugą beveik visose Pasaulio valstybėse. Problemų gausa dažnai lieka nepastebėta nepakankamai įsigilinus į šią temą. Dėl pastarosios priežasties pirmoje darbo dalyje bus aptarti bendrieji asmens duomenų apsaugos ir interneto klausimai, “privatumo” samprata, asmens duomens sąvoka, aptariamos konkrečios problemos, susijusios su interneto atsiradimu. Kitos dalys bus paremtos pirmojoje išdėstyta informacija ir apims dvi interneto sąlygotas problemų grupes. Ginti žmogaus privataus gyvenimo neliečiamumo teisę ryšium su asmens duomenų tvarkymu ir sudaryti sąlygas laisvam asmens duomenų judėjimui – tai dvi pagrindinės asmens duomenų teisinės apsaugos funkcijos, todėl antrojoje ir trečiojoje dalyje bus nagrinėjama kaip šias funkcijas paveikė internetas.

BENDRIEJI ASMENS DUOMENŲ APSAUGOS IR INTERNETO KLAUSIMAI

PRIVATUMO SAMPRATA

Kiekvienas individas turi poreikį saugoti su juo susijusią informaciją (asmens privataus gyvenimo paslaptį), siekdamas išsaugoti savo individualumą. Turėti paslaptį, tai reiškia išlikti arba išgyventi vienoje ar kitoje aplinkoje, vienose ar kitose gyvenimo sąlygose. Paslapties turėjimas yra ne kas kita, kaip individo biologinių, socialinių aplinkybių sąlygota reakcija į supančią aplinką. Nėra geresnio būdo apsaugoti individą nuo pavojaus susilieti su kitais, kaip turėti kokią nors paslaptį, kurią jis nori arba turi saugoti . Atkreiptinas dėmesys, kad jau visuomenės formavimosi pradžioje išryškėja paslapčių poreikis, pavyzdžiui, pirmosios slaptos organizacijos pradėjo formuotis dar pirmykštėje bendruomeninėje santvarkoje. Pirmykštės bendruomeninės santvarkos irimas, sąlygotas perteklinio gamybos produkto atsiradimo, turėjo įtakos visuomeninių santykių pasikeitimui (formavosi naujos nuosavybės formos, visuomenė skirstėsi į klases ir pan.). Savo ruožtu, visuomeninių santykių pasikeitimas sudarė palankias sąlygas visuomeninių santykių dalyvių elgesio bei išraiškos laisvei, nes tuo metu atskiras individas jau nebebuvo taip glaudžiai susijęs su savo gentimi ar bendruomene. Visa tai sudarė palankias prielaidas tolesniam paslapčių plėtojimuisi bei įvairių paslapčių pasireiškimui. Ten, kur nėra pakankamai priežasčių saugoti paslaptį, “paslaptys” išrandamos arba padaromos, o po to jas “žino” ir “supranta” tik privilegijuoti išrinktieji. Ir jei, primityvioje visuomenės formavimosi pakopoje paslaptingumo poreikis yra gyvybiškai svarbus, nes bendra paslaptis sutvirtina visuomenę, palaiko jos solidarumą, tai aukštesniame visuomenės išsivystymo lygyje – socialinėje visuomenėje paslaptis kompensuoja individualios asmenybės vientisumo stoką. Taigi, asmuo bei pati visuomenė turi ir saugo paslaptį per visą savo vystymosi laikotarpį. Būta labai daug pastangų apibrėžti “privatumą”, tačiau nuo pat tų laikų, kai privatumas pateko į teisinės regos lauką, autoriai nesutaria nei dėl jo koncepcijos, nei apimties.Vieni iš pirmųjų pabandę apibrėžti asmens teisę į privatumą arba “privacy” buvo amerikiečių teisininkai L. Brandeis ir S. Warren, kurie dar 1890 m. straipsnyje “The Right to Privacy” asmens teisę į privatumą įvardino, kaip “teisę likti vienam” .A. Westin veikale “Privacy and Freedom” asmens teisę į privatumą apibrėžė, kaip individų, jų grupių ar juridinių asmenų apsisprendimo teisę spręsti kada, kokiais atvejais ir kokia apimtimi informacija apie juos gali būti patikėta kitiems asmenims .R. Gavison asmens teisę į privatumą įvardino kaip būklę (būseną), kurią žmogus gali prarasti savo paties sprendimu ar dėl kitų žmonių veiksmų. Be to, R. Gavisonas teigė, kad asmens teisę į privatumą sudaro trys elementai: “anonimiškumas” (tai asmens teisė išlikti neatpažintam), “vienatvė” (tai asmens teisė nebūti stebimam) ir “intymumas” (tai asmens teisė bendrauti su paties pasirinktais asmenimis, nepatiriant išorinio kišimosi).

Europos Tarybos Generalinė Asamblėja rezoliucijoje 428/1990 “Dėl masinės informacijos priemonių” asmens privatų gyvenimą apibrėžė, kaip žmogaus teisę gyventi asmeninį gyvenimą, į kurį būtinai prireikus kišamasi kuo mažiausiai. Ši teisė apima privatų, šeimos ir namų gyvenimą, asmens fizinę ir psichinę neliečiamybę, garbę ir reputaciją, asmeninių faktų slaptumą, draudimą be leidimo publikuoti asmeninę nuotrauką, draudimą skelbti gautą ar surinktą konfidencialią informaciją.Asmens teisė į privatumą taip pat yra apibrėžiama, kaip:– “individo teisė būti apsaugotam nuo kišimosi (fizinėmis ar informacijos priemonėmis) į jo asmeninį, jo šeimos gyvenimą ar reikalus” ;– “autonominė individo sritis, į kurią negali kištis nei valstybė, nei joks kitas asmuo” .Kaip galime pastebėti iš pateiktų asmens teisės į privatumą apibrėžimų, asmens teisė į privatumą yra ne kas kita, kaip priemonė, padedanti konkrečiam asmeniui išlaikyti savo individualumą. Ar konkreti informacija sudaro asmens privataus gyvenimo paslaptį, gali nuspręsti tik pats žmogus, nes ši paslaptis yra sukuriama tik konkretaus žmogaus vidinių įsitikinimų dėka, todėl kitas (pašalinis) žmogus paprastai negali nuspręsti ar konkreti informacija sudaro vieno ar kito svetimo asmens privataus gyvenimo paslaptį ar ne (išimtis – asmens susirašinėjimo, pokalbių telefonu, telegrafo pranešimų ir kitokio susižinojimo neliečiamumas ir teisė į būsto arba teritorijos neliečiamumą). Privatumui yra būdingas subjektyvumo elementas – skirtingi žmonės savo privatumo ribas supranta ir įsivaizduoja nevienodai – tai, kas vienam žmogui atrodo privatu, kitam – ne; vieni apie savo privatų gyvenimą nesidrovi kalbėti viešai, kiti stengiasi išlaikyti savo privatų gyvenimą paslaptyje visais įmanomais būdais. Asmens teisė į privatumą yra ta priemonė, kuri suteikia galimybę asmeniui pabūti vienam, ir pačiam asmeniui suteikia pasirinkimo galimybę kada, su kokiais asmenimis ir kaip bendrauti . Visuomenėje gyvenantis žmogus tik tada gali laikyti save atskira, nepakartojama asmenybe, kai jis pats savo iniciatyva gali reguliuoti ir nusistatyti santykius su kitais visuomenėje gyvenančiais individais, pačia visuomene ir valstybe. Be to, žmogus negali jaustis visiškai saugus, jeigu jam nebus pripažinta ir garantuota teisė į tam tikrą neliečiamumo zoną . Gal todėl, pati žmogaus teisė turėti savo privatų gyvenimą arba privataus gyvenimo paslaptį yra prilyginama tokioms žmogaus teisėms, kaip teisė į gyvenimą, teisė į laisvę. Tarptautinių teisės aktų analizė (žr., Visuotinės žmogaus teisių deklaracijos 12 straipsnį, Tarptautinio pilietinių ir politinių teisių pakto 17 straipsnį, Europos žmogaus teisių ir pagrindinių laisvių apsaugos konvencijos 8 straipsnį ir kt.) leidžia daryti išvadą, kad asmens teisės į privatumą turinį sudaro keturi savarankiški, ir kartu tarpusavyje susiję elementai: – informacinis privatumas yra susijęs su duomenų apie asmenį tvarkymu ir vadinamas asmens duomenų apsauga ; t.y. kai asmuo pats savo iniciatyva gali disponuoti savo asmens duomenimis (asmens duomenys – bet kuri informacija, susijusi su fiziniu asmeniu ir kurio tapatybė tiesiogiai ar netiesiogiai gali būti nustatyta pasinaudojant tam tikrais duomenimis ), žinoti apie savo duomenų tvarkymą medicinos, kreditų ir kt. srityse, susipažinti su savo asmens duomenimis, kai juos tvarko kiti asmenys, reikalauti ištaisyti savo duomenis ir pan. (žmogaus teisė į informacinį privatumą tiesiogiai susijusi su teise į informaciją. );– fizinis privatumas (kūno neliečiamumas), t.y. nesant žmogaus sutikimo, jo atžvilgiu negali būti atliekami jokie medicininiai ar moksliniai bandymai (pavyzdžiui, privaloma tvarka atliekami narkotikų testai ir pan.);– komunikacinis privatumas, t.y. asmens susirašinėjimo, pokalbių telefonu, telegrafo pranešimų ir kitokio susižinojimo neliečiamumas;– teritorinis privatumas, t.y. asmens būsto arba teritorijos neliečiamumas.Kai kurių autorių nuomone, viena ar kita informacija galėtų būti pripažįstama, kaip informacija, sudaranti asmens privataus gyvenimo paslaptį, jei: – informacija liečia konkretų asmenį;– informacija yra konkrečiam asmeniui vertinga (reikšminga). Paprastai ar informacija yra vertinga (reikšminga), sprendžia pats asmuo (informacijos savininkas), kurį liečia tokia informacija;– informacija yra apibrėžto turinio, kuri gali apimti: informacinį privatumą; kūno neliečiamumą; asmens susirašinėjimo, pokalbių telefonu ir kitokio susižinojimo neliečiamumą; asmens būsto ar teritorijos neliečiamumą;– tokios informacijos turinį asmuo slepia nuo kitų asmenų. Nors asmens teisė į privatumą buvo žinoma dar senovės Graikijoje ir Kinijoje, tačiau pirmas mums žinomas asmens teisės į privatumą įgyvendinimo pasireiškimas, ¬¬¬tai 1361m. Anglijos taikos teisėjo sankcionuotas “sekiotojų” ir pasiklausinėtojų areštas. 1765 m. anglų Lordas Camden panaikino įėjimo į privačius namus ir jų apieškos orderį bei nurodė: “Nėra jokios teisės normos, kuri leistų tokius dalykus; tokiu atveju mūsų visuomenės nariai prarastų bet kokį komfortą ir apsaugą”. Tuo pat metu parlamento narys W.Pitt rašė : “savo ¬namuose net ir didžiausias vargšas ar elgeta yra valdovas; net ir visa karaliaus kariauna yra bejėgė prieš jį”. Pirmą kartą tarptautiniu lygiu ši teisė buvo pripažinta ir įtvirtinta kaip visuotinai pripažinta vertybė tik 1948 m. Visuotinės žmogaus teisių deklaracijos 12 straipsnyje, kuriame yra nustatyta, kad: “Niekas neturi patirti savavališko kišimosi į jo asmeninį ir šeiminį gyvenimą, jo buto neliečiamybę, susirašinėjimo slaptumą, kėsinimosi į jo garbę ir orumą. Kiekvienas žmogus turi teisę į įstatymo apsaugą nuo tokio kišimosi arba tokių pasikėsinimų”. Vėliau asmens teisė į privatumą buvo įtvirtinta ir kituose tarptautiniuose teisės aktuose (Tarptautinio pilietinių ir politinių teisių pakte, Europos žmogaus teisių ir pagrindinių laisvių apsaugos konvencijoje ir kt.). Šiuose pamatiniuose žmogaus teisių šaltiniuose asmens teisė į privatumą, slaptumą įtvirtinta kaip pagrindinė, fundamentali (nors be abejo – ne absoliuti) žmogaus teisė. Tačiau net ir tais atvejais, kai nacionalinės konstitucijos bei tarptautiniai teisės aktai tiesiogiai garantuoja asmens teisę į privatumą arba, kitais žodžiais tariant, tiesioginę teisę turėti asmenines paslaptis, asmuo negali tikėtis visiško privatumo arba garantijų, kad jo paslaptys bus pilna apimtimi apsaugotos. Asmens teisė į privatumą nėra absoliuti. Tai, kad ši teisė gali būti pažeista, nulemia visuomenės interesai, kuriuos saugodama valstybė įstatymo nustatyta tvarka, protingose ribose gali šią teisę pažeisti.Toliau šiame darbe bus nagrinėjamos problemos, kylančios dėl informacinio privatumo pažeidimo interneto kontekste. Kai kurie autoriai šiai sričiai priskiria atvejus, kai darbdavys turi teisę bet kada savo nuožiūra tikrinti darbuotojų elektroninius laiškus. Kadangi elektroninių laiškų tikrinimas labiau susijęs su komunikaciniu privatumu, t.y. asmens susirašinėjimo, pokalbių telefonu, telegrafo pranešimų ir kitokio susižinojimo neliečiamumu, ši problema nebus nagrinėjama tolimesnėje studijoje.

