Atsakomybė už asmens duomenų tvarkymo pažeidimus elektroninėje erdvėje. Bylų apžvalga Mindaugas Valančius
Atsakomybė už asmens duomenų
tvarkymo pažeidimus elektroninėje
erdvėje. Bylų apžvalga
Mindaugas Valančius
2
Asmens duomenų apsaugos reguliavimo taikymas
Pagal Asmens duomenų teisinės apsaugos įstatymo 1 str. 3 d. 1 p., įstatymas taikomas asmens duomenų tvarkymui, kai: • asmens duomenis savo veikloje tvarko duomenų valdytojas,
įsteigtas ir veikiantis Lietuvos Respublikos teritorijoje; • asmens duomenis tvarko ES ar EEE valstybės duomenų
valdytojo filialas arba atstovybė, įsteigti ir veikiantys Lietuvos Respublikoje. Tokiu atveju jiems taikomos Lietuvos įstatymo nuostatos, skirtos duomenų valdytojui.
• Asmuo pasiskundė Ispanijos duomenų apsaugos institucijai dėl
Google indeksuojamos informacijos apie jį;
• Google indeksavo prieš 16 metų laikraščio internetinio puslapio
teisėtai paskelbtą informaciją apie tai, kad to asmens
nekilnojamasis turtas yra parduodamas iš varžytinių išieškant jo
socialinio draudimo skolas;
• Priežiūros institucijai apskųstos JAV ir Ispanijos Google
bendrovės;
• Indeksavimu užsiima tik Google JAV bendrovė, o Ispanijos
bendrovė užsiima tik reklama. 3
Google Spain byla (I)
• Google: paieškos variklių veikimo operacijų negalima prilyginti trečiųjų asmenų
tinklalapiuose esančių duomenų, pateikiamų paieškos rezultatų sąraše,
tvarkymui, nes šie varikliai tvarko visą per internetą pasiekiamą informaciją,
neskirstydami jos į asmens duomenis ir kitokius duomenis.
• ESTT:
a) „asmens duomenų tvarkymas“ apibrėžiamas kaip reiškiantis „bet kurią
operaciją ar operacijų rinkinį“;
b) Google „renka“ asmens duomenis, kuriuos „atgamina“, „užrašo“, panaudodama
indeksavimo programas „surūšiuoja“, „išsaugo“ serveriuose ir „padaro
prieinamus“ paieškos rezultatų sąrašų pavidalu;
c) šios išvados nepaneigia aplinkybė, kad šie duomenys jau paskelbti internete ir
paieškos variklis jų nepakeičia;
d) operacijos turi būti laikomos tvarkymu taip pat tais atvejais, kai jos atliekamos
tik su jau paskelbta, pavyzdžiui, žiniasklaidos priemonėse, informacija.
4
Google Spain byla (II)
• Google: paieškos variklio eksploatuotojas neturėtų būti laikomas taip
tvarkomų duomenų „valdytoju“, nes jis nežino apie šių duomenų
egzistavimą ir jų nekontroliuoja.
• ESTT:
a) duomenų valdytojas - „fizinis ar juridinis asmuo <...>, kuris vienas ar
drauge su kitais nustato asmens duomenų tvarkymo tikslus ir būdus“;
b) paieškos variklio eksploatuotojas nustato šios veiklos, taigi ir asmens
duomenų tvarkymo, kurį jis pats ir atlieka vykdydamas šią veiklą, tikslus
ir būdus;
c) naudotojams atlikus paiešką pagal fizinio asmens vardą, kartu su
rezultatų sąrašu jiems bus pateikta sustruktūrinta su šiuo asmeniu
susijusios informacijos, kurią galima rasti internete, apžvalga, leidžianti
sudaryti daugiau ar mažiau išsamų duomenų subjekto profilį. 5
Google Spain byla (III)
• Google: nagrinėjamą asmens duomenų tvarkymą vykdo tik Google Inc., kuri
paieškos paslaugą teikia be jokio Google Spain, padedančios Google grupei
vykdyti tik reklaminę veiklą, kuri yra atskira nuo jos paieškos variklio paslaugos,
kišimosi, todėl asmens duomenų apsaugos reguliavimas Google Spain
neturėtų būti taikomas.
• ESTT:
a) nuostata dėl direktyvos taikymo reikalauja ne to, kad atitinkamą duomenų
tvarkymą atliktų „pats“ padalinys, o tik to, kad tvarkymas būtų atliekamas šiam
padaliniui „vykdant veiklą“ (nacionalinės nuostatos taikomos, jeigu duomenys
tvarkomi „duomenų valdytojo padaliniui veikiant valstybės narės teritorijoje “);
b) plačia taikymo sritimi siekiama išvengti situacijos, kai asmeniui neužtikrinama
joje numatyta apsauga arba vengiama jam ją suteikti;
c) paieškos variklio eksploatuotojo veikla ir atitinkamoje valstybėje narėje esančio
jo padalinio veikla yra neatsiejamai susijusios, nes su reklaminiams
pranešimams skirtomis vietomis susijusi veikla yra priemonė, kuria siekiama
padaryti atitinkamą paieškos variklį ekonomiškai pelningą. 6
Google Spain byla (IV)
• Google: vadovaujantis proporcingumo principu visi prašymai eliminuoti informaciją turi
būti teikiami atitinkamo tinklalapio rengėjui, nes šis atsako už šios informacijos
paviešinimą, gali įvertinti šio paviešinimo teisėtumą ir turi pačių veiksmingiausių ir
mažiau ribojimų lemiančių priemonių padaryti šią informaciją nepasiekiamą
• ESTT:
a) duomenų subjektai turi teisę prieštarauti duomenų apie jį tvarkymui remiantis privalomu
ir teisėtu pagrindu;
b) paieškos sistema labai palengvina informacijos prieinamumą visiems informacijos apie
duomenų subjektą ieškantiems asmenims, ši operacija gali labiau apriboti duomenų
subjekto pagrindinę teisę į privataus gyvenimo gerbimą, nei tinklalapio rengėjo atliktas
informacijos paskelbimas;
c) interneto svetainėje paskelbta informacija dažnai būna pakartota kitose svetainėse, be
to, už jos paskelbimą atsakingi asmenys ne visuomet patenka į ES teisės aktų taikymo
sritį, todėl būtų neįmanoma užtikrinti veiksmingą ir visapusišką duomenų subjektų
apsaugą, jei asmenys iš pradžių turėtų pasiekti, kad interneto svetainių rengėjai ištrintų
informaciją apie juos. 7
Google Spain byla (V)
• Google: duomenų subjektams teisės suteikiamos tik su sąlyga, kad atitinkamas
tvarkymas nesuderinamas su direktyva arba egzistuoja su jo konkrečia padėtimi susijęs
privalomas ir teisėtas pagrindas, o ne todėl, kad jie paprasčiausiai mano, jog dėl šio
tvarkymo jiems gali atsirasti neigiamų padarinių, arba jie pageidauja, kad taip tvarkomi
duomenys būtų užmiršti.
• ESTT:
a) neatitiktis gali atsirasti ne tik tuomet, kai tokie duomenys yra netikslūs, bet ir tuomet, kai
jie yra neadekvatūs, nereikšmingi ar pertekliniai pagal tvarkymo tikslus, neatnaujinti
arba saugomi ilgiau, nei reikalinga;
b) teisės aktuose nustatytos duomenų subjekto teisės iš principo yra viršesnės ne tik už
paieškos variklio eksploatuotojo ekonominį interesą, bet ir už šios visuomenės interesą
surasti šią informaciją vykdant paiešką pagal šio subjekto asmenvardį. Tačiau taip
nebūtų tuo atveju, kai dėl konkrečių aplinkybių, kaip antai subjekto padėties viešajame
gyvenime, paaiškėtų, kad šių pagrindinių teisių apribojimą pateisina viršesnis šios
visuomenės interesas turėti įtraukimo į atitinkamus sąrašus suteikiamą prieigą prie
atitinkamos informacijos. 8
Google Spain byla (VI)
9
Weltimmo byla (I)
• Weltimmo yra Slovakijoje registruota bendrovė
• Weltimmo interneto svetainėse teikė nekilnojamojo turto skelbimų paslaugas Vengrijoje
• Vienas iš Weltimmo savininkų gyveno Vengrijoje ir atstovavo bendrovę įvairiose institucijose
• Weltimmo neteisėtai tvarkė Vengrijos vartotojų asmens duomenis
10
Weltimmo byla (II)
• Sulaukusi vartotojų skundų, Vengrijos asmens duomenų apsaugos institucija Weltimmo skyrė 32 000 eurų baudą.
• Weltimmo pateikė teismui skundą, kurio argumentai:
a) Vengrijos priežiūros institucija neturėjo kompetencijos
nagrinėti bylos ir negalėjo taikyti Vengrijos teisės kitoje
valstybėje narėje įsisteigusiam paslaugų teikėjui;
b) pagal Direktyvos 95/46 28 straipsnio 6 dalį ši institucija
privalėjo kreiptis į šioje srityje kompetentingą Slovakijos
instituciją, kad ši vietoj jos imtųsi priemonių.
11
ESTT: Direktyvos 96/45 4 straipsnio 1 dalies a punktas
aiškintinas taip, kad pagal jį leidžiama taikyti kitos nei ta, kur
asmens duomenų valdytojas registruotas, valstybės narės
teisės aktus dėl asmens duomenų apsaugos, jeigu:
• šis valdytojas per nuolatinį vienetą tos valstybės narės
teritorijoje
• veiksmingai ir realiai vykdo bent minimalią veiklą,
kurios pagrindu atliekamas šis tvarkymas.
Weltimmo byla (III)
12
ESTT argumentai:
• direktyvos tikslas – užtikrinti veiksmingą ir visapusišką
teisės į privatų gyvenimą apsaugą ir išvengti teisės
nuostatų apėjimo;
• direktyvoje įtvirtinta lanksti padalinio sąvokos
samprata, pagal kurią atmetamas formalus požiūris, kad
įmonė turėtų būti įsteigta tik savo registracijos vietoje;
• reikalaujama ne to, kad duomenis atitinkamai tvarkytų
„pats“ padalinys, o tik to, kad tai būtų atliekama šiam
padaliniui „vykdant veiklą“.
Weltimmo byla (IV)
13
ESTT nuomone, nacionalinės teisės taikymui gali būti
svarbios šios aplinkybės:
• Weltimmo veikla, kurią vykdydamas jis tvarkė duomenis,
buvo eksploatuoti Vengrijos teritorijoje esančio
nekilnojamojo turto skelbimų interneto svetaines;
• svetainės parengtos vengrų kalba, todėl veikla iš esmės
ar net visiškai skirta Vengrijai,
• Weltimmo Vengrijoje turėjo atstovą;
• atstovas buvo įgaliotas išieškoti iš šios veiklos kilusius
reikalavimus ir atstovauti per administracinį ir teismo
procesus.
Weltimmo byla (V)
14
ESTT:
• padariusi išvadą, kad taikytina kitos valstybės narės teisė,
priežiūros institucija negali skirti sankcijų už savo
valstybės narės teritorijos ribų;
• priežiūros institucija privalo prašyti šios kitos valstybės
narės priežiūros institucijos konstatuoti šios teisės
pažeidimą ir taikyti sankcijas, jeigu pagal ją galima tai
daryti, remiantis perduota informacija.
Weltimmo byla (VI)
15
Pagal Bendrąjį duomenų apsaugos reglamentą duomenų valdytojas
kontroliuojamas pagrindinėje įsisteigimo vietoje, tačiau asmuo gali skųstis
bet kur:
• jeigu duomenų valdytojas įsisteigęs daugiau nei vienoje valstybėje arba
duomenų tvarkymas gali paveikti daugiau nei vienos valstybės duomenų
subjektus, siekiant vienodos praktikos atsakomybę gali taikyti
vadovaujanti priežiūros institucija;
• bet kokia kita institucija, gavusi skundą, traktuojama kaip susijusi
institucija;
• vadovaujanti institucija priimdama bendrą sprendimą turi
bendradarbiauti su susijusiomis institucijomis;
• sprendimą atmesti skundą gali priimti bet kuri institucija;
• susijusi institucija gali priimti sprendimus taikyti atsakomybę, jeigu
duomenų tvarkymas susijęs tik su viena valstybe ir vienos valstybės
duomenų subjektais, tačiau tam turi pritarti vadovaujanti institucija.
Reglamentas
16
Facebook (Schrems) byla (I)
• Austrijos pilietis M. Schrems kreipėsi į Airijos asmens
duomenų priežiūros instituciją, prašydamas uždrausti
Facebook Ireland perduoti jo asmens duomenis į JAV
Facebook Inc.
• M. Schrems rėmėsi Edward Snowden atskleista
informacija apie Jungtinių Amerikos Valstijų žvalgybos
tarnybų, visų pirma Nacionalinės saugumo agentūros
(National Security Agency, NSA), veiklą bei vykdomą
stebėjimo programą, įskaitant Facebook duomenų
tikrinimą.
17
Facebook (Schrems) byla (II)
Airijos asmens duomenų apsaugos institucija atsisakė
uždrausti Facebook Ireland teikti M. Schrems asmens
duomenis į JAV remdamasi šiais argumentais:
• nėra įrodymų, jog NSA susipažino su suinteresuotojo
asmens duomenimis;
• Europos Komisija savo sprendime yra konstatavusi, kad
Jungtinės Amerikos Valstijos užtikrina adekvatų duomenų
apsaugos lygį.
18
Facebook (Schrems) byla (III)
• Asmens duomenys už ES ribų gali būti teikiami tik tuo
atveju, jeigu ne ES šalyje yra užtikrinamas tinkamas
duomenų apsaugos lygis.
• Europos Komisija buvo priėmusi sprendimą, pagal kurį
buvo pripažįstama, kad perduodant duomenis į JAV yra
užtikrinamas tinkamas duomenų apsaugos lygis, jeigu
bendrovės savanoriškai įsipareigoja laikytis Komisijos
patvirtintų Safe Harbour principų.
19
Facebook (Schrems) byla (IV)
ESTT panaikino Europos Komisijos sprendimą dėl Safe
Harbour principų, teigdama, kad:
• Safe Harbour principai neužtikrina tinkamo asmens
duomenų apsaugos lygio, nes principų įsipareigoja
laikytis JAV bendrovės, o ne JAV institucijos;
• Europos Komisijos sprendime yra išimtis, leidžianti
nacionalinio saugumo pagrindu be apribojimų nukrypti
nuo Safe Harbour principų, nors ES teisėje sekimo
priemonės leidžiamos tik laikantis proporcingumo bei kitų
reikalavimų.
Ačiū už dėmesį!