Nepilnamečių asmenų duomenų apsauga internete: 7 žingsniai, leisiantys išvengti baudos
2019 - 05 - 03
Bet kuri įmonė, renkanti nepilnamečių interneto naudotojų asmens duomenis, yra Bendrojo duomenų apsaugos reglamento (BDAR) numatytų milžiniškų baudų taikinyje. Praktika rodo, jog nepaisant to, kad BDAR nepilnamečių asmenų duomenis dėl jų pobūdžio išskiria kaip ypatingai jautrius duomenis, didžioji dalis verslo subjektų vis dar negeba tinkamai įgyvendinti jų tvarkymui keliamų reikalavimų.
Nepilnamečių asmenų duomenų tvarkymo ypatumai
BDAR nėra pirmasis Europos Sąjungoje asmens duomenų teisinę apsaugą reglamentuojantis teisės aktas, tačiau vienareikšmiškai pirmasis reglamentavęs nepilnamečių iki 16 metų asmens duomenų tvarkymą. Laikomasi nuomonės, kad vaikams reikia ypatingos jų asmens duomenų apsaugos, nes jie gali nepakankamai suvokti su asmens duomenų tvarkymu susijusius pavojus, pasekmes ar apsaugos priemones ir savo teises. Ypatinga apsauga pirmiausia turėtų būti taikoma vaikų asmens duomenų naudojimui rinkodaros, virtualios asmenybės ar vartotojo profilio sukūrimo tikslais ir su vaikais susijusių asmens duomenų rinkimui naudojantis vaikui tiesiogiai pasiūlytomis paslaugomis.
BDAR 8 straipsnyje yra numatyta, kad, kai asmens duomenys tvarkomi remiantis asmens sutikimu ir tai susiję su informacinės visuomenės paslaugų tiesioginiu siūlymu vaikui, vaiko asmens duomenų tvarkymas yra teisėtas tik tuo atveju, jei vaikas yra bent 16 metų amžiaus. Taigi, kai vaikas yra jaunesnis negu 16 metų, toks asmens duomenų tvarkymas yra teisėtas tik tuo atveju, jeigu sutikimą dėl tvarkymo organizacijai davė arba tvarkyti duomenis leido vaiko įstatyminiai atstovai, pavyzdžiui, tėvai. Nepaprastai svarbu tai, kad BDAR suteikia teisę ES valstybėms narėms numatyti jaunesnio amžiaus (nuo kurio nebereikia gauti tėvų ar globėjų sutikimo dėl vaiko asmens duomenų tvarkymo) ribą. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas (ADTAĮ) apibrėžia, jog vaiko asmens duomenų tvarkymas yra teisėtas, jei sutikimą duoda ne jaunesnis negu 14 metų vaikas, t. y. iki 14 metų sutikimą privalo duoti įstatyminiai atstovai. Taigi, Lietuvoje nepilnamečių, kuriems siūlomos informacinės visuomenės paslaugos, amžius sutikimui duoti yra sumažintas, o tai žymiai palengvina įmonių pareigą gauti duomenų subjektų sutikimus.
Informacinės visuomenės paslauga turi būti suvokiama kaip paprastai už atlyginimą per atstumą, elektroninėmis priemonėmis ir asmenišku paslaugų gavėjo prašymu teikiama paslauga. Įstatyminių atstovų sutikimo nereikia, kai vaikui teikiamos prevencijos ar konsultavimo paslaugos. Taigi, jeigu vaikai iki 14 metų siekia naudotis organizacijų per atstumą siūlomomis elektroninėmis paslaugomis, pavyzdžiui, socialiniais tinklais, elektroninėmis parduotuvėmis, įvairiomis programomis, internetu teikti užklausas, gauti naujienlaiškius, atsisiųsti muzikos arba žaidimų – nepaisant to, ar tokios siūlomos paslaugos mokamos, ar ne – verslo atstovams reiks gauti vieno iš vaiko įstatyminių atstovų pritarimą, nes teikiant šias paslaugas bus naudojami vaiko asmens duomenys.
Žingsniai, padėsiantys išvengti baudos
Atsižvelgiant į tai, kad rizika pažeisti nepilnamečių asmens duomenis yra nepaprastai didelė ir gali sukelti rimtą grėsmę verslui (užtraukti milžiniškas baudas ar nepataisomai pabloginti įmonės reputaciją), tokį atliekamą asmens duomenų tvarkymą reiktų vertinti itin rimtai bei žinoti, kokių priemonių derėtų imtis, siekiant atitikti BDAR keliamus reikalavimus. Taigi, toliau bus aptarti 7 žingsniai, padėsiantys išvengti gresiančio asmens duomenų apsaugos pažeidimo bei, atitinkamai, baudos (ar bent ją sumažinti).