ASMENS DUOMENS SĄVOKA

Asmens duomenų apsaugos koncepcijos formavimosi pradžia galima būtų laikyti 1960-ųjų pabaigą. Tuomet Europos Taryba priėmė sprendimą, kuriame buvo pabrėžiamas poreikis ir reikalingumas užtikrinti teisę į asmeninės informacijos apsaugą. 1970 m. buvo priimtas Vokietijos Heseno žemės asmens duomenų apsaugos įstatymas – tai buvo pirmasis bandymas sureguliuoti asmens duomenų apsaugą, kuriuo vėliau pasekė Švedija, JAV, kitos Vakarų Europos valstybės. Pagrindines asmens duomenų apsaugos gaires 1980 metais nubrėžė Ekonominio bendradarbiavimo ir plėtros organizacija (EBPO), atsižvelgdama į vis spartesnį pasaulio ekonominį ir demokratijos vystymąsi ir siekdama apsaugoti asmens privatumą bei nesudaryti kliūčių laisvam informacijos judėjimui. Šiuo aktu pirmą kartą buvo susisteminti pagrindiniai asmens duomenų tvarkymo principai, padarę didžiulę įtaka viso pasaulio valstybių įstatymų leidybai, nepaisant to, kad EBPO Tarybos rekomendacijos nėra teisiškai privalomos valstybėms narėms.Daug dėmesio asmens duomenų apsaugai skiria Europos Taryba, kuri dar 1981 m. priėmė Strasbūro konvenciją dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu. Pagal šią Konvenciją asmens duomenys – tai informacija apie nustatytos tapatybės asmenį arba asmenį, kurio tapatybę galima nustatyti.1995 metais asmens duomenų apsaugos rėžimas buvo įtvirtintas Europos Bendrijų (EB) lygiu. Siekiant pašalinti laisvo duomenų perdavimo kliūtis, nepakenkiant duomenų saugumui, buvo priimta Direktyva dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo 95/46/EB (duomenų apsaugos direktyva), harmonizuojanti nacionalinius teisės aktus šioje srityje. Ją įgyvendinus visi Europos Sąjungos piliečiai turi lygiavertę apsaugą ES ribose. Asmens duomenų apsaugos procesas EB buvo pratęstas priimant Direktyvą 97/66/EB dėl asmenų privatumo apsaugos telekomunikacijų sektoriuje, kurią nuo 2003 m. spalio 31 d. pakeis Direktyva 2002/58/EB dėl asmens duomenų tvarkymo ir privatumo apsaugos elektroninių ryšių sektoriuje (direktyva dėl privatumo ir elektroninių ryšių).Asmens duomenų apsaugos esmė – apsaugoti žmonių teises. Pagrindinis jos tikslas yra užtikrinti, kad asmens duomenys būtų apdorojami taip, kad būtų užtikrinamas žmogaus privatumas ir kitos su tuo susijusios žmogaus teisės. Asmens informacinio privatumo (asmens duomenų apsaugos) pažeidžiamumą padidino spartus informacijos technologijų diegimas. Naudojant kompiuterius ir duomenų perdavimo tinklus, sudaroma galimybė rinkti ir kaupti milžinišką informacijos kiekį, jį apdoroti ir greitai paskleisti. Kalbėdami apie asmens duomenų apsaugą interneto kontekste, turime skirti dvi skirtingas, bet kartais sutapatinamas sąvokas: duomenų apsaugą (angl. data protection) ir duomenų saugumą (angl. data security). Duomenų apsauga yra susijusi su asmens duomenimis, t.y. draudimu viešai skelbti, platinti ir kitaip disponuoti fizinio asmens duomenimis be jo sutikimo, o duomenų saugumas yra užtikrinamas koduojant, šifruojant ar kitokiais būdais apsaugant skaitmeninius duomenis. Tiek nacionaliniai, tiek tarptautiniai teisės aktai, priimti asmens duomenų apsaugos tikslais, reglamentuoja ne duomenų saugumą, bet fizinių asmenų duomenų apsaugą. Pagal Duomenų apsaugos direktyvos 95/46/EB 2 str. asmens duomenys reiškia bet kurią informaciją, susijusią su asmeniu (duomenų subjektu), kurio tapatybė yra nustatyta arba gali būti nustatyta; asmuo, kurio tapatybė gali būti nustatyta yra tas asmuo, kurio tapatybė gali būti nustatyta tiesiogiai ir netiesiogiai, ypač pasinaudojus nurodytu asmens identifikavimo kodu arba vienu ar keliais to asmens fizinei, fiziologinei, protinei, ekonominei, kultūrinei ar socialinei tapatybei būdingais veiksniais.

Tiek pagal 1981 m. Europos Tarybos konvenciją “Dėl asmenų apsaugos, susijusios su automatizuotu asmens duomenų apdorojimu”, tiek pagal EBPO Rekomendaciją “Dėl asmens privatumo apsaugos ir asmens duomenų judėjimo tarp valstybių narių gairių” asmens duomenys apibrėžiami kaip bet kokia informacija, susijusi su identifikuotu ar identifikuotinu asmeniu.Fizinis asmuo paprastai identifikuojamas pagal tokią informaciją kaip vardas, pavardė, amžius, gimimo data, akių spalva ir t. t. arba pagal jam suteiktą tam tikrą numerį (kodą), pavyzdžiui, asmens kodą, vairuotojo pažymėjimo, socialinio draudimo, kreditinės kortelės numerį. Asmens duomenys tarsi sugrupuojami į dvi kategorijas: identifikatorius ir kitus duomenis. Identifikatoriai tiesiogiai ir vienareikšmiškai nurodo konkretų asmenį. Tipiškiausias identifikatoriaus pavyzdys – asmens kodas, registracijos numeris, leidimo numeris ir pan. Visi duomenys, identifikatoriaus susieti su asmens duomenų subjektu, tampa asmens duomenimis. Jeigu identifikatoriaus nėra, duomenys nebetenka asmens duomenų statuso, nors ir susiję su realiu asmeniu. Vis dėlto, asmeninė informacija gali tapti asmens duomeniu, tai yra tapti pakankama identifikuoti tam tikrą asmenį ne vien tik identifikatoriaus pagalba. Taip gali atsitikti tais atvejais, kai asmeninės informacijos sankaupa, sistema, kurios atskiri elementai yra susiję su konkrečiu asmeniu, tačiau vienareikšmiškai negali patvirtinti jo tapatybės, įgauna naują savybę, kuria negali pasižymėti jos sudedamosios dalys – identifikuoti konkretų asmenį. Šioje vietoje kyla asmeninės informacijos ir asmens duomens santykio problema. Asmeninė informacija savaime nėra ir negali būti asmens duomeniu iki tol, kol ją susiejus su kita asmenine informacija arba identifikatoriumi tampa įmanomas konkretaus asmens identifikavimas. Asmeninės informacijos ir asmens duomens santykio klausimas itin svarbus tuo, kad asmens duomenų apsaugos reikalavimai taikomi ne bet kokiai asmeninei informacijai, o tik tokiai, kurios pagalba galima konkretaus asmens identifikacija. Asmens duomenys apie rasinę kilmę, politinius, religinius ar kitus įsitikinimus, taip pat duomenys apie teistumą, sveikatą ar intymų gyvenimą pagal 1981 m. Europos Tarybos konvenciją “Dėl asmenų apsaugos, susijusios su automatizuotu asmens duomenų apdorojimu” priskiriami specialioms asmens duomenų apsaugos kategorijoms ir negali būti apdorojami automatizuotai, nebent nacionalinėje teisėje būtų numatyta tinkama jų apsauga. Duomenų apsaugos direktyva 95/46/EB tokio pobūdžio duomenis įvardija kaip ypatingus asmens duomenis ir leidžia jų tvarkymą tik ypatingais atvejais.

ASMENS DUOMENŲ APSAUGOS IR INTERNETO SANTYKIS

Visapusiškai identifikuoti asmens duomenų apsaugos ir interneto santykį nėra lengva. Sunkumai kyla dėl paties interneto unikalios prigimties. Visų pirma, jo populiarumas įvairiose valstybėse yra skirtingas. Natūralu, kad ir visuomenės patirtis naudojantis interneto tinklu yra skirtinga. Viena iš svarbiausių nepakankamo asmens duomenų apsaugos interneto erdvėje priežasčių, tai menkas žmonių suvokimas apie šias problemas. Kaip rodo užsienio valstybėse atlikti tyrimai , dauguma žmonių labai susirūpinę savo privatumu ir saugumu Internete, tačiau tik nedaugelis žino, kaip jų informacija yra renkama, kaip panaudojama, ir kaip nuo to apsisaugoti. Besivystančiose šalyse vis sparčiau ir plačiau diegiamos informacinės technologijos bene visose veiklos srityse. Internetas dėl savo unikalios prigimties padeda žmonėms bendrauti nepriklausomai nuo atstumo, laiko, valstybių sienų. Tokiu būdu šioje unikalioje erdvėje panaikinami bet kokie geografiniai suvaržymai asmens duomenų judėjimui. Interneto teikiamų paslaugų dėka gyvenimas elektroninėje erdvėje tampa vis intensyvesnis, naujos bendravimo galimybės vis labiau domina pačius įvairiausius informacijos vartotojus. Žvelgiant į skirtingus vartotojų poreikius, akivaizdi tampa kita svarbi problema – tai nuolatinis interneto keitimasis. Tos pačios valstybės, kurios dar visai neseniai tik kūrė informacinės visuomenės koncepcijas (ar vis dar tebekuria), gali greitai pasiūlyti naujų informacinių technologijų, o tai, savo ruožtu, gali radikaliai pakeisti daugelio autorių ir įstatymų leidėjų nuomonę apie asmens duomenų apsaugą interneto kontekste. Ketvirtoji problema – informacinių technologinių sistemų konvergencija, kurios pagalba eliminuojami technologiniai barjerai tarp atskirų technologinių sistemų, internetas tampa vis labiau atviresnis. Minėtoji problema yra glaudžiai susijusi su kitu svarbiu dalyku – kelių asmeninės informacijos perdavimo formų sujungimu, kuris sąlygojo galimybę vieną formatą, kuriame surinkta informacija, keisti kitu. Šie du reiškiniai savo ruožtu dar labiau padidina galimybes itin greitai ir efektyviai rinkti ir platinti asmens duomenis. Visos anksčiau išvardintos problemos yra tiesiogiai susijusios su asmens duomenų apsaugos interneto kontekste tyrimais. Internetas, kuris iš prigimties yra labai dinamiškas, nepripažįsta valstybių sienų. Svarbu pabrėžti, kad asmens duomenys, kaip ir pats asmuo, yra susiję su konkrečia valstybe. Tuo tarpu nacionalinės teisės normos reguliuojančios šią sritį dažnai yra skirtingos. Šie skirtumai gali sudaryti kliūčių laisvam informacijos judėjimui ir sąlygoti nepatogumus ūkio subjektams ir fiziniams asmenims. Šios priežastys sąlygojo veiksmų būtinumą Europos Sąjungos lygmenyje, kurie pasireiškė Europos Bendrijų direktyvų priėmimu. Be to studijos šia tema atliekamos ir kitose didelėse tarptautinėse organizacijose: Europos Taryboje, EBPO.

ASMENS DUOMENŲ APSAUGOS PROBLEMOS SUSIJUSIOS SU INTERNETO ATSIRADIMU

Pradedant aptarinėti konkrečius interneto įtakos asmens duomenų apsaugai aspektus, reikėtų atkreipti dėmesį į asmens duomenų apsaugą reguliuojančių normų paskirtį. Kas atsitiktų, jei turint galvoje anksčiau aptartą asmens duomenų apsaugos ir interneto santykį nebūtų jokios asmens duomenų apsaugos interneto kontekste. Jei bet kam būtų prieinama bet kuri informacija, daugelis nenorėtų rizikuoti ir naudotis konfidencialumo riziką didinančiomis informacinėmis technologijomis (tarp jų ir interneto teikiamomis paslaugomis). Tam, kad informacinių technologijų vystymasis nesustotų turi egzistuoti pakankamas jų kūrimo skatinimas.Internetas pakeitė nusistovėjusią pusiausvyrą tarp teisės į informaciją ir teisės į privatumą. Pasikeitė visuomenės požiūris į informaciją – informacijos rinkimas, jos apdorojimas tapo svarbus ir ekonomine, ir moksline prasme. Valstybės, savivaldos institucijos, įmonės bei pavieniai asmenys, teikdami informacines paslaugas, įgyvendindami elektroninius atsiskaitymus, siųsdami ir gaudami elektroninius laiškus, vykdydami įvairias marketingo akcijas, siūlo užpildyti įvairias anketas, renka, kaupia, apdoroja ir platina informaciją, taip pat ir fizinių bei juridinių asmenų duomenis. Informacija ir duomenys yra renkami pačiais įvairiausiais būdais: anketavimo, apklausų, socialinių tyrimų procedūrų realizavimo metu ir t.t.. Kita asmens duomenų teikimo bei rinkimo procedūra – kai veiksmas vyksta betarpiškai tarp asmens duomenų subjekto ir duomenų rinkėjo – tai pirkimo elektroninėse parduotuvėse procedūros, bilietų ir viešbučių rezervavimas, elektroniniai atsiskaitymai, bankinės paslaugos internetu. Daugumoje atvejų, kuomet duomenų subjektas įvykdo pirkimą arba naudojasi paslauga (pvz., prenumerata), yra privaloma pateikti asmens duomenis pardavėjui arba paslaugos teikėjui, siekiant patvirtinti pirkėjo autentiškumą, suteikti apmokėjimo garantijas, bei fizinį arba elektroninį adresą prekių bei paslaugų pristatymui. Klientas pats elektroniniu būdu pateikia paslaugos teikėjui savo asmens duomenis – kreditinės kortelės numerį, adresą, nurodo darbovietę, pareigas, amžių ir kt.. Tuo pat metu šie asmenys susiduria su kita rizika. Kadangi internetas yra atviras viešas tinklas su gerai žinomais protokolais , orientuotais daugiau į pasidalinimą informacija, o ne į jos konfidencialumo ar saugumo užtikrinimą, yra gana nesudėtinga bet kam, kas turi bent kiek techninių žinių, surasti tam tikrus programinės įrangos instrumentus, leidžiančius perimti ir atskleisti internetu persiunčiamus duomenis. Taipogi yra įmanoma apsimesti kita kompanija, pasitelkti įvairius apgaulės būdus siekiant gauti informacijos, kuri vėliau galėtų būti panaudota kokiems nors nusikalstamais tikslais. Elektroninio pašto adresas yra svarbus informacijos šaltinis, turintis asmeninius duomenis apie vartotoją. Elektroninio pašto adresus galima rinkti keliais būdais:– elektroninio pašto adreso savininko programinės įrangos, nuperkamos arba gaunamos nemokamai, gamintojas gali paprašyti užsiregistruoti,– elektroninio pašto adresas gali būti užklausiamas įvairių svetainių įvairiomis aplinkybėmis (pvz., komercinėse svetainėse atliekant pirkimo užsakymą, registruojantis prieš patenkant į pasikalbėjimų svetainę, t.t.),– elektroninio pašto adresai gali būti renkami interneto aplinkoje įvairiais kitais būdais.Visi aukščiau išvardyti asmens duomenų rinkimo būdai pasižymi tuo, kad šių duomenų rinkimo proceso metu išskiriamas asmens valios išreiškimo faktorius (t.y. duomenys perduodami su duomenų subjekto žinia). Tuo tarpu interneto kontekste labai plačiai paplitęs slaptas asmens duomenų rinkimas. Tie patys elektroninio pašto adresai gali būti renkami asmeniui apie tai nieko nežinant: – yra įmanoma įvesti programinį kodą į kliento programinę įrangą, kuris perduos jo elektroninio pašto adresą programinės įrangos gamintojui apie tai nežinant šios programos vartotojui, – kai kuriose naršyklėse buvo pastebėtos apsaugos spragos, kurios leidžia svetainei sužinoti lankytojų elektroninio pašto adresus. Tai galima padaryti piktavališkai iš anksto numatytais veiksmais naudojant, pavyzdžiui JavaScript priemones.Didžiausią pavojų asmeninės informacijos konfidencialumui kelia šios internetinės technologijos:• TCP/IP protokolas. Internetas yra pasaulinis kompiuterių tinklas, kuriame kompiuteriai tarpusavyje bendrauja TCP/IP protokolo (Transmission Control Protocol/Internet Protocol) pagalba. TCP/IP protokolo atžvilgiu, yra išskiriamos trys savybės, kurios sudaro potencialią galimybę konfidencialumo (asmens duomenų saugumo) pažeidimui:a) maršrutas, kuriuo keliauja TCP/IP informacijos paketai , yra dinaminis ir vadovaujasi darbo logika. Teoriškai jis gali pasikeisti pakraunant interneto tinklapį arba siunčiant elektroninio pašto žinutę, tačiau praktikoje dažniausiai jis nekinta. Vidutinis interneto paslaugų vartotojas (toliau interneto vartotojas) neturi jokių tinkamų priemonių šiam maršrutui pakeisti, net jei jis žino, kuriuo maršrutu keliauja jo informacija tam tikru laiko momentu.b) kadangi domeno pavadinimo ir skaitmeninio IP adreso keitimas vyksta per DNS serverį , kurio funkcijos yra užtikrinti šį keitimą, minėtas DNS serveris gauna ir gali atsekti visus interneto serverių pavadinimus, su kuriais bandė kontaktuoti interneto vartotojas.

