Professional Documents
Culture Documents
Vilniaus Universitetas
Teisės Fakultetas
Vilnius, 2001
© Mindaugas Civilka
Turinys
ASMENS DUOMENŲ APSAUGA TARPTAUTINĖJE IR EB TEISĖJE .......................................................................................................1
Įžanga................................................................................................................................................................................................................4
Asmens duomenų tvarkymas informacinėje visuomenėje .................................................................................................................................6
Istorija. Ištakos. .................................................................................................................................................................................................7
Privacy koncepcija šiuo metu ......................................................................................................................................................................8
Informacijos privatumas (I Privacy) ............................................................................................................................................................8
Kūno privatumas .........................................................................................................................................................................................8
Komunikacijų, susiekimo, susirašinėjimo privatumas .................................................................................................................................9
Teritorinis privatumas .................................................................................................................................................................................9
Kai kurie privatumo pasireiškimai teisėje:...................................................................................................................................................9
Teisė į privatumą garantuojama tarptautiniu lygmeniu......................................................................................................................................9
Pavojai asmens duomenų saugumui. ...............................................................................................................................................................10
Sąvokos; apibrėžimai. .....................................................................................................................................................................................11
Asmens duomens sąvoka...........................................................................................................................................................................11
Kiti tarptautinės tesiės aktai AD apibrėžia panašiai.........................................................................................................................................13
Privatumo samprata.........................................................................................................................................................................................13
Informacijos privatumas (I Privacy) ..........................................................................................................................................................13
Kai kurie privatumo pasireiškimai teisėje:.................................................................................................................................................14
Koncepcija. Tikslai. Uždaviniai. .....................................................................................................................................................................15
Koncepcija.................................................................................................................................................................................................15
Uždaviniai ir tikslai. ..................................................................................................................................................................................15
ADA ir Žmogaus Teisės..................................................................................................................................................................................17
ADA ir asmens saviraiškos laivė (įskaitant teisė ieškoti, gauti ir skleisti informaciją) pagal EŽTK.........................................................18
ADA ir kt. ŽT pagal EŽTK .......................................................................................................................................................................19
ADA reguliavimo modeliai. ............................................................................................................................................................................20
ADA teisinio reguliavimo šaltiniai..................................................................................................................................................................21
TT teisės aktai, susiję su ADA ..................................................................................................................................................................21
TT teisės aktai ADA srityje .......................................................................................................................................................................21
ES ta ADA srityje......................................................................................................................................................................................22
Nacionaliniai ta ADA srityje .....................................................................................................................................................................22
Šaltinių apžvalga. ......................................................................................................................................................................................22
1. 1980 m. EBPO Gairės......................................................................................................................................................................22
2. ET 1981 m. priimta Strasbūro konvencija dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu (ETS
Nr.108) ................................................................................................................................................................................................24
3. JT Ekonominių ir Socialinių reikalų Tarybos 1990 m. Kompiuterizuotų AD bylų gairės................................................................27
TO, konferencijos ADA srityje........................................................................................................................................................................27
ES teisės aktai ADA srityje. ............................................................................................................................................................................29
ES Direktyva 95/46. ..................................................................................................................................................................................29
I. Asmens duomenų apsaugos poreikis; ES Direktyvos 95/46 teisinis pagrindas ir kontekstas............................................................29
Apibrėžimai. Apimtis. .........................................................................................................................................................................31
Taikymo apimtis/sritis. ........................................................................................................................................................................33
ADA principai. ....................................................................................................................................................................................34
AD tvarkymo kriterijai ........................................................................................................................................................................37
ADS teisės.......................................................................................................................................................................................................40
Išimtys (D 13 str.)................................................................................................................................................................................42
AD tvarkymo saugumas ir konfidencialumas..................................................................................................................................................44
Jautrūs duomenys (D 8 str.).............................................................................................................................................................................45
Prigimtis. Sąvoka.................................................................................................................................................................................46
Konteksto įtaka....................................................................................................................................................................................47
Duomenų įvairovė. ..............................................................................................................................................................................48
Asmens genetiniai duomenys – atskira JAD rūšis .....................................................................................................................................50
Notifikacijos ir registracija. D 18 – 21 str..................................................................................................................................................50
Pranešimas apie atliekamas duomenų tvarkymo operacijas.................................................................................................................50
Išankstinė patikra.................................................................................................................................................................................53
AD tvarkymo skaidrumas ....................................................................................................................................................................53
Teisės gynimo būdai. Atsakomybė. Sankcijos. (ang. remedies)...........................................................................................................54
Tarpvalstybiniai AD srautai; AD judėjimas...............................................................................................................................................55
Trečiosios valstybės, kurios ratifikavo ETK Nr. 108. ....................................................................................................................57
Koks yra ADA lygis JAV, Australijoje, Japonijoje ir pan.?...........................................................................................................58
ADA lygiai valstybėse - ES prekybos partneriuose. ......................................................................................................................59
Sutartinės nuostatos, kaip pagrindas AD perdavimui į trečiąsias valstybes, neužtikrinančias adekvataus ADA lygio...................61
ICC (TPR) parengta Pavyzdinė sutartis. ........................................................................................................................................61
Nuostatos ir ES Komisija.....................................................................................................................................................................62
Direktyvos 25 straipsnio įtaka E-komercijai........................................................................................................................................63
Išvados.................................................................................................................................................................................................64
AD tvarkymui taikytina teisė pagal D........................................................................................................................................................65
Taikytini nacionalinės teisės aktai .......................................................................................................................................................65
Galimi sprendimo būdai. .....................................................................................................................................................................68
Specifiniai pavyzdžiai dėl D 4 str. problemiškumo..............................................................................................................................69
Galimos pasekmės:..............................................................................................................................................................................69
Direktyvos įgyvendinimas .............................................................................................................................................................71
Jurisdikcijos konfliktas ADA srityje................................................................................................................................................................71
Kiti EB teisės aktai, reguliuojantys ADA ........................................................................................................................................................72
Direktyva dėl ADA telekomunikacijų sektoriuje.......................................................................................................................................72
Įžanga ..................................................................................................................................................................................................72
Įžanga.
Paskutiniai įvykiai JAV sukrėtė pasaulį, bent jau jo civilizuotesnę dalį. Ir šie įvykiai
neišvengiamai susiję su dalyku, kurį šiandien jums pradėsiu dėstyti. Verta pažymėti, kad jau per
pirmas 10 valandų nuo išpuolio Tarptautinio Raudonojo kryžiaus komiteto JAV padalinys on-line
gavo daugiau nei 1 mln. dolerių paramos iš įvairių pasaulio piliečių. Ir tai neįskaitant Billo Gates'o
ir kt. Iš karto po šio teroro protrūkio Tycoon (Kim Scmitz) – internete paskelbė, jog asmuo, suteikęs
vertingos informacijos apie įvykdytą terorą bei žinias apie Osamos Ibin Ladeno buvimo vietą, gaus
10 mln. JAV dolerių "bounty". Iš karto po išpuolio JAV hakeriai paskelbė kompiuterinį karą
Pakistanui, Iranui, Irakui ir žinoma – Afganistanui. Ir visai nesvarbu, kad Afganistane gal iš viso
yra 3, na geriausiu atveju 400 kompiuterių (įskaitant Osamos Ibin Ladeno laptopus). Kiek iš jų
pajungtų prie interneto? Taigi, šie pavyzdžiai puikiai pailiustruoja, kad šiandienos pasaulis tampa
pilnai kompiterizuotas. Ko gero nebėra socialinio gyvenimo srities, kuri nebūtų pajutusi moderniųjų
technologijų iššūkių. Jau net ir išpažintis galima internetu.
1
[1955] 2 Q. B. 327.
2
[1999] I.L.R.M. 154.
3
European Initiative on Electronic Commerce COM (97) 157.
Asmens duomenų tvarkymas yra neabejotinai vienas iš svarbiausių šių laikų socialinių
reiškinių. Visos šiuolaikinės vidutinės ir didelės įmonės personalo duomenų sistemoms, bazėms
kurti, administruoti ir planuoti naudoja kompiuterizuotas asmens duomenų kaupimo, perdavimo ir
pan. sistemas. Pvz., ligoninės ir sveikatos draudimo įstaigos kaupia ir tvarko medicininius pacientų
duomenis. Bankai ir kitos kredito institucijos kaupia informaciją apie klientų pajamas ir rinką,
mokyklos ir universitetai apie savo studentus, policija atlieka pirštų antspaudų, genetinio
patikrinimo ar telekomunikacijų kontrolę. Mokesčių institucijos taipogi valdo ir naudoja milžiniškas
asmens duomenų bazes, susisteminančias informaciją apie pajamas, darbo vietą, šeimyninį statusą ir
pan. Daugelio sričių (sociologinės, istorinės, medicininės) moksliniai tyrimai tiesiogiai priklauso
nuo asmens duomenų. Televizija ir spauda nuolat skelbia apie privačių asmenų, politikų, žymių
visuomenės veikėjų veiklą. Šie pavyzdžiai – tik dalis asmeninės informacijos panaudojimo.
Pastarieji dešimtmečiai atskleidė ir įtvirtino, jog duomenys, informacija, susijusi su privataus
asmens gyvenimu, naujosios ekonomikos kontekste tampa preke, turinčia nemenką komercinę
vertę. Sugebėjimas stebėti, saugoti ir analizuoti vartotojų įpročius ir poreikius naujosios
ekonomikos aplinkoje neretai nulemia tai, kurios įmonės išsilaikys aršioje konkurencinėje kovoje už
būvį4. Suvokiant tokios asmeninės informacijos vertę5 nenuostabu, kodėl dauguma komercinių
subjektų linkę nepaisyti reikalavimų gerbti individų teisę į privatumą.
Kaupiant bendrus asmens duomenis, o taip dažniausiai ir atsitinka (tokiu, kaip pavardę,
gimimo datą, socialinio draudimo pažymėjimo Nr., vairuotojo pažymėjimo Nr.), atskiri duomenų
bankai gali būti sujungti. Dėl to, įvairiems neapibrėžtiems tikslams gali būti sudarinėjami modernūs
asmens visuomeninio elgesio ir vertybių aspektų aprašymai.
Ši trumpa įžanga atspindi milžinišką ekonominę asmens duomenų vertę šiuolaikinėje
informacinėje visuomenėje. "Žinios – tai jėga", sakė anglų filosofas Frensis Beikonas (1561-1626),
o tiksliau – anot šių laikų sociologo Kolin Čeri, informacija duoda "pasirinkimo galimybę" priimant
socialiniu požiūriu svarbius sprendimus.
Be to, informacija apie asmenį turi didžiulę politinę reikšmę. Klintono-Levinski santykiai
parodė, kokia gali būti svarbi informacija apie seksualinį elgesį JAV prezidento apkaltai. Visos
detalės buvo nuolat ir gana operatyviai skelbiamos per internetą. JAV nėra teisinės institucijos ar
procedūros, neleidžiančios viešai patikrinti ir skelbti Klintono-Levinski asmens duomenų (ir netgi
4
Denis Kelleher, Kren Murray. IT Law in the EU. Sweet and Maxwell, 1999, p. 221.
5
Tokią vertę geriausiai galėtų pailiustruoti tai, kad 1999 vasario mėnesį JAV vartotojams buvo pasiūlyti nemokami
Compaq kompiuteriai, rinkoje kainuojantys apie 1 000 JAV dolerių. Už tai tokie vartotojai internete turėjo peržiūrėti
daugybę įvairių reklaminių skelbimų. Žr. http://www.news.com/News/Item/0,4,32983,00.html?st.ne.180.head. Šis
pasiūlymas buvo toks sėkmingas, kad atsirado virš 10 mln. norinčiųjų įsigyti 10 000 kompiuterių. Be abejo, šie
kompiuteriai buvo siūlomi ne iš altruistinių paskatų, o siekiant surinkti kuo daugiau asmeninės informacijos ir ją
panaudoti tikslinei reklamai. Žr. The Economist, February 13, 1999.
Istorija. Ištakos.
Asmens teisė į privatumą, slaptumą ir pan. žinoma jau nuo seno. Dar Biblijoje gausu asmens teisės į
privatumą pasireiškimo pavyzdžių. Bet turėjo praeiti daug laiko, kol ši teisė tarptautiniu mastu buvo
įtvirtinta kaip visuotinai pripažinta socialinė vertybė – 1948 m. JT Visuotinėje žmogaus teisių
deklaracijoje (12 str.), 1950 m. EŽTK 8 str. Šiuose pamatiniuose žmogaus teisių šaltiniuose asmens
teisė į privatumą, slaptumą įtvirtinta kaip pagrindinė, fundamentali (nors be abejo – ne absoliuti)
žmogaus teisė.
Būta labai daug pastangų apibrėžti "privatumą", tačiau nuo pat tų laikų, kai privatumas
pateko į teisinės regos lauką, autoriai nesutaria nei dėl jos koncepcijos, nei apimties.
Žvelgiant istoriškai, pirmasis šios teisės įgyvendinimo pasireiškimas atrandamas dar 1361 m.,
kuomet Anglijos taikos teisėjas sankcionavo sekiotojų ir pasiklausinėtojų areštą. 1765 m. Lordas
Camden panaikino įėjimo į privačius namus ir jų apieškos orderį bei nurodė: "Nėra jokios teisės
normos, kuri leistų tokius dalykus; tokiu atveju mūsų visuomenės nariai prarastų bet kokį komfortą
ir apsaugą". Parlamentaras W.Pitt rašė: "savo namuose net ir didžiausias vargšas ar elgeta yra
valdovas; net ir visa karaliaus kariauna yra bejėgė prieš jį". Taigi, kaip matyti, šios asmens teisės
(ang. right to privacy) rudimentus randame visų pirma Anglijos teisinėje sistemoje.
Be abejo, tais laikais dar nebuvo kalbama apie asmens duomenis. Pagrindinis dėmesys kreipiamas
tik į asmens privatumo apsaugą. Svarbu pažymėti, kad istoriškai asmens duomenų apsaugos
koncepcijos šaknys glūdi būtent asmens teisėje į privatumą, todėl yra būtina nors trumpai apžvelgti
tai.
Be to, vėliau pabandysiu asmens duomenų apsaugos koncepciją įvertinti ŽT sampratos prasme ir
atžvilgiu.
Įvairios valstybės suformavo skirtingas asmens privatumo apsaugos priemones. 1776 m. Švedijos
Parlamentas priėmė aktą “Dėl Priėjimo prie Viešųjų registrų”, kuris reikalavo, kad visa valstybinių
institucijų turima informacija būtų naudojama išskirtinai teisėtiems tikslams. 1772 m. Žmogaus ir
piliečių teisių deklaracijoje jau numatyta, kad privati nuosavybė yra neliečiama ir saugoma.
Prancūzija uždraudė privačių/asmeninių faktų viešą publikavimą ir 1858 m. už šių draudimų
pažeidimą nustatė griežtas baudas.
Vis dėlto, teisinės privatumo šaknys glūdi JAV. 1890 m., JAV teisininkai Samuel Warren ir Louis
Brandeis parašė konstruktyvų darbą apie asmens teisę į privatumą deliktų prasme ir apibrėžė ją,
kaip “teisę būti paliktam vienu” (ang. the right to be left alone)6. Jie pirmieji šią teisę išreiškė kaip
didžiulę socialinę vertybę, kuri turi būti aiškiai saugoma įstatymo ir teisėjų. Vis dėlto, aišku, kad
6
The right to privacy. 4 Harv. Law Review, 193 (1890). Iš Privacy in Telecommunications, p. 23.
Kūno privatumas
7
Ibid, p. 196.
8
Privacy in Telecommunications, p. 24.
9
Išskyrus kai kurias išimtis, autoriai sutiko su Warren ir Brandeis mintimis (W.L. Prosser. Privacy, p. 384).
10
Ibid, p. 26.
11
Byla Griswold v. Connecticut (381 U.S. 479 (1965)).
Teritorinis privatumas
Kaip išsireiškė vienas autorius – visos ŽT yra tam tikri asmens teisės į privatumą aspektai.
1890 m. JAV AT teisėjas – Louis Brandeis – tai viena iš labiausiai puoselėjamų, saugomų ir
mylimų ŽT JAV ir ji turi būti atspindėta JAV Konstitucijoje.
Kaip matome, Europos kontinente yra įsišaknijusi ADA koncepcija, o privatumas (privacy) –
suvokiamas EŽTK 8 str. prasme. Tuo tarpu JAV, Kanadoje, Australijoje ir kt., esminė ir pagrindinė
yra būtent privacy koncepcija, per ją yra sprendžiamo problemos, analogiškos ADA Europoje.
Todėl nenuostabu, kad nerandame lietuviškų šio žodžio atitikmenų.
Tai yra asmens interesas, kad jis galėtų išlaikyti asmeninę erdvę, laisvą nuo bet kokio išorinio
įsikišimo.
Privatumo apsauga – procesas, kurio eigoje ieškoma balanso tarp privatumo ir daugybės kitų
konkuruojančių interesų.
Informacijos privatumas - asmens interesas, kad jis turėtų galimybę esminiai įtakoti, tvarkyti
duomenis ir informaciją apie save.
Moderniosios teisės šioje srityje pavyzdys – 1948 m. JT Visuotinė Žmogaus teisių deklaracija. Jos
12 str. kaip tik ir įtvirtina asmens teisę į teritorinį ir susirašinėjimo privatumą.
Visa eilė tarpt. Ta Žmogaus teisių srityje pateikia specifinę nuorodą į šią asmens teisę. Tiek 1966 m.
JT Tarpt. Pilietinių ir Politinių teisių paktas, tiek JT Konvencija dėl migruojančių darbuotojų ir
1989 m. JT Vaiko apsaugos konvencija šiuo aspektu vartoja beveik identišką kalbą.
1950 m. EŽTK 8 str. – pirmą kartą ši teisė tampa įgyvendinama priverstine tvarka regioniniu
lygmeniu.
Tiek ET Komisija, tiek ir EŽTT jau nuo pat pradžių rodė didelę iniciatyvą šioje srityje. Viename
pirmųjų savo sprendimų Komisija nurodė: daugelio anglo-saksų ir prancūzų autorių, asmens teisė į
asmeninio gyvenimo pagarbą suprantama kaip asmens teisė gyventi kaip tinkamam, apsisaugant
nuo visuomenės. Komisijos nuomone, asmens teisė į asmeninio gyvenimo pagarbą nesibaigia čia. Ji
Teismas peržiūrėjo VN nacionalinius teisės aktus ir nubaudė kai kurias už tai, kad šios tinkamai
nesureguliavo valstybinių institucijų ir privačių asmenų vykdomo telefoninių pokalbių
pasiklausymo. Jis 8 str. taikymo ribas išplėtė už valstybinių institucijų neteisėtų veiksmų ir pritaikė
privatiems asmenims, jeigu valstybė privalėjo uždrausti tokius neteisėtus veiksmus.
Amerikos ŽT Konvencijos 11 str. šią teisę įtvirtina panašiomis sąvokomis kaip ir 1948 m. Visuotinė
ŽT Deklaracija. 1965 m. Amerikos Valstybių Organizacija paskelbė Amerikos Žmogaus teisių ir
pareigų deklaraciją, kuri taipogi įtvirtino šią teisę.
Asmens privatumo pagarbos ir apsaugos interesas ypatingai išryškėjo 1960, 1970 aisiais
(informacijų technologijų) IT augimo įtakoje. Kompiuterinių sistemų suteikiamos naujos asmens
duomenų ir jo veiksmų sekimo/priežiūros galimybės, asmeninės informacijos rinkimo, kaupimo,
saugojimo ir naudojimo perspektyvos iššaukė šių reiškinių sureguliavimo ir pažabojimo būtinybę.
Moderniosios įstatymų leidybos genezė – pirmasis pasaulyje Hesseno žemės Vokietijoje 1970 m.
asmens duomenų apsaugos įstatymas. 1973 m. panašų įstatymą priėmė Švedija, 1974 m. – JAV,
1977 m. – Vokietija, 1978 m. – Prancūzija.
Iš šių nacionalinių teisės šaltinių išsirutuliavo du pagrindiniai tarpt. teisės aktai – ET 1981 m.
priimta Konvencija dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu
(ETS Nr.108) ir 1980 m. OECD Asmens privatumo apsaugos ir asmens duomenų judėjimo tarp
valstybių narių Gairės. Šie du dokumentai suformuoja elektroninės informacijos ir duomenų
tvarkymo taisyklių branduolį, kurį priėmė ir savo vidaus teisėje realizavo dauguma pasaulio
valstybių.
/Iš aplanko./
Pagal apklausos duomenis, susirūpinimas dėl asmens privatumo šiuo metu yra kur kas didesnis nei
bet kada anksčiau istorijos bėgyje. Bendrai, pasaulio populiacija išreiškia baimę dėl pasikėsinimo į
jų privatumą. Tokiu būdu nacionaliniai įstatymdavystės organai priversti sparčiai priimti
nacionalinius aktus, bent kiek apsaugančius asmenis nuo tokių pavojų.
Galima išskirti šias pagrindines tendencijas, kurios išryškina pasikėsinimą į asmens privatumą:
Sąvokos; apibrėžimai.
Tuo pačiu, yra nustatomi tam tikri apribojimai identifikuotinumo kriterijų atžvilgiu – jeigu
identifikacija galima nepanaudojus neprotingas laiko sąnaudas, darbo ir pan. sąnaudas. 26 citata
preambulėje teigia, kad: norint nustatyti, ar asmens tapatybė gali būti nustatyta, reiktų
atsižvelgti į visas priemones, kuriomis galėtų pasinaudoti duomenų valdytojas ar bet kuris
kitas asmuo minėto asmens tapatybei nustatyti.
Paprastai, duomenis turi būti įmanoma susieti su konkrečiu individualiu asmeniu prieš juos
pripažįstant asmeniniais asmens duomenų apsaugos įstatymų prasme. Todėl duomenys, kuriuos
galima susieti su asmenų grupe, sambūriu nepatenka į asmens duomenų apsaugos įstatymų
reguliavimo sritį. Visgi, kai kurių valstybių – Italija, Austrija, Liuksemburgas – įstatymai apsaugą
užtikrina ir korporacijoms, įmonėms, organizacijoms. Visgi, šie duomenys saugomi tik jeigu jie gali
būti susieti su konkrečia individualia organizacija/subjektu.
E-komercijos aplinkoje, yra labai svarbu nustatyti, ar “clickstream” duomenys, susieti su Internet
Protocol’o adresu, yra asmens duomenys asmens duomenų apsaugos įstatymų prasme. Ši problema
negali būti išspręsta abstrakčiai. Visgi, yra įmanomas dalykas, kad tokie duomenys gali būti
pripažinti asmeniniais jeigu, pvz., yra laisvai prieinamas direktorinis sąrašas: vienas konkretus
asmuo – konkretus adresas.
Kaip tampa aišku, Direktyvos apibrėžimas pateikia asmens duomenų sąryšio/santykio koncepciją.
Asmens duomenys tarsi sugrupuojami į dvi kategorijas. Pirma kategorija – identifikatoriai: vardai,
pavardės, numeriai ir pan. Jie nurodo konkretų realų asmenį. Tipiškiausias pavyzdys – asmens
kodas, registracijos nr. ir pan. Mes įpratę šiuos identifikatorius naudoti, bet apibrėžimas taipogi
atkreipia dėmesį į tai, kad kitų asmens duomenų kombinacija gali taipogi pasitarnauti
identifikuojant tam tikrą asmenį – pvz. VU TF dekanas. Nors “dekanas” ir pan. neužtenka asmens
tapatybės nustatymui.
Identifikatoriai yra esminė sąvoka, suvokiant asmens duomenų sąryšio/santykio koncepciją. Be to,
visi duomenys, identifikatoriaus susieti su asmens duomenų subjektu, tampa asmens duomenimis
Ir atvirkščiai, duomenys, kurie nėra per se susieti su konkrečiu asmeniu, gali tapti asmens
duomenimis, juos identifikatoriaus pagalba susiejus su duomenų subjektu.
Pavyzdys:
Taigi, turime tris duomenų bazes – tris valstybinius/viešuosius registrus. Antrasis registras –
geografinė informacinė sistema – labiau moderni, įsteigta teritorijų planavimo tikslais, nustato ribas,
tikslią geografinę padėtį. Trečiasis registras – aplinkos informacinė sistema; nurodo užterštumo lygį
ir pan.
Pvz. – trečiojo registro duomuo – konkretaus ežero, esančio Pietų LR, vandens pH vertė/reikšmė.
Šio ežero koordinatės yra žinomos, to pagrindu galima patekti į antrąjį registrą – galima sužinoti,
kam nuosavybės teise jis priklauso. Tai sužinojus, tampa paprastas pasinaudojimas NTR
duomenimis. Tokiu būdu, užterštumo lygio duomuo loginės sekos išdavoje gali tapti asmens
duomeniu.
Be abejo, toks loginės dedukcijos taikymas iki begalybės būtų visai absurdiškas – ad absurdum, ad
infinitum. Nes kitu atveju - užterštumo lygio duomenų tvarkymas turėtų taipogi paklūsti asmens
duomenų naudojimo/tvarkymo reikalavimams, kurie yra labai griežti.
1. Galima teigti, kad duomenys yra pripažintini asmeniniais, jeigu teisinės ir praktinės aplinkybės
leidžia surišti sistemas (pvz. minėtus registrus) ir jų pagrindu atsekti realų konkretų individą.
Galima aiškinti, kad reikalaujama, jog būtų identifikuota bent viena grandis.
2. Antras kelias – išsireiškimą “informacija, susijusi …. su fiziniu asmeniu” aiškinti taip, kad
neužtenka nustatyti ryšio tarp identifikatoriaus ir duomens; dar būtinai pati duomenų prigimtis
turi būti asmeninė. Taigi, turi būti patenkinti tiek santykinis, tiek ir esminis
reikalavimas/kriterijus.
Pastarosios pozicijos silpnumas yra tas, kad koncepcija praranda savo aiškumą. Gali tapti neaišku ir
priklausyti nuo konteksto, ar tam tikri duomenys yra asmeniniai ar ne.
Taigi, iš esmės lieka atviras klausimas, ar vertinant duomenis, turėtų būti akcentuojamas
ryšio/santykio stiprumas ar duomenų prigimtis.
Kt. lapai.
Nors kiekviena ES VN nustato asmens duomenų apsaugos teisinius rėmus, nėra vienodo supratimo
ir aiškinimo, kada informacija yra susijusi su identifikuotinu asmeniu, o kada ne. Šie skirtumai
sukelia svarbių neaiškumų taikant asmens duomenų apsaugos įstatymus. Pvz. UK įtvirtina
kontekstinę analizę, kuri akcentuoja tai, ar individo tapatybė gali būti nustatyta “iš pačių asmens
subjekto valdomų/turimų duomenų ir kitos informacijos”. Prancūzijos teisė pasirinkusi platesnį
požiūrį į “identifikuotino asmens” sampratą ir analizuoja, ar iš viso yra įmanoma tokios
informacijos pagalba atsekti konkretų individą. Belgijos teisė eina priešinga kryptimi ir tam tikrus
Šie nesutapimai labai įtakoja AD srautus ir jų struktūrą. Problemų būtų žymiai mažiau, jeigu
duomenis ir informaciją būtų galima suskirstyti į identifikuojančiąją ir ne. Akcentas dėl
autonominės ir pseudoniminės informacijos kaip tik ir atskleidžia šį konceptualų požiūrį.
Svarbu pažymėti, kad Direktyvos ADA principai nėra taikytini anoniminiams duomenims. Visgi,
Direktyvos kontekstu-pagrįstas duomenų vertinimas palieka vietos tiek plačiam tiek ir siauram
aiškinimui. AD tvarkymo pasekmės yra svarbios, jeigu viena VN duomenis laiko “asmenine
informacija”, o kita – ne; duomenų apsaugos įstatymai bus taikomi vienoje, bet nebus taikomi kitoje
valstybėje-narėje.
1980 m. EBPO Gairės – AD apibrėžia kaip bet kokią informaciją, susijusią su identifikuotu ar
identifikuotinu asmeniu (duomenų subjektu), tai yra kurio tapatybė yra nustatyta ar gali būti
nustatyta.
Bendra pozicija yra ta, kad asmuo tam tikros informacijos pagalba turi būti identifikuojamas
lengvai ir nesudėtingai – tai yra, nepasitelkiant kažkokių ypatingų/sofistikuotų priemonių ar
metodų/būdų.
Privatumo samprata.
Iš visų ŽT, ko gero sunkiausia apibrėžti būtent asmens teisę į privatumą. Kaip minėta, ši teisė turi
labai gilias šaknis.
Pažymėtina, kad daugelyje valstybių ši sąvoką tarsi susiliejo su ADA samprata, kuri privatumą
interpretuoja kaip asmeninės informacijos valdymą. Už šio griežto konteksto ribų privatumo
apsauga dažnai yra suprantama kaip tarsi linijos/ribos brėžimas – tai yra kiek visuomenė gali įsikišti
į asmeninį gyvenimą. Kai kurie autoriai privatumą (privacy) siūlo skirstyti į kelias dalis:
Kaip išsireiškė vienas autorius – visos ŽT yra tam tikri asmens teisės į privatumą aspektai.
1890 m. JAV AT teisėjas – Louis Brandeis – tai viena iš labiausiai puoselėjamą, saugomų ir
mylimų ŽT JAV ir ji turi būti atspindėta JAV Konstitucijoje.
Kaip matome, Europos kontinente yra įsišaknijusi ADA koncepcija, o privatumas (privacy) –
suvokiamas EŽTK 8 str. prasme. Tuo tarpu JAV, Kanadoje, Australijoje ir kt., esminė ir pagrindinė
yra būtent privacy koncepcija, per ją yra sprendžiamo problemos, analogiškos ADA Europoje.
Todėl nenuostabu, kad nerandame lietuviškų šio žodžio atitikmenų.
Tai yra asmens interesas, kad jis galėtų išlaikyti asmeninę erdvę, laisvą nuo bet kokio išorinio
įsikišimo.
Privatumo apsauga – procesas, kurio eigoje ieškoma balanso tarp privatumo ir daugybės kitų
konkuruojančių interesų.
Informacijos privatumas - asmens interesas, kad jis turėtų galimybę esminiai įtakoti, tvarkyti
duomenis ir informaciją apie save.
Konfidencialumas – teisinė pareiga tų asmenų, kurie užvaldė informaciją apie kitus, ypatingai tuo
atveju jeigu ji įgyta specialių santykių su tais asmenimis eigoje/pasėkoje/rezultate.
Anonimiški įrašai/sandoriai – tokie, kurių duomenys negali būti nei pačių duomenų dėka, nei
kombinacijoje su kitais duomenimis, susieti asociaciniais ryšiais su konkrečiu asmeniu.
Pseudoniminiai įrašai/sandoriai – tokie, kurių duomenys normalioje įvykių eigoje negali būti
susieti asociaciniais ryšiais su konkrečiu asmeniu.
Autentifikacija – procesas, kurio metu yra nustatomas tam tikro teiginio/manymo patikimumo
laipsnis/lygis.
Identifikacija – asmens tapatybės nustatymas. Gali būti tiek tiesioginė, tiek ir netiesioginė
(sąryšyje su kitais duomenimis).
Apibrėžiant ir nagrinėjant privatumo (privacy) koncepciją, svarbu pažymėti, jog tai – labai
plati asmens, žmogaus teisės kategorija, kuri, kaip tampa aišku iš istorijos, buvo nagrinėta labai
įvairiais aspektais. Tai, be abejo, nėra absoliuti koncepcija. Jos pagalba individai – visuomenės,
sociumo nariai apibrėžia pačią bendruomenę, visuomenę ir nustato "visuomeninio gyvenimo"
ribas12. Šiuolaikinėje visuomenėje yra itin svarbu teisingai apibrėžti leistino asmens elgesio
visuomenėje apimtis, kadangi ribos, praeityje buvusios labai aiškiomis ir neginčijamomis,
technologinių priemonių pagalba tampa išskydusiomis, vos pastebimomis. Vienas iš JAV teoretikų
– Fred H. Cate privacy apibrėžė kaip įrankį apibrėžtam visuomeniniam tikslui pasiekti. Robert
C.Post pabrėžė, jog privatumo teisės pažeidimo, peržengimo deliktas "apsaugo individo teises
užtikrinant, palaikant sociumo taisykles." Anot jo, šios sociumo taisyklės (ang. rules of civity)
individą įgalina gauti ir išreikšti pagarbą, intymumą. Sociumo taisyklės, įtvirtintos privatumo teisės
12
Building a community through workplace e-mail, p. 2.
Yra labai didelių neaiškumų dėl ADA tikslų/uždavinių ir netgi apimties tarp VN. Tai sąlygota
aiškumo dėl pačios ADA prigimties stokos.
Koncepcija.
Europoje ADA buvo aiškinama ir reglamentuojama ypatingą dėmesį kreipiant į asmens teisę į
privatumo apsaugą ir pagarbą (EŽTK 8 str.) iš vienos pusės, ir į asmens saviraiškos laisvę (EŽTK
10 str.) iš kitos.
Europoje ADA šaknys – bendroji ŽT teisė. Kaip žinia, EŽTK nustato bendruosius EB teisės
principus, nes tai įtvirtinta 1992 m. ES Steigimo Sutarties (Mastrichto) F.2 str. Taigi, EŽTK turi
aukščiausią teisinę galią net ir EB teisės šaltinių hierarchijoje.
/Iš aplanko./
Uždaviniai ir tikslai.
Visi pagrindiniai TTA ADA srityje pabrėžia ryšį tarp ADA ir dviejų klasikinių ŽT – 8 ir 10 str. Tuo
pačiu aišku, kad šis santykis ir sąryšis nėra labai paprastai nusakomas ar apibrėžiamas, ir čia turi
būti įtrauktos taipogi ir kitos visuotinai pripažintos ŽT ir L.
“pagrindinių bet konkuruojančių vertybių, tokių kaip privatumas ir laisvas informacijos judėjimas,
suderinimas/sutaikinimas.”
Aiškinamasis memorandumas:
“Dvi esminės vertybės – asmens privatumo ir kitų laisvių apsauga ir laisvas inf. judėjimas – turi
būti subalansuotos”.
“… suderinti ir sutaikinti …. “.
Aiškinamasis memorandumas:
“Konvencijos išeities taškas – tam tikros asmens teisės turi būti ginamos prieš nevaržomą asmens
informacijos judėjimą. Kai ši K nustato tam tikrus apribojimus ar sąlygas AD judėjimui, ji tai daro
tik tokiu lygmeniu, koks yra griežtai pateisinamas kitų asmens teisių ir pagr. Laisvių apsaugos
užtikrinimui, konkrečiai imant – asmens teisės į asmeninio, šeimyninio gyvenimo slaptumo,
privatumo gerbimą.”
Direktyvos teisiniai rėmai irgi yra orientuoti į tai. Direktyvos 3 citata - kadangi sukurti ir veikti
vidaus rinkai, kurioje pagal Sutarties 7a straipsnį užtikrinamas laisvas prekių, žmonių,
paslaugų ir kapitalo judėjimas, būtina ne tik galimybė asmens duomenims laisvai judėti iš
vienos valstybės narės į kitą, bet taip pat ir asmens pagrindinių teisių apsauga.
Šių dokumentų prasme ADA visų pirma veikia taip vadinamoje “įtampos zonoje/srityje” tarp šių
dviejų ŽT ir vertybių. Kaip nurodoma ET K 108 memorandume, ADA turėtų būti suprantama kaip
teisės gauti informaciją apribojimas/suvaržymas, reikalingas ir būtinas asmens teisės į privatumą
apsaugos užtikrinimui.
Iš kitos pusės, kaip tampa aišku iš pačių TTA, tas sąryšis nėra jau toks tiesmukiškas/tiesioginis.
Bendrai paėmus, pastebima tendencija praplatinti tradicinę privatumo sąvoką ir koncepciją (teisę
būti paliktam vienam) ir nustatyti daugiau kompleksinę interesų, kuriuos ko gero būtų geriausia
pavadinti privatumu ir žmogaus laisvėmis, sintezę.
Kiti TTA, nurodydami būtinybę sutaikyti saviraiškos laisvę (o būtent – laisvę gauti/teikti
informaciją) ir asmens privatumą (arba “konkrečiai imant” – asmens privatumą) ir pan., taipogi
pasižymi panašiu neaiškumu ir dvejopumu. Tai tarsi implikuoja, kad turima omeny ne vien asmens
privatumas ar teisė į privatumo gerbimą.
Toks platesnis ADA tikslas taipogi išplaukia iš pagrindinių ADA principų, bendrų visiems TTA ir
nacionalinės TA (Gairės - 2 dalis, 7-14, ETK – 5 straipsnis, Direktyvos – 6 str.).
ADS teisės taipogi yra nukreiptos ne tik į tai, kad būtų sustabdytas neribojamas ir nepageidaujamas
AD rinkimas ir pan., bet ir į tai, kad būtų suteikta galimybė tuos duomenis ištaisyti, ir užtikrinti, kad
būtų atsižvelgta į visą tinkamą informaciją, priimant sprendimus, kurie įtakoja ADS teises.
EŽTK 8 str. 1 d. nustato, kad kiekvienas turi teisę į tai, kad būtų gerbiamas jo privatus ir šeimyninis
gyvenimas, būsto neliečiamybė ir susirašinėjimo slaptumas.