1 žingsnis. Naudotojų amžiaus nustatymas ir geriausių vaiko interesų užtikrinimas
Visų pirma, turi būti įvertinama, ar siūlomas paslaugos galimai bus aktualios nepilnamečiams (net jei tai ir nėra organizacijos tikslas ar tokių paslaugų naudotojų dalis bus itin maža) ir, jei taip, kokioms konkrečioms jų amžiaus grupėms. Tai nustatyti geriausiai padėtų rinkos tyrimai, pavyzdžiui, panašių programėlių naudotojų amžiaus rato analizė. Gautus tyrimo rezultatus rekomenduojama dokumentuoti, jog įmonė vėliau gebėtų įrodyti, jog pagrįstai nusprendė, kad nepilnamečiai asmenys iki 14 metų nesinaudos jų siūlomomis paslaugomis, todėl jai nekyla pareiga gauti sutikimus ar pasirūpinti papildomomis vaikų asmens duomenų apsaugos priemonėmis. Toks naudotojų amžiaus nustatymas padės nustatyti efektyviausius bei mažiausiai finansinių išteklių reikalaujančius būdus, užtikrinsiančius geriausius vaiko interesus (pavyzdžiui, kuo vaikas vyresnis, tuo geriau jis sugeba suvokti jam pateikiamą informaciją, todėl, atitinkamai, tokios informacijos pateikimui keliami mažesni reikalavimai, taigi reikia mažiau investicijų diegiamoms saugumo priemonėms).
2 žingsnis. Naudotojų amžių identifikuojančių priemonių įdiegimas ir sutikimų gavimas
Jei įmonė nustato, jog jos teikiamomis informacinės visuomenės paslaugomis nepilnamečiai iki 14 metų naudosis, ji privalo pasirūpinti, kad bus gauti pagal BDAR bei ADTAĮ reikalaujami vaikų atstovų sutikimai. Taigi, visų pirma, dar prieš paslaugų suteikimą (pavyzdžiui, prieš užsakant prekę elektroninėje parduotuvėje) turi būti patikrintas naudotojo amžius. Tai geriausiai padėtų padaryti tinkamai pasirinktos specialios naudotojų amžių identifikuojančios IT priemonės. Remiantis BDAR, įmonės, atsižvelgdamos į turimas technologijas, privalo dėti pagrįstas pastangas, kad patikrintų, ar yra gautas vaiko tėvų pareigų turėtojo sutikimas arba leidimas. Taigi, vien amžių identifikuojančių priemonių neužtenka – tėvų ar globėjų sutikimo gavimui taip pat keliami specialūs reikalavimai, t. y. jis negali būti fiktyvus – verslo subjektai privalo įsitikinti jo tinkamumu. Įstatyminių atstovų sutikimų kontrolės priemonės bus veiksmingos, jei, pavyzdžiui, vieno iš tėvų e. pašto adresu bus siunčiama patvirtinimo žinutė. Taip pat svarbu tai, kad nepilnamečiams naudotojams būtų pateikta informacija apie tai, kad už juos sutikimą duoda jų įstatyminiai atstovai (kurie, atitinkamai, įspėjami apie vaiko teisę į privatumą), to sutikimo apimtį bei trukmę.
3 žingsnis. Skaidrumo principo laikymasis
BDAR imperatyviai įtvirtina pareigą kiekvienai įmonei, tvarkančiai vaikų asmens duomenis, imtis tinkamų priemonių pateikiant vaikams informaciją apie būsimą jų asmens duomenų tvarkymą bei visus su tokiu duomenų tvarkymu susijusius pranešimus glausta, skaidria, suprantama ir lengvai prieinama forma, aiškia bei paprasta kalba. Informacijos pateikimui nepilnamečiams siūloma naudoti vizualizavimą, pavyzdžiui, karikatūras, vaizdo įrašus, lenteles, piktogramas, simbolius ir pan. – viską, kas padėtų vaikui geriau suprasti apie būsimą jo asmens duomenų tvarkymą. Tai ypač svarbu tais atvejais, kai dėl naudotojų gausos ir naudojamų technologijų sudėtingumo vaikui sunku suvokti ir pastebėti, ar jo asmens duomenys renkami, kas juos renka, kokiu tikslu ar visi jo asmens duomenys tikrai privalomi paslaugų teikimui.
4 žingsnis. Taisyklių, politikų bei kitų informacinių pranešimų naudojimas
Kiekvienas verslo subjektas, siūlantis nepilnamečiams asmenims paslaugas internetu, pavyzdžiui, per interneto svetaines, socialinių tinklų profilius, mobiliąsias aplikacijas, programėles ar pan., turi pasirūpinti, jog kiekviena iš jų pateiktų informaciją apie vykdomą asmens duomenų tvarkymą. Tokia informacija privalo būti nepilnamečiams lengvai prieinama, ją pateikti galima, pavyzdžiui, privatumo politikose, elgesio taisyklėse, amžiaus apribojimo nuostatose. Jei vaikui yra daugiau nei 14, bet mažiau nei 18 metų ir sutikimą jis jau gali duoti pats, patartina naudoti papildomas informavimo priemones, pavyzdžiui, iššokančius informacinius langelius, kurie kiekvieną kartą dar prieš surenkant asmens duomenis įspėtų apie vykdomą asmens duomenų tvarkymą bei patartų dėl tokio duomenų pateikimo pasitarti su tėvais.
5 žingsnis. Buvimo vietos duomenų rinkimo vengimas
Šis žingsnis reiškia, jog visais būdais privaloma vengti technologijų, skirtų nustatyti vaikų vietos buvimo duomenis, kadangi tokie duomenys kelia ypatingą pavojų vaikų saugumui. Jei paslaugų naudotojų vietos sekimas verslo subjektui yra būtinas ir neišvengiamas, pavyzdžiui, kuomet įmonė rinkai siūlo navigacijos programėles telefone, kiekvieną kartą prieš tokį sekimo priemonių aktyvavimą privaloma aiškiai bei suprantamai informuoti nepilnametį asmenį apie tai, kad jo buvimo vietos duomenų sekimas yra įjungiamas. Atitinkamai, paslaugų teikėjas nebegali sekti vaiko buvimo vietos vos tik jam išjungus programėlę ar pasiekus kelionės tikslą.
6 žingsnis. Profilių sudarymo vengimas marketingo ar kitais tikslais
Duomenų tvarkymas, kurį sudaro bet kokios formos automatizuotas asmens duomenų tvarkymas, kurį vykdant vertinami su fiziniu asmeniu susiję asmeniniai aspektai, visų pirma siekiant analizuoti arba numatyti aspektus, susijusius su interneto naudotojų darbo rezultatais, ekonomine padėtimi, sveikatos būkle, asmeniniais pomėgiais ar interesais, patikimumu arba elgesiu, vieta arba judėjimu, kai tai jo atžvilgiu sukelia teisinių pasekmių arba jam daro panašų didelį poveikį, neturėtų būti naudojamas vaikams. Tai reiškia, jog verslo subjektai privalo vengti vaikų profilių sudarymo, o kai dėl verslo specifikos, tai yra neišvengiama – profiliavimas turėtų būti pasirenkamas aktyviais vaikų ar jų tėvų veiksmais, pavyzdžiui, pažymint varnele skiltį dėl profiliavimo įjungimo paslaugų teikėjo interneto svetainėje. Tiek nepilnamečiai, tiek jų įstatyminiai atstovai turi būti informuojami apie visas galimas profiliavimo rizikas bei neigiamas pasekmes.
7 žingsnis. Teisės atsiimti sutikimą užtikrinimas
Galiausiai, svarbu nepamiršti ir to, jog kiekvienas duomenų subjektas turi turėti teisę reikalauti ištaisyti jo asmens duomenis ir teisę būti pamirštam, kai tokių duomenų saugojimas pažeidžia BDAR. Ši teisė ypač svarbi tais atvejais, kai duomenų subjektas savo sutikimą išreiškė būdamas vaikas ir nevisiškai suvokdamas su duomenų tvarkymu susijusius pavojus, o vėliau nori, kad tokie – ypač internete saugomi – asmens duomenys būtų pašalinti. Duomenų subjektas turėtų galėti naudotis ta teise, nepaisant to, kad jis nebėra vaikas. Atsižvelgiant į tai, organizacijos privalo nustatyti ir gebėti įgyvendinti, pavyzdžiui, kliento norą atsiimti sutikimą dėl jo asmens duomenų tvarkymo. Žinoma, nereikėtų pamiršti, jog tokia pilnamečiu tapusio asmens teisė nėra absoliuti. Tolesnis asmens duomenų saugojimas bus teisėtas, jei tai būtina naudojimosi teise į saviraiškos ir informacijos laisvę, siekiant įvykdyti teisinę prievolę, atlikti užduotį, vykdomą dėl viešojo intereso arba vykdant pavestas viešosios valdžios funkcijas, dėl viešojo intereso priežasčių visuomenės sveikatos srityje, archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais, arba siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus.
Advokatų kontoros „Cobalt“ asocijuota teisininkė Indrė Tamošiūnaitė