c) ping komanda, kuria galima naudotis visose operacinėse sistemose, leidžia bet kam, kas yra prisijungęs prie interneto, sužinoti, ar tam tikras kompiuteris yra įjungtas ir prijungtas prie interneto. Tai komanda, kuriai aktyvuoti tereikia surinkti komandą ping ir pasirinkto kompiuterio IP adresą (arba atitinkamą vardą). Kompiuterio, kurio atžvilgiu yra panaudota ping komanda, vartotojas paprastai net nežino, kada ir dėl kokių priežasčių kažkas bandė išsiaiškinti, ar jis buvo prisijungęs tam tikru laiko momentu prie interneto. • Naršyklės sisteminiai pranešimai (angl. the browser’s chattering). Geriausiai žinoma bendravimo per internetą priemonė yra interneto naršymas, kuri leidžia vartotojams atrasti informaciją, saugomą nutolusiuose kompiuteriuose. Internetas sudarytas iš didelio skaičiaus dokumentų, saugomų skirtinguose kompiuteriuose visame pasaulyje. Naršyklė užklausos metu į interneto svetainę nusiunčia ne tik IP adresą ir norimo pamatyti internetinio puslapio pavadinimą, bet ir kitus duomenis (kalba, kuria kalba (naudojasi) interneto vartotojas, jo naudojamų kompiuterinių programų versijas), kuriais galima charakterizuoti tą puslapį aplankiusį asmenį.• Nematomos nuorodos į kitus tinklapius (angl. invisible hyperlinks). Jos leidžia naršyti iš vieno kontinento į kitą paprasčiausiai paspaudžiant pelės (ar kito atitinkamo kompiuterinio įrenginio) klavišą. Paprastas interneto vartotojas gali net nepastebėti, kad internetinė svetainė, siųsdama tinklapio vaizdą, įterpia komandą papildomai įkelti tam tikrus vaizdus. Šie vaizdai gali būti paimti iš visai kitos svetainės. Taip sudaroma galimybė pamatyti vartotojo įvestą informaciją, pavyzdžiui paieškos raktažodžius.• Slapukai (angl. cookies). Slapukai yra maži duomenų paketai, kurie gali būti saugomi bylose, įrašomose į interneto paslaugų vartotojo kompiuterio kietąjį diską (kiekvienam inetrneto vartotojui suteikiant unikalų kodą ), o jų kopijos laikomos svetainėje. Slapukai yra laikomi interneto vartotojo kompiuterio kietajame diske ir juose yra visa informacija apie asmenį, kuri gali būti atsekama interneto svetainės, kurioje ji yra saugoma, arba bet ko, kas turi supratimą apie tos interneto svetainės duomenų formatą. Interneto svetainė turi papildomų galimybių rinkti informaciją, jeigu ji naudoja slapukus. Jie gali būti persiunčiami be kliūčių su IP srautu. Tokie slapukai išplečia svetainių galimybę saugoti ir “įasmeninti” informaciją apie jų lankytojus. Slapukas gali būti reguliariai nuskaitomas svetainės, siekiant identifikuoti interneto vartotoją ir atpažinti jį, kai jis pakartotinai apsilanko, patikrinti galimus slaptažodžius, įrašyti ir analizuoti veiksmų seką svetainėje seanso metu, ir t.t.. Slapukai gali būti dviejų skirtingų rūšių: jie gali būti nuolatiniai arba ribotos trukmės. Kai kurie slapukai yra naudingi ir neidentifikuojantys (pvz., pageidaujama kalba). Kiti yra identifikuojantys, tačiau gali būti naudojami laikantis konfidencialumo taisyklių. Slapukuose gali būti įvairi informacija: peržiūrėti internetiniai puslapiai, reklamos skelbimai ir t.t. Kai kuriais atvejais jie gali būti naudingi, norint suteikti tam tikrą paslaugą per internetą arba palengvinti interneto vartotojo naršymą. Kai kurios svetainės neleidžia į jas patekti vartotojams, kurie nenori priimti slapukų.Panaudojant visas šias technologijas, apie interneto vartotojus yra surenkami milžiniški duomenų kiekiai, patiems vartotojams dažnai apie tai nieko nežinant. Šie duomenys, naudojant juos drauge, leidžia išvesti naujus duomenis, tokius, kaip:– šalis, kurioje gyvena interneto paslaugų vartotojas (kurioje kompiuteris prijungiamas prie interneto);– interneto domenas (adresas), kuriam priklauso interneto paslaugų vartotojas;– įmonės, kurioje dirba interneto paslaugų vartotojas, veiklos sritis;– įmonės, kurioje dirba interneto paslaugų vartotojas, apyvarta;– interneto paslaugų vartotojo pareigos įmonėje;– kas yra internetinių paslaugų teikėjas;– svetainių, kuriose lankosi interneto paslaugų vartotojas, tipologija;– interneto paslaugų vartotojo naudojamos naršyklės versija;– interneto paslaugų vartotojo naudojama operacinė sistema ir kita programinė įranga;– paieškos varikliuose įvesti raktiniai žodžiai ar jų junginiai;– kalbos preferencijos;– apsilankymo interneto svetainėje data ir laikas;– kai kuriais atvejais elektroninio pašto adresas;– kt.. Svarbu pabrėžti, kad visos anksčiau išvardintos duomenų apdorojimo operacijos yra teisėtos ir, priklausomai nuo aplinkybių, yra neišvengiamos sklandžiam interneto tinklo darbui. Tačiau akivaizdu, kad šioje aplinkoje kyla konfliktas tarp interneto “atviro pobūdžio” ir interneto vartotojų privatumo apsaugos. Net jeigu šios duomenų apdorojimo operacijos ir yra teisėtos, interneto vartotojas turėtų būti informuojamas apie tai bei apie apsaugos priemones.Vienas iš dažniausiai pasitaikančių internete surinktų asmens duomenų panaudojimo būdų yra reklama. Internetas yra ne vien tik pasaulinė informacijos platforma, bet taipogi ir pasaulinė rinka, kur tarpusavyje konkuruojančios įmonės bando pritraukti potencialius pirkėjus. Jų sėkmė priklauso nuo jų sugebėjimo pasiekti kuo galima daugiau vartotojų ir ypatingai tuos, kuriuos iš tikrųjų domina tam tikras įmonės siūlomas produktas ar paslauga. Norėdamos tai atlikti, jos naudojasi tiksline reklama, kuri remiasi asmens duomenų analize, ir kuri yra skelbiama antraštėse, patalpinamose interneto svetainėse. Šiuo metu turimomis duomenų kaupimo ir duomenų gavybos technologijomis galima apdoroti milžiniškus informacijos kiekius, ne vien tik tam, kad atrinkti asmenis, atitinkančius kokius nors reikalavimus ar kriterijus, bet ir tam, kad atrasti užslėptus ryšius tarp iš pirmo žvilgsnio visiškai tarpusavyje nesusijusių duomenų ir taip išsiaiškinti elgsenos modelius , kurie galėtų būti naudojami priimant komercinius ar administracinius sprendimus tam tikrų asmenų atžvilgiu. Identifikavus asmenį pagal duomenis, gautus jam pateikus informaciją užsiregistruojant interneto svetainėje arba kokių nors kitų priemonių (pvz., slapukų) pagalba, informacija apie jo mėgstamus užsiėmimus, interesus, lankomas vietas internete ar pirkinius naudojama reklaminei komunikacijai (angl. spamming) . Dažniausiai tokių reklaminių komunikacijų metu dideliais kiekiais siunčiami komercinio pobūdžio neprašyti pranešimai elektroniniu paštu, kurie sukelia nemažai nemalonumų interneto paslaugų vartotojams. Pasinaudodama apie asmenį surinkta informacija interneto svetainė siūlo interneto paslaugų vartotojui pritaikytus produktus (pvz., knygas) arba nuorodas į kitas svetaines, kurios gali sudominti šį vartotoją.Šiuo metu yra vystoma nauja technologija – mobili elektroninė prekyba, paremta trečios kartos mobiliais telefonais ir kitais rankiniais prietaisais, kurie gali saugiai jungtis prie interneto tinklo. Tokiu būdu per mobilius telefonus galima sekti vartotojo buvimo vietą ir jo judėjimą, kas leistų dar tiksliau apibūdinti vartotoją. Kai duomenų valdytojai pasinaudoja duomenų gavybos technologijomis, jie turi technines galimybes ne tik apdoroti duomenis, bet ir atrasti naujas sąsajas ir savybes, susijusias su duomenų subjektu, kuris paprastai net nenutuokia apie tokią galimybę ir nesitiki tokio duomenų apdorojimo. Be to kai kurie duomenys yra laikomi labai ilgą laiko tarpą; elektroninio pašto adresų sąrašai dažnai yra saugomi kelis metus ir jais galima pasinaudoti atbulinės paieškos mechanizmų pagalba.Taigi, sekančioje darbo dalyje bus išsamiai nagrinėjamas interneto poveikis asmens duomenų apsaugai, aptariant jį keliais aspektais. Pirmiausia bus aptariami Pasauliniu ir regioniniu mąstu priimti teisės aktai, reguliuojantys asmens duomenų apsaugą internete. Kitas svarbus aspektas – tai asmens duomenų subjektų teisės ir asmens duomenų valdytojų pareigos. Taip pat bus aptariami ypatumai susiję su asmens duomenų perdavimu į kitas valstybes.

ASMENS DUOMENŲ TEISINĖS APSAUGOS FUNKCIONAVIMO UŽTIKRINIMAS, ŠALINANT PAINIAVĄ IR APGAUDINĖJIMUS

ASMENS DUOMENŲ TEISINĖ APSAUGA INTERNETO KONTEKSTE

Asmens duomenų apsaugos problemoms spręsti gali būti naudojami teisės aktai, savireguliacija ir technologijos. Duomenų apsaugos įstatymai yra palyginus nauja teisinio reguliavimo sritis. Pradžioje buvo baiminamasi, kad valstybinės institucijos naudos asmens duomenis neteisingiems tikslams. Vėliau paaiškėjo, kad privatiems asmenims tvarkant asmens duomenis atsirado daugybė spragų, todėl reikėjo imtis atsargumo priemonių. Šiuo metu nusistovėjusi praktika yra tokia, kad asmens duomenų tvarkymas reglamentuojamas labiau akcentuojant duomenų subjektų teises (teisę į privatų gyvenimą, informacinį privatumą), o ne žmogaus teisę į informaciją (teisę ieškoti, gauti, naudotis ir skleisti informaciją).

EBPO veikla užtikrinant asmens duomenų teisinę apsaugą interneto kontekste

Siekiant apsaugoti asmens informacinį privatumą esminius asmens duomenų tvarkymo principus įtvirtino EBPO Rekomendacijoje dėl asmens privatumo apsaugos ir asmens duomenų judėjimo tarp valstybių narių gairių : Asmens duomenų rinkimo apribojimo principas pabrėžia būtinybę, kad būtų nustatytos asmens duomenų rinkimo ribos, o bet kokie asmens duomenys būtų gaunami teisėtai ir naudojant teisingas priemones, apie tai žinant pačiam asmens duomenų subjektui ir esant jo sutikimui.Asmens duomenų kokybės principas: asmens duomenys turi atitikti tikslus, kuriems jie yra ar bus naudojami. Be to duomenys turi būti kiek įmanoma tikslūs ir nuolat atnaujinami.Tikslo nustatymo principas išreiškia būtinybę ne vėliau nei asmens duomenų rinkimo metu nurodyti tikslus, kuriems renkami asmens duomenys. Tolesnis duomenų naudojimas yra apribojamas tais pačiais tikslais arba kitais, kurie nėra nurodyti, bet yra suderinami su anksčiau nurodytais.Asmens duomenų naudojimo apribojimo principas – asmens duomenys negali būti atskleisti ar tapti prieinami dėl kitų priežasčių, išskyrus tuos atvejus, kai gaunamas asmens duomenų subjekto sutikimas arba kai taip nurodyta įstatyme.Saugumo užtikrinimo principas: asmens duomenys privalo būti protingomis priemonėmis apsaugoti nuo tokių pavojų kaip asmens duomenų netekimas, praradimas, neteisėtas priėjimas prie asmens duomenų, jų sunaikinimas, panaudojimas, pakeitimas ar atskleidimas.Atvirumo principas. Turi būti nustatyta bendra atvirumo politika dėl asmens duomenų vystymosi, formavimosi, praktikos ir pan. Priemonės turi būti prieinamos ir tinkamos, siekiant nustatyti asmens duomenų buvimą ir prigimtį, jų naudojimo pagrindinį tikslą, taipogi asmens duomenų valdytojo tapatybę ir jo buvimo vietą.Individualaus dalyvavimo principas reiškia asmens teisę:– iš asmens duomenų valdytojo gauti patvirtinimą, ar šis turi duomenų, susijusių su juo;

– kad suprantamu būdu, per protingą laiko tarpą ir už ne per didelį mokestį jam būtų pranešta apie duomenis, kuriuos asmens duomenų valdytojas turi apie jį;– jei atsisakoma pranešti kokius duomenis apie renka asmens duomenų valdytojas, turi būti nurodomos priežastys ir motyvai, suteikiant teisę ginčyti tokius nesuteikimo pagrindus;– ginčyti jo manymu neteisingus asmens duomenis, reikalauti jų pataisymo, papildymo, pakeitimo ar panaikinimo.Atskaitomybės principas: asmens duomenų valdytojas turi atsiskaityti kaip laikosi anksčiau nurodytų principų.Nors šie principai nėra privalomi, jų pagrindu buvo leidžiami daugelio valstybių įstatymai asmens duomenų apsaugos srityje. Šiuo pavyzdžiu sekė vėlesnių tarptautinių teisės aktų kūrimo procesas. Ir nors daugeliu atvejų šie principai neatspindi šiandienos realijų, jie išlieka tokie pat svarbūs.EBPO neapsiribojo asmens privatumo apsaugos ir asmens duomenų judėjimo tarp valstybių narių gairių priėmimu 1980 metais ir tęsia savo veiklą, derindama asmens duomenų tvarkymo principus prie šiuolaikinių informacinių technologijų. Šiam darbui pasitelkiamas DSTI ICCP committee , kuris 1997 m. pradėjo EBPO asmens privatumo apsaugos ir asmens duomenų judėjimo tarp valstybių narių gairių įgyvendinimo elektroninėje aplinkoje programą, kur didžiausias dėmesys skiriamas internetui. 1998 m. vykusios EBPO ministrų konferencijos Otavoje metu buvo priimta Deklaracija dėl privatumo apsaugos pasauliniuose tinkluose. 1999 m. ICCP committee paskirta darbo grupė informacijos apsaugai ir privatumui parengė Priemonių ir mechanizmų, skirtų EBPO principų įgyvendinimui globaliuose tinkluose, aprašą, kuriame pabrėžiama, kad duomenų subjektui online aplinkoje turi būti suteikiama galimybė apsispręsti pateikti ar ne savo duomenis, jis turi būti informuojamas kokiomis priemonėmis yra užtikrinamas jo privatumas. Taip pat pabrėžiama būtinybė užtikrinti asmens duomenų apsaugą, esant tarptautiniam asmens duomenų srautų judėjimui. 2003 m. vasario 12 d. ICCP committee pateikė Ataskaitą apie privatumo apsaugos įgyvendinimą online aplinkoje , kurioje aptariamos valstybėse narėse ir tarptautiniu mąstu, siekiant sumažinti ir panaikinti pavojus, kuriuos privatumui kelia online aplinka, nustatytos taisyklės. Ataskaitoje daromos išvados, kad vis dar būtina tobulinti teisės aktus, reglamentuojančius tarptautinį asmens duomenų srautų judėjimą, be to nemažiau svarbios lieka ir kitos anksčiau minėtos problemos.

Europos Tarybos veikla, siekiant užtikrinti asmens duomenų apsaugą internete

1950 m. priėmus Europos žmogaus teisių ir pagrindinių laisvių konvenciją (EŽTK) ir 8 str. įtvirtinus asmens teisę į privatumą, buvo padėti pagrindai asmens duomenų apsaugai. Tačiau vien tik EŽTK nepakanka tinkamai ir efektyviai apsaugoti asmens duomenis, todėl prireikė kitų instrumentų. 1981 m. Europos Taryba (ET) priėmė Konvenciją dėl asmenų apsaugos, susijusios su automatizuotu asmens duomenų apdorojimu (toliau Konvencija). Pagrindinis Konvencijos tikslas yra ginti žmogaus asmeninį gyvenimą, ypač teisę į privatumą. Konvenciją pasirašė beveik visos keturiasdešimt ET valstybių narių. Šia Konvencija siekiama užtikrinti, kad, automatizuotai tvarkant asmens duomenis, visų šalių teritorijose butų gerbiamos kiekvieno asmens, nepaisant jo tautybės ir gyvenamosios vietos, teisės ir pagrindinės laisvės. Pabrėžiama būtinybė garantuoti žmogaus teisę į privatų gyvenimą, įvertinant vis didėjančius asmens duomenų srautus, kurie kerta valstybių sienas . Tokiu būdu valstybėms Konvencijos dalyvėms neleidžiama drausti perduoti asmens duomenis į kitos šalies teritoriją, išskyrus atvejus, kai: a) jos įstatymuose yra konkrečios nuostatos dėl tam tikrų asmens duomenų arba automatizuotų asmens duomenų rinkmenų pobūdžio, b) duomenys iš vienos valstybės į kitą valstybę, kuri nėra šios konvencijos dalyvė, perduodami per kitos šalies tarpininką, vengiant šiais perdavimais pažeisti pirmosios valstybės įstatymus. Konvencija taikoma automatizuotoms asmens duomenų rinkmenoms ir valstybinio bei privataus sektoriaus asmens duomenims automatizuotai tvarkyti. Tiesa, valstybės gali pareikšti, kad konvencijos netaikys tam tikroms automatizuotoms asmens duomenų rinkmenoms. ET Konvencija išskiria panašius duomenų apsaugos principus kaip ir EBPO Asmens privatumo apsaugos ir asmens duomenų judėjimo tarp valstybių narių gairės. Reikalaujama, kad asmens duomenys būtų:– gauti ir tvarkomi sąžiningai ir teisėtai;– saugomi konkrečiam ir teisėtam tikslui ir nenaudojami kitu, šiam tikslui prieštaraujančiu būdu;– tinkami, svarbūs ir ne pernelyg didelės apimties, kurie atitinka konkrečius tikslus;– tikslūs, prireikus papildomi nauja informacija;– laikomi tokio pavidalo, kad duomenų subjektų tapatybes būtų galima nustatyti ne ilgiau, nei tai yra reikalinga tam tikslui, dėl kurių duomenys buvo saugomi. Užtikrinant asmens duomenų apsaugą, pabrėžiama būtinybė imtis tinkamų apsaugos priemonių, kurios neleistų jų netyčia ar neteisėtai sunaikinti, prarasti, neleistinai palikti juos prieinamus, keisti ar platinti. Kita labai svarbi konvencijoje išskiriama nauja sritis tai – ypatingų asmens duomenų apsauga. Asmens duomenys apie rasinę kilmę, politines pažiūras ir religinius bei kitus įsitikinimus ir asmens duomenys apie sveikatą bei intymų gyvenimą negali būti tvarkomi automatizuotai, jeigu nacionaliniuose teisės aktuose nėra numatyta atitinkamų apsaugos garantijų. Tokie patys reikalavimai taikomi ir asmens duomenims apie teistumą. Europos Taryba išskyrė keletą itin svarbių šios Konvencijos taikymo sričių, kuriose išleido eilę rekomendacijų:– 1985 m. rekomendaciją “Dėl asmens duomenų, naudojamų tiesioginei rinkodarai, apsaugos”;– 1990 m. rekomendaciją “Dėl asmens duomenų, naudojamų mokėjimo ir kitoms operacijoms, apsaugos”;– 1999 m. rekomendacija “Dėl asmenų apsaugos atsižvelgiant į asmens duomenų rinkimą ir apdorojimą informacijos greitkeliuose”. – ir kt..Visos šios rekomendacijos yra siejamos su asmens duomenų apsauga interneto kontekste, tačiau pati svarbiausia 1999 m. rekomendacija “Dėl asmenų apsaugos atsižvelgiant į asmens duomenų rinkimą ir apdorojimą informacijos greitkeliuose”. Tai bendro pobūdžio dokumentas, kuriuo siekiama:– gilinti interneto paslaugų vartotojų žinias apie privatumo išsaugojimą interneto aplinkoje;– garantuoti, kad interneto paslaugų teikėjai užtikrintu asmens duomenų apsaugą interneto kontekste ir prisiimtų atsakomybę už tokių veiksmų neatlikimą.

Asmens duomenų teisinė apsauga interneto kontekste pagal Europos Sąjungos teisę

Europos sąjungos teisėje ilgą laiką nebuvo specialaus dokumento, reglamentuojančio žmogaus teisių apsaugą. Šį trūkumą papildė Europos žmogaus teisių konvencijos nuostatos, po to kai Mastrichto sutartimi nuspręsta traktuoti šias nuostatas kaip bendrus Europos bendrijų teisės principus.2000 m. Buvo priimta europos sąjungos pagrindinių teisių chartija . Chartijos 8 str. Formuluojamas asmens duomenų apsaugos reikalavimas ir nustatoma, kad kiekvienas turi teisę į savo asmens duomenų apsaugą. Tačiau dar prieš priimant chartiją Europos Bendrijose, siekiant užtikrinti bendros rinkos funkcionavimą buvo priimami teisės aktai tiesiogiai paveikę asmens duomenų apsaugą (taip pat ir asmens duomenų apsaugą interneto kontekste). Kompiuterinių technologijų pažanga drauge su naujais telekomunikacijų tinklais sudarė galimybes lengviau perduoti asmens duomenis už valstybės sienos ribų. To pasekoje vienos valstybės narės asmens duomenys galėjo būti tvarkomi kitos valstybės narės ribose. Nacionaliniai asmens duomenų apsaugą reglamentavę teisės aktai reikalavo gerų duomenų valdymo įgūdžių iš duomenų valdytojų. Jie įtraukė pareigą tvarkyti duomenis teisingai ir saugiai bei naudoti juos aiškiems ir teisėtiems tikslams. Nacionaliniai teisės aktai taip pat garantavo tam tikras asmenų teises, tame tarpe teisę būti informuotiems apie duomenų tvarkymą ir jo tikslus, teisę naudoti duomenis esant būtinumui, teisę taisyti duomenis ar juos ištrinti. Nežiūrint to, kad nacionaliniai teisės aktai, reglamentavę duomenų apsaugą, siekė garantuoti tas pačias teises, juose egzistavo tam tikri skirtumai . Šie skirtumai galėjo sudaryti kliūčių laisvam informacijos judėjimui ir sąlygoti papildomus nepatogumus ūkio subjektams ir fiziniams asmenims, riboti bendros rinkos funkcionavimą. Pagrindiniai skirtumai buvo reikalavimas registruotis ar gauti leidimą duomenų tvarkymui iš įgaliotų institucijų kai kuriose valstybėse narėse, taip pat reikalavimai laikytis skirtingų standartų ir galimi duomenų perdavimo į kitas valstybės nares apribojimai. Be to, kai kurios valstybės narės iš viso neturėjo duomenų apsaugą reglamentuojančių teisės aktų. Šios priežastys sąlygojo veiksmų būtinumą, kuris pasireiškė Europos Bendrijų direktyvomis. Siekiant pašalinti laisvo duomenų perdavimo kliūtis nepakenkiant duomenų saugumui, buvo išleista 95/46/EB Duomenų apsaugos direktyva, harmonizuojanti nacionalinius teisės aktus šioje srityje. Duomenų apsaugos direktyva taikoma kiekvienai operacijai ar operacijų rinkiniui, atliekamam su asmens duomenimis. Šios operacijos apima duomenų rinkimą, laikymą, atskleidimą ir pan. Direktyva taikoma duomenims, tvarkomiems automatiniu būdu (pvz., kompiuterinė klientų duomenų bazė) ir duomenims, kurie naudojami ar ketinami naudoti kaip dalis neautomatizuotų laikmenų kaupimo sistemų, iš kurių duomenys gali būti gaunami pagal tam tikrą kriterijų (pvz.; tradicinės popierinės bylos, kortelių failai). Duomenų apsaugos direktyva netaikoma tais atvejais, kai duomenys tvarkomi grynai asmeniniais tikslais ar namų ūkio reikmėms (pvz., asmeninis kompiuterinis dienoraštis ar failai su draugų ar šeimos narių duomenimis). Ji taip pat netaikoma valstybės saugumo, gynybos ir operatyvinės veiklos sritims, kadangi šių sričių reglamentavimas yra ne ES, o valstybių narių prerogatyva. Nacionalinė įstatyminė bazė paprastai užtikrina individų saugumą šiose srityse. Kitas žingsnis žengtas asmens duomenų apsaugos srityje Direktyvos 97/66/EB, reglamentuojančios privatumo apsaugą telekomunikacijų sektoriuje priėmimas. Direktyva numato, kad valstybės narės privalo užtikrinti telekomunikacijų konfidencialumą nacionalinėmis teisinėmis priemonėmis. Tai reiškia, kad bet koks atitinkamų institucijų nesankcionuotas klausymasis, įrašinėjimas, saugojimas ar kitoks telekomunikacijų priežiūros perėmimas yra neteisėtas. Pastaruoju metu kilo būtinybė Direktyvą 97/66/EB priderinti prie elektroninių ryšių paslaugų rinkų ir technologijų raidos, kad būtų užtikrintas vienodas asmens duomenų ir privatumo apsaugos lygis visiems elektroninių ryšių paslaugų vartotojams nepaisant to, kokia technologija būtų taikoma. EB viešųjų ryšių tinkluose imtos diegti naujos skaitmeninės technologijos, kurios kelia specifinius reikalavimus vartotojo asmens duomenų ir privatumo apsaugai. Platiesiems visuomenės sluoksniams tampa techniškai prieinami ir įperkami skaitmeniniai judrieji tinklai. Tokie skaitmeniniai tinklai, tarp jų ir internetas, turi didžiulius išteklius ir galimybes tvarkyti asmens duomenis. Internetas tradicinę rinkos struktūrą pakeičia į bendrą, pasaulinę infrastruktūrą plačios pasiūlos elektroninių ryšių paslaugoms teikti. Lengvai prieinamos interneto paslaugos atveria naujas galimybes vartotojams, bet sukelia naują grėsmę jų asmens duomenų saugumui.

Kilo būtinybė skaitmeniniams tinklams nustatyti specialias teisines nuostatas, kad būtų apsaugotos fizinių asmenų pagrindinės teisės ir laisvės bei juridinių asmenų teisėti interesai dėl didėjančių automatinio duomenų kaupimo ir tvarkymo išteklių, kuriais remiantis tvarkomi vartotojų duomenys. Siekiant anksčiau išvardintų tikslų, o taip pat išvengti kliūčių bendrai elektroninių ryšių rinkai funkcionuoti, nuspręsta Direktyvą 97/66/EB, reglamentuojančią privatumo apsaugą telekomunikacijų sektoriuje pakeisti Direktyva 2002/58/EB dėl asmens duomenų tvarkymo ir privatumo apsaugos elektroninių ryšių sektoriuje (direktyva dėl privatumo ir elektroninių ryšių).Valstybės narės iki 2003 m. spalio 31 d. turi priimti teisės nuostatas, kurios būtinos, kad būtų laikomasi šios direktyvos. Nuo tos pačios datos atšaukiama Direktyva 97/66/EB dėl privatumo apsaugos telekomunikacijų sektoriuje.Direktyva dėl privatumo ir elektroninių ryšių suderina valstybių narių teisines nuostatas, užtikrinančias vienodą pagrindinių teisių ir laisvių apsaugos lygį, ir ypač teisę į privatumą, susijusią su asmens duomenų tvarkymu elektroninių ryšių sektoriuje, užtikrinant laisvą tokių duomenų, elektroninių ryšių įrangos ir paslaugų judėjimą Bendrijoje . Įgyvendinant šiuos tikslus Direktyvos nuostatos papildo Direktyvą 95/46/EB. Ši Direktyva netaikoma veikoms, kurių neapima Europos Bendrijos steigimo sutarties taikymo sritis: veikoms, susijusioms su visuomenės saugumu, valstybės gynyba, valstybės saugumu (įskaitant valstybės ekonominę gerovę, kai atitinkamos veikos susijusios su valstybės saugumo klausimais) ir valstybės veiksmais baudžiamosios teisės srityje . Be to, joje numatyta vartotojų, kurie yra juridiniai asmenys, teisėtų interesų apsauga.

JAV ir Europos Sąjungos „Saugaus uosto“ principai

Duomenų apsaugos direktyvoje nustatytas reikalavimas, kad asmens duomenų tarptautinis perdavimas į trečiąją valstybę būtų leidžiamas tik tuo atveju, jeigu priimančioje valstybėje, kuri nėra ES narė, yra adekvatus asmens duomenų apsaugos lygis. Siekiant bendro sutarimo dėl adekvatumo sampratos JAV Komercijos departamentas pradėjo derybas su ES Komisija dėl „Saugaus uosto“ principų (Safe Harbour Principles) priėmimo . Europoje į privatumo apsaugą žvelgiama rimčiau nei JAV. Bendra JAV teisinio reguliavimo situacija asmens duomenų apsaugos srityje yra gan chaotiška. Asmens duomenų apsaugos teisinis reguliavimas vykdomas įvairiais lygiais (valstijų ir federaciniu lygiu), į vienas (medicinos, finansų) sritis atkreipiant daugiau dėmesio, kitas paliekant nuošalyje. Tuo pat metu interneto paslaugų teikėjai teigia, kad interneto aplinkoje nereikalingas valdžios kyšimasis ir aršiai gina savo pozicijas. JAV kaip ir dauguma valstybių yra priėmusi 1974 m. Privatumo aktą. Pradedant 1973 m. įvairios JAV valstybinės institucijos išskyrė pagrindinius privatumo principus, kuriuos 1979 m. apibendrino ir paskelbė JAV Sveikatos, švietimo ir socialinės gerovės departamentas, pavadindamas “Teisingo asmeninės informacijos tvarkymo principais” (Fair Information Practise Principles):– pranešimas (angl. notice) – asmens duomenų valdytojai privalo atskleisti jų naudojamą asmens duomenų tvarkymo strategiją, prieš pradėdami rinkti asmeninę informaciją iš vartotojų;– pasirinkimas (angl. choice) – vartotojams turi būti suteikiama galimybė pasirinkti kaip bus apsaugomas jų privatumas. Galimi du būdai: opt-in – šis būdas labiausiai apsaugo privatumą, nes asmens duomenys renkami tik subjektui davus aiškų sutikimą;opt-out – visada galima tvarkyti asmens duomenis , išskyrus atvejus kai asmens duomenų subjektas tam prieštarauja;– priėjimas (angl. access) – asmens duomenų subjektui turi būti suteikta galimybė susipažinti su apie jį renkamais duomenimis, bei juos pataisyti. Reikalaujamo priėjimo būdas priklauso nuo renkamos informacijos pobūdžio, rinkimo tikslo ir pan. Jautriems ir identifikuojantiems duomenims gali reikėti griežtesnių standartų, nes juos žymiai svarbiau pataisyti, o kartais ir susipažinti su jais;– saugumas (angl. security) – asmens duomenų valdytojas privalo imtis protingų priemonių, kad iš asmenų surinkta informacija būtų tiksli, nauja, saugi nuo bet kokio neteisėto jos panaudojimo;– įgyvendinimas (angl. enforcement) – reikalingos tam tikros priemonės aukščiau minėtiems principams įgyvendinti. Pagrindinis “Saugaus uosto” principų tikslas – skatinti ir vystyti prekybą bei komercinius santykius tarp JAV ir Europos Sąjungos. Įtvirtinti septyni “Saugaus uosto” principai, iš kurių keturi (pranešimas, pasirinkimas, saugumas, priėjimas) perimti iš JAV “Teisingo asmeninės informacijos tvarkymo principų”, o kiti labiau susiję duomenų trečiosioms šalims:– duomenų valdytojas privalo suteikti duomenų subjektams galimybę pasirinkti, ar jie nori, kad apie juos surinkta informacija būtų perduota ar atskleista trečiosioms šalims; – duomenų valdytojas turi teisę surinktus asmens duomenis tvarkyti tik tais tikslais, kuriems jie buvo surinkti taip pat privalo užtikrinti, turimi asmens duomenys būtų tikslūs, pakankamai pilni ir nauji;– turi būti prieinamos teisinės gynybos priemones, esant reikalui turi būti atlyginti nuostoliai; asmens duomenų valdytojai turi būti tikrinami kaip laikosi privatumo apsaugos principų.Kiekvienas asmens duomenų valdytojas gali prisijungti ir įsipareigoti laikytis “Saugaus uosto” principų.

DUOMENŲ RENKAMŲ INTERNETO APLINKOJE IR ASMENS DUOMENŲ SANTYKIS

Duomenų renkamų interneto aplinkoje ir asmens duomenų santykio problema yra svarbi, siekiant išsiaiškinti ar anksčiau aptarti duomenys , surinkti interneto aplinkoje, gali būti laikomi asmens duomenimis. Asmens duomens sąvoka šiuo metu yra apibrėžta trijuose tarptautiniuose teisės aktuose: Duomenų apsaugos direktyvoje, Strasbūro konvencijoje dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu, EBPO Rekomendacijoje dėl asmens privatumo apsaugos ir asmens duomenų judėjimo tarp valstybių narių gairių. Visuose teisės aktuose pateikiamos sąvokos atsirado, esant centralizuotai asmens duomenų tvarkymo sistemai, kurioje priėjimas prie asmens duomenų galėjo būti tik fizinis, o kopijavimas ir kitoks rinkimas ar perdavimas buvo gan sudėtingas. Interneto aplinkoje šie procesai radikaliai pasikeitė. Šioje vieningoje informacinėje erdvėje vyksta neaprėpiama duomenų cirkuliacija, žymiai paprastesni tapo jų kaupimo, apdorojimo, analizavimo būdai. Vertinant, ar naudojant interneto technologijas surinkti duomenys (asmens palikti pėdsakai internete) gali būti laikomi asmens duomenimis, kyla daug abejonių. Daugelį interneto aplinkoje surinktų duomenų galime sieti tik su kompiuteriu. Duomenys internete renkami TCP/IP protokolo, naršyklės sisteminių pranešimų, nematomų nuorodų į kitus tinklapius, slapukų pagalba. Interneto protokolo adresai skirstomi į judrius ir fiksuotus IP adresus. Judrūs IP adresai nurodo duomenų judėjimo maršruto išraišką, kurią kiekvienam naudotojo kompiuteriui priskiria paslaugų teikėjas, suteikiantis priėjimą prie interneto. Vis dėlto, bet kokie tretieji asmenys IP adreso pagalba gali nustatyti tik interneto paslaugų teikėjo tapatybę. Tuo tarpu interneto paslaugų teikėjas IP adresą gali susieti su konkrečiu interneto naudotoju ar kompiuteriu ir tokiu būdu atskleisti individualaus naudotojo tapatybę. Interneto svetainės dažnai reikalauja, kad naudotojai nurodytų savo vardą ir kitus duomenis. Gavęs šiuos duomenis svetainės valdytojas gali tokiam vardui priskirti IP adresą ir stebėti tokį asmenį paskesnių interneto operacijų metu. Tačiau jeigu naudotojas neatskleidžia jokios kitos informacijos ir tarp svetainės serverio bei naudotojo interneto paslaugų teikėjo nėra jokio ryšio, lankomų svetainių valdytojai užfiksuotą IP adresą tegali susieti su naudotojo interneto paslaugų teikėjo, o ne konkretaus naudotojo, tapatybe. Fiksuoti IP adresai, priešingai nei judrūs, kiekvieno apsilankymo internete metu visuomet identifikuoja vieną ir tą patį konkretų kompiuterį. Tačiau jeigu kompiuteris buvo identifikuotas, ar tai reiškia, kad yra identifikuojamas ir konkretus individas? Paprastai laikomasi nuomonės, kad fiksuotas IP adresas yra labiau kvalifikuotinas kaip asmeninė informacija, lygiai kaip telefono numeriai, kurie kai kuriose EB valstybėse narėse pripažįstami asmens duomenimis. Tokios pačios prielaidos gali būti taikomos ir slapukams: vienavertus jie identifikuoja tik tam tikrą kompiuterį, kitavertus juose gali būti įvairi informacija, surinkta, interneto paslaugų vartotojui peržiūrinėjant internetinius puslapius, atliekant kitus veiksmus interneto aplinkoje. Šie duomenys gali būti pakankami asmens identifikacijai.Tas pačias išvadas galima daryti kalbant apie naršyklės sisteminių pranešimų, nematomų nuorodų į kitus tinklapius pagalba renkamus duomenis, kai jie naudojami susiejus juos su kita informacija. Būtų nelogiška ir teisiškai nepagrįsta tokią svarbią duomenų perdavimo priemonę kaip internetas išskirti iš asmens duomenų teisinės apsaugos aprėpiamų sričių. Dėl to asmens duomenų apsauga turi būti rūpinamasi nepriklausomai nuo asmens duomenų tvarkymo priemonių. Kadangi Duomenų apsaugos direktyvoje laikomasi technologinio neutralumo principo , galima teigti, kad jos normos apima ir internetą. Priimant Duomenų apsaugos direktyvą buvo siekiama kiek įmanoma aukštesnio lygio asmens duomenų apsaugos visoje Bendrijoje, tačiau lygiavertė apsauga sunkiai pasiekiama. Priėmus šią direktyvą įgyvendinančias nacionalinės teisės normas, paaiškėjo, kad nacionaliniai įstatymai nevisiškai vienodai vertina interneto aplinkoje surinktus asmens duomenis. 1998 m. Belgijoje priimtame įstatyme nėra normos, kuria remiantis galėtume spręsti ar naršymo duomenys ir kita interneto aplinkoje renkama informacija apie asmenį gali būti laikoma asmens duomenimis. Belgijoje asmens duomenimis nėra laikomi tokie duomenys, kurie protingų valdytojo pastangų dėka negali būti susieti su jokiu konkrečiu individu (anoniminiai duomenys). Tačiau, jeigu anoniminius duomenis susiejus su pagalbine informacija, tampa įmanomas asmens identifikavimas, tokių duomenų nebegalima laikyti anoniminiais. Akivaizdu, kad tokiu atveju naršymo duomenys, IP adresai ir kt. pagal Belgijos teisę, laikomi asmens duomenimis.Panaši praktika buvo ir Prancūzijoje, kur 1978 m. priimtame duomenų apsaugos įstatyme, neišskiriami interneto aplinkoje surinkti duomenys apie asmenis. Savo ruožtu Prancūzijos asmens duomenų priežiūros tarnyba pripažino IP adresus ir slapukuose esančią informaciją asmens duomenimis. Strasbūro konvencijoje dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu asmens duomenimis pripažįstama informacija, kuria remiantis galima nustatyti asmens tapatybę . Analogiškai galime daryti išvadą: jei naršymo duomenis susiejus su kitais duomenimis apie asmenį, galima nustatyti jo tapatybę, vadinasi tokius duomenis galime laikyti asmens duomenimis.

Įvertinus visą anksčiau pateiktą informaciją galima daryti vieningą išvadą, kad interneto aplinkoje surinkti duomenys apie asmenis, jei juos susiejus su kitais duomenimis galima identifikuoti asmenį, turi būti laikomi asmens duomenimis.