Taigi, ši teisė gina visą eilę interesų. ADA yra susijusi tik su vienu iš jų: o būtent – su
“privačiu gyvenimu”. Kaip ir daugelis kitų EŽTK normų, 8 str. yra taikomas tik kartu su
išimtimis, kurių sąrašas yra pateikiamas 2 – ojoje 8 str. dalyje. Joje numatyta, kad Valstybės
institucijos neturi teisės apriboti naudojimosi šiomis teisėmis, išskyrus įstatymų nustatytus
atvejus ir kai tai būtina demokratinėje visuomenėje valstybės saugumo, visuomenės apsaugos
ar šalies ekonominės gerovės interesams siekiant užkirsti kelią viešosios tvarkos pažeidimams ar
nusikaltimams, taip pat būtina žmonių sveikatai ar moralei arba kitų asmenų teisėms ir laisvėms
apsaugoti.
Panašiai, Europos teisingumo teismas Niemitz v. Germany byloje neketino nustatyti išsamaus
privataus gyvenimo apibrėžimo, ar izoliuoti tų vertybių, kurias jis gina. Bet Europos teisingumo
teismas nurodė tam tikras gaires dėl to, kaip turėtų būti suprantamas “privatus gyvenimas” 8 str.
tikslais. Šioje byloje teismas pažymėjo, kad privataus gyvenimo gerbimas taipogi turi tam tikru
laipsniu apimti ir teisę nustatyti ir plėtoti santykius su kitais asmenimis.
Tokiu būdu teismas patvirtino ilgą Komisijos praktiką, kurioje ji siekė praplėsti privataus gyvenimo
koncepciją gerokai toliau už siaurų anglo-amerikiečių privatumo idėjos ribų, su jos asmeninės
informacijos paslapties ir atsiskyrimo akcentavimu. (Čia prie ADA ir Privacy).
Ilgainiui ETK į privataus gyvenimo koncepciją įtraukė visą eilę kt. interesų: asmenų laisvę kurti
asociacijas; laisvė užmegzti ir plėtoti seksualinius santykius; fizinį ir moralinį/psichinį asmens
integralumą; asmens identiteto apsaugą (apimant taipogi ir transseksualų atvejus). Visgi, Niemitz
byloje teismas nusprendė, kad tam tikri asmeniniai ryšiai verslo kontekste gali patekti į
asmeninio/privataus gyvenimo sąvoką.
Čia svarbiausias aspektas – asmeninės informacijos rinkimas, saugojimas ir naudojimas bei asmens
teisės šiuo aspektu. Ankstyvosiose bylose (pvz. X v Germany (1973 m.), K nusprendė, kad
asmeninės informacijos rinkimas, saugojimas, atliekamas policijos, nepažeidžia 8 str. netgi jeigu
asmuo neturi kriminalinės praeities (nėra įrašytas į įskaitą ir pan.). Svarbiausias akcentas – policijos
turima informacija negali būti niekam atskleista. Šioje byloje, informacijos pateikimas po šešių
metų teismui siekiant užkirsti kelią nusikaltimams, K nuomone buvo pateisinamas siekiant užkirsti
kelią nusikaltimams, bet paliko atvirą klausimą – ar toks informacijos tvarkymas pateko į 8 str. 1 d.
sritį.
Taigi, Leander ir Gaskin bylos išjudino teismo praktiką ta linkme, kad asmeninės informacijos
rinkimas, saugojimas ir naudojimas jau ipso facto ir per se yra įsikišimas į asmens privatų
gyvenimą. Todėl jis turi būti pagrįstas teise ir pateisinamas kaip būtinas demokratinei visuomenei,
siekiant tam tikrų teisėtų tikslų. Taigi, kaip pažymėjo Harris, O’Boyle ir Warbrick, asmens
duomenų rinkimas, atliekamas valstybės pareigūnų be tokio asmens sutikimo, yra jo teisės į
privataus gyvenimo pagarbą pažeidimas.
Be abejo, tai dar labai toli iki gerai išdirbtos ir nepriekaištingai veikiančios ADA sistemos.
Bet jau pradžia ir paspirtis nemenka.
Iš esmės, ji palieka atvirą horizontaliojo efekto klausimą – tai yra, ar galima teigti, kad asmens
privatus gyvenimas yra nepakankamai saugomas valstybės, jeigu valstybė nesugeba pritaikyti ADA
priemonių ir standartų jo asmeninės informacijos rinkimui, saugojimui ir naudojimui, atliekamam
valstybinių institucijų.
Toks netiesioginis (horizontalusis) efektas nėra nežinomas EŽTK ir buvo taikomas 8 str. kontekste.
Ar šiuo efektu galima pasinaudoti, kuomet asmeninė informacija yra renkama, saugojama ir
naudojama privačių asmenų – lieka neaišku.
EŽTK taikymo praktika neišaiškina materialinių asmens teisių turinio, atliekant asmens
informacijos rinkimą, saugojimą ir naudojimą. Jai akivaizdžiai nepavyko patvirtinti ir pripažinti
specifinius “kertinius principus”, įtvirtintus TTA ADA srityje.
EŽTK nepateikia gairių, kokios apimties ir kokio gylio turi būti ADA (išskyrus kelias specifines
sritis). Net ir šiuo atveju daugiau akcentuojamas procedūrinis aspektas.
ADA ir asmens saviraiškos laivė (įskaitant teisė ieškoti, gauti ir skleisti informaciją) pagal
EŽTK.
Nors to nėra aiškiai paminėta 10 str., (kaip yra 1966 m. JT Pilietinių ir Politinių teisių protokolo 19
str.), iš EŽTK aiškinimo ir taikymo praktikos tampa aišku, kad ši teisė apima ir informacijos
ieškojimą.
Leander byloje teismas pabrėžė, kad 10 str. nesuteikia individui teisės prieiti prie registro, turinčio
informacijos apie jo padėtį, taipogi jis neįtvirtina valstybinių institucijų pareigos suteikti tokią
informaciją individui. Gaskin byla taipogi nedviprasmiškai paremia šią poziciją.
Iš kitos pusės, ADA neabejotinai nustato šios laisvės apribojimus, sąlygas ir pan. Pagal 10 str. 2 d.,
tokie apribojimai turi būti nustatyti įstatymo ir būtini demokratinei visuomenei tam tikrų svarbių
tikslų siekimui. Tiek D, tiek ir nac. Įstatymai neabejotinai reiškia “įstatymą”. Taipogi nekyla
abejonių, kad jais siekiama 10 str. 2 d. nurodytų teisėtų tikslų. Visų pirma, be abejo – siekiant
apginti/apsaugoti kitų asmenų teises ir laisves.
Be abejo, yra svarbus sąryšis su EŽTK 6 str. Visų pirma, tai seka iš ginklų (gynybos priemonių)
lygybės principo. Tai yra – lygiateisiškumo. Taipogi – galimybė pasinaudoti tam tikrais įrodymais.
Taigi, principas, kad informacija apie asmenį, kuri naudojama priimant svarbius
sprendimus, įtakojančius tokį asmenį, būtų (a) padaryta žinoma ar bent jau prieinama
tokiam asmeniui, ir (b) sudarytos galimybės tokiam asmeniui ją nuginčyti – dėl jos tikslumo,
naujumo ir tinkamumo – yra laikytinas bendruoju teisės principu, pripažintu EB VN – nes jis
suformuoja ir sudaro vieną iš EB teisės bendrųjų principų.
Asmens duomenų tvarkymas taipogi gali paliesti ir žmogaus minties, sąžinės ir religijos laisvę
(EŽTK 9 straipsnis). Byla Church of Scientology of Paris v France (1995). K pabrėžė, kad jeigu
religinei organizacijai dėl to, kad yra atliekamas jos duomenų saugojimas, nėra užkertamas kelias
propaguoti savo tikėjimą, skelbti jį ir pan., nėra 9 str., 10 str., 11 str. pažeidimų. Taigi, asmens
duomenų tvarkymas tik tuomet pažeidžia EŽTK, kai jis sukelia asmens teisių pažeidimą. Kitaip
tariant, duomenų apie politines, profsąjungines ar religines organizacijas tvarkymas kelia klausimą
ne tik ryšium su 8 str., bet taipogi ir su 9 str., 10 str. ir 11 str. (asociacijų laisvė).
Išvada: įvairūs asmens duomenų tvarkymo aspektai yra ginami EŽTK įtvirtintų teisių ir kitų
bendrųjų teisės principų, kt. nei asmens teisė į privatų gyvenimą. Pagal EŽTK ir bendruosius
principus, asmuo turi turėti teisę sužinoti, kokia informacija, kurią turi kiti asmenys, yra
naudojama jam svarbių sprendimų priėmimui. Asmeniui privalo būti suteikta teisė nuginčyti
tokios informacijos tikslumą, naujumą, tinkamumą.
Esmė ta, kad vien tik EŽTK neužtenka tinkamai ir efektyviai ADA – kaip jau tampa aišku iš
aukščiau nurodytos ETTm praktikos, asmens DS yra visiškai nepalanku ir neparanku, kai
ADA konstruojama kaip balansas tarp minėtų dviejų ŽT, L, vertybių. Tai nėra patenkinamas
ADA reguliavimas, todėl reikia kitų instrumentų.
Iš tiesų – tai, kad ADA buvo suprantama kaip sui generis teisė, vertybė, susijusi su, bet
visiškai skirtinga tiek nuo teisės į privataus gyvenimo apsaugą, tiek nuo saviraiškos laisvės,
buvo vienas iš pagrindinių stimulų priimti atskirus TTA šioje srityje.
Šiuo metu pasaulyje yra keletas ADA reguliavimo modelių. Kai kuriose valstybėse naudojami ir
derinami iš karto abu.
Reguliatyvinis modelis (RM) – priimtas ir pripažintas Europoje, Australijoje, Hong Konge, NZ, C
ir Rytų Europoje, Kanadoje – viešasis oficialusis modelis, kurio esmė – bendrųjų
visapusiškų/plačių/išsamių įstatymų priėmimas (šis modelis dar vadinamas europietiškuoju). Šių
įstatymų vykdymą prižiūri valstybės pareigūnas, vadinamas Komisionieriumi, Ombudsmenu ar
Registro tvarkytoju, kuris taipogi nagrinėja skundus, atlieka tyrimus ir pan. jis atsakingas už viešąjį
švietimą ADA srityje, tarptautinius AD srautų reguliavimo klausimus ir pan. Be abejo, tokių
Komisionierių, Ombudsmenų ar Registro tvarkytojų įgalinimų apimtys labai skiriasi, nevienoda
kompetencija.
Paskutiniu metu, ypatingai paplitus komerciškai prieinamai technologijai, ADA taipogi pasislinko į
individualių naudotojų rankas. Interneto naudotojai gali pasitelkti visą eilę programų, sistemų ir
pan., kurių pagalba galima užtikrinti norimą ADA lygį ir komunikacijų saugumo laipsnį. Lieka
klausimas dėl šių priemonių patikimumo ir saugumo. Pastaruoju metu – 1998 m. ES Komisija
1974 07 15 d. EB Ministrų Taryba priėmė sprendimą dėl EB politikos duomenų tvarkymo atžvilgiu.
Buvo nuspręsta: suteikti ir nustatyti EB orientyrus, skatinant duomenų tvarkymą ir prašo EB K, kad
ši 1974 m. pateiktų prioritetų pasiūlymus:
• 1945 m. JT Įstatai;
• 1945 m. Tarptautinio teisingumo teismo statutas;
• 1948 m. JT Visuotinė ŽT Deklaracija (12 str.);
• 1950 m. EŽTK (8 str.);
• 1966 m. Tarptautinis Pilietinių ir Politinių teisių paktas;
• 1976 m. Papildomasis protokolas prie Tarptautinio Pilietinių ir Politinių teisių pakto;
• 1966 m. Tarptautinis Ekonominių, Socialinių ir Kultūrinių teisių paktas;
• 1985 m. JT Konvencija prieš kankinimus;
• 1991 m. JT Konvencija dėl visų migruojančiųjų darbuotojų ir jų šeimų narių teisių apsaugos;
• 1993 m. JT Deklaracijos dėl Neįgaliųjų asmenų teisių projektas;
• 1989 m. JT Vaiko teisių apsaugos konvencija.
Į atskirą grupę galima išskirti ET priimtus ta (pagrinde – rekomendacijas). Apie jas plačiau – žr.
toliau. Čia galima paminėti 1995 m. rugsėjo 11 d. ET Rekomendaciją dėl Baudžiamojo proceso
įstatymų, susijusių su informacinėmis technologijomis (IT).
Šaltinių apžvalga.
Rekomendacija dėl Asmens privatumo apsaugos ir asmens duomenų judėjimo tarp valstybių narių
Gairių (toliau – Gairės) buvo priimta EBPO Tarybos 1980 m. rugsėjo 23 d. Tarybos
rekomendacijos nėra teisiškai privalomos ir greičiau išreiškia politinę, moralinę valstybių narių
valią ir įsipareigojimus. EBPO Taryba rekomendavo, kad VN savo nacionalinėje įstatymų leidyboje
atsižvelgtų į principus, užtikrinančius privatumo apsaugą ir individo laisves, įtvirtintus Gairėse, kad
jos stengtųsi pašalinti, arba nekurtų, vardan privatumo apsaugos, nepagrįstų kliūčių tarptautiniams
duomenų srautams ir kad jos bendradarbiautų tarpusavyje, įgyvendinant Gairių nuostatas.
Gairėse išdėstyti ADA principai buvo implementuoti VN nacionalinės tesiės lygiu, priimant visą
eilę nacionalinių TA.
Apimtis.
Gairės yra visuotinai pripažintos kaip tarptautiniu lygmeniu priimtinas ir technologiniu atžvilgiu
neutralus privatumo apsaugos principų rinkinys, kuris išlaikė daugiau nei 20 m. testą. Jos taikomos
bet kokiai informacijai, susijusiai su identifikuotu ar identifikuotinu asmeniu (duomenų subjektu),
tai yra kurio tapatybė yra nustatyta ar gali būti nustatyta. Jos taikomos tiek privačiajam, tiek ir
viešajam sektoriui, visoms kompiuterizuoto AD tvarkymo sistemoms ir priemonėms (pradedant
lokaliais kompiuteriais, baigiant pasauliniais tinklais) ir apima bet kokį AD tvarkymą ar naudojimą.
AD Rinkimo apribojimo pr. – turi būti nustatytos AD rinkimo ribos ir bet kokie tokie AD turi būti
gaunami teisėtai ir naudojant teisingas priemones ir, kur tai yra tinkama, žinant pačiam AD
subjektui ir esant jo sutikimui.
Tikslo nustatymo pr. – tikslai, kuriems yra renkami AD, turi būti nurodyti ne vėliau nei AD
rinkimo metu ir paskesnis jų naudojimas turi būti apribojamas šių tikslų pasiekimui ir
įgyvendinimui, ar kitiems tikslams, kurie nors ir nėra nurodyti, bet yra suderinami su tais
nurodytaisiais tikslais, kaip tai nurodoma kiekvieną kartą pakitus tikslui.
AD panaudojimo apribojimo pr. – AD neturi būti atskleisti, padaryti prieinami ar kitaip panaudoti
kitiems tikslams, negu tie, kurie nurodyti sutinkamai su tikslo nustatymo principu, išskyrus: (a)
kuomet gaunamas ADS sutikimas; arba (b) sutinkamai su įstatymu.
Saugumo užtikrinimo pr. – Ad privalo būti saugomi protingomis saugumo priemonėmis prieš
tokias rizikas/pavojus, kaip AD netekimas, praradimas, neteisėtas priėjimas prie AD, jų
sunaikinimas, panaudojimas, pakeitimas ar atskleidimas.
Atvirumo pr. – turi būti nustatyta bendra atvirumo politika dėl AD vystymosi, formavimosi,
praktikos ir pan. Priemonės turi būti prieinamos ir tinkamos, siekiant nustatyti AD buvimą ir
prigimtį, jų naudojimo pagrindinį tikslą, taipogi AD valdytojo tapatybę ir jo buvimo vietą.
Individualaus dalyvavimo pr. – asmuo turi turėti teisę: (a) iš AD V gauti patvirtinimą, ar šis turi
duomenų, susijusių su asmeniu; (b) kad jam būtų pranešti duomenys, kuriuos ADV turi apie jį:
protingu laiku; nustatant ne per didelį mokestį; protingu būdu ir formatu; tokia, forma, kuri būtų
jam suprantama; (c) kad jam būtų praneštos priežastys ir motyvai, dėl kurių buvo atsisakyta suteikti
teises ir galimybes, numatytas a ir b; suteikta teisė ginčyti tokius nesuteikimo pagrindus; ir (d)
ginčyti su juo susijusius AD, ir jeigu toks apskundimas yra pavykęs, reikalauti AD ištrynimo,
ištaisymo, papildymo ar pakeitimo.
Atskaitomybės pr. – AD V privalo būti atskaitingas už tai, kaip jis laikosi priemonių, kurios
įgyvendina anksčiau nurodytus principus.
AD srautai/judėjimas.
Vykdomas darbas
EBPO per ICCP Komitetą tęsia pradėta darbą privatumo ir ADA srityje ir įsteigė naujų klausimų ir
problemų diskusijų forumą, pvz. dėl pasaulinių tinklų ir pan.
1997 m. spalio mėn. Pranešimas “EBPO Gairių įgyvendinimas elektroninėje aplinkoje: dėmesys
Internetui”;
1998 m. spalio m. Otavoje vykusi EBPO Ministrų Konferencija priėmė Deklaraciją dėl privatumo
apsaugos pasauliniuose tinkluose.
Consumers in the Online marketplace: OECD Workshop on the Guidelines: One Year Later, 13-14
March, 2001 Berlin.
Building trust in the Online Environment: Business to Consumer Dispute Resolution; the
Netherlands; April, 2001.
Joint OECD Private sector Workshop on Electronic Authetication, 2-4 June, 1999.
OECD Workshop: Information security in a networked world, 12-13 September 2001, Tokyo,
Japan.
2. ET 1981 m. priimta Strasbūro konvencija dėl asmenų apsaugos ryšium su asmens duomenų
automatizuotu tvarkymu (ETS Nr.108)
Buvo priimta 1980 m. ir tapo atvira pasirašymui 1981 m. Nuo to momento ją pasirašė 23 v, o
ratifikavo – 21. Prie jos gali prisijungti bet kuri valstybė, ne tik ET VN. Ši Konvencija yra
neabejotinai VN įpareigojantis TTA.
Priėmimo aplinkybės. 1968 m. ET Parlamentinė Asamblėja priėmė Rekomendaciją Nr. 509, kurią
adresavo Min. Kom. prašydama ištirti, ar EŽTK ir VN nacionalinės teisės garantuoja adekvatų
asmens privatumo teisės gynimą prieš modernią technologiją ir mokslą.
MK atliko studiją ir nustatė, kad nac. T neužtikrino adekvataus ADA lygio, todėl jau 1973 m. ir
1974 m. MK priėmė dvi rezoliucijas – pirma Nr. 22 – Dėl ADA principų nustatymo privačiam
sektoriui, o kita – Nr. 29 – viešajam sektoriui.
Rezoliucijos nustatė visą eilę taisyklių, kaip asmeninė informacija turi būti saugoma/laikoma ar
kitaip tvarkoma elektroninėse duomenų bazėse. Nors tai buvo palikta VN nuožiūrai, kokiomis
Jau minėtų rezoliucijų pagrindu visa eilė VN – Austrija, Danija, Prancūzija ir kt. priėmė nac. ta.
Trijose iš jų ADA netgi buvo įtraukta į Konstitucijas (Portugalijoje, Ispanijoje, Austrijoje).
Visgi, netgi ir pripažinus, kad VN turi labai panašias ADA teisinio reguliavimo sistemas, kyla
problemos dėl įstatymų taikymo. Ekspertų komitetas nusprendė, kad turint tai omenyje, yra būtina
tarptautinė sutartis ADA srityje. Išskyrė dvi galimas koncepcijas: abipusiškumo pagrindą (tai yra
AD iš kitos VN yra saugomi, jeigu saugomi ir toje kitoje VN) ir principą, kad visam AD tvarkymui,
nepriklausomai nuo sienų, turi būti taikomi bendri principai. Komitetas pritarė antrajam variantui.
Komitetas bendradarbiavo su EBPO ir EEB. EB K nusprendė palaukti, kol visgi galutinai bus
priimta universali konvencija.
Konvencija sudaryta iš trijų dalių – bendrieji ADA principai; specialios taisyklės dėl tarptautinio
AD judėjimo; tarpusavio pagalbos tarp VN užtikrinimo ir įgyvendinimo mechanizmas.
Esmė – direktyvinis konvencijos reguliavimo modelis – tai yra – priemonės ir metodai tikslo
pasiekimui yra išimtinai VN nuožiūroje.
Jau preambulė įtvirtina VN įsipareigojimą gerbti visuotinai pripažintas ŽTL. Pripažįstama, kad
nevaržomas ir neribojamas AD ir informacijos perdavimas, judėjimas, neribojamas asmens teisės į
informaciją realizavimas gali neigiamai paveikti kitų fundamentalių ŽTL apsaugą (pvz., teisę į
asmens privataus gyvenimo gerbimą, ne-diskriminaciją, teisingą teismo procesą ir pan.). Taigi,
siekiama nustatyti ir palaikyti teisingą balansą.
Kaip matyti iš K tikslų, jos taikymas tik VN piliečių ar joje gyvenančių asmenų be pilietybės
atžvilgiu būtų nesuderinamas su K nuostatomis.
Pagrindiniai ADA principai. Panašūs į EBPO Gairių, bet papildomai įtraukia principą,
reikalaujantį atitinkamų apsaugos priemonių specialioms AD kategorijoms (jautriems duomenims),
kurie atskleidžia rasinę kilmę, politinius įsitikinimus ar religines nuostatas ar kitus įsitikinimus,
kurie liečia sveikatą, seksualinį gyvenimą, ar kurie susiję su kriminaliniais nuteisimais.
Nuostatos dėl AD srautų. K 12 str. nustato, kad VN neturi teisės, vien tik privatumo apsaugos
užtikrinimo sumetimais ir tikslais, uždrausti tarpvalstybinį AD judėjimą į kitą VN ar jo atžvilgiu
nustatyti specialias sąlygas. Visgi, VN turi teisę nukrypti nuo šio K reikalavimo, jeigu: (a) tie AD
priklauso tai kategorijai AD, kurie, atsižvelgiant į jų prigimtį ir pobūdį, yra reguliuojami specifiškai,
o kita VN neužtikrina adekvačios tokių ADA; (b) kuomet AD perdavimas yra vykdomas į trečiąją
valstybę per VN – tarpininkę, siekiant išvengti pirmosios VN įstatyminių reikalavimų vykdymo.
Palyginimas su ES D 95/46/EC
ET K Nr. 108 ir ES D 95/46 palyginimas rodo, kad ET yra palankesnė laisvam informacijos
judėjimui tarp valstybių, o ES D nustato pasikeitimo AD sąlygas.
Vykdomas darbas.
Per konsultacinį komitetą ET tęsia pradėtą darbą ADA srityje. ET ADA Projekto Grupė 1998 m.
gegužę taipogi išleido Gairių “Dėl Privatumo Apsaugos Internete” projektą. Taipogi pažymėtina,
kad aštuntajame-devintajame dešimtmetyje ET šioje srityje darbavosi labai rimtai ir vaisingai -
priėmė daugybę rekomendacijų, pavyzdinių sutarčių ir pan.
1983 m. Rekomendacija Nr. R(83) 10 – Dėl AD, naudojamų moksliniais tiriamaisiais ir statistiniais
tikslais, A.
1985 m. Rekomendacija Nr. R(85) 20 – Dėl AD, naudojamų tiesioginiam marketingui (prekybai),
A.
1986 m. Rekomendacija Nr. R(86) 1 – Dėl AD, naudojamų socialinio aprūpinimo tikslais, A.
1990 m. Rekomendacija Nr. R(90) 19 – Dėl AD, naudojamų mokėjimo ir kitoms operacijoms, A.
1991 m. Rekomendacija Nr. R(91) 10 – Dėl AD, laikomų valstybinių institucijų, perdavimo
trečiosioms šalims.
1995 m. Rekomendacija Nr. R(95) 4 – Dėl ADA telekomunikacijų srityje, ypatingą dėmesį skiriant
telefonijos paslaugoms.
1997 m. Rekomendacija Nr. R(97) 18 – Dėl AD, renkamų ir naudojamų statistiniais tikslais, A.
Jų principai – nėra teisiškai įpareigojantys. Siūlo minimalias ADA garantijas, kurios turėtų būti
įtrauktos į nacionalinius įstatymus.
Gairės priimtos sutinkamai su JT Statuto 10 str. Šis str. įgalina GA priimti rekomendacijas,
adresuotas VN. VN turi atsižvelgti į gaires, įgyvendindamos nacionalinius ta dėl kompiuterizuotų
AD bylų, bet šių taisyklių įgyvendinimas yra paliktas VN nuožiūrai.
Pagrindiniai principai. Plačiai atspindi EBPO Gairių įtvirtintus pricipus. Be to, JT Gairės suvaržo
jautrių duomenų kompiliaciją nediskriminacijos principo ribose.
Ad tarpvalstybinis judėjimas. 9 paragrafas numato laisvą AD judėjimą tarp valstybių, kurios turi
palyginamas/sulyginamas ADA priemones.
Nuo 1979 m. jos rengiamos kasmet. Neturi konkretaus juridinio statuso, dėl sprendimų nėra
balsuojama. Tai tarsi apsikeitimo informacija forumas. 20-oji konferencija vyko Santjago de
Compastela, Ispanijoje.
Vyksta kasmet. Suteikiama proga vystyti ir plėtoti bendras pažiūras ir pozicijas dėl ADA ir spręsti
esmines problemas šioje srityje.
ISO 1996 m. gegužę priėmė rezoliucija siūlyti plėtoti tarptautinius standartus, pagrįstus Kanados
Standartų Asociacijos parengtu Pavyzdiniu Asmeninės informacijos Apsaugos Kodeksu. 1998 m.
birželį patariamoji grupė nusprendė, kad šiuo metu dar anksti vienareikšmiškai daryti išvadą, kad
toks tarptautinis standartas yra būtinas ir ar jis pasitarnaus ADA.
ICC publikavo jo siūlomą Pavyzdinio kontrakto dėl tarpvalstybinio AD judėjimo, projektą kuris
sudaro 1992 m. PK pagrindą.
ES, kaip matyti iš ankstesnių pastabų, buvo linkusi palaukti, kol išaiškės ADA teisinio reguliavimo
tendencijos tarptautiniu lygmeniu.
ES Direktyva 95/46.
13
Tokią vertę geriausiai galėtų pailiustruoti tai, kad 1999 vasario mėnesį JAV vartotojams buvo pasiūlyti nemokami
Compaq kompiuteriai, rinkoje kainuojantys apie 1 000 JAV dolerių. Už tai tokie vartotojai internete turėjo peržiūrėti
daugybę įvairių reklaminių skelbimų. Žr. http://www.news.com/News/Item/0,4,32983,00.html?st.ne.180.head. Šis
pasiūlymas buvo toks sėkmingas, kad atsirado virš 10 mln. norinčiųjų įsigyti 10 000 kompiuterių. Be abejo, šie
kompiuteriai buvo siūlomi ne iš altruistinių paskatų, o siekiant surinkti kuo daugiau asmeninės informacijos ir ją
panaudoti tikslinei reklamai. Žr. The Economist, February 13, 1999.
14
R v. Brown [1996] 1 All E.R., 545, p. 555.
15
Peter P. Swire, Robert E. Litan. None of Your Business: World Data Flows, Electronic Commerce and the European
Privacy Directive. 1998. p. 50.
16
Ji įtvirtinta jau 1948 m. JT Visuotinėje žmogaus teisių deklaracijoje (12 str.).
17
Pirmasis šios teisės įgyvendinimo pasireiškimas atrandamas jau 1361 m., kuomet Anglijos taikos teisėjas
sankcionavo sekiotojų ir pasiklausinėtojų areštą.
18
Kažkur yra nuoroda. 1973 m. panašų įstatymą priėmė Švedija, 1974 m. – JAV, 1977 m. – Vokietija, 1978 m. –
Prancūzija.
19
Asmens duomenų apsaugos reikalai tvarkomi ES Komisijos XV Generalinio direktorato, atsakingo už Vidaus rinką ir
finansines paslaugas. Asmens duomenų apsaugos atžvilgiu svarbiausia XV GD institucija – "laisvo informacijos
judėjimo ir duomenų apsaugos, įskaitant tarptautinius aspektus" direktoratas. Žr. http://europa.eu.int/comm/dg15/en.
20
Direktyvos preambulės 1-9 punktai.
21
Be abejo, ši plati ir daugapimanti nuostata nėra besąlyginė – ir pati direktyva tam tikru laipsniu leidžia valstybių narių
įstatymams skirtis. Be to, direktyvos 4 straipsnyje įtvirtinta šalių teisė pasirinkti operacijai taikytiną teisę įgalina
uždrausti vienos valstybės piliečių duomenų tvarkymą kitoje valstybėje narėje.
22
Paul M. Schwartz. European data protection law and Restrictions on International data flows. Iowa Law Review, vol.
80 (March, 1995). p. 491-492.
23
Direktyvos 1 straipsnis.
Apibrėžimai. Apimtis.
Direktyvos 2- 4 str. bei 14 citata leidžia teigti, kad AD garsų ir vaizdų pavidale taipogi patenka į D
reguliavimo sritį. Todėl individo video įrašų rinkimas neabejotinai pateks į direktyvos reguliavimo
sritį30. Europos teisingumo teismo sprendimai žmogaus teisių bylose McVeigh, O'Neill and Evans v.
UK31, Murray v. UK32 aiškiai parodo, kad fotografijos padarymas gali būti laikomas asmens teisės į
privatumą pažeidimu. Labai svarbu tai, kad technologija darbdaviams leidžia stebėti darbuotojų
veiklą video ir kitomis elektroninėmis priemonėmis ir kad toks stebėjimas gali tapti invazinis33.
Ko gero daugiausia asmeninės informacijos gali būti išgauta iš asmens biocheminės sudėties
ir genetinio kodo. Direktyva turėtų būti taikoma individo audinio mėginiams. Tokio proceso geras
pavyzdys – Islandija, turinti nedidelę ir palyginus izoliuotą žmonių bendruomenę. 270 000 islandų
turi išlaikę gerai dokumentuotus šeimos, giminės genealoginius medžius, kurių pagalba galima
sukurti išsamias genealogines duomenų bazes, atskleidžiančias 75% iš bet kada gyvenusių 750 000
Islandijos gyventojų kilmę. Tokia informacija gali būti išskirtinai vertinga tiek medicininiu, tiek ir
komerciniu požiūriu. Islandijos kompanija deCode sutiko panaudoti šią informaciją siekiant atrasti
genus, atsakingus už įvairias ligas, tame tarpe ir šizofreniją34. Tačiau tokios duomenų bazės
sukūrimas gali būti laikoma privatumo pažeidimu. Direktyva nustato griežtus medicininės
informacijos tvarkymo apribojimus (8 str.), tačiau nėra aišku, ar Direktyva bus taikoma patiems
24
Direktyvos 10 įžanginė citata.
25
Direktyvos 4 įžanginė citata.
26
Direktyvos 6 įžanginė citata.
27
Direktyvos 7 įžanginė citata.
28
Pagal Direktyvą tai turi būti atlikta iki 1998 m. spalio 24 d. (32 straipsnis).
29
Direktyvos 9 įžanginė citata.
30
1997 m. spalio mėn. Hong Kongo AD Komisionierius pareiškė, kad jis nagrinėjo atvejį, kai Universiteto draugas
bendrabutyje be jos sutikimo ar netgi žinios filmavo studentę. Hong Kongo įstatymai draudžia duomenų, fotografijų,
asmens vaizdų (paveikslų ir pan.) rinkimą, naudojimą privačiose vietose arba neteisėtomis priemonėmis be asmens
duiomenų subjekto sutikimo ir kitais tikslais, negu kad toks sutikimas buvo gautas. Todėl Komisionierius įsakė minėtus
video įrašus atiduoti AD subjektui. Žr. http://www.pco.org.hk/news1013.html.
31
[1982] 25 ECHR 15.
32
[1995] 19 EHRR 193.
33
Galkin. Electronic Privacy Rights // Computer Law Observer. Issue No. 15, June 1996.
34
The Economist. December 5-11, 1998, p. 113.
2(b) – AD tvarkymas. Kaip matyti, D pateikia labai platų apibrėžimą, apimantį ko gero visas
įmanomas operacijas, atliekamas su AD: “asmens duomenų tvarkymas” (“tvarkymas”) reiškia bet
kurią operaciją ar operacijų rinkinį, automatiniais arba neautomatiniais būdais atliekamus su asmens
duomenimis, kaip antai: rinkimas, užrašymas, rūšiavimas, saugojimas, adaptavimas ar keitimas,
atgaminimas, paieška, naudojimas, atskleidimas perduodant, platinant ar kitu būdu padarant juos
prieinamus, išdėstymas reikiama tvarka ar sujungimas derinant, blokavimas, trynimas ar
naikinimas.
2(c) asmens duomenų kaupimo rinkmenose sistema (angl. filing system) (“rinkmenų sistema”)
reiškia bet kurį susistemintą pagal specifinius kriterijus prieinamų asmens duomenų rinkinį, kuris
gali būti centralizuotas, decentralizuotas arba suskirstytas funkciniu ar geografiniu pagrindu. Šis
apibrėžimas turėtų būti aiškinamas kartu su 27 citata - kadangi asmenų apsaugos reikalavimai
turi būti taikomi tvarkant duomenis ir automatiniu, ir rankiniu būdu; kadangi tokios apsaugos
mastas iš esmės neturi priklausyti nuo naudojamo metodo, priešingu atveju iškiltų rimta įstatymų
apėjimo grėsmė; kadangi tvarkant rankiniu būdu, ši direktyva taikoma tiktai rinkmenų sistemoms,
tačiau negalioja nesistemintoms rinkmenoms; kadangi ypač svarbu, kad rinkmenų sistemos
turinys turi būti sistemiškai išdėstytas pagal specifinius su asmenimis susijusius kriterijus,
leidžiančius lengvai gauti asmens duomenų; kadangi pagal 2 straipsnio (c) dalyje pateiktą
apibrėžimą kiekviena valstybė narė gali nustatyti kriterijus, pagal kuriuos nustatomos sisteminio
asmens duomenų rinkinio sudėtinės dalys, bei kriterijus, reglamentuojančius, kaip galima gauti
duomenų iš tokio rinkinio; kadangi bet kuriuo atveju ši direktyva netaikoma pagal specifinius
kriterijus nesusistemintoms rinkmenoms.
Taigi, iš apibrėžimo tampa aišku, kad yra išskiriami du pagrindiniai apsprendžiantieji faktoriai –
norint, kad Ad būtų pripažinti rinkmenų sistema, jie turi būti struktūrizuoti ir prieinami,
atsižvelgiant į specifinius kriterijus. Pagal 27 citatą, įrašas turi būti sutvarkytas tokiu būdu, kad
būtų įmanoma identifikuoti konkretų individą – be jokių kryžminių nuorodų ar sutapimų/atitikimų
(matching). Galiausiai, bylų segtuvai ar rinkiniai, kurie nėra struktūrizuoti pagal specifinį kriterijų,
nepatenka į D reguliavimo sritį. Visgi, D aiškiai neišsprendžia klausimo, kurios konkrečiai bylų,
tvarkomų rankiniu būdu, kategorijos nepatenka į D lauką. Aišku, VN –ėms yra suteikiamas
lankstumas šiuo požiūriu, bet jis gali labai neigiamai įtakoti vieningumo ir harmoniškumo, kurio
būtent ir siekiama D, tikslus.
Pagrindiniai veikėjai. 2(d) asmens duomenų valdytojas - reiškia tokį fizinį ar juridinį asmenį,
valstybės valdžios instituciją, agentūrą ar bet kurį kitą organą, kuris vienas ar drauge su kitais
nustato asmens duomenų tvarkymo tikslus ir būdus; jeigu tvarkymo tikslus ir būdus nusako
nacionaliniai arba Bendrijos įstatymai bei norminiai aktai, tai duomenų valdytoją arba specifinius
kriterijus, pagal kuriuos skiriamas duomenų valdytojas, gali apibrėžti nacionaliniai arba Bendrijos
įstatymai. Taigi, kaip tampa aišku iš apibrėžimo, reikia pabrėžti keturis momentus. Pirma, jis
numato galimybę, kad vienos AD tvarkymo operacijos metu gali dalyvauti daugiau nei vienas
ADV. Antra, ADV pats nebūtinai turi turėti, valdyti AD. Trečia, kintant AD tvarkymo operacijoms,
gali kisti pati ADV samprata, netgi esant vienoje IS. Ketvirta, apsprendžiantysis faktorius,
pripažįstant ADV, yra ne formalus AD tvarkymo operacijų kontrolės atsakomybės paskirstymas, o
bet faktinis tos kontrolės vykdymas.
