Kas iš tikrųjų yra GDPR ir kodėl jis atsirado
2018 metų gegužę Europa atsibudo su nauju žodžiu burnoje – GDPR. Generalinis duomenų apsaugos reglamentas (angl. General Data Protection Regulation) tapo vienu iš labiausiai aptarinėjamų teisės aktų technologijų pasaulyje. Tačiau dauguma žmonių jį prisimena tik kaip tą momentą, kai visi svetainių savininkai pradėjo siuntinėti el. laiškus su prašymais patvirtinti privatumo politiką. Tai buvo tik ledkalnio viršūnė.
GDPR atsirado ne iš niekur. Iki jo egzistavo 1995 metų ES direktyva dėl duomenų apsaugos – dokumentas, parašytas tada, kai internetas dar buvo egzotika, o socialiniai tinklai neegzistavo net teorijoje. Dvidešimt metų technologijos šuoliais lėkė į priekį, o teisė stovėjo vietoje. „Facebook”, „Google”, „Amazon” ir šimtai kitų kompanijų tuo metu rinko, analizavo ir pardavinėjo vartotojų duomenis beveik be jokių apribojimų. GDPR buvo atsakas į šią situaciją – bandymas grąžinti žmonėms kontrolę virš jų pačių informacijos.
Svarbu suprasti, kad GDPR nėra vien tik Europos reikalas. Jis taikomas bet kuriai organizacijai pasaulyje, kuri tvarko ES piliečių duomenis. Tai reiškia, kad Kalifornijoje įsikūrusi startuolis, turinti nors vieną Lietuvos vartotoją, teoriškai privalo laikytis šio reglamento. Praktiškai tai, žinoma, sudėtingiau, bet principas yra būtent toks.
Kokie duomenys yra saugomi ir ką reiškia „asmens duomenys”
Čia prasideda dalis, kurią dauguma žmonių supranta neteisingai. Asmens duomenys pagal GDPR – tai ne tik jūsų vardas ir pavardė. Sąrašas yra kur kas ilgesnis ir kartais netikėtas.
Prie asmens duomenų priskiriama:
- Vardas, pavardė, gimimo data
- El. pašto adresas, telefono numeris
- IP adresas – taip, jūsų interneto adresas yra asmens duomuo
- Slapukai (cookies), kurie leidžia jus identifikuoti tinkle
- Vietos duomenys iš jūsų telefono
- Biometriniai duomenys – pirštų atspaudai, veido atpažinimo informacija
- Sveikatos duomenys
- Politinės pažiūros, religiniai įsitikinimai
- Genetiniai duomenys
Ypač jautrios kategorijos – sveikatos duomenys, biometrika, politinės pažiūros – turi papildomą apsaugos lygį. Jų tvarkymas yra iš principo draudžiamas, išskyrus konkrečiai apibrėžtas išimtis. Pavyzdžiui, jūsų gydytojas gali tvarkyti jūsų sveikatos duomenis, nes tai būtina medicininei priežiūrai, tačiau draudimo kompanija negali jų gauti be jūsų aiškaus sutikimo.
Praktinis patarimas: kitą kartą, kai registruositės kokioje nors platformoje, pabandykite paskaičiuoti, kiek kategorijų asmens duomenų jie iš jūsų renka. Dažnai skaičius nustebins.
Jūsų teisės pagal GDPR – ne teorija, o realūs įrankiai
Tai bene svarbiausia dalis, kurią vartotojai dažniausiai ignoruoja. GDPR suteikia konkrečias, įgyvendinamas teises. Ne abstrakčias deklaracijas, o realius mechanizmus.
Teisė susipažinti su duomenimis. Galite paprašyti bet kurios organizacijos parodyti, kokius jūsų duomenis ji turi. Jie privalo atsakyti per 30 dienų. Tai vadinama Subject Access Request (SAR). Išbandykite – parašykite „Google” ar „Facebook” ir paprašykite viso jūsų duomenų archyvo. Gausite failą, kurio dydis gali šokiruoti.
Teisė į ištaisymą. Jei organizacija turi neteisingus jūsų duomenis, galite reikalauti juos pataisyti. Skamba paprastai, bet tai svarbu – neteisingi duomenys gali turėti realių pasekmių, pavyzdžiui, kredito istorijoje.
Teisė būti pamirštam. Viena iš labiausiai aptarinėjamų teisių. Galite reikalauti, kad organizacija ištryntų jūsų duomenis. Tačiau čia yra niuansų – ši teisė nėra absoliuti. Jei duomenys reikalingi teisinei prievolei vykdyti (pavyzdžiui, mokesčių apskaita), organizacija gali jų neištrinti.
Teisė į duomenų perkeliamumą. Galite gauti savo duomenis struktūruotu, mašininio skaitymo formatu ir perkelti juos kitam paslaugų teikėjui. Teoriškai tai turėtų palengvinti perėjimą nuo vienos platformos prie kitos.
Teisė nesutikti. Galite nesutikti, kad jūsų duomenys būtų naudojami tiesioginei rinkodarai. Ir tai privalo būti gerbiama nedelsiant.
Teisė į apribotą tvarkymą. Jei ginčijate duomenų tikslumą arba manote, kad tvarkymas neteisėtas, galite reikalauti apriboti jų naudojimą tol, kol situacija bus išsiaiškinta.
Sutikimas – ne tas, ką daugelis galvoja
Vienas iš labiausiai klaidinančių aspektų GDPR kontekste yra sutikimas. Daugelis kompanijų jį traktuoja kaip formalumą – iššoka langelis, vartotojas paspaudžia „Sutinku” ir viskas. Bet GDPR apibrėžia sutikimą labai konkrečiai.
Sutikimas turi būti:
- Laisvas – negalima priversti sutikti kaip sąlygos naudotis paslauga (nors praktikoje tai dažnai pažeidžiama)
- Specifinis – negalima gauti vieno bendro sutikimo visam ir viskam
- Informuotas – vartotojas turi žinoti, kam tiksliai sutinka
- Nedviprasmiškas – iš anksto pažymėti langeliai yra neteisėti
Ir svarbiausia – sutikimą galima atšaukti bet kada, ir tai turi būti taip pat paprasta, kaip jį duoti. Jei registracija trunka 10 sekundžių, o išsiregistravimas reikalauja siųsti laišką ir laukti savaitę – tai jau yra pažeidimas.
Praktinis patarimas: sekantį kartą, kai svetainė prašys sutikimo su slapukais, ieškokite mygtuko „Atsisakyti visų” arba „Tik būtinieji”. Pagal GDPR jis turi būti toks pat matomas kaip „Sutinku su visais”. Jei jo nėra arba jis paslėptas keliuose meniu lygiuose – tai yra pažeidimas, kurį galite pranešti priežiūros institucijai.
Duomenų pažeidimai – ką daryti, kai kažkas nuteka
Duomenų nutekėjimai vyksta nuolat. „LinkedIn”, „Facebook”, „Twitch”, „Uber” – sąrašas kompanijų, kurios prarado vartotojų duomenis, yra ilgas ir liūdnas. GDPR nustato aiškias taisykles, kaip organizacijos turi elgtis tokiais atvejais.
Organizacija privalo pranešti priežiūros institucijai apie pažeidimą per 72 valandas nuo jo aptikimo. Jei pažeidimas kelia didelę riziką vartotojams – ji privalo informuoti ir pačius vartotojus. Kiek kompanijų tai daro laiku ir skaidriai? Praktika rodo, kad ne visos.
Kaip vartotojas, galite apsisaugoti:
- Naudokite skirtingus slaptažodžius kiekvienai platformai – slaptažodžių tvarkyklės kaip „Bitwarden” ar „1Password” labai palengvina šį procesą
- Patikrinkite haveibeenpwned.com – svetainė, kuri parodo, ar jūsų el. paštas buvo pažeistuose duomenų bazėse
- Įjunkite dviejų faktorių autentifikaciją svarbiausioms paskyroms
- Naudokite alias el. pašto adresus registracijai – paslaugos kaip „SimpleLogin” ar „AnonAddy” leidžia kurti laikinus adresus
Jei gausite pranešimą apie duomenų pažeidimą, pirmiausia pakeiskite slaptažodį toje platformoje ir visose kitose, kur naudojote tą patį. Tada stebėkite, ar nėra įtartinos veiklos jūsų finansinėse paskyrose.
Baudos ir atsakomybė – ar GDPR turi dantis
Vienas iš dažniausių klausimų: ar GDPR iš tikrųjų veikia? Ar kompanijos jo bijo? Atsakymas – taip, ir tam yra konkrečių priežasčių.
Maksimali bauda pagal GDPR yra 20 milijonų eurų arba 4% metinės pasaulinės apyvartos – priklausomai nuo to, kuri suma didesnė. Tai ne simbolinė suma. „Amazon” 2021 metais gavo 746 milijonų eurų baudą Liuksemburge dėl slapukų tvarkymo pažeidimų. „Meta” (Facebook) 2023 metais gavo 1,2 milijardo eurų baudą Airijoje dėl duomenų perdavimo į JAV. „Google” taip pat yra gavęs kelias šimtų milijonų baudas.
Tačiau realybė yra tokia, kad mažesnės kompanijos dažnai pažeidžia GDPR be jokių pasekmių, nes priežiūros institucijų resursai yra riboti. Lietuvoje Valstybinė duomenų apsaugos inspekcija (VDAI) yra institucija, kuriai galite pranešti apie pažeidimus. Jos svetainėje galima rasti skundų formą.
Svarbu žinoti: kaip vartotojas, galite ne tik skųsti kompanijas priežiūros institucijai, bet ir reikalauti kompensacijos teisme, jei patyrėte žalą dėl GDPR pažeidimo. Tai dar mažai naudojama galimybė, bet ji egzistuoja.
GDPR ir technologijų pasaulis – kaip reglamentas keičia produktus
GDPR turėjo realų poveikį tam, kaip kuriami technologijų produktai. Atsirado sąvoka „Privacy by Design” – privatumo apsauga turi būti integruota į produktą nuo pat pradžių, o ne pridedama kaip pleistras vėliau. Tai iš esmės keičia, kaip programuotojai ir dizaineriai galvoja apie vartotojų duomenis.
Vienas iš akivaizdžių pokyčių – duomenų minimizavimas. Pagal GDPR, galima rinkti tik tuos duomenis, kurie tikrai reikalingi paslaugai teikti. Jei kuriat paprastą receptų aplikaciją, jums nereikia žinoti vartotojo gimimo datos ar telefono numerio. Deja, daugelis kompanijų vis dar renka kur kas daugiau, nei reikia, tikėdamosi, kad kada nors tai bus naudinga.
Kitas svarbus aspektas – duomenų saugojimo laikotarpis. Negalima saugoti duomenų amžinai „tik tuo atveju”. Turi būti apibrėžtas konkretus laikotarpis, po kurio duomenys ištrinami. Tai verčia kompanijas rimčiau galvoti apie tai, ko jiems iš tikrųjų reikia.
Dirbtinis intelektas ir GDPR – atskira tema. Automatizuoti sprendimai, kurie daro reikšmingą poveikį žmonėms (pavyzdžiui, kredito paraiškos atmetimas, darbo pasiūlymo nesuteikimas), turi būti pagrįsti ir ginčijami. Jūs turite teisę reikalauti žmogaus peržiūros, jei jums buvo priimtas automatizuotas sprendimas.
Kai GDPR susitinka su realiu gyvenimu – ką daryti šiandien
Teorija yra viena, o praktika – kita. Dauguma žmonių žino, kad GDPR egzistuoja, bet niekada nepasinaudojo nė viena iš savo teisių. Tai keisti, nes šios teisės yra realios ir veikiančios.
Štai konkretus veiksmų planas, kurį galite pradėti įgyvendinti dabar:
Pirmas žingsnis – auditas. Suskaičiuokite, kiek platformų ir paslaugų turi jūsų duomenis. Naudokite el. pašto paiešką – ieškokite žodžių „registracija”, „patvirtinkite paskyrą”, „welcome”. Dažnai skaičius viršija 100. Paslauga justdeleteme.com parodo, kaip išsiregistruoti iš populiariausių platformų.
Antras žingsnis – paprašykite savo duomenų. Pasirinkite vieną platformą, kurią naudojate dažniausiai, ir pateikite Subject Access Request. Tai galima padaryti per platformos nustatymus arba rašant tiesiai į jų privatumo komandą. Tai nemokama ir privaloma. Pamatysite, ką jie iš tikrųjų žino apie jus.
Trečias žingsnis – peržiūrėkite sutikimus. Daugelyje platformų galite eiti į nustatymus ir pamatyti, kokiems duomenų tvarkymams sutikote. Atšaukite tuos, kurie nėra būtini paslaugai gauti.
Ketvirtas žingsnis – ištrinkite tai, ko nebenaudojate. Nereikalingos paskyros yra saugumo rizika. Jei nebenaudojate kažkokios platformos, išsiregistruokite ir paprašykite ištrinti duomenis.
GDPR nėra tobulas. Jis turi spragų, jo įgyvendinimas nevienodas skirtingose šalyse, o didžiosios technologijų kompanijos turi resursų ieškoti teisinių niuansų. Tačiau jis yra geriausias dalykas, kas nutiko vartotojų privatumui per pastaruosius dešimtmečius. Ir svarbiausia – jis veikia tik tada, kai vartotojai jį naudoja. Teisės, kuriomis niekas nesinaudoja, neegzistuoja praktikoje. Taigi kitas kartas, kai svetainė pateiks jums slapukų langą su paslėptu atsisakymo mygtuku arba kai kompanija atsisakys ištrinti jūsų duomenis – žinokite, kad turite įrankius ir galite jais naudotis.