ASMENS DUOMENŲ SUBJEKTO TEISĖS

Pagrindinė teisės aktų reguliuojančių asmens duomenų apsaugą prielaida – siekti, kad, kuriant duomenų tvarkymo sistemas, būtų tarnaujama žmogui, gerbiamos jo pagrindinės teisės ir laisvės. Šiuo metu tik Europos Sąjunga ir Europos Taryba yra priėmusios teisės aktus, išsamiai reglamentuojančius asmens duomenų apsaugą, todėl toliau šioje studijoje, aptariant asmens duomenų subjektų teises, duomenų valdytojų pareigas ir kitus su asmens duomenų tvarkymu susijusius aspektus, bus vadovaujamasi minėtais teisės aktais. Pagal Europos Sąjungos Direktyvą dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo 95/46/EB asmuo, iš kurio duomenys yra renkami, gali reikalauti duomenų apie valdytojo tapatybę, tikslus, dėl kurių ketinama tvarkyti šiuos duomenis; duomenų gavėjus , tačiau šie reikalavimai netaikomi, kai duomenų subjektas jau turi tokią informaciją . Kita svarbi teisė, kurią numato Direktyva 95/46/EB – kad duomenų valdytojas be apribojimų, priimtinais laiko tarpais, per daug nedelsiant ir be pernelyg didelių išlaidų, pateiktų: – patvirtinimą, ar su juo susiję duomenys yra tvarkomi, ir informaciją apie tvarkymo tikslus, duomenų kategorijas, gavėjus, kuriems atskleidžiami duomenys, arba jų kategorijas ; – pranešimą apie tvarkomus duomenis ir bet kurią prieinamą informaciją apie jų šaltinius (šią informaciją duomenų subjektas turi teisę gauti nepriklausomai nuo to, ar duomenys buvo surinkti tiesiogiai iš jo, ar gauti iš trečiųjų šalių. Šiuo atveju galimos išimtys, jei pateikti šią informaciją ypatingai sunku arba neįmanoma, arba jei įstatymai numato informacijos nesuteikimą); – informaciją apie loginius metodus, naudojamus automatiškai tvarkant duomenis apie duomenų subjektą, bent tais atvejais, kai siekiama įvertinti tam tikrus asmeniškus su juo susijusius aspektus, kaip darbingumas, kreditingumas, patikimumas, elgesys ir pan. (kai kurie sprendimai, smarkiai įtakojantys duomenų subjektą (pvz., sprendimas išduoti ar neišduoti paskolą arba draudimo polisą) gali būti priimti vien tik remiantis rezultatu, gautu automatiniu būdu apdorojus duomenis. Dėl to duomenų valdytojai turi numatyti tam tikrus saugiklius, pvz., galimybę duomenų subjektui diskutuoti dėl sprendimų priėmimo racionalumo po duomenų surinkimo, arba ginčyti sprendimus, paremtus netiksliais duomenimis);– tinkamai pataisyti, panaikinti arba blokuoti duomenis, kurie tvarkomi nesilaikant šios direktyvos nuostatų, o ypač, kai tie duomenys yra neišsamūs ar netikslūs;– pranešti trečiosioms šalims, kurioms duomenys buvo atskleisti, kad duomenys buvo ištaisyti, ištrinti ar blokuoti, nebent tai padaryti būtų neįmanoma arba pernelyg sunku . Šios teisės gali būti apribojamos, kai norima užtikrinti nacionalinį saugumą, visuomenės saugumą, gynybą, svarbius ekonominius ar finansinius valstybės narės ar Europos Sąjungos interesus, duomenų subjekto apsaugą arba kitų asmenų teisių ir laisvių apsaugą, stabdyti nusikalstamumą. Be to, kai nėra jokio pavojaus pažeisti duomenų subjekto privatumą, valstybės narės gali apriboti anksčiau išvardintas teises, jeigu duomenys yra tvarkomi tik mokslinių tyrimų tikslais arba jeigu jie yra laikomi asmens duomenų pavidalu ne ilgiau, nei yra reikalinga tik statistikos sumetimais. Taip pat duomenų subjektui Europos Sąjungoje suteikiama teisė prieštarauti duomenų apie jį tvarkymui, išskyrus, kai nacionaliniai įstatymai nustato kitaip; prieštarauti, kad būtų tvarkomi su juo susiję duomenys, jei įtaria, kad duomenų valdytojas tvarko juos tiesioginio pardavimo tikslais. Reikalaujama, kad duomenų subjektas būtų informuotas, prieš atskleidžiant asmens duomenis trečiosioms šalims pirmą kartą arba prieš panaudojant juos trečiųjų šalių vardu tiesioginio pardavimo tikslais. Bet koks asmens duomenų rinkimas iš individo per interneto tinklapį reiškia išankstinį tam tikros informacijos suteikimą. Interneto paslaugos teikėjas privalo informuoti vartotoją, kokie jo tinklo srauto duomenys yra tvarkomi ir kaip ilgai tai bus daroma. Todėl realiausia įvykdyti anksčiau minėtą reikalavimą, nurodyti valdytojo ir, kur reikia, jo atstovo fizinį bei elektroninį adresą. Intereneto svetainėje turi būti aiškiai nurodyti tvarkymo tikslai, kuriais valdytojas renka duomenis internetu. Būtina nurodyti teiksimos informacijos pobūdį: privalomas ar pasirenkamas . Renkant bet kokius duomenis, svetainės turi nurodyti, ar surinkti duomenys bus atskleidžiami ar prieinami trečioms šalims – pvz., verslo partneriams, dukterinėms įmonėms ir pan., ir kodėl (kitais nei reikalaujamos paslaugos suteikimas tikslais ir tiesioginės rinkodaros tikslais ). Šiuo atveju interneto paslaugų vartotojai turi turėti realią galimybę prieštarauti dėl duomenų atskleidimo internetu kitais nei reikalaujamos paslaugos suteikimas tikslais, paspaudžiant mygtuką . Kadangi teisė prieštarauti gali būti panaudota bet kuriuo metu, tai galimybė pasinaudoti ja internetu taip pat turi būti paminėta informacijoje, pateikiamoje duomenų subjektui.Papildomai, interneto paslaugų vartotojas turi būti informuotas apie interneto svetainės serverio srities (domeno) vardą, kuriuo perduodami automatiškai renkami duomenys, rinkimo tikslą, jo galiojimo laiką, taip pat ar sutikimas su tokiu rinkimu yra būtinas norint aplankyti svetainę, ar bet kuriam interneto naudotojui prieinama galimybė prieštarauti dėl jų naudojimo, taip pat ir jų nenaudojimo pasekmės. Informacija ir prieštaravimo rinkimui galimybė turi būti nurodyta prieš naudojant bet kokias automatizuotas procedūras , kurios skatina vartotojo kompiuterį susisiekti su kita svetaine, pvz. kai vartotojas automatiškai vienos svetainės vedamas į kitą, kad peržiūrėtų reklamą “reklamos juostelių” pavidalu, panaikinant galimybę šiai antrai svetainei rinkti duomenis be vartotojo žinios.Kai slapukai ir kiti panašūs priemonės naudojami teisėtais tikslais, pavyzdžiui, palengvinti paslaugų teikimą žinių visuomenei, tai leistina su sąlyga, jeigu vartotojai aiškiai ir tiksliai informuojami apie slapuko naudojimo tikslus. Vartotojui turi būti garantuojama galimybė atsisakyti slapuko ar kitos panašios priemonės. Informacija, kaip tokios priemonės bus naudojamos, vartotojui pateikiama kartu su informacija apie teisę jų atsisakyti prieš įrengiant vartotojo terminalinėje įrangoje grupę tokių įvairių įtaisų vienu prijungimu, kartu nurodoma, kaip jie galės būti panaudojami po vėlesnių prijungimų. Informacija pateikiama, atsisakymo teisė primenama arba vartotojo sutikimo prašoma kuo malonesniais vartotojui būdais. Priėjimas prie tam tikrų tinklalapių turinio vartotojui gali būti siejamas su jo aiškiai išreikštu sutikimu priimti slapuką, naudojamą teisėtais tikslais. Tokiais atvejais, kur kiti duomenų valdytojai yra įtraukti į asmens duomenų rinkimą, duomenų subjektui turi būti suteikta informacija apie kiekvieno duomenų valdytojo tapatybę, ir kiekvieno duomenų valdytojo tvarkymo tikslus. Informacija turi būti pateikiama visomis svetainėje naudojamomis kalbomis ir ypač tose vietose, kur bus renkami asmens duomenys.ES Darbo grupė asmenų apsaugai, tvarkant asmens duomenis patvirtino, kad elektroninio pašto adresai, surinkti interneto aplinkoje, pvz., naujienų grupėse, be asmens žinios yra surinkti neteisėtai (nesąžiningai). Sąžiningas ir teisėtas rinkimas reiškia, kad duomenų subjektai buvo informuoti apie informacijos panaudojimo komercinei tiesioginei rinkodarai galimybę, ir tiesiogiai informacijos rinkimo metu (mygtuko paspaudimu interneto svetainėje) galėjo duoti sutikimą rinkti šiuos duomenis. Dėl to nesąžiningai surinkti elektroninio pašto adresai negali būti naudojami jokiu kitu tikslu nei tuo, dėl kurio buvo paskelbti viešai, ir ypač tiesioginės rinkodaros tikslais. Reklaminio pobūdžio elektroninio pašto siuntimas tokiomis sąlygomis taip pat turi būti palydimas galimybės internetu atsisakyti gauti tokį paštą. Strasbūro konvencijoje dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu reikalaujama, kad visiems asmenims būtų suteikta galimybė nustatyti, ar yra automatizuota asmens duomenų rinkmena, jos pagrindinius tikslus, duomenų valdytojo tapatybę ir nuolatinę gyvenamąją ar pagrindinę veiklos vietą, gauti patvirtinimą, ar asmens duomenys yra saugomi automatizuotai. Esant tam tikrų netikslumų ar teisės normų pažeidimų asmens duomenų subjektas gali reikalauti, kad jo asmens duomenys būtų ištrinti arba ištaisyti, o jei jo reikalavimų nepaisoma, turi būti užtikrinamos teisinės gynimo priemonės . Konvencijos nuostatos leidžia nepaisyti šių teisių, siekiant apsaugoti tuos pačius interesus, kuriuos įvardijo ir Duomenų apsaugos direktyva. Jei duomenų subjektas mano, kad jo teisės buvo pažeistos gali kreiptis į nacionalinę duomenų apsaugos priežiūros instituciją. Ši institucija yra kompetentinga priimti nusiskundimus iš bet kurio asmens. Priežiūros institucija privalo išnagrinėti skundą ir gali laikinai sustabdyti duomenų tvarkymą. Jei duomenų apsaugos priežiūros institucija nustato duomenų apsaugos pažeidimus, ji gali reikalauti sunaikinti duomenis ir/arba sustabdyti tolesnį duomenų tvarkymą. Jei duomenų apsaugos priežiūros institucijos priimtas sprendimas netenkina duomenų subjekto,jis gali kreiptis į teismą. Teisminis nagrinėjimas gali būti būtinas tuo atveju, jei duomenų subjektas dėl teisių pažeidimo patyrė nuostolių – teismas gali priteisti nuostolių atlyginimą. Kiekvienas fizinis asmuo gali pateikti skundą Europos Komisijai dėl įtariamo ES teisės pažeidimo valstybėje – narėje. Komisija atsakinga už teisingą Bendrijos teisės aktų taikymą valstybėse – narėse. Jei būtina, Komisija joms primena apie jų pareigas priimant Bendrijos teisės nuostatus laiku ir juos tinkamai įdiegiant. Kai kuriais atvejais, kai valstybės – narės netinkamai vykdo savo įsipareigojimus, Komisija gali inicijuoti bylą Europos Teisingumo Teisme, kuris nuspręs, ar buvo pažeisti Bendrijos teisės aktai.

ASMENS DUOMENŲ VALDYTOJŲ PAREIGOS

Duomenų valdytojais yra fiziniai arba juridiniai asmenys, tiek privačiame, tiek valstybiniame sektoriuje (praktikuojantis terapeutas paprastai yra savo klientų duomenų valdytojas; įmonė yra savo klientų ir darbuotojų duomenų valdytoja; sporto klubas valdo savo narių duomenis, o viešoji biblioteka – skaitytojų). Interneto aplinkoje asmens duomenų tvarkymo požiūriu galima išskirti šiuos veikėjus:

a) interneto paslaugų teikėjai, kurie teikia duomenų saugojimo, perdavimo ir pateikimo paslaugas;b) interneto programinės įrangos kūrėjai, kurie pateikia programas, būtinas naršymui po internetą;c) pardavėjai, siūlantys savo produktus internete;d) rinkodaros įmonės, patalpinančios savo reklaminius pranešimus, skelbimus naudotojų lankomuose tinklapiuose;e) bankai, finansinės institucijos, siūlantys įvairias mokėjimo priemones. Pagal ES direktyvą 95/46/EB asmens duomenų valdytojai turi laikytis tam tikrų principų, siekiančių ne tik apginti duomenų subjektus, bet ir įdiegti gerus verslo įpročius bei sukurti efektingą ir patikimą duomenų valdymą. Kiekvienas duomenų valdytojas turi laikytis duomenų tvarkymo taisyklių, reglamentuojamų valstybės – narės, kurioje jis yra įsikūrę, teisės aktuose, net ir tuo atveju, jei tvarkomi duomenys priklauso kitoje valstybėje – narėje gyvenančiam asmeniui. Jei duomenų valdytojo buveinės adresas yra už ES ribų (pvz., užsienio kompanija), jis privalo laikytis tos valstybės – narės įstatymų, kurioje yra duomenų tvarkymo įranga (pvz., kompiuterių centras). Iš duomenų valdytojų reikalaujama, kad:– duomenys būtų tvarkomi teisingai ir teisėtai (dažniausiai slapukai nustatomi ir naudojami be interneto paslaugų vartotojo žinios. Negana to, užslėptu tampa ir bet koks tolesnis asmeninės informacijos, nustatytos slapukų pagalba, tvarkymas, judėjimas. Taigi, akivaizdu, kad slaptas slapukų naudojimas yra nesuderinamas su reikalavimu, kad asmens duomenys būtų tvarkomi teisėtai ir teisingai bei bendruoju principu, kad duomenys turi būti surinkti įvardytais, aiškiai apibrėžtais ir teisėtais tikslais. );– duomenys būtų renkami aiškiai išreikštiems ir teisėtiems tikslams bei atitinkamai tvarkomi; jei duomenų tvarkymo tikslai keičiasi apie tai turi būti informuotas duomenų subjektas (interneto aplinkoje gali būti sunku duomenų subjektą informuoti apie pakitusį duomenų tvarkymo tikslą. Galimas sprendimas – vietoje bendro, abstraktaus sutikimo, duoto visoms ir bet kokioms subjekto duomenų tvarkymo operacijoms, interaktyvumas suteikia galimybę pačiam subjektui moduliuoti jo sutikimą. Skirtingais laiko tarpais ekrane gali pasirodyti pranešimas, skelbiantis, kad „jeigu jūs norite “eiti toliau”, turite sutikti suteikti ar atskleisti tokią informaciją”. Subjektas gali akceptuoti dalį operacijų, bet atsisakyti suteikti daugiau asmeninės informacijos tam tikrais duomenų tvarkymo etapais, ar tam tikrai siūlomos paslaugos daliai. Dar daugiau, duomenų subjektas gali akceptuoti ne visus, o tik tam tikrus jo asmeninės informacijos pakartotinius panaudojimus );– duomenys atitiktų jų tvarkymo tikslus ir neviršytų būtinų tiems tikslams apimčių; – duomenys būtų tikslūs ir, jei būtina, reguliariai atnaujinami; – užtikrinti galimybę duomenų subjektams taisyti, trinti ar blokuoti neteisingus duomenis apie juos; – užtikrinti, kad duomenys, identifikuojantys asmenis, nebūtų saugomi ilgiau nei būtina; – pranešti duomenų apsaugos priežiūros institucijoms apie tai, kad jie tvarko duomenis . Tvarkyti asmens duomenis leidžiama, jei yra išpildytos šios sąlygos: – duomenų subjektas po to, kai buvo atitinkamai informuotas, nedviprasmiškai pareiškė savo sutikimą;– duomenų tvarkymas yra būtinas sutarčių, kuriose viena iš šalių yra duomenų subjektas, įgyvendinimui arba sutarčių, kurių iniciatorius buvo duomenų subjektas, pasirašymui;– duomenų tvarkymas yra privalomas pagal įstatymus; – duomenų tvarkymas yra būtinas siekiant apginti esminius duomenų subjektų interesus;– duomenų tvarkymas yra būtinas atliekant visuomenės interesus tenkinančias užduotis, arba kai šias užduotis atlieka valstybinės institucijos (pvz., vyriausybė, mokesčių institucijos, SODRA, policija ir pan. ); – duomenys gali būti tvarkomi, jei duomenų valdytojas ar trečioji šalis turi teisėtus interesus tai daryti. Tačiau duomenų valdytojo interesai negali būti aukštesni už duomenų subjekto interesus ar jo pagrindines teises, ypač jei tai susiję su asmens teise į privatumą. Praktikoje ši nuostata reikalauja pagrįsto duomenų valdytojų verslo interesų ir teisės į asmenų privatumą subalansavimo. Interneto aplinkoje renkant asmens duomenis ir siekiant įgyvendinti Direktyvos 95/46/EB reikalavimus, duomenų valdytojai privalo: – pateikti tarnybos ar asmens, atsakingo už atsakymus į klausimus, susijusius su asmens duomenų apsauga, pavadinimą ir adresą (fizinį ir elektroninį);– aiškiai paminėti automatinių duomenų rinkimo procedūrų egzistavimą prieš pradedant naudoti tokį metodą bet kokių duomenų rinkimui;– nurodyti saugumo priemones, garantuojančias svetainės autentiškumą, tinklu perduodamos informacijos vientisumą ir konfidencialumą (ši informacija gali būti pateikta naudojant “iššokančio“, papildomo (angl. “pop-up”) lango techniką). Pranešant apie saugumo lygį, perduodant duomenis iš interneto paslaugų vartotojo įrangos į interneto svetainę, galima būtų talpinti tokio pobūdžio antraštę: “Jūs įeinate į saugią sesiją” arba naudoti specifinių rakto ar spynos formos piktogramų pasirodymą. – informuoti apie privatumo politiką: informacija apie privatumo politiką (įskaitant būdus kaip pasinaudoti teise susipažinti su duomenimis) turėtų būti tiesiogiai prieinama iš pagrindinio interneto svetainės puslapio (home page) ir visur kitur, kur asmens duomenys renkami internetu. Galima naudoti tokias antraštes: „Mes renkame ir tvarkome jūsų asmens duomenis. Jei norite išsamesnės informacijos, spauskite čia” arba “Asmens duomenys ar privatumo apsauga”. Ypač griežtos taisyklės Direktyvoje 95/46/EB dėl asmens duomenų apsaugos taikomos, tvarkant ypatingus duomenis (duomenis apie rasinę ar etninę kilmę, politines pažiūras, religinius ir filosofinius įsitikinimus, narystę profesinėse sąjungose, duomenis apie sveikatą ir seksualinę orientaciją). Interneto aplinkoje surinkti duomenys gali atskleisti asmens moraliniu, socialinius, religinius ir kitus įsitikinimus. Iš esmės šie duomenys negali būti tvarkomi; nukrypimai nuo šios taisyklės galimi tik ypatingomis aplinkybėmis. Ypatingomis aplinkybėmis laikoma: aiškiai išreikštas duomenų subjekto sutikimas tvarkyti ypatingus duomenis – paprasčiausias problemos sprendimo būdas, kai duomenys renkami interneto aplinkoje; teisė tvarkyti tokius duomenis remiantis darbo santykius reglamentuojančiais įstatymais; duomenų subjekto negalėjimas pateikti sutikimo dėl nesąmoningumo (pvz., nukentėjus autoavarijoje), duomenų subjektas viešai paskelbė apie duomenų tvarkymą, duomenis apie narius tvarko profesinės sąjungos, politinės partijos ar bažnyčios. Valstybėms – narėms suteikiama teisė nustatyti papildomas ypatingas aplinkybes, jei manoma, kad bus patenkinti visuomenės interesai.Direktyvoje 95/46/EB reikalaujama, kad duomenų valdytojas įgyvendintų tinkamas technines ir organizacines priemones, skirtas apsaugoti, kad asmens duomenys nebūtų netyčia ar neteisėtai sunaikinti ar netyčia prarasti, pakeisti, neleistinai atskleisti ar palikti prieinami ir apsaugotų nuo bet kokių kitų neteisėtų tvarkymo būdų. Interneto aplinkoje saugumas turėtų būti užtikrinamas įvertinant galimas rizikas, kurias gali patirti asmens duomenų valdytojas, prijungdamas savo kompiuterinį tinklą prie interneto, taip pat svarbu įvertinti saugotinų duomenų pobūdį.

ASMENS DUOMENŲ PERDAVIMAS Į TREČIĄSIAS VALSTYBES

Asmens duomenų perdavimas trečiajai valstybei (ne ES narei) Direktyvos 95/46/EB dėl asmens duomenų apsaugos prasme galimas tik tada, kai trečioji valstybė užtikrina tinkamas apsaugos garantijas . Apsaugos garantijų tinkamumas įvertinamas atsižvelgiant į visas duomenų perdavimo aplinkybes: duomenų rūšis, tvarkymo tikslas ir trukmė, trečiosios valstybės įstatymai, saugumo priemonės. Tokiu būdu Direktyvoje 95/46/EB pasaulis suskirstomas į keturias duomenų apsaugos zonas:– Europos Sąjunga, kur taikomi vienodi duomenų apsaugos standartai,– Europos Ekonominio Bendradarbiavimo sutarties šalys ir valstybės susijusios su ES Europos sutartimis (tarp jų ir Lietuva), kurios perkėlė į nacionalinius teisės aktus ES taikomus asmens duomenų apsaugos reikalavimus,– valstybės, kurios pagal ES Komisijos vertinimą suteikia tinkamus duomenų apsaugos standartus,– likusios pasaulio valstybės neturinčios tinkamų asmens duomenų apsaugos standartų. Išimtys kai galima nepaisyti asmens duomenų apsaugos garantijų, leidžiamos su sąlyga, kad:– duomenų subjektas tam davė sutikimą,– duomenų perdavimas būtinas sutarties vykdymui dėl duomenų subjekto interesų,– duomenų perdavimas būtinas gyvybiškai svarbiems duomenų subjekto interesams ginti,– duomenis perduoti būtina dėl svarbių visuomeninių interesų arba norint nustatyti, įvykdyti ar apginti teisinius ieškinius,– duomenys perduodami iš registro, kuris pagal įstatymus ir norminius aktus turėtų suteikti informacijos visuomenei ir kuriuo gali naudotis plačioji visuomenė arba bet kuris teisėtai reikalaujantis asmuo, tačiau kiekvienu konkrečiu atveju turi būti įvykdytos įstatymo numatytos naudojimosi tokiu registru sąlygos. Visi šie reikalavimai ir suskirstymas į keturias duomenų apsaugos zonas sunkiai įgyvendinami pasaulinės komunikacijos tinklų aplinkoje: naujųjų technologijų pagalba asmens duomenys gali būti itin lengvai ir netgi nepastebimai perduoti už ES ribų. Trečiosios valstybės asmens duomenų apsaugos lygis turi būti įvertintas dar prieš sankcionuojant duomenų judėjimą – tai padaryti labai sudėtinga. Kai informacija perduodama į trečią šalį, kurioje negarantuojamas adekvatus duomenų apsaugos lygis, sunku užtikrinti, kad duomenų perdavimas įvyks tik tuo atveju, kai jis atitinka vieną iš atvejų, nurodytų Direktyvos 95/46/EB 26 str.. Duomenų perdavimo į trečiąsias šalis atveju būtina informuoti interneto paslaugų vartotoją apie adekvačias garantijas, teikiamas siekiant perdavimą padaryti teisėtu, tačiau interneto aplinkoje tai padaryti yra itin sudėtinga. Todėl dažniausiai praktikoje duomenys į trečiąsias šalis perduodami taikant išimtines Direktyvos 95/46/EB 26 str. numatytas sąlygas.Labai svarbu kalbant apie duomenų perdavimą į trečiąsias šalis įvertinti paslėptus duomenų srautus. Slapukų pagalba gali būti surinkti didžiuliai asmeninės informacijos apie EB vartotojus kiekiai, tačiau jeigu duomenų subjektai nei apie tokį jų duomenų rinkimą, nei apie tokios informacijos perdavimą į trečiąsias valstybes nieko nežino. Tokiu atveju, jie nelaikomi duomenų siuntėjais. Todėl ir pats procesas turėtų būtų laikomas ne duomenų perdavimu, o duomenų gavėjo atliekamu duomenų rinkimas. Kadangi tokiu atveju valdytojas yra įsteigtas už EB ribų, tačiau naudojasi įranga, esančia vienoje iš EB narių, tokiai tvarkymo operacijai taikytinas Direktyvos 95/46/EB 4 str. 1 d. c) p., todėl toks duomenų valdytojas privalo laikytis Direktyvos įtvirtintų reikalavimų . Kita situacija susijusi su interneto naudotojo paliekamais apsilankymo internete pėdsakais. Netgi jeigu tokia informacija gali būti laikoma asmens duomenimis, jos judėjimas nepripažintinas asmens duomenų perdavimu Direktyvos 95/46/EB 25 str. prasme ir tikslais, kadangi pats duomenų subjektas nieko nežino apie tokius jo duomenų srautus. Duomenų gavėjui esant įsteigtam už EB ribų, EB duomenų subjektas dėl jo naršymo duomenų tvarkymo netenka bet kokios teisinės apsaugos, kadangi remiantis Direktyvos 95/46/EB 4 str. tokiam tvarkymui netaikytini Direktyvos reikalavimai.

Strasbūro konvencija dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu yra žymiai palankesnė laisvam informacijos judėjimui tarp valstybių. Konvencijoje nustatyta, kad valstybės negali drausti tarpvalstybinio asmens duomenų judėjimo arba jo atžvilgiu nustatyti specialių sąlygas, remdamosios vien tik privatumo apsaugos užtikrinimo tikslais. Nukrypti nuo šio reikalavimo leidžiama, jeigu jos įstatymuose yra konkrečios nuostatos dėl tam tikrų asmens duomenų arba automatizuotų asmens duomenų rinkmenų pobūdžio, nebent, kai kitos šalies nuostatose nustatyta tokia pat apsauga; jeigu duomenys iš vienos valstybės į kitą valstybę, kuri nėra šios konvencijos dalyvė, perduodami per kitos valstybės tarpininką, vengiant šiais perdavimais pažeisti pirmosios valstybės įstatymus.

SAVIREGULIACIJA INTERNETE

Anglo – Amerikietiškas teisės tradicijas puoselėjančiose šalyse įprasta kurti elgesio kodeksus, užuot didinus specializuotų įstatymų kiekį. Direktyva 95/46/EB skatina rengti elgesio kodeksus, palengvinančius direktyvos taikymą. Didžiausią praktinį pritaikomumą įgavusi savireguliacinė priemonė: “pasitikėjimo žymėjimas” – jis išreiškiamas “pasitikėjimo ženklo” (angl. trustmark) patalpinimu interneto svetainėje. Konfidencialumo žymė yra suteikiama kompanijoms, kurios tenkina visus reikalavimus, numatytus žymėjimo organizacijos. Ši organizacija gali vykdyti tam tikro pobūdžio kontrolę, ar kompanijos, turinčios tokias žymes, laikosi jų skelbiamos konfidencialumo politikos, atliekant reguliarius tokių kompanijų veiklos patikrinimus. Kai kuriais atvejais žymėjimo organizacija taipogi užsiima skundais, pareikštais duomenų subjektų kompanijoms su tokia žyme jų interneto svetainėse.Tokios organizacijos yra TRUSTe, Privaseek, Better Business Bureau, WebTrust ir kitos . Savireguliaciją taip pat skatina ir tokių organizacijų buvimas, kaip On Line Privacy Alliance , kuris buvo įsteigtas 1998 m. Jos nariai įsipareigojo įgyvendinti “Online privatumo Gaires”, pagrįstas EBPO asmens privatumo apsaugos ir asmens duomenų judėjimo tarp valstybių narių gairėmis. Panašų vaidmenį atlieka Information Technology Industry Council , sprendžianti asmens duomenų apsaugos problemas interneto kontekste.

IŠVADOS

Apibendrinant šį magistro baigiamąjį darbą reikia pastebėti, asmens duomenų teisinės apsaugos reguliavimas interneto kontekste nėra pakankamas. Tokia padėtis yra sąlygota dviejų pagrindinių veiksnių – pirma, interneto santykiai ne visose valstybėse yra pakankamai išvystyti, dėl to daugelis šiame darbe aptartų problemų jose dar neegzistuoja arba nėra pakankamai akivaizdžios; antra, dėl milžiniškų informacinių technologijų vystymosi tempų teisės mokslas nebesuspėja tinkamai išnagrinėti ir įvertinti naujai atsirandančių santykių dėl ko teisės normos tik iš dalies sprendžia praktines problemas. Tuo pat metu daugelis autorių pateikia skirtingas nuomones, kaip spręsti iškilusias problemas, o teismų sprendimų asmens duomenų teisinės apsaugos reguliavimo interneto kontekste klausimais iš viso nėra. Darbe buvo atskleistos interneto kontekste kilusios asmens duomenų apsaugos problemas, nurodomi galimi sprendimo būdai, priderinti prie dabar galiojančių teisės aktų. Atsižvelgiant į tai būtina išskirti ir sistemiškai pristatyti pagrindines šio darbo išvadas:

1. Asmens duomenų apsaugos koncepcijos formavimasis, prasidėjęs 1960-ųjų pabaigoje, smarkiai keičiasi informacinių technologijų revoliucijos metu.

2. Asmens duomenų apsaugos esmė – apsaugoti žmonių teises. Pagrindinis jos tikslas yra užtikrinti, kad asmens duomenys būtų apdorojami taip, kad būtų užtikrinamas žmogaus privatumas ir kitos su tuo susijusios žmogaus teisės.

3. Internetas dėl savo unikalios prigimties padeda žmonėms bendrauti nepriklausomai nuo atstumo, laiko, valstybių sienų. Tokiu būdu šioje unikalioje erdvėje panaikinami bet kokie geografiniai suvaržymai asmens duomenų judėjimui.

4. Labai svarbi nepakankamos asmens duomenų apsaugos interneto erdvėje priežastis – menkas žmonių suvokimas apie šias problemas.

5. Internetas pakeitė nusistovėjusią pusiausvyrą tarp teisės į informaciją ir teisės į privatumą. Pasikeitė visuomenės požiūris į informaciją – informacijos rinkimas, jos apdorojimas tapo svarbus ir ekonomine, ir moksline prasme.

6. Interneto aplinkoje atsiranda nauji asmens duomenų rinkimo būdai, kuriuos naudojant apie interneto paslaugų vartotojus yra surenkami milžiniški duomenų kiekiai, patiems vartotojams dažnai apie tai nieko nežinant. Duomenų valdytojai pasinaudodami duomenų gavybos technologijomis, turi technines galimybes ne tik apdoroti duomenis, bet ir atrasti naujas sąsajas ir savybes, susijusias su duomenų subjektu, kuris paprastai net nenutuokia apie tokią galimybę ir nesitiki tokio duomenų apdorojimo.

7. 1980 m. EBPO asmens privatumo apsaugos ir asmens duomenų judėjimo tarp valstybių narių gairės ir 1981 m. Europos Tarybos Strasbūro konvencija pagrindiniai asmens duomenų apsaugos sistemos šaltiniai. Vis dėlto juose įtvirtintų principų realizavimas interneto aplinkoje tampa itin sudėtingu.

8. Direktyva dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo 95/46/EB yra pakankamai nauja teisinio reguliavimo priemonė, tačiau nenumato pakankamai efektyvios asmens duomenų teisinės apsaugos interneto kontekste.

9. Iš Direktyvos dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo 95/46/EB, 1980 m. EBPO asmens privatumo apsaugos ir asmens duomenų judėjimo tarp valstybių narių gairių ir 1981 m. Europos Tarybos Strasbūro konvencijos dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu pateiktų asmens duomenų apibrėžimų nėra pakankamai aišku ar interneto aplinkoje renkami duomenys apie asmenis gali būti pripažįstami asmens duomenimis.

10. Visi iki šiol priimti teisės aktai tiek tarptautiniu, tiek Europos Sąjungos mąstu skirti centralizuotai asmens duomenų tvarkymo sistemai, todėl juos labai sunku pritaikyti prie decentralizuoto ir chaotiško duomenų tvarkymo interneto aplinkoje.

11. Pastaruoju metu pastebimos tendencijos Europos Sąjungoje, Europos Taryboje ir EBPO ieškoti būdų, kuriais minėtus tarptautinius instrumentus būtų galima pritaikyti prie sparčiai besikeičiančių informacinių technologijų.

12. Siekiant Europos Sąjungos mąstu skaitmeniniams tinklams nustatyti specialias teisines nuostatas, kad būtų apsaugotos fizinių asmenų pagrindinės teisės ir laisvės bei juridinių asmenų teisėti interesai dėl didėjančių automatinio duomenų kaupimo ir tvarkymo išteklių, kuriais remiantis tvarkomi vartotojų duomenys nuspręsta priimti Direktyvą 2002/58/EB dėl asmens duomenų tvarkymo ir privatumo apsaugos elektroninių ryšių sektoriuje, kuri šiek tiek papildė Direktyvoje dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo 95/46/EB esančias spragas.

13. Lietuvoje priimti teisės aktai asmens duomenų apsaugos srityje, tarp jų ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas, iš esmės atkartoja Europos Sąjungos teisės aktus asmens duomenų apsaugos srityje, tuo pat metu įtvirtina EBPO asmens privatumo apsaugos ir asmens duomenų judėjimo tarp valstybių narių gairėse bei Europos Tarybos Strasbūro konvencijoje dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu įtvirtintus pagrindinius asmens duomenų tvarkymo principus, todėl jie nebuvo atskirai nagrinėjami šiame darbe. Tačiau turi būti pastebėta, kad visos minėtos pastabos taikomos dėl nepakankamos asmens duomenų teisinės apsaugos interneto kontekste turėtų būti įvertintos ir Lietuvos įstatymų leidėjo.

RESUME

PERSONAL DATA PROTECTION IN THE CONTEXT OF THE INTERNET

The advancement of new technologies is radically changing the world. The internet has proven itself to be the fastest growing communications phenomenon, ever. The advert of the internet, using open standards, has given rise to a prodigious international expansion in the number of users and range of applications. This process in variety of ways affected protection of personal data. During the process of the electronic delivery of services and information there is a dangerous to face a potential misuse of personal data. According to this government should raise issues permissibility of personal data – gathering.Personal data protection as a part of privacy right is an aspect of human rights. This proposition is universally accepted. As long ago as 1948, privacy was given recognition in the Universal Declaration of Human Rights.In the history of information technology law, the subject of the protection of personal rights and freedoms, in particular of private life, was the first to appear at the end of the 70s and begginning of the 80s. In Europe it resulted in a wave of specific legislation on the protection of personal data in order to cover the management of such data using computer systems. The advert of the networks and in particular the Internet, upset the existing problem areas by exacerbating the old problems surrounding the collection, storage, processing and circulation of personal data by accentuating new problems such as the profiling and tracability of individuals, collecting data without people’s knowledge, making data management secure, encryption and circulating information without regard for national borders.The protection of personal data forms part of the benchmark of values dafended by democratic countries. That can be clearly seen in the views of all the actors on the internet stage: international organisations (in particular the European Union, the Council of Europe and the Organisation for Economic Cooperation and Development (OECD)), access providers, electronic traders and site managers.As the studies of personal data protection in the context of the internet are only making their first steps in Lithuania, this thesis was aiming to explore and define the personal data protection problem in oder to give firm grounds for the scientific investigations of this field in the future.LITERATŪROS SĄRAŠAS

Norminė literatūra

1. Europos žmogaus teisių ir pagrindinių laisvių konvencija, V.Ž., 2000, Nr. 96-3016.2. 1980 m. rugsėjo 23 d. EBPO Rekomendacija dėl asmens privatumo apsaugos ir asmens duomenų judėjimo tarp valstybių narių gairių. EBPO svetainė .3. 1981 m. Strasbūro konvencija dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu. Pagrindinės Europos Tarybos sutartys. – Vilnius: Europos Tarybos informacijos ir dokumentacijos centras, 2000.

4. Europos Parlamento ir Tarybos Direktyva dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo. 95/46/EC [1995] O.J. L282/31.5. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas // Valstybės žinios. – 1996, Nr. 63-1479.6. Europos Parlamento ir Tarybos Direktyva 2002/58/EB dėl asmens duomenų tvarkymo ir privatumo apsaugos elektroninių ryšių sektoriuje. 2002/58/EC [2002] O.J. L.201.7. The Australian Privacy Charter, published by the Australian Privacy Charter Group: Law School, University of New South Wales, Sydney, 19948. Treaty on the European Union (Maastricht Treaty) // Official Journal C’1992, Nr.191-1.

Specialioji literatūra

1. Civilka M. Asmens duomenų apsaugos teisinis reguliavimas interneto kontekste .2. Asmens duomenų apsauga. – Vilnius:Valstybinė duomenų apsaugos inspekcija, 2001. 3. Birmontienė T. Teisė į informaciją. – Vilnius, 2001.4. Čėsna R., Štitilis D. Kompiuterinės informacijos ir elektroninių dokumentų apsauga viešajame administravime, Vilnius 2000.5. Jung C. G. Psichoanalizė ir filosofija. Rinktinė.- Vilnius: Pradai, 1999.6. Keras A., Kurapka E., Petrauskas R. Informacinės visuomenės kūrimo, informacinių technologijų taikymo ir informacinių technologijų teisės plėtros tendencijos Europos Sąjungoje. Vilnius 2001.7. Kilian W. Mokymo apie asmens duomenų apsaugą koncepcija. . 8. Panomariovas A. Viešai neskelbiama informacija (paslaptis) baudžiamajame procese: daktaro dis.: Soc. mokslai, teisė (01 S) V., 2001.9. Žmogaus teisės. Europos Tarybos ir Europos Sąjungos dokumentai. – Vilnius: Lietuvos žmogaus teisių centras, 2000.10. Alderman E., Kennedy C. The internet, consumers and privacy. .11. Blume P. The Citizen’s Data Protection// The Journal of Information Law and Technology. No1. 1998. .12. Fred H. Cate Privacy in the information age. 1997. .13. Frayssinet J. Is protection of personal data guaranted on the internet. .14. Louveaux S. Privacy issues. // ECLIP Research Paper, deliverable 2.1.3., 1999. .15. Morris L. Ernst Schwrtz Alan U. Privacy the Right to Be Let Alone. – London: Macgibbon and Kee, 1968. 16. Poullet Y. Towards confidence: Views from Brussels: a European Internet law. .17. Reidenberg J. R., Schwartz. P. M. Data protection law and on-line services: regulatory responses. .18. Ruth Gavison. Privacy and the Limits of the Law // Yale Law Journal. – Jan. 1980, vol 89, no 3.19. Schwartz M. P. Free speech vs. information privacy, STAN. L. REV. 1559 (2001).20. Schwartz Paul M. . European data protection law and Restrictions on International data flows. Iowa Law Review, vol. 80 (March, 1995). 21. Trudel P. The influence of the Internet on establishing the law. .22. Volokh E. Freedom of speech and information privacy: the troubling implications of a right to stop people from speaking about you, 52 STAN. L. REV.1049 (2000).23. Westin Alan F. Privacy and Freedom.- New York: Atheneum, 1967.24. Блек У. Интернет – протоколы безопасности С.-Петербург, 2001.25. Барсуков В. С. Безопасность: технологии, средства, услуги Москва, 2001.26. Черри Д.. Человек и информация.- М.: Прогресс, 1972, C. 31.27. Кураков Л. П., Смирнов С.Н . Информация как объект правовой защиты. – М.:Гелиос, 1998, C.3.28. Каморин Ю. Ф., Куренков Е. В., Лысов А. В., Остапенко А. Н. Энциклопедия промышленого шпионажа С.-Петербург, 1999.29. Кирин В. И. Специальная техника и информационая безопасность Т-1. Москва, 2000.30. Стецовский Ю.И. Право на свободу и личною неприкосновенность. Нормы и действительность. – М.: Дело, 2000, C. 404.

Kiti šaltiniai

1. Abraitis V. B., Otas A. Informacijos privatumo ir saugumo būklės tyrimas lietuviškuose interneto puslapiuose. .2. V. Mikelėnas. Teisė į privatų gyvenimą ir jos gynimas // Asmeninės neturtinės teisės ir jų gynimas: mokslinės konferencijos medžiaga. – Vilnius: Justitia, 2001.3. S.Gauthronet ir E.Drouard “Nepageidautina komercinė komunikacija ir duomenų apsauga”, parengta Europos Komisijos užsakymu. .4. Kompleksinė Y. Masuda’os informacijos visuomenės samprata. 5. .6. Rekomendacijos asmens duomenų apsaugai internete. – Valstybinė duomenų apsaugos inspekcija. .7. Sabaliauskas G. Informacijos saugumas internete: teisininkų ir informatikų problema // Justitia 2001 Nr. 1, psl. 28 – 30. A. Vaišvila. Teisės teorija: vadovėlis. – Vilnius:Justitia, 2000.8. ES Darbo grupės asmens duomenų apsaugai dokumentai WP 28 (5007/00): “Nuomonė 1/2000 dėl tam tikrų duomenų apsaugos aspektų elektroninėje prekyboje”, priimta 2002 m. vasario 3 d.. // WP 36 (5042/00): “Nuomonė 7/2000 dėl Europos Komisijos 2002 m. liepos 12 d. pasiūlymo dėl Europos Parlamento ir Tarybos direktyvos dėl asmens duomenų tvarkymo ir privatumo apsaugos elektroninės komunimkacijos sektoriuje (COM(2000)385)”, priimta 2002 lapkričio 2 d..9. Apklausa. .10. Interneto atsiradimas ir istorija. .11. Informaciją būtina saugoti – 1. .12. Informaciją būtina saugoti – 2. .13. Informaciją būtina saugoti – 3. .14. Kompiuterinio saugumo mitai. .15. Virtualusis terorizmas – mūsų laikų realija. .16. Depending on ITC infrastructures: a public/private matter. . 17. Report of the Committee on Privacy and Related Matters, Chairmain David Calcutt QC. – London: HMSO, 1990, Cmnd.1102, P. 7.18. Trust and Privacy online: Why Americans want to rewrite the rules // The Internet Life Report, August 20, 2000.19. Privacy on the Internet. An integrated EU Approach to On-line Data Protection. .20. The Technology Law Group of Becker and Poliakoff “Online Privacy is Business Issue”. . 21. Moore N. Rights and Responsibilities in an Information Society// The Journal of Information Law and Technology. No1. 1998. .22. Temple-Raston D., Study: Net economy hale and hearty, Tech Investor, 2001 01 12. .23. Cookie concept. .24. The dark side of the cookies. .25. What are Cookies? .26. Up for sale: Privacy on the Net. .27. View: Modify privacy laws for Internet. .28. The privacy dilemma in the Internet age. .29. Four EU members seek changes to data privacy law. .30. Close Out Sale! Reams of Personal Info! .31. Personal data for sale. .32. Data protection and privacy. .