ADV reikia skirti nuo AD tvarkytojo (ADT). Pastarąjį apibrėžia 2 (e) kaip fizinį ar juridinį asmenį,
valstybės valdžios instituciją, agentūrą ar bet kurį kitą organą, kuris tvarko asmens duomenis
duomenų valdytojo vardu. Pagal D, ADV privalo užtikrinti (sutartinėmis ar kitomis atitinkamomis
priemonėmis), kad ADT savo pareigas vykdytų sutinkamai su nac. įstatymais, priimtais
įgyvendinant D. Atsakomybė už ADT nac. įstatymų nesilaikymą yra užkraunama ant ADV pečių.
Dar daugiau, pagal D 4 str. taikytina teisė nustatoma atsižvelgiant į ADV, o ne ADT
įsteigimo/įkūrimo vietą. Todėl, e-komercijos operatoriams yra žymiai svarbiau nustatyti, kurie
veikėjai yra ADV, o ne ADT. Šio skirtumo svarba taikytinos teisės nustatymui pailiustruotina vienu
Norvegijos ta ADA srityje pritaikymo atveju. Pagal Norvegijos Teisingumo ministro įsakymą buvo
nutarta 1978 m. AD Aktą pritaikyti kruizinio laivo personalo registrui, kuris nuosavybės teise
priklausė Norvegijos įmonei, nežiūrint į tai, kad personalas nebuvo norvegai, jų darbdavys– taipogi
ne Norvegijos kilmės ir pats laivas visuomet plaukiodavo tik Karibų jūroje. Taigi, jeigu laivo
savininkas būtų pripažintas ADV, tuomet pagal D 4 str. turėtų būti taikomas 1978 m. AD Aktas.
Tokiu atveju, galima netgi pozityvi įstatymų kolizija.
2(g) - duomenų gavėjas reiškia tokį fizinį ar juridinį asmenį, valstybės valdžios instituciją,
agentūrą ar bet kurį kitą organą, kuriam atskleidžiami duomenys, net jei jis yra trečioji šalis; tačiau
valdžios institucijos, kurios gauna duomenų, padavusios konkretų užklausimą, nėra laikomos
gavėjomis. Antroji šio apibrėžimo dalis nėra labai aiški.
2(h) - duomenų subjekto sutikimas reiškia bet kurį savanoriškai ir žinomai duotą konkretų
duomenų subjekto pareiškimą, kuriuo duomenų subjektas nurodo savo sutikimą, kad būtų tvarkomi
su juo susiję duomenys.
D prasme svarbi sąvoka: Tiesioginė rinkodara - veikla, kuri skirta paštu, telefonu arba kitokiu
tiesioginiu būdu siūlyti asmenims prekes ar paslaugas ir teirautis jų nuomonės dėl siūlomų prekių ar
paslaugų. Šiame kurse ši sąvoka bus adekvati tiesioginiam marketingui. “Tiesioginė rinkodara”
Europos Tarybos rekomendacijoje dėl asmens duomenų panaudojimo tiesioginės rinkodaros tikslais
apibrėžiama, “kaip apimanti bet kokią veiklą, įgalinančią siūlyti prekes ir paslaugas ar persiųsti bet
kokius kitus pranešimus visuomenės daliai paštu, telefonu ar kitokiomis tiesioginėmis priemonėmis,
kuriomis siekiama informuoti subjektą ar iš jo gauti atsakymą ar suteikti su tuo susijusias
paslaugas”35.
Taikymo apimtis/sritis.
Direktyvos 3.1. str. aiškiai nustato, kad ji taikoma automatiniais būdais tvarkant asmens duomenis
ištisai arba dalimis ir neautomatiniais būdais tvarkant asmens duomenis, kai tie duomenys sudaro
arba yra skirti sudaryti rinkmenų sistemos dalį. Šios nuostatos pagrindimą randame jau pačios
Direktyvos 27 įžanginėje citatoje: "asmens duomenų apsaugos reikalavimai turi būti taikomi
35
Recommendation N°(85)20 of Committee of ministers to Member States on the protection of personal data used for
the purposes of direct marketing, adopted on 25 th October 1985.
3.2 str. nurodo, kad Direktyva netaikoma, inter alia, kai duomenis tvarko fizinis asmuo,
užsiimdamas tik asmenine veikla. 12 citata paaiškina, kad asmens duomenų apsaugos principai
netaikomi asmens duomenis tvarkant tokiam fiziniam asmeniui, kuris užsiima tik asmeninio
pobūdžio veikla, kaip antai: susirašinėja ar saugo adresų užrašus. Taigi, tas pats adresų sąrašas,
laikomas asmeniniam susirašinėjimui, nepatenka į D apsaugą, o laikomas verslo reikalams – jau
akivaizdžiai patenka.
Geografinis taikymas. Pagal D tikslus, vienai konkrečiai AD tvarkymo operacijai turi būti taikoma
ne daugiau nei viena konkreti teisės norma.
ADA principai.
Jį įtvirtina D 6 straipsnis. Šis straipsnis įtvirtina, nustato sąlygas, kurioms esant gali būti tvarkomi
asmens duomenys. Kaip jau minėta, būtent asmens duomenų valdytojas privalo užtikrinti šių
principų laikymąsi (6 str. 2 dalis). D nustato, kad VN privalo užtikrinti, kad asmens duomenys:
(a) tvarkomi teisingai ir teisėtai;
(b) surinkti įvardintais, aiškiai apibrėžtais ir teisėtais tikslais, o po to tvarkomi su šiais
tikslais suderintais būdais;
(c) atitikti jų rinkimo ir (arba) vėlesnio tvarkymo temą, tikslą ir apimtis;
(d) tikslūs, ir jei būtina, nuolat atnaujinami; turi būti imtasi visų reikalingų priemonių, kad
AD, kurie yra netikslūs ir neišsamūs, palyginti su tikslais, dėl kurių jie buvo surinkti ar po to
tvarkomi, būtų ištrinti arba ištaisyti;
36
Murray, p. 230.
Antrasis komponentas reikalauja, kad AD būtų tvarkomi tik sutinkamai su tais tikslais, kuriems jie
buvo surinkti. Taigi – turi būti nustatyti tam tikri antrinio AD naudojimo apribojimai.
Trečiasis komponentas – užkerta kelią nereikalingos asmeninės informacijos rinkimui. Nors šis
reikalavimas nepateikia specialiųjų gairių dėl nustatymo, ar tam tikra informacija yra reikalinga
identifikuotam jos rinkimo tikslui/uždaviniui, asmeninės informacijos rinkėjai neturi neribojamos
diskrecijos nustatyti, ar informacija yra reikalinga ar ne. Vietoj to, kad būtų bandoma maksimizuoti
jų surinkimą, organizacijos turėtų minimizuoti AD rinkimą ir rinkti tik mažiausią Ad kiekį,
reikalingą/būtiną užsibrėžtų tikslų pasiekimui. Kaip nurodo D, Ad turi būti tikslūs ir, jei būtina,
nuolat atnaujinami; turi būti imtasi visų reikalingų priemonių, kad duomenys, kurie yra
netikslūs ar neišsamūs, palyginti su tikslais, dėl kurių jie buvo surinkti ar po to tvarkomi,
būtų ištrinti arba ištaisyti.
Ketvirtasis komponentas – susijęs su AD tvarkymu po to, kai asmeninė informacija jau surinkta.
Kritinis akcentas – laikotarpis, kurį AD gali būti laikomi/saugojami. Bet koks AD surinkimas su
laiku praranda savo aktualumą ir netgi tikslumą. Todėl organizacijoms nėra leidžiama AD laikyti
neribotą laiko tarpą. Pagal D 6 str. 1(e) – AD negalima saugoti ilgiau, nei tai yra reikalinga tais
tikslais, dėl kurių duomenys buvo surinkti arba po to tvarkomi. Neabejotinai, AD tikslumą
garantuoja ir Ads teisė prieiti prie tų AD, kurie yra susiję su juo (tai yra kurių pagalba jį galima
identifikuoti).
Pažymėtina, kad nors visos VN reikalauja, kad ADS būtų pranešta D numatytais atvejais, šios
pareigos apimtis, pranešimo forma ir jo turinys yra labai skirtingi. Svarbus skirtumas kyla dėl ADV
Pranešimo tipas taipogi kelia nemažai problemų. Nors turinys visose VN yra daugmaž panašus,
esantys skirtumai turi didelę reikšmę on-line režime. Pvz., Prancūzijoje pranešime privaloma
nurodyti, kurią informaciją pateikti yra būtina, o kuri pateiktina savanoriškai/neprivalomai.
Belgijoje reikalaujama nurodyti baigiamąjį veiksmą, taipogi padaryti nuorodą į valstybinį registrą.
Vokietijoje reikalaujama pranešti, ar naršymo metu bus nustatomi “cookies”.
Dėl ADS sutikimo išreiškimo ir ADS teisės į prieštaravimą, UK įtraukia/priskiria sutikimą pagal
‘teisingumą’. Čia Duomenų apsaugos Registras reikalauja kontekstinės analizės ir pozityviai
išreikšto sutikimo tam tikrais atvejais. Vokietijoje – išvystyta specialių taisyklių sistema, kurių
pagalba reikalaujama sutikimo cookies atveju ir visais kitais atvejais yra reikalaujama stipraus
pozityvaus aiškiai išreikšto sutikimo. Prancūzija taipogi patvirtino keletą opt-out (atvejų, kuomet
būtinas pozityvus ADS sutikimas) atvejų. Pažymėtina, kad Pr. Teisė reikalauja išankstinio rašytinio
sutikimo jautrių duomenų tvarkymui. Vokietijoje – priešingai, aiškiai leidžiama sutikimą išreikšti
on-line režime. Šie nesutapimai aiškiai iliustruoja, kad vien jau Ads sutikimo atžvilgiu VN taikomi
skirtingi reikalavimai.
Realizuojant ADS teisę susipažinti su AD, taipogi pastebima nemažai skirtumų dėl tokio priėjimo
formos ir apimties. Vokietijoje elektroninis priėjimas prie asmeninės informacijos yra leidžiamas.
UK taipogi juda šia kryptimi. Bet Belgijoje tas dar nėra įteisinta. Panašiai – tokios teisės apimtis
taipogi skirtingose VN yra labai nepanaši. Įdomu tai, kad pagal UK teisės aktų reikalavimus, ADV
privalo ADS pateikti visą asmeninę informaciją, esančią jo internetinio puslapio serveryje, netgi
jeigu šios informacijos ten nebėra.
Be to, tokios priėjimo teisės realizavimas yra susijęs su tam tikrų mokesčių nustatymu. Vokietijoje
– jokio mokesčio nėra. Kitose – nuo 2.5 iki 10 EUR.
c) ypatingų duomenų specialios apsaugos sukūrimas. Taigi, turi būti sukurtas specialus,
išskirtinis tokių AD tvarkymo režimas. Taipogi, svarbu pažymėti, kad tai apima ir ne tik dėmesį
į tai, ar tam tikri duomenys atskleidžia konkretų asmens gyvenimo, elgesio ir kt. jautrios srities
aspektą, bet ir tai, kaip tokie jautrūs duomenys yra tvarkomi ar naudojami (Žr. Žemiau).
37
Data protection law and on-line services: regulatory responses, skyrius 2.3.2.
AD tvarkymo kriterijai
Taigi turi būti patenkintas bent vienas kriterijus, kad AD tvarkymas būtų laikomas teisėtu. Visgi,
svarbu pabrėžti, kad vieno iš šių kriterijų patenkinimas nereiškia, kad ADV gali ignoruoti 6 str.
išdėstytus ADA principus.
(a) duomenų subjektas yra nedviprasmiškai davęs savo sutikimą (7 straipsnio (a) punktas)
Tai nereiškia, kad bet kokiam AD tvarkymui yra būtinas ADS sutikimas. Gali būti ir kiti AD
tvarkymą įteisinantys kriterijai.
Bet koks interneto naudotojas, pateikdamas savo asmeninius duomenis tam tikro produkto
įsigijimo tikslais, gali būti laikomas duodančiu sutikimą šiais tikslais tvarkyti atskleistus duomenis.
Taigi, nėra reikalaujama aiškiai išreikšto (ang. express) sutikimo. Svarbu tai, kad subjekto sutikimas
būtų nedviprasmiškas tiek subjekto, tiek ir valdytojo atžvilgiu.
Duomenų subjekto sutikimas bet kokiu atveju turi būti išreiškiamas laisvai, nepriverstinai38.
Laisvas sutikimas taipogi suponuoja tai, kad kai naudotojui kompiuterio ekrane pateikiamas
reikalavimas pateikti papildomus duomenis, kaip sąlyga tolesniam naudojimuisi konkrečiu interneto
saitu, subjekto atsisakymas suteikti tokius duomenis neturėtų būti įrašomas ar panaudojamas prieš
jį. Tai taikytina ir "cookies" atžvilgiu.
Duomenų subjekto sutikimas taipogi turi būti duotas žinomai (ang. informed), kas reiškia,
kad pardavėjai kiekvieną potencialų naudotoją turėtų nedviprasmiškai informuoti apie galimus
pavojus ir riziką pastarųjų privatumui39. Tai leidžia asmens duomenų subjektui suderinti,
subalansuoti galimą riziką su gaunama nauda.
38
Duomenų subjekto sutikimas yra apibrėžiamas Direktyvos 2 (h) straipsnyje kaip bet kuris savanoriškai ir žinomai
duotas konkretus duomenų subjekto pareiškimas, kuriuo duomenų subjektas nurodo savo sutikimą, kad būtų tvarkomi
su juo susiję duomenys.
39
Žr. žemiau apie subjekto teisę būti informuotam.
(b) Tvarkyti reikia vykdant sutartį, kurią duomenų subjektas yra sudaręs kaip viena iš šalių,
arba duomenų subjekto reikalavimu norint imtis priemonių prieš sudarant sutartį (7 str. (b)).
Naudotojas gali būti prašomas pateikti tam tikrą asmeninę informaciją tam, kad jis galėtų
gauti siūlomą paslaugą (pvz.,. teleshopping, viešbučių rezervacija ir pan.). Kaip jau minėta
aukščiau, direktyvos teisiniuose rėmuose gali būti tvarkomi tik duomenys, būtini kontrakto
vykdymui. Elektroninės komercijos aplinkoje asmeniniai duomenys labai dažnai imami tvarkyti dar
prieš sutartinių santykių įforminimą (sandorio sudarymą). Vis dėlto, ši direktyvos nuostata
nepateisina tokių "išankstinių operacijų", jeigu subjektas pats to nereikalauja.
(c) tvarkyti reikia vykdant teisinę prievolę, kuri privaloma duomenų valdytojui (7 str. (c)).
7 str. d – norint apsaugoti gyvybinius duomenų subjekto interesus. Nelabai aišku, ar žodžiui
‘gyvybinius’ reikėtų suteikti kasdienę reikšmę – tai yra, turinčius aukščiausią svarbą, ar reikėtų
aiškinti etimologiškai – esminius asmens gyvybei. 31 citata bando pateikti išaiškinimą – “kai
tvarkoma norint apsaugoti bet kokį gyvybinį duomenų subjekto interesą”. Visgi, kyla
klausimas dėl ja bankroto ir pan.
7(e) – tvarkyti reikia vykdant užduotį, atliekamą visuomenės labui, arba įgyvendinant
oficialius įgaliojimus, suteiktus duomenų valdytojui arba trečiajai šaliai, kuriai atskleidžiami
duomenys. Nėra aiški oficialių įgaliojimų reikšmė. Bendrąja prasme tai liečia valstybinius
įgalinimus. Tai gali priklausyti nuo konkrečių atvejo aplinkybių.
Tvarkyti reikia dėl teisėtų interesų, kurių siekia duomenų valdytojas arba trečioji šalis (šalys),
kurioms atskleidžiami duomenys, išskyrus atvejus, kai tokių interesų bei duomenų subjekto,
40
Privacy issues, p. 11.
Ši nuostata pateisina duomenų tvarkymą, kai tai būtina dėl ūkio subjekto teisėtų interesų,
jeigu nėra viršesni duomenų subjekto interesai. Tai reiškia, kad netgi tais atvejais, kai konkrečiu
atveju duomenų subjekto interesai išlaikyti duomenų slaptumą yra ekvivalentiški trečiosios šalies
interesams, duomenų tvarkymas yra teisėtas. Šiuo požiūriu reikšminga Direktyvos 30 įžanginė
citata, pagal kurią valstybės narės, norėdamos išlaikyti susijusių interesų pusiausvyrą, tuo pat metu
garantuodamos veiksmingą konkurenciją, gali apibrėžti, kokiomis aplinkybėmis asmens duomenys
gali būti naudojami arba atskleidžiami trečiajai šaliai, kai bendrovės ar kitos institucijos užsiima
teisėtu įprastiniu verslu. Tai taip vadinamasis “interesų balanso” testas. Iš esmės, balansas yra tarp
teisėtų ADV interesų tvarkyti AD ir ADS pagrindinių L ir T, kurioms gali kilti pavojus dėl tokio
AD tvarkymo. Tai labai svarbi nuostata – ji turi reikšmės ir prasmės didžiajai AD tvarkymo
daugumai. 30 citata nurodo, kad VN, norėdamos išlaikyti susijusių interesų pusiausvyrą, tuo pat
metu garantuodamos veiksmingą konkurenciją, gali apibrėžti, kokiomis aplinkybėmis asmens
duomenys gali būti naudojami arba atskleidžiami trečiajai šaliai, kai bendrovės ar kitos institucijos
užsiima teisėtu įprastiniu verslu.
D 7(e) ir 7(f) atžvilgiu yra taikytinas 14(a). kuris ADS suteikia galimybę prieštarauti privalomu
teisėtu pagrindu, susijusiu su jo konkrečia padėtimi, duomenų apie jį tvarkymui, išskyrus, kai
nacionaliniai įstatymai nustato kitaip. Kai prieštaraujama pagrįstai, tvarkant duomenų valdytojo
iniciatyva, tokie duomenys nebegali būti toliau tvarkomi.
9 straipsnis
Asmens duomenų tvarkymas ir raiškos laisvė
Valstybės narės numato šio skyriaus bei IV ir VI skyriaus išimtis, kai asmens duomenys tvarkomi
tik žurnalistiniais sumetimais arba meninės ar literatūrinės raiškos tikslais, bet tiktai tuomet, jeigu
šios išimtys reikalingos, norint privatumo teisę suderinti su raiškos laisvę reglamentuojančiomis
taisyklėmis.
Kaip matyti, šis reikalavimas nėra absoliutus. Išimtis galima – jeigu yra būtina suderinti privatumo
teisę su raiškos laisvę reglamentuojančiomis taisyklėmis.
Būtinybė suderinti ir subalansuoti asmens teisę į privatumo apsaugą ir saviraiškos laisvę buvo
pabrėžta žmogaus teisių byloje N. v. Sweden41, kurioje buvo nagrinėjamas kaltinimų sukčiavimu
publikavimas. Šioje byloje Komisija teigė, kad kai kyla klausimas dėl įsikišimo į privatų gyvenimą
iš žiniasklaidos pusės, valstybė privalo surasti ir įtvirtinti tinkamą bei protingą interesų (EŽTK 8 ir
11 str.) balansą.
Ši dilema buvo nagrinėta ir ADA Darbo Grupėje, įsteigtoje ir veikiančioje pagal D 29 straipsnį, kuri
šiuo klausimu priėmė rekomendaciją42. Rekomendacija buvo priimta po Vokietijos ir JK delegacijų
pareiškimų, kurie parodė, kad VN nacionaliniai įstatymai gerokai skyrėsi dėl AD tvarkymo
reikalavimų taikymo mass media. Europos Taryba 1991 m. taipogi paskelbė pranešimą Dėl ADA
įstatymų ir žiniasklaidos. ADA Darbo Grupėje priėjo keletą svarbių išvadų:
(a) ADA įstatymai turėtų būti taikomi žiniasklaidai ir išimtys būtų priimtinos tik dėl AD
tvarkymo legitimumo, AD judėjimo į trečiąsias šalis ir priežiūros institucijų kompetencijos;
(b) negali būti jokių nukrypimų nuo saugumo reikalavimų;
(c) nukrypimai nuo D 9 straipsnio galimi tik proporcingumo ribose;
41
Murray, p. 238.
42
Murray, p. 239.
ADS teisės
10 straipsnis
Informavimas renkant duomenis iš duomenų subjekto
Valstybės narės numato, kad duomenų valdytojas arba jo atstovas privalo duomenų subjektui, iš
kurio renkami su juo susiję duomenys, suteikti bent tokią informaciją, jeigu jis jos dar neturi:
a) duomenų valdytojo arba jo atstovo, jei toks yra, tapatybė;
b) tikslai, dėl kurių ketinama tvarkyti šiuos duomenis;
c) bet kokia platesnė informacija, kaip antai:
d) duomenų gavėjai ar gavėjų kategorijos,
e) ar į klausimus atsakoma privaloma tvarka, ar savanoriškai, taip pat galimos neatsakymo
pasekmės,
f) teisės gauti informaciją ir teisės pataisyti duomenis apie save buvimas;
g) kiek tokios platesnės informacijos reikia, atsižvelgus į specifines duomenų rinkimo aplinkybes,
kad būtų garantuotas teisingas subjekto duomenų tvarkymas.
11 straipsnis
Informavimas kai duomenys gaunami ne iš duomenų subjekto
1. Kai duomenys gaunami ne iš duomenų subjekto, valstybės narės numato, kad tuo metu, kai
imamasi užrašinėti asmens duomenis, arba, jeigu numatoma duomenis atskleisti trečiajai šaliai,
ne vėliau kaip iki to laiko, kai duomenys atskleidžiami pirmą kartą, duomenų valdytojas arba jos
atstovas privalo duomenų subjektui suteikti bent tokią informaciją, jeigu jis jos dar neturi:
a) duomenų valdytojo arba jo atstovo, jei toks yra, tapatybė;
b) tikslai, dėl kurių tvarkoma;
c) bet kokia platesnė informacija, kaip antai:
d) tvarkomų duomenų kategorijos,
e) duomenų gavėjai ar gavėjų kategorijos,
f) teisės gauti informaciją ar teisės pataisyti duomenis apie save buvimas,
g) kiek tokios platesnės informacijos reikia, atsižvelgus į specifines duomenų tvarkymo
aplinkybes, kad būtų garantuotas teisingas subjekto duomenų tvarkymas.
2. Šio straipsnio 1 dalis netaikoma, ypač tvarkant statistiniais sumetimais arba istorinių ar
mokslinių tyrimų tikslais, kai tokią informaciją pateikti būtų neįmanoma arba pernelyg sunku,
arba jeigu įstatymai aiškiai reikalauja duomenis įrašyti ar atskleisti. Tokiais atvejais valstybės
narės užtikrina tinkamas apsaugos priemones.
Citata 40 numato, kad šios prievolės taikyti nebūtina, jeigu duomenų subjektas minėtą
informaciją jau turi; be to, ši prievolė netaikoma ir tuomet, kai taip įrašyti ar atskleisti duomenis
aiškiai reikalauja įstatymai arba kai pateikti reikalaujamą informaciją duomenų subjektui būtų
neįmanoma arba pernelyg sunku, kaip gali atsitikti tuo atveju, kai tvarkoma istoriniais, statistiniais
ar moksliniais tikslais; čia taipogi galima atsižvelgti į duomenų subjektų skaičių, duomenų senumą
ir bet kurias nustatytas kompensacines priemones.
Visų pirma, VN turi imtis priemonių, kad Ads žinotų apie savo teises jų AD tvarkymo metu.
Viena iš sričių, kur gali tapti diskutuotinas šios teisės realizavimas – medicininių įrašų atveju. Kaip
jau minėta anksčiau, šį klausimą nagrinėjo ir Europos teisingumo teismas byloje Gaskin v. United
Kingdom43. Šioje byloje buvo pripažinta, kad turi būti užtikrinti asmens, siekiančio priėjimo prie
informacijos apie jį patį, interesai tais atvejais, kai registrų, įrašų ar panašių duomenų bazių
valdytojas yra neprieinamas arba nepagrįstai atsisako duoti sutikimą.
Pagal D VN asmens duomenų subjekto interesais (arba siekiant apsaugoti kitų individų teises ir
interesus) turi teisę apriboti susipažinimo galimybę. VN gali numatyti, kad pvz., susipažinti su
medicininiais duomenimis gali tik per savo gydytoją44.
43
[1990] 12 EHRR. 36.
44
Įžanginė citata 42.
14 straipsnis
Duomenų subjekto teisė prieštarauti
Visų pirma, ADS teisė gali būti įgyvendinta tik privalomu teisėtu pagrindu. Kuomet toks
pagrindas yra, AD tvarkymas turi būti nutrauktas. ADV neturi teisės atskleisti AD jokiam kitam
asmeniui tiesioginio marketingo tikslais, jeigu ADS nebuvo informuotas apie tokį ADV ketinimą.
Taipogi labai svarbu, kad ADV neturi teisės naudoti AD pats tiesioginio pardavimo –marketingo
tikslais kito asmens vardu, prieš tai nepranešęs ADS. Abiem atvejais ADS turi būti aiškiai ir
nemokamai nurodoma, jog jis turi teisę prieštarauti tokiam jo AD tvarkymui.
Piktnaudžiavimo tiesiogine rinkotyra pavyzdį pateikia žmogaus teisių byla Ijspeerd v. The
Netherlands45. Šioje byloje pareiškėjas buvo studentas, kuris gavo nemokamus transporto bilietus.
Kartu jis gavo (priverstas gauti) didžiulį kiekį tiesioginės rinkotyros medžiagos. Jis bandė
nesėkmingai tam prieštarauti, remdamasis tuo, kad tai pažeidžia jo teisę į privatumo apsaugą. D 14
straipsnis kaip tik ir įtvirtina šią itin svarbią individo teisę prieštarauti jo asmens duomenų
panaudojimui tiesioginės rinkotyros tikslais. Faktas, kad asmens duomenų subjektui turi būti aiškiai
pasiūlyta pasinaudoti šia teise yra ne mažiau reikšmingas. Be abejo, D nestos skersai kelio VN
reguliuojant marketingo veiklą, nukreiptą jos teritorijoje gyvenantiems vartotojams, kiek toks
reguliavimas neliečia asmenų teisių apsaugos AD tvarkymo kontekste46. Internete kyla ypatinga
problema – susijusi su spammingu – neprašytais ir nepageidaujamais elektroniniais
pranešimais, kurie dažnai sukelia nemažai nemalonumų interneto naudotojams.
Išimtys (D 13 str.)
13 straipsnis
Išimtys ir apribojimai
45
Murray, p. 245.
46
Įžanginė citata Nr. 71.
Taigi, išimtys galimos tik tuo atveju, kuomet yra būtina užtikrinti 13.1 str. įtvirtintų dalykų apsaugą.
Dalykai ir sritys, paminėtos 13.1.(a), (b), (c) ir tam tikru laipsniu – (d) yra aiškiai pašalinti iš D
taikymo srities (D 3 str.). Tolesnė nuoroda į juos yra pripažįstant, kad AD tvarkymo operacijos
galimos ir veiklos, kuri patenka į EB T sritį, tačiau neapimama D, kontekste.
13. 1(d) - reglamentuojamų profesijų etikos pažeidimų prevenciją yra siekiama reguliuoti tas
darbo sritis, kurių atžvilgiu galioja tam tikri etikos/elgesio kodeksai. Pvz. – teisininko, architektų,
gydytojų ir pan. profesijos.
13.1 (g) – nuoroda į kitų T ir L yra labai plataus turinio; ją galima pritaikyti tiek ADV, tiek ir
trečiosioms šalims.
15 straipsnis
1. Valstybės narės suteikia kiekvienam asmeniui teisę, kad jo atžvilgiu nebus daromas
sprendimas, kuris sukuria jam teisinį poveikį arba kuris ženkliai paveikia jį ir kuris yra
paremtas tiktai automatiniu duomenų tvarkymu, skirtu įvertinti tam tikrus asmeniškus su juo
susijusius aspektus, kaip antai: jo darbingumas, kreditingumas, patikimumas, elgesys ir kt.
2. Laikydamosi ir kitų šios direktyvos straipsnių, valstybės narės numato, kad asmens atžvilgiu
gali būti daromas 1 dalyje nurodyto pobūdžio sprendimas, jeigu tas sprendimas:
a) yra priimtas, sudarant arba vykdant sutartį, su sąlyga, kad duomenų subjekto paduotas prašymas
sudaryti ar vykdyti sutartį buvo patenkintas arba kad yra tinkamų priemonių jo teisėtiems
interesams apsaugoti, pavyzdžiui, atitinkama tvarka, leidžianti jam pareikšti savo nuomonę;
b) yra leidžiamas įstatymo, kuris taip pat išdėsto priemones apsaugoti duomenų subjekto teisėtus
interesus.
Svarbu priminėti, kad pagal D 12(a) straipsnį, ADS turi teisę sužinoti apie loginius metodus,
naudojamus automatiškai tvarkant duomenis apie duomenų subjektą, bent 15 straipsnio 1
dalyje nurodytų automatinių sprendimų atveju.
Visgi pažymėtina, kad 15 str. vartojamos sąvokos ‘sukuria jam teisinį poveikį’, ‘kuris ženkliai
paveikia jį’ nėra tikslios ir apibrėžtai aiškios.
Įtvirtinant kompleksines ir tarpusavyje susijusias taisykles, kurių privalo laikytis asmens duomenų
valdytojas ar tvarkytojas, pagrindinis D tikslas gali likti nepasiektas, jeigu nėra griežtai
kontroliuojamas priėjimas prie jų tvarkomų asmens duomenų47.
16 straipsnis
Tvarkymo konfidencialumas
Bet kuriam asmeniui, veikiančiam pagal duomenų valdytojo ar duomenų tvarkytojo įgaliojimus,
įskaitant ir patį duomenų tvarkytoją, galinčiam gauti asmens duomenų, draudžiama tvarkyti juos
kitaip, kaip tiktai duomenų valdytojo nurodymu, nebent jo tai padaryti reikalautų įstatymas.
Šios nuostatos padarinys tas, kad valdytojas turi išlaikyti pakankamą savo tvarkomų duomenų
kontrolę. Asmens duomenų tvarkymas ar laikymas negali būti paprasčiausiai subkontraktuotas kam
nors kitam ir pamirštas.
Taipogi labai svarbu, kad būtų užtikrintas AD saugumas. Kasdien vis didesnis ir realesnis hackerių
ir panašių įsilaužėlių neteisėtas priėjimas prie informacijos. Byloje R. v. Brown48 Anglijos
policininkas priėjo prie JK Nacionalinės policijos kompiuterinės sistemos, kad patikrintų transporto
priemonių registracijos numerius taip padėdamas draugui, kuris užsiiminėjo skolų išieškojimu. D 17
straipsnis yra skirtas užkirsti kelią tokio pobūdžio pažeidimams.
17 straipsnis
Tvarkymo saugumas
47
Murray, p. 247.
48
Murray, p. 247.
Savaime suprantama, kad nustatyti, kokios būtent priemonės yra tinkamos AD tvarkymo saugumui
užtikrinti, yra labai nelengvas uždavinys. Tokios organizacinės bei techninės priemonės
akivaizdžiai sukelia nemenkų išlaidų – ir ne tik susijusių su reikiamos įrangos bei technologijų
įsigijimu, bet taipogi personalo perkvalifikavimu ir laiko kaštais. Žymiai lengvesnis būdas –
paprasčiausiai duomenų tvarkymą pavesti kokiam kitam subjektui taip pastarajam perkeliant visus
saugumo užtikrinimo rūpesčius. Kaip tik situaciją ir numato Direktyvos 17 straipsnio 2 dalis.
Tačiau, kaip matyti, netgi ir tokiu būdu duomenų valdytojas neturi galimybių išvengti atsakomybės
ir pareigos užtikrinti duomenų tvarkymo saugumą.
Kaip ne kartą pažymėjo tiek pati ES K, tiek ir EBPO, nuo AD saugumo labai priklauso ir pačios e-
komercijos apimtys ir sėkmė. Bendrai paėmus, VN įstatymai skatina encryption (užkodavimo)
naudojimą ADA. Bet egzistuoja visa eilė tam prieštaraujančių tn. VN key escrow (viešojo rakto
depozitaras) lieka atviras klausimas. Prancūzija, 1996 m. siekdama liberalizuoti encryption
(užkodavimo) taisykles, nustatė trusted third parties, kurios užsiima encryption paslaugų teikimu
licencijavimo reikalavimą. Tačiau ši tvarka neveikia. Vokietija nedraudžia ir neriboja encryption,
bet nustatė savanorišką trusted third parties licencijavimo tvarką; reikalaujama, kad jos oficialioms
valstybinėms institucijoms pagal šių orderius pateiktų viešuosius raktus. Belgija ir UK taipogi dar
svarsto key escrow schemas. Tuo pačiu, Belgijoje ir Vokietijoje įstatymai reikalauja, kad
telekomunikacijų operatoriai įdiegtų sistemas, kurios būtų pritaikytos pasiklausymui ir įstatymo
vykdomosios valdžios priėjimui.
D iš 17 str. reikalavimo pašalina AD, susijusius su valstybės veikla baudžiamosios teisės srityje ir
valstybės saugumo srityje. Kadangi diskusijų dėl encryption šerdis – vykdomųjų institucijų
priėjimas prie užkoduotos informacijos, D saugumo reikalavimai yra apribojami EB kompetencija
veikti valstybės saugumo ir įstatymų vykdymo srityje.
8 straipsnis
Ypatingų duomenų kategorijų tvarkymas
Last saved by A on 2001.11.18 19:35 45
ADA reguliavimas tarptautinėje ir ES teisėje_____________________________________
1. Valstybės narės uždraudžia tvarkyti asmens duomenis, kurie atskleidžia rasinę ar etninę kilmę,
politines, religines ar filosofines pažiūras, priklausymą profesinėms sąjungoms, taip pat tvarkyti
duomenis apie asmens sveikatą ar intymų gyvenimą.
2. Šio straipsnio 1 dalis netaikoma, kai:
a) duomenų subjektas davė aiškų sutikimą tvarkyti tokius duomenis, išskyrus, kai valstybės narės
įstatymai numato, kad 1 dalyje nurodyto draudimo negalima panaikinti duomenų subjekto duotu
sutikimu;
b) tvarkyti būtina, norint įgyvendinti duomenų valdytojo prievoles ir specifines teises darbo
įstatymų srityje, kiek tai leidžia nacionalinės teisės aktai, numatantys atitinkamas apsaugos
priemones;
c) tvarkyti būtina, kad būtų apsaugoti duomenų subjekto arba kito asmens gyvybiniai interesai, kai
duomenų subjektas fiziškai neįgali arba yra juridiškai neveiksnus duoti sutikimą;
d) duomenis tvarko fondas, asociacija ar kita pelno nesiekianti organizacija politiniais, filosofiniais,
religiniais ar su profesinėmis sąjungomis susijusiais tikslais savo teisėta veikla su atitinkamomis
garantijomis ir su sąlyga, kad taip tvarkomi duomenys yra susiję tiktai su tos organizacijos nariais
arba su asmenimis, kurie reguliariai palaiko ryšius su šia organizacija dėl jos siekiamų tikslų, ir kad
tokie duomenys nėra atskleidžiami trečiajai šaliai be duomenų subjektų sutikimo; arba
e) tvarkomi tokie duomenys, kuriuos duomenų subjektas yra akivaizdžiai paskelbęs viešai arba
kurie yra reikalingi nustatyti, įvykdyti ar apginti teisinius ieškinius.
3. Šio straipsnio 1 dalis netaikomas, kai duomenis reikia tvarkyti teikiant profilaktines medicinos,
medicininės diagnostikos, medicinos priežiūros, gydymo, sveikatos apsaugos paslaugas ir kai tokius
duomenis tvarko sveikatos apsaugos darbuotojas, kuriam pagal nacionalinius įstatymus arba
nacionalinių kompetentingų institucijų nustatytas taisykles galioja profesinės paslapties saugojimo
prievolė, arba kitas asmuo, kuriam irgi galioja lygiavertė paslapties saugojimo prievolė.
4. Dėl svarbių visuomeninių interesų valstybės narės greta šio straipsnio 2 dalyje išdėstytų išimčių
nacionaliniais įstatymais ar priežiūros institucijų sprendimais gali numatyti kitas išimtis, bet turi
užtikrinti tinkamas apsaugos priemones.
5. Duomenys, susiję su nusikaltimais, nuteisimais ar valstybės saugumo priemonėmis, gali būti
tvarkomi tik tuo atveju, jeigu tai kontroliuoja oficiali valdžios institucija arba jeigu nacionaliniai
įstatymai užtikrina tinkamas saugumo priemones, bet galioja išimtys, kurias valstybė narė gali leisti
pagal nacionalines nuostatas, numatančias tinkamas konkrečias apsaugos priemones. Tačiau
išsamus nuteisimų registras gali būti vedamas tiktai kontroliuojant oficialiai valdžios institucijai.
6. Pritaikius 4 ir 5 šio straipsnio dalyse numatytas 1 dalies nuostatų išimtis, turi būti pranešta
Komisijai.
7. Valstybės narės apibrėžia sąlygas, kuriomis gali būti tvarkomas nacionalinis asmens
identifikavimo kodas ar bet kuris kitas bendrojo taikymo žymuo tapatybei nustatyti.
Prigimtis. Sąvoka.
Jau ET K 108 6 str. aiškiai reikalauja įtvirtinti specialų jautrių duomenų tvarkymo režimą. Taigi, jau
tuo metu niekas nebeginčijo, kad egzistuoja per se jautrių duomenų kategorija. Taigi Konvencija
oficialiai juos pripažino kaip centrinę ADA reguliavimo dalį.
D, palyginus su K, įtvirtina daugiau radikalų požiūrį. Vietoje lanksčios kalbos, ji bendrąja taisykle
paprasčiausiai uždraudė JAD, numatytų 8 str. 1d., tvarkymą.
VN, tokios kaip Austrija ir Vokietija, kurios pastoviai atmetinėdavo bet kokius abstrakčius AD
apibendrinimus ir vietoje to koncentruodavosi į kontekstu pagrįstą AD vertinimą, turėtų nuosekliai
mesti jų ilgą praktiką ir pirmą kartą pripažinti JAD egzistavimą.
Daugumoje pasaulio valstybių įstatymai pateikia išsamų JAD sąrašą. Tokiu būdu Prancūzija,
Austrija, UK, Estija, Čekija ir pan. pripažįsta, kad tas sąrašas yra baigtinis. Tik nedaugelis valstybių
– Danija ir Islandija – šį sąrašą laiko viso labo pavyzdiniu/nurodomuoju. Bet visiems bendra viena –
įstatymų leidėjai JAD kategorijai priskiria tik išskirtinius AD, kruopščiai atrinktus ir patikrintus.
Estijoje numatyta, kad šį sąrašą keisti galima tik įstatymu. Atrodo – banali tiesa, bet ši nuostata
atlieka keletą svarbių funkcijų. Visų pirma – toki sąrašo pakeitimas padaromas įmanomu tik
įvykdžius visą eilę reikalavimų ir formalių procedūrų. Antra, garantuojamas atvirumas ir
skaidrumas. Ši įstatymų leidžiamosios valdžios intervencija paryškina JAD sąrašo kintamumą.
Taipogi pabrėžtina, kad sąrašo turinys taipogi nesutampa – pvz. Suomijoje tik neseniai įtraukta
narystė profsąjungose, Portugalija kaip ir Estija panaikino nuosavybės ir finansinės situacijos
pripažinimą JAD, bet įtraukė genetinę informaciją.
Konteksto įtaka.
Iš esmės – bet koks AD, priklausomai nuo to, kokiomis aplinkybėmis yra naudojamas, gali būti
laikomas jautriu. Jautrumas daugiau nebelaikomas a priori AD savybe. Priešingai – jautrumą
sąlygoja kontekstas. Specialūs ADV interesai, kaip ir potencialių gavėjų tikslai, AD rinkimo tikslai,
tvarkymo sąlygos ir aplinkybės ir jų galimos pasekmės yra faktoriai, kurie sudėti kartu, leidžia
išskirti tiek tvarkymo apimtis, tiek ir tvarkymo efektą ir tokiu būdu nustatyti jautrumo laipsnį. Taigi
– neužtenka vien paprasto žvilgsnio į AD. Labai galimas dalykas, kad pvz. genetinės informacijos
atveju yra aiškus pavojus asmeniui. Bet jautrumas gali būti patvirtintas tik tuomet, kai yra
atsižvelgiama į visus tipinius konkretaus tvarkymo elementus.
Tai pailiustruotina tokiu pavyzdžiu. Garsai ir vaizdai. Iš esmės nėra jokio skirtumo, kokioje
priemonėje yra saugomi AD. Pvz. nuotraukos ar video gali būti pripažinti JAD, kuomet jie
49
Council Reccommendation of June 9, 1997 on the exchange of DNA analysis results. [1997] OJ C193/2-3.
Duomenų įvairovė.
Taigi – AD per se jautrumas implikuoja, kad tokie AD priklauso mažai AD grupei, kuri yra
pripažinta tiek nacionaliniu, tiek ir tarptautiniu lygiu.
Visų pirma, narystė profsąjungose. D aiškiai ir nedviprasmiškai įtraukia šiuos duomenis į JAD
sąrašą. Konvencijoje šis AD nebuvo įtrauktas.
Antra, socialinio draudimo duomenys. Graikijos ir Šveicarijos įstatymai tai aiškiai įtraukia. Danijos
ir Islandijos – mini kaip ‘socialines problemas’. Vokietijoje taipgi pripažįstamas griežtesnis režimas
tokių AD tvarkymui. Kuomet individo rizikos yra socializuojamos, padidėja individo elgesio
permatomumas. Jeigu individui reikia socialinės pagalbos, tai indikuoja jo finansines problemas.
Dėl kitų socialinių problemų – Islandijos ir Norvegijos įstatymai aiškiai įtraukė priklausomybę
alkoholiui ir narkotikams į JAD sąrašą.
AD, susijusių su asmens sveikata, medicinine būkle ir pan. tvarkymo pavojus vaizdžiai atskleidžia
Škotijos teismų nagrinėta byla McGregor v. McGlennan50. McGregor buvo policijos pareigūnas, į
kurį kreipėsi kaimynas, kurio nepilnametė dukra gyveno su vidutinio amžiaus vyru. McGregor per
policijos kompiuterį pateko į duomenų bazę ir nustatė, kad tas vyras jau kurį laiką sirgo AIDS ir
turėjo hepatitą. tada jis tai pranešė merginai ir patarė kuo greičiau išsiskirti. Panašiai, JAV ligoninės
nurodė, kad darbuotojai skundėsi, jog darbdaviai tikrindavę jų medicinines korteles ir tuo pagrindu
kai kuriuos atleisdavę iš darbo. Kiti pažeidimai – aborto klienčių pavardžių ir kitų asmeninių
duomenų pardavimas anti-aborto organizacijoms, kurios pastaruosius viešai išplatindavę51.
Išimtys. Viena reikšmingesnių išimčių (šalia medicinos darbuotojų ir kitų pareigūnų, kuriems
taikoma pareiga saugoti profesines paslaptis – 8(3) straipsnis) – AD tvarkymas, susijęs su
religinėmis organizacijomis52. D taipogi nustato, kad išimtys gali būti numatytos, suteiktos kai
demokratinė sistema reikalauja, kad rinkimų tikslais politinės partijos rinktų duomenis apie piliečių
politines nuomones (36 įžanginė citata). Įdomi byla, susijusi su medicininės informacijos tvarkymu
baudžiamosios bylos eigoje. Byloje Z. v. Finland53 pareiškėjas – Švedijos pilietė, kuri ištekėjo už
vyro, kurį sutiko Afrikoje. Jis buvo įtariamas visoje eilėje nusikaltimų ir tyrimo metu buvo
nustatyta, kad jo ŽIV testas buvo teigiamas. To pasėkoje jis buvo nuteistas už tyčinę žmogžudystę.
Teismo metu jis teigė, kad ji nežinojo apie savo ligą visų seksualinių užpuolimų metu. Kadangi
pareiškėja atsisakė duoti parodymus, buvo apklausti jos gydytojai. Jo ir jos medicininės bylos
taipogi buvo išreikalautos. Europos teisingumo teismas nusprendė, kad toks medicininės bylos
išreikalavimas ir paėmimas nepažeidė pareiškėjos teisės į privatumą. Tačiau Europos teisingumo
teismas pažymėjo, kad tos bylos ir įrašų atskleidimas ir paviešinimas bylos tyrime pažeidė EŽTK 8
straipsnį.
50
Murray, p. 235.
51
Murray, p. 235.
52
Įžanginė citata Nr. 35.
53
Murray, p. 237.
Išvados. Taigi – AD jautrumas – viso labo aliarmo signalas. Jis signalizuoja, kad
normaliai/paprastai AD tvarkymui taikomos taisyklės negali užtikrinti adekvataus ir efektyvaus
ADA lygio. Taigi – draudimas yra viena iš galimybių, bet jokiu būdu ne vienintelė išeitis.
Svarbu – reikėtų sumažinti išimčių sąrašą iki kelių aiškiai išreikštų ir išsamių atvejų. Svarbu taipogi
pažymėti, kad ADS sutikimas nėra universalus ir visagalis raktas priėjimui prie visų AD.
Taigi, net jeigu D 7 str. reikalavimai yra patenkinti, jautrių duomenų tvarkymas negalimas, jeigu
nėra tenkinamos 8 str. įtvirtintos išlygos.
Nagrinėjant D 8 str. – 8.2 (c) - tvarkyti būtina, kad būtų apsaugoti duomenų subjekto arba kito
asmens gyvybiniai interesai, kai duomenų subjektas fiziškai neįgali arba yra juridiškai neveiksnus
duoti sutikimą – tai implikuoja, kad AD t negali būti atliekamas, kuomet asmuo gali duoti sutikimą,
bet pasirenka neduoti jo net jeigu jo paties ar trečiosios šalies gyvybiniams interesams dėl to kiltų
pavojus. Bet, visgi, nėra siekiama paskatinti tokių situacijų, todėl šiuo atveju turėtų įgauti galios
8.4. nuostata, tai yra - dėl svarbių visuomeninių interesų valstybės narės greta šio straipsnio 2 dalyje
išdėstytų išimčių nacionaliniais įstatymais ar priežiūros institucijų sprendimais gali numatyti kitas
išimtis, bet turi užtikrinti tinkamas apsaugos priemones. Taigi – čia pabrėžiamas svarbus, esminis
visuomeninis interesas. 34-36 citatos leidžia daryti išvadą, jog VN taip pat turi teisę nesilaikyti
draudimo tvarkyti ypatingų kategorijų duomenis tokiose srityse kaip visuomenės sveikatos ar
socialinė apsauga, ypač užtikrinant, kad sveikatos draudimo sistemoje nagrinėjant pretenzijas dėl
išmokų ir paslaugų šie duomenys būtų tvarkomi kokybiškai ir taupiai, taip pat mokslinių tyrimų ir
valstybinės statistikos srityse; be to, oficialios valdžios institucijos, siekdamos oficialiai pripažintų
religinių asociacijų tikslų, išdėstytų konstitucinėje teisėje arba tarptautinėje viešojoje teisėje, tvarko
asmens duomenis dėl svarbių visuomenės interesų; jeigu, vykstant rinkimams, demokratinei
sistemai veikti kai kuriose valstybėse narėse būtina, kad politinės partijos surinktų duomenis apie
žmonių politines pažiūras, gali būti leista tvarkyti tokius duomenis dėl svarbių visuomenės interesų,
su sąlyga, kad yra nustatytos tinkamos apsaugos priemonės. Taigi, yra pateikiami tam tikri tokių
esminių visuomeninių interesų pavyzdžiai. Bet – bet kokiu atveju negalima JAD palikti be tinkamos
ir adekvačios apsaugos.
Kaip jau minėta – 8 str. 1 d. neapima baudžiamųjų bylų įrašų. Tačiau – 8.5 str. aiškiai nurodo, jog
AD, susiję su inter alia nusikaltimais, nuteisimais gali būti tvarkomi tik tuo atveju, jeigu tai
kontroliuoja oficiali valdžios institucija arba jeigu nacionaliniai įstatymai užtikrina tinkamas
saugumo priemones, bet galioja išimtys, kurias VN gali leisti pagal nacionalines nuostatas,
numatančias tinkamas konkrečias apsaugos priemones. Tačiau išsamus nuteisimų registras gali
būti vedamas tiktai kontroliuojant oficialiai valdžios institucijai.
Mokslininkai, bendradarbiaujantys Žmogaus Genomo Projekte jau prieš gerą mėnesį paskelbė, kad
pagaliau atsekė ir identifikavo visus žmogaus genomą sudarančius genus ir jų sekas. Taigi,
netolimoje ateityje bus įmanoma labai nesunkiai analizuoti ir įvertinti kiekvieno asmens DNR ir
sužinoti gana detalų jo genų žemėlapį, iš kurio galima labai aiškiai nustatyti žmogaus fiziologinę ir
netgi psichologinę būseną, jo sveikatos ar elgesio prognozes ir pan. Ir jeigu nebus aiškiai apribota
įstatymu, vyriausybinės institucijos, darbdaviai, draudikai ir pan. bus labai suinteresuotos
susipažinti su tokio pobūdžio AI. Australijoje jau 1998 m. buvo parengtas genetinio privatumo ir
nediskriminacijos akto projektas. Jo pagrindinis tikslas – įtvirtinti realiai įgyvendinamą asmens
teisę į jo genetinės I apsaugą; užkirsti kelią bet kokiems DNR pavyzdžių rinkimams be aiškiai
išreikšto ADS sutikimo ar leidimo; diskriminaciją genetinės I pagrindu paskelbti neteisėta. Šios
problemos, aišku, buvo neaktualios ar galbūt net nežinomos rengiant 1980 m. EBPO Gaires. Bet
šiuo metu tai itin jautri sritis, kuriai ES D 95/46 rodo deramą dėmesį, tačiau kitos valstybės (visų
pirma, JAV) atrodo tik visai neseniai ėmėsi aktyvesnių veiksmų šių JAD apsaugai užtikrinti.
54
Įžanginė citata Nr. 48.
Taigi, VN gali nustatyti išimtis iš aukščiau (18 str. 1 dalyje) įtvirtinto notifikacijos
reikalavimo, tačiau tik tokiu atveju, jeigu toks asmens duomenų tvarkymas ženkliai nepaveiks
asmens duomenų subjekto teisių ir laisvių. Todėl VN privalo itin atsargiai specifikuoti asmens
duomenų operacijų tipus, kategorijas, kurioms neabejotinai bus taikoma minėta D sankcionuota
išimtis.
Alternatyviai, išimtis gali būti taikoma, jeigu asmens duomenų valdytojas paskiria asmens
duomenų apsaugos pareigūną, priima darbuotoją, atsakingą už tai ir pan. (in-house). Nors vienintelė
centralizuota duomenų bazė, kurioje yra visų atliekamų asmens duomenų tvarkymo operacijų
detalės turi akivaizdžių privalumų, asmens duomenų tvarkymas yra toks kasdienis reiškinys, kad
taptų neįmanomas tokios duomenų bazės administravimas55. Taigi, 18 (2) dalyje įtvirtintų išimčių
sistema tarnauja kaip esminė sąlyga, kad ADA teisiniai reikalavimai taptų realizuojami,
įgyvendinami. D 18 (3) straipsnis taipogi numato specifinę išimtį viešųjų registrų atžvilgiu. Be to,
VN turi teisę nustatyti išimtį iš notifikacijos pareigos tvarkant duomenis, numatytus D 8 straipsnyje,
tai yra – jautrius duomenis (D 18(4) straipsnis).
Direktyvos 19 straipsnis įtvirtina duomenų valdytojų registravimosi reikalavimus.
Registravimo reikalavimai – yra labai svarbūs D 4 straipsnio prasme. Visų pirma, kai
kuriose VN kai kurių veiklų atžvilgiu yra taikomos išimtys pranešimo priežiūros institucijai prasme.
Pvz., Belgijoje – nustatomos išimtys, o Prancūzijoje taikoma supaprastinta pranešimo procedūra.
Visų pirma, on-line paslaugoms VN teritorinis taikymas yra skirtingas. Pagal JK – vieta, kur AD
yra saugomi/laikomi apsprendžia ir taikytiną teisę. Pvz., užsienio interneto puslapiai nepatektų į JK
jurisdikciją. Priešingai – Prancūzijoje ir Belgijoje užsienio interneto puslapius, kurie renka AD iš jų
valstybėse esančių subjektų, traktuoja kaip patenkančius į šių valstybių reguliavimo sritis.
Vokietijoje nėra aišku, ar užsienio interneto puslapiai privalo būti registruoti priežiūros
institucijose.
Registravimo formalumai valstybėse narėse taipogi gerokai skiriasi. Pirma, pranešimo turinio
reikalavimai įvairiose VN skiriasi. Prancūzijoje reikalaujama bet kokio saugomo AD kilmės
deklaracijos, o Belgijoje – ne; UK reikalauja nemokamo kelių sakinių dydžio teikiamų on-line
paslaugų aprašymo. Antra, registracijos tvarka taipogi skiriasi. Belgija ir UK, priima elektroninius
pranešimus; Prancūzija ir Vokietija – ne. Trečia, registravimo mokesčiai iliustruoja skirtumus tarp
VN. Pvz., Belgijoje – mokestis kinta priklausomai nuo asmenų, apie kuriuos laikomi duomenys,
skaičiaus; UK – fiksuotas mokestis. Šie skirtumai gali turėti įtakos tam, kaip įmonės struktūrizuoja
savo interneto veiklą. Be abejo, D šiek tiek suvienodina pranešimų turinį – 19 (1) nurodo minimalų
55
Murray, p. 249.
18.5 nurodoma, kad VN gali pasirinkti, ar privaloma pranešti tuo atveju, kai AD tvarkomi visiškai
neautomatizuotu (tai yra – rankiniu) būdu.
Registravimo/pranešimo reikalavimai yra supaprastinami, jeigu inter alia – ADV paskiria pareigūną
– taip vadinamą vidinį įmonės pareigūną. Tokia sistema yra paplitusi Vokietijoje. Tokio pareigūno
paskyrimas pašalina būtinybę priežiūros institucijai būti įtrauktai bent į dalį priežiūros funkcijų tos
įmonės atžvilgiu. D reikalauja, kad toks pareigūnas, nepriklausomai veikdamas užtikrintų, kad
duomenų valdytojas laikytųsi pagal šią direktyvą priimtų nacionalinių nuostatų; pildytų duomenų
valdytojo atliktų tvarkymo operacijų registrą, kuriame būtų pateikta 21 straipsnio 2 dalyje nurodyta
informacija; tokiu būdu būtų užtikrinta, kad tvarkymo operacijos negalės neigiamai paveikti
duomenų subjektų teisių ir laisvių.
18.3 – įgalina VN atleisti nuo notifikacijos reikalavimo, kai duomenys tvarkomi tik pildant registrą,
kuris pagal įstatymus ir norminius aktus turėtų suteikti informacijos visuomenei, ir kuriuo gali
naudotis plačioji visuomenė arba bet kuris teisėtai reikalaujantis asmuo.
19 str. įtvirtina minimalius reikalavimus pranešimo turinio atžvilgiu. VN turi tam tikrą diskreciją
įtvirtinant reikalavimus pranešime nurodytinos informacijos atžvilgiu, tačiau 19 straipsnio 1 dalis
įsakmiai išvardija minimalią informaciją, kuri turi būti nurodyta tokiuose pranešimuose:
Pagal Direktyvos 19 straipsnio 2 dalį valstybės narės nurodo, kokia tvarka turi būti pranešama
priežiūros institucijoms apie bet kokį 19 straipsnio 1 dalyje nurodytos informacijos pasikeitimą.
Siekiant užtikrinti, kad tokia informacija lieka pakankamai nauja ir tinkama, VN privalo nustatyti
procedūras, remiantis kuriomis bet koks pakitimas, įtakojantis šią informaciją yra pranešamas
priežiūros institucijai (D 19(2) straipsnis).
56
51 įžanginė citata.
57
52 įžanginė citata.
20 straipsnis
Išankstinė patikra
1. Valstybės narės nusprendžia, kurios tvarkymo operacijos gali kelti konkretų pavojų duomenų
subjekto teisėms ir laisvėms, ir tikrina, ar šios tvarkymo operacijos yra ištiriamos prieš jas
pradedant.
2. Tokias išankstines patikras atlieka priežiūros institucija, gavusi pranešimą iš duomenų valdytojo,
arba duomenų apsaugos pareigūnas, kuris, kilus abejonių, privalo tartis su priežiūros institucija.
3. Valstybės narės gali tokias patikras atlikti tuomet, kai rengiama nacionalinio parlamento
priimama priemonė arba tokia teisine priemone pagrįsta priemonė, kuri apibrėžia tvarkymo pobūdį
ir nurodo tinkamus apsaugos būdus.
Ši procedūra gali užkirsti kelią sparčiam ir efektyviam verslo, kuris tiesiogiai susijęs su Ad
tvarkymu, vykdymui ir jo plėtrai, raidai. Todėl dauguma valstybių linkusios šią procedūrą taikyti tik
ypatingais atvejais, tokiam AD tvarkymui, kuris sukelia realią grėsmę AS teisėms ir laisvėms. Iš 54
citatos aiškiai seka, kad žinant bendrą visuomenėje vykstantį duomenų tvarkymo mastą, tokius
specifinius pavojus kelianti tvarkymo dalis turėtų būti labai nedidelė; VN privalo numatyti, kad
priežiūros institucija arba duomenų apsaugos pareigūnas, bendradarbiaudamas su šia institucija, turi
tikrinti, prieš pradėdami tvarkyti, kaip bus tvarkoma; po tokios išankstinės patikros priežiūros
institucija, laikydamasi galiojančių nacionalinių įstatymų, gali pareikšti nuomonę arba išduoti
leidimą taip tvarkyti. 53 citata nurodo, kad AD tvarkymo prigimtis, tikslai ir apimtis taipogi turėtų
būti faktoriais, į kuriuos būtų atsižvelgta priimant minimus sprendimus.
D 20 str. tyli dėl to, kokius įgalinimus turėtų turėti in-house – vidinis pareigūnas – dėl AD, kuriuos
būtina iš anksto patikrinti. 54 citata nurodo: a) pateikti nuomonę dėl tvarkymo; b) duoti sutikimą dėl
tolesnio AD tvarkymo. Tai implikuoja, kad tarsi būtų galimybė tokio sutikimo neduoti ir nesuteikti
– atsisakyti jį suteikti.
D 20 str. nenustato laiko tarpo, termino, per kurį turi būti atlikta išankstinė patikra. Turi būti
išlaikytas balansas tarp būtinybės iš ADV pusės, kad tokia patikra būtų atlikta kaip galima greičiau
ir švelniau, iš vienos pusės, ir priežiūros institucijos realių galimybių, atsižvelgiant į turimus
išteklius, iš kitos.
AD tvarkymo skaidrumas
58
Įžanginė citata Nr. 53.
21.2. nustato, kad VN numato, kad priežiūros institucija turi registruoti tvarkymo operacijas, apie
kurias reikia pranešti pagal 18 straipsnį. Šiame registre pateikiama bent 19 straipsnio 1 dalies nuo
(a) iki (e) punktuose nurodyta informacija. Su tokiu registru gali susipažinti kiekvienas asmuo.
21.3. nurodo, kad turi būti imtasi priemonių, kad visuomenė galėtų susipažinti su informacija,
kuomet apie AD tvarkymo operacijas nėra pranešta. Tai gali būti atlikta arba per ADV, arba per kitą
VN paskirtą instituciją/organą. AD tvarkymo operacijos, apie kurias nėra pranešta, ADV turi
nuspręsti, kaip patenkinti šiuos abu reikalavimus ir paviešinti savo atliekamas AD tvarkymo
operacijas. Pageidautini keli požiūriai. Pvz., kai kurios įmonės gali pasirinkti ir savo
klientams/vartotojams pateikti medžiagą apie ADA. Kitos gali nuspręsti informaciją apie ADA
įtraukti į labiau bendro pobūdžio viešą informaciją. Kitos – gali svarstyti, ar šie apsunkinimai
atsveria gaunamą naudą.
D įtvirtinti ADA standartai, kurie kaip matyti yra gana griežti ir nuoseklūs, taptų tuščiomis
deklaracijomis, jeigu nebūtų įtvirtinta efektyvi ir sklandžiai funkcionuojanti tokių standartų
realizavimo, įgyvendinimo schema59. D nuostatos šiuo atžvilgiu yra palyginus lanksčios ir aptakios.
D reikalauja, kad VN kiekvienam asmens duomenų subjektui D užtikrinamų teisių pažeidimo atveju
nacionalinėmis priemonėmis privalo garantuoti prieinamas teisines gynybos priemones (visų pirma
– teisminę gynybą). Ši ADS teisė neturi prieštarauti administracinėms priemonėms, kurios, be kita
ko, gali būti numatytos prieš klausimą perduodant D 28 straipsnyje numatytai priežiūros institucijai
ir prieš kreipiantis į teismą (D 22 straipsnis). D eina dar toliau – jos 23 straipsnis ("Turtinė
atsakomybė") nustato, kad "
1. Valstybės narės numato, kad bet kuris asmuo, patyręs nuostolių dėl neteisėtos tvarkymo
operacijos ar bet kokio veiksmo, nesuderinamo su nacionalinėmis nuostatomis, priimtomis pagal šią
direktyvą, turi teisę iš duomenų valdytojo gauti kompensaciją už patirtus nuostolius.
2. Duomenų valdytojas gali būti visiškai ar iš dalies atleistas nuo šios turtinės atsakomybės
kompensuoti, jeigu įrodo nesantis atsakingas už nuostolius sukėlusį veiksmą."
D 28 str. aiškiai reikalauja, kad VN veiktų bent viena valdžios institucija, kuri kontroliuotų,
kaip jos teritorijoje yra taikomos pagal D VN priimtos nuostatos.
tiriamosios funkcijos;
efektyvios intervencijos teisės;
skundų nagrinėjimas.
59
55 įžanginė citata.
27 str. – skatina, kad VN būtų priimami elgesio kodeksai ir įgalioti priežiūros instituciją
nagrinėti/svarstyti tokius kodeksus, aiškintis ADS ar jų atstovų nuomones. /Aplankas – 27 psl./.
Vienas iš didžiausių pavojų, keliamų D įtvirtintai ADA sistemai, yra faktas, tampantis realybe ir
kasdieniu reiškiniu, kad naujųjų technologijų pagalba AD gali būti itin lengvai ir netgi nepastebimai
perduoti už EB ribų. 56 Įžanginė citata pripažįsta, kad tarptautinio verslo ir prekybos plėtrai yra
gyvybiškai svarbus sklandus AD judėjimas, netrukdomi informacijos srautai. Šiems klausimams
kaip tik ir skirti D 25-26 straipsniai.
D 25 str. – straipsnis, kuris labiausiai įtakoja e-komercijos vystymąsi, raidą. Jo pirma dalis įtvirtina
itin svarbią taisyklę: Valstybės narės numato, kad asmens duomenys, kurie yra tvarkomi arba juos
perdavus ketinama tvarkyti, gali būti perduodami į trečiąją valstybę tik tuo atveju, jeigu
nepažeidžiant nacionalinių nuostatų, priimtų pagal kitas šios direktyvos nuostatas, ši trečioji
valstybė užtikrina adekvatų apsaugos lygį.
D 25 straipsnio 2 dalis skirta paaiškinti, ką konkrečiu atveju turėtų reikšti " adekvatus ADA lygis" -
apsaugos, kurią suteikia trečioji valstybė, lygio adekvatumas įvertinamas atsižvelgiant į duomenų
perdavimo operacijos ar operacijų grupės aplinkybes; ypatingas dėmesys atkreipiamas į duomenų
pobūdį, siūlomos tvarkymo operacijos ar operacijų tikslą ir trukmę, duomenų kilmės bei paskirties
valstybę ar valstybes, bendrųjų ir atskiriems sektoriams taikomų įstatymų, galiojančių trečiojoje
valstybėje, nuostatas, taip pat profesines taisykles ir saugumo priemones, kurių laikomasi toje
valstybėje.
Esminis klausimas, kuris kelia nemažai nesutarimų tiek tarp VN, tiek ir tarp trečiųjų valstybių – ką
reiškia adekvatus ADA lygis. Šis neaiškumas ko gero sukuria didžiausias kliūtis e-komercijos
plėtotei, konkrečiai imant – b2b e-commerce.
Be abejo, kyla klausimas, ar pati ES ekonominiu požiūriu nenukenčia ir pati sau nesuvaržo
galimybių dalyvauti pasaulinėje e-prekyboje. ES Komisija nurodė, kad aukštų ADA standartų
užtikrinimas skatina vartotojų pasitikėjimą e-komercija ir tokių būdu tik prisideda prie pasaulinės e-
komercijos vystymosi.
25 str. sukelia nemažai problemų dėl tarptautinių korporacijų, veikiančių už ES ribų, veiksmų. Toks
tarpvalstybinio AD judėjimo apribojimas labai pakenkia tarptautinių korporacijų galimybei vykdyti
savo veiklą.
D 25 straipsnio 2 dalis buvo labai kritikuojama JAV ypatingai dėl to, kad "visiškai neaišku, kaip D
centralizuotas AD tvarkymo kontrolės mechanizmams gali būti pritaikytas ne mainframe
kompiuteriams, kurie decentralizuoja, išskaido duomenų rinkimą ir naudojimą. Tokios sistemos
apima ne tik internetą, bet ir kliento-serverio sistemas, bendrovių, įmonių intranetus, elektroninius
paštus ir netgi laptop kompiuterius.60
Tarpvalstybinis AD judėjimas yra labai svarbus ir netgi esminis daugeliui kompanijų, veikiančių
pasauliniu mastu. Tokios kompanijos labai remiasi būtent informacijos, susijusios su marketingo,
60
Gidari and Aglion. EU Directice on Privacy may hinder E-Commerce // IP Magazine, June 29, 1998.
Taigi – vis dėlto – kas įeina į adekvačios ADA sąvoką? Remiantis 25 straipsnio 2 dalimi,
adekvatumas turi būti įvertintas atsižvelgiant į visas AD tvarkymą liečiančias aplinkybes ir
faktorius, o būtent:
• AD prigimtį;
• AD tvarkymo tikslą, trukmę, pobūdį;
• AD kilmės valstybę ir galutinio paskirties taško valstybę;
• Teisės normas, galiojančias trečiojoje valstybėje;
• Profesines taisykles ir saugumo priemones, kurių laikomasi trečiojoje valstybėje.
Jeigu Komisija praneša, kad kuri nors trečioji valstybė neužtikrina adekvataus apsaugos lygio, kaip
numatyta šio straipsnio 2 šio straipsnio dalyje, valstybės narės imasi reikalingų priemonių, kad to
tipo duomenys aptariamai trečiajai valstybei nebūtų perduoti.
ADA Darbo Grupė, išanalizavusi ir įvertinusi asmens duomenų perdavimo į trečiąsias valstybes
klausimus61 pareiškė, kad D 25 straipsnio prasme numatomas case-by-case požiūris, tačiau
atsižvelgiant į didžiulius tvarkomų AD kiekius ir nesuskaičiuojamą AD valdytojų ir tvarkytojų
daugybę, nei viena valstybė negalėtų užtikrinti tokios case-by-case analizės. Todėl ADA Darbo
Grupė siūlo suformuoti aiškų racionalizacijos mechanizmą – sudaryti trečiųjų valstybių, kurios
preziumuojamai garantuoja adekvatų ADA lygį, 'baltąjį sąrašą'. Šio požiūrio problema ir sukeliami
sunkumai – dauguma trečiųjų valstybių neturi vienodo, universalaus ADA mechanizmo ir lygio
visuose sektoriuose, srityse. Jeigu konkreti valstybė nėra įrašyta baltajame sąraše, tai turi būti
atliktas įvertinimas; siekiant racionalizuoti tokį įvertinimą, ADA Darbo Grupė siūlo taip vadinamą
"rizikos faktorių" sąrašą, kuris padėtų identifikuoti AD perdavimą, kuris sukelia ypatingų pavojų ir
riziką asmens privatumui. ADA Darbo Grupė požiūriu AD perdavimas būtent šiose srityse kelia
didžiausią pavojų:
ADA Darbo Grupė yra pareiškusi, kad yra būtina atsižvelgti ne tik į asmens duomenų tvarkymo
operacijoms taikomas taisykles ar normas, bet itin svarbu tinkamai įvertinti trečiosiose valstybėse
egzistuojančius procedūrinius - realizavimo mechanizmus, kurių tikslas ir uždavinys – minėtų
taisyklių realus įgyvendinimas. ADA Darbo Grupė yra linkusi manyti, kad šie pagrindiniai AD
tvarkymo principai turėtų būti esminiai, vertinant ADA lygio adekvatumą: (a) tikslo ribojimo
61
Discussion Document adopted by the Working Party on June 26, 1997.
Analizuojant, kas sudaro adekvatų ADA lygį, Darbo Grupė pareiškė, kad trečioji valstybė turi
laikytis ir patenkinti bent du elementus:
I. Užtikrinti aukštą ADA standartų, taisyklių laikymosi lygį – be abejo, nei viena nacionalinė
ADA sistema neveikia 100 procentų pajėgumu, tačiau ADA požiūriu vienos sistemos yra geresnės
nei kitos;
III. Suteikti tinkamas teisinės gynybos priemones tiems individualiems ADS, kurių teisės
buvo pažeistos.
Vis dėlto, kurios trečiosios valstybės turi adekvatų ADA lygį? Pagal D 25.6 straipsnį, Komisija gali
išsiaiškinti, kad adekvatų apsaugos lygį, kaip numatyta šio straipsnio 2 dalyje, trečioji valstybė
užtikrina savo šalies įstatymais arba tarptautiniais įsipareigojimais, kuriuos ji prisiima, ypač po 5
dalyje nurodytų derybų, dėl asmenų privataus gyvenimo ir pagrindinių laisvių bei teisių apsaugos.
Iki šiol Komisija yra paskelbusi, kad Šveicarijos asmens duomenų apsaugos lygis yra adekvatus
Direktyvos 25 straipsnio prasme ir tikslais62.
Darbo Grupė 1999 m.priėmė dvi rekomendacijas dėl adekvataus ADA lygio Vengrijoje ir
Šveicarijoje. 1999 m. pabrėžė, kad abi jos užtikrina adekvatų ADA lygį.
Darbo Grupė pareiškė, kad dauguma AD srautų/perdavimų į tas valstybes, kurios ratifikavo ETK
Nr. 108 (Strasbūro konvenciją), preziumuojamai yra atitinkantys D reikalavimus, jeigu:
62
2000/518/EC: Commission Decision of 26 July 2000 pursuant to Directive 95/46.
Visų pirma, pabrėžtina, kad daugumoje jų yra susiklosčiusi visiškai skirtinga teisinė sistema. ES
VN įsigalėjusi teisinio reguliavimo koncepcija. Tuo tarpu pvz. JAV – pagrindinis dėmesys
teikiamas savireguliacijai ir sektoriniams ta.
Buvo didelis susirūpinimas ir kilo daug abejonių dėl to, ar sektoriniai ta ir savireguliacijos
mechanizmas taipogi gali garantuoti pakankamą ir adekvatų ADA lygį.
Sektoriniai ta neabejotinai garantuoja tokį ADA lygį. Tai tampa aišku iš 25.2 turinio.
Savireguliacija yra suprantama kaip tam tikrų taisyklių rinkinys, taikytinas ADV visumai,
priklausančiai tam pačiam pramonės sektoriui, tai pačiai pramonės sričiai ar šakai. Tokių taisyklių
turinys yra nustatomas tiesiogiai šių profesijų ar pramonės šakų atstovų. Ryškiausias to pavyzdys –
elgesio/praktikos kodeksai.
ES, suteikė šiek tiek aiškumo dėl savireguliacijos santykio su adekvačiu ADA lygiu, paskelbdama,
jog savireguliacija sugeba užtikrinti ir garantuoti D prasme priimtiną, todėl 25 str. tikslais adekvatų
ADA lygį, jeigu yra laikomasi šių sąlygų:
1. SR yra lankstus reguliavimo būdas/metodas ir šis lankstumas leidžia žengti koja kojon
su sparčia technologijų plėtote.
2. Tai žymiai pigesnis reguliavimo būdas/metodas ir sukelia mažiau taikymo ir
įgyvendinimo problemų; įgyvendinimo ir realizacijos našta yra perkeliama ant privačių
subjektų pečių;
3. Savireguliaciniai elgesio kodeksai taikomi nepriklausomai nuo valstybinių sienų – ten,
kur veikia konkreti organizacija/įmonė;
4. SR yra pagrįsta konkrečios pramonės srities kolektyvine patirtimi ir gali būti pritaikyta
kiekvienai pramonės šakai ar profesijai.
1) Kanada.
a) ADA reglamentavimas viešojo sektoriaus srityje. 1985 m. priimtas federalinis Privatumo Aktas
– taikomas visoms federalinėms institucijoms ir agentūroms. Jis pagrįstas EBPO Gairėmis.
Įsteigia Privatumo Komisionierių.
b) SR privačiajame sektoriuje. Iki 1998 m. nebuvo priimtas joks federalinis ta, skirtas privačiajam
sektoriui. ADA čia buvo pagrįstas tik SR. Kanadoje yra plačiai pripažintas ir priimtas
pavyzdinis elgesio ADSA srityje kodeksas, priimtas 1996 m. Šis Kodeksas buvo parengtas
Kanados Standartų Asociacijos ir buvo patvirtintas kaip nacionalinis standartas. Taigi – tai
pirmasis tokio pobūdžio standartas pasaulyje. Kodeksas taipogi pagrįstas EBPO Gairėmis. Jis
įtvirtina 10 teisingo ir teisėto asmeninės informacijos rinkimo ir naudojimo principus. Toks
privatumo teisės apsaugos užtikrinimas standarto pagalba sukėlė visą eilę diskusijų, ar
tarptautinių ADA standartų įtvirtinimas garantuos tinkamą ADA lygį. Vienas iš prieštaravimų
tokiems ketinimams ADA taisykles suformuluoti kaip standartą argumentų tas, kad privacy yra
fundamentali žmogaus teisė, o teisės standartizuoti negalima. