Kas čia per GDPR ir kodėl visi apie jį kalba?
Turbūt esi pastebėjęs, kad pastaraisiais metais beveik kiekviena svetainė, kurią aplankei, iššoka su kokiu nors pranešimu apie slapukus ir privatumą. Arba gal gavai el. laišką iš seniai užmiršto internetinio parduotuvės, kur kadaise užsisakei vieną marškinėlius, ir jie prašo tavo sutikimo toliau siųsti naujienlaiškius. Visa tai – GDPR dėka.
GDPR (General Data Protection Regulation) arba lietuviškai – Bendrasis duomenų apsaugos reglamentas – tai Europos Sąjungos priimtas įstatymas, kuris įsigaliojo 2018 metų gegužę. Jo esmė paprasta: tavo asmeniniai duomenys priklauso tau, o ne įmonėms, kurios juos renka. Skamba gerai, tiesa? Bet kas iš tikrųjų slypi už šių žodžių?
Prieš GDPR atsiradimą buvo tikras laukinių vakarų laikotarpis – įmonės rinkdavo tavo duomenis, kaip tik norėdavo, dalindavosi jais su trečiosiomis šalimis, o tu net nežinojai, kas konkrečiai apie tave žinoma ir kur ta informacija keliauja. Dabar situacija pasikeitė. Bent jau teoriškai. Praktikoje… na, apie tai pakalbėsime vėliau.
Kas tie asmens duomenys iš tikrųjų?
Kai pagalvoji apie asmens duomenis, turbūt pirmiausiai į galvą ateina vardas, pavardė, asmens kodas. Bet realybė daug įdomesnė ir šiek tiek bauginanti. Pagal GDPR, asmens duomenys – tai bet kokia informacija, kuri gali būti susieta su konkrečiu asmeniu. Ir čia prasideda įdomybės.
Tavo el. pašto adresas? Asmens duomenys. IP adresas, kurį palieki kiekvienoje svetainėje? Taip pat. Nuotrauka, kurioje matosi tavo veidas? Žinoma. Bet štai kas tikrai įdomu – net tavo naršymo įpročiai, paspaudimų istorija, laikas, kurį praleidai žiūrėdamas į konkretų produktą internetinėje parduotuvėje – visa tai gali būti laikoma asmens duomenimis, jei galima nustatyti, kad tai būtent tu.
Yra ir ypatingų kategorijų asmens duomenys, kurie saugomi dar griežčiau. Tai informacija apie tavo sveikatą, seksualinę orientaciją, religinius įsitikinimus, politines pažiūras, genetinius ar biometrinius duomenis. Pavyzdžiui, jei naudoji Face ID telefone, tai biometrinis duomuo. Jei daliniesi savo nuomone apie politiką socialiniuose tinkluose – tai gali būti susieta su tavo politinėmis pažiūromis.
Įdomu tai, kad net tavo buvimo vieta yra asmens duomenys. Tos programėlės, kurios seka, kur tu esi (žemėlapiai, maisto pristatymo apps, net kai kurios žaidimų programėlės) – visos jos apdoroja tavo asmens duomenis. Ir pagal GDPR, jos privalo tau pasakyti, ką su tais duomenimis daro.
Kodėl turėtų tau rūpėti?
Gali pagalvoti: „Na ir kas, kad kažkas žino, kokius video žiūriu ar ką perku internete?” Problema ta, kad šie duomenys yra vertingi. Labai vertingi. Yra priežastis, kodėl Facebook, Google ir kiti technologijų gigantai yra tokie turtingi – jie prekiauja informacija apie tave.
Pagalvok apie Cambridge Analytica skandalą. Milijonų žmonių Facebook duomenys buvo panaudoti bandant paveikti rinkimus. Arba apie situacijas, kai žmonės negauna darbo, nes darbdavys „pagooglino” ir rado kažką nepatinkančio. Tavo duomenys gali būti panaudoti prieš tave, net jei nieko blogo nedarai.
Be to, duomenų nutekėjimai tampa vis dažnesni. Gal girdėjai apie dideles įmones, iš kurių buvo pavogti milijonai vartotojų duomenų? Jei tavo slaptažodis, el. paštas ar kiti duomenys patenka į neteisėtas rankas, gali sulaukti visko – nuo spam’o iki tapatybės vagystės.
GDPR sukurtas tam, kad turėtum kontrolę. Kad žinotum, kas renka tavo duomenis, kodėl ir kaip ilgai juos saugo. Ir svarbiausia – kad galėtum pasakyti „ne”.
Kokie tavo teisės pagal GDPR?
Dabar prie smagiausios dalies – ko tu gali reikalauti iš įmonių, kurios turi tavo duomenis. Ir pasitikėk, tai ne tik teorija, tai realios teisės, kurias gali panaudoti.
**Teisė žinoti.** Gali pareikalauti, kad bet kuri organizacija pasakytų, kokius tavo duomenis ji turi. Tai vadinama „prieigos teise”. Pavyzdžiui, gali parašyti Instagram ir paprašyti, kad jie atsiųstų visą informaciją, kurią apie tave turi. Ir jie privalo tai padaryti per mėnesį, dažniausiai nemokamai.
**Teisė ištaisyti.** Jei pastebėjai, kad kažkur įrašyta neteisinga informacija apie tave – gali reikalauti ją ištaisyti. Paprasta, bet svarbu.
**Teisė būti pamirštam.** Tai viena įdomiausių GDPR teisių. Gali paprašyti, kad tavo duomenys būtų ištrinti. Žinoma, yra išimčių (pavyzdžiui, jei įmonė privalo saugoti duomenis dėl teisinių priežasčių), bet daugeliu atvejų jie privalo tave „pamiršti”.
**Teisė į duomenų perkeliamumą.** Nori pereiti iš vienos paslaugos į kitą? Gali paprašyti, kad tavo duomenys būtų perduoti tiesiogiai naujam paslaugų teikėjui. Pavyzdžiui, perkeli savo Spotify playlistus į Apple Music – tai duomenų perkeliamumas.
**Teisė nesutikti.** Jei įmonė naudoja tavo duomenis tiesioginės rinkodaros tikslais arba automatiniams sprendimams priimti – gali nesutikti. Ir jie privalo sustabdyti.
Kaip įmonės turi saugoti tavo duomenis?
GDPR nustato gana griežtus reikalavimus, kaip organizacijos turi elgtis su tavo duomenimis. Pirma, jos privalo turėti teisėtą pagrindą duomenims rinkti. Negali tiesiog taip sau ėmęs ir pradėti rinkti informacijos apie žmones.
Dažniausiai pasitaikantys teisiniai pagrindai: tavo sutikimas (pvz., pažymėjai varnelę sutikdamas su sąlygomis), sutarties vykdymas (pvz., internetinė parduotuvė reikalauja tavo adreso, kad atsiųstų prekes), teisinis įpareigojimas (pvz., bankas privalo saugoti tam tikrą informaciją pagal įstatymus) arba teisėtas interesas (nors čia jau sudėtingiau).
Įmonės privalo įdiegti tinkamas saugumo priemones. Tai reiškia šifravimą, prieigos kontrolę, reguliarius saugumo patikrinimus. Jei įvyksta duomenų nutekėjimas, jie privalo pranešti priežiūros institucijai per 72 valandas ir, jei yra didelė rizika tau, pranešti ir tau.
Dar vienas svarbus principas – duomenų minimizavimas. Įmonės turėtų rinkti tik tuos duomenis, kurie tikrai reikalingi. Jei registruojiesi naujienlaiškyje, kodėl jiems reikėtų žinoti tavo gimimo datą ar telefono numerį? Pagal GDPR – neturėtų.
Duomenys taip pat negali būti saugomi amžinai. Kai jų nebereikia tam tikslui, kuriam buvo surinkti – jie turėtų būti ištrinti. Nors praktikoje daugelis įmonių vis dar saugo duomenis kuo ilgiau, nes… na, duomenys yra vertingi.
Kas nutinka, kai įmonės pažeidžia GDPR?
Čia GDPR turi tikrus dantis. Baudos gali siekti iki 20 milijonų eurų arba 4% metinių pasaulinių įmonės pajamų – kas yra daugiau. Ir tai ne tuščios grasinimai.
Google 2019 metais gavo 50 milijonų eurų baudą Prancūzijoje už netinkamą sutikimo gavimą. Amazon 2021-aisiais – 746 milijonų eurų baudą Liuksemburge. Meta (Facebook) 2023 metais – net 1,2 milijardo eurų baudą už duomenų perdavimą į JAV pažeidžiant GDPR reikalavimus.
Lietuvoje baudos mažesnės, bet irgi juntamos. Valstybinė duomenų apsaugos inspekcija (VDAI) yra institucija, kuri prižiūri GDPR laikymąsi Lietuvoje. Jie gali skirti baudas, įspėjimus, net sustabdyti duomenų tvarkymą.
Bet štai kas įdomu – skundus gali teikti ne tik įmonės viena kitai, bet ir tu, paprastas vartotojas. Jei manai, kad kažkas pažeidė tavo teises, gali kreiptis į VDAI. Tai nemokama ir ne taip sudėtinga, kaip gali pasirodyti.
Praktiniai patarimai, kaip apsaugoti savo duomenis
Gerai, teorija įdomi, bet ką tu gali padaryti praktiškai, kad geriau apsaugotum savo duomenis? Štai keletas patarimų, kurie tikrai veikia.
**Perskaityk privatumo politiką.** Taip, ji ilga ir nuobodi, bet bent jau perskaityk pagrindinius punktus. Ypač tai, kokius duomenis renka, kaip juos naudoja ir ar dalinasi su trečiosiomis šalimis. Jei kažkas atrodo įtartina – geriau nereguostruokis.
**Būk šykštus su sutikimais.** Kai svetainė prašo sutikimo dėl slapukų, nepaspausk tiesiog „Sutinku su visais”. Dažniausiai yra mygtukas „Tvarkyti nustatymus” ar panašiai – ten gali atsisakyti rinkodaros ir analizės slapukų, palikdamas tik būtinus.
**Naudok skirtingus slaptažodžius.** Jei viena paslauga nutekinės tavo duomenis, bent jau kitos bus saugios. Slaptažodžių tvarkyklės (kaip LastPass, 1Password, Bitwarden) labai palengvina gyvenimą.
**Dviejų faktorių autentifikacija – būtinybė.** Įjunk ją visur, kur tik įmanoma. Net jei kažkas gautų tavo slaptažodį, be antrojo faktoriaus (dažniausiai kodo iš telefono) neprisijungs.
**Reguliariai tikrink, kas turi prieigą prie tavo paskyrų.** Facebook, Google, Instagram – visos šios platformos turi nustatymus, kur gali pamatyti, kurios trečiųjų šalių programėlės turi prieigą prie tavo duomenų. Pašalink tas, kurių nebenaudoji.
**Atsargiai su viešu Wi-Fi.** Kavinėse, oro uostuose – šie tinklai dažnai nesaugūs. Jei naudoji, bent jau nenaudok jų jautrioms operacijoms (pvz., internetinei bankininkystei). Arba naudok VPN.
**Paprašyk savo duomenų kopijos.** Bent kartą pamėgink pasinaudoti savo teise gauti duomenų kopiją iš kokios nors paslaugos. Tai ne tik įdomu pamatyti, ką apie tave žino, bet ir geras būdas suprasti, ar ta įmonė rimtai žiūri į GDPR.
Ar GDPR tikrai veikia, ir kas laukia ateityje?
Šešeri metai po GDPR įsigaliojimo galime pasakyti: taip, jis pakeitė žaidimo taisykles. Įmonės tikrai tapo atsargesnės su duomenimis, bent jau didelės įmonės. Matome daugiau skaidrumo, daugiau kontrolės galimybių vartotojams.
Bet ar viskas tobula? Tikrai ne. Daugelis įmonių vis dar bando apeiti reikalavimus. Tos „slapukų sienelės”, kurios praktiškai verčia sutikti su visais slapukais, jei nori naudotis svetaine? Tai prieštarauja GDPR dvasiai, nors galbūt ne raidei. Ilgos, sudėtingos privatumo politikos, parašytos teisininko kalba? Taip pat ne tai, ko tikėjosi GDPR kūrėjai.
Yra ir didesnių problemų. Kaip elgtis su dirbtinio intelekto sistemomis, kurios mokosi iš mūsų duomenų? Kaip užtikrinti, kad duomenys, perduoti už ES ribų, būtų saugūs? Šie klausimai vis dar ieško atsakymų.
Europos Sąjunga jau ruošia naujus įstatymus – Digital Services Act, Digital Markets Act, AI Act. Visi jie susiję su tuo, kaip technologijos turėtų veikti mūsų, vartotojų, naudai. GDPR buvo tik pradžia.
Ateityje tikriausiai matysime dar griežtesnę kontrolę, ypač kalbant apie didžiąsias technologijų įmones. Galbūt ir naujų teisių – pavyzdžiui, teisę žinoti, kaip dirbtinis intelektas priėmė sprendimą, kuris paveikė tave.
Bet svarbiausia – tai, kad mes, vartotojai, tampame vis labiau informuoti ir reiklūs. Vis daugiau žmonių supranta, kad jų duomenys yra vertingi ir nereikia jais dalintis su kiekvienu, kas paprašo. Ir tai galbūt didžiausias GDPR pasiekimas – ne konkrečios taisyklės, o kultūros pokytis. Mes pradedame vertinti savo privatumą ir reikalauti, kad jis būtų gerbiamas.
Tad kitą kartą, kai kažkas prašys tavo el. pašto, telefono ar kitų duomenų – sustok ir pagalvok: ar tikrai jiems to reikia? Ar aš žinau, ką jie su tuo darys? Ar jaučiuosi saugiai? Jei atsakymas bent į vieną klausimą yra „ne” – gal verta atsisakyti. Tavo duomenys – tavo sprendimas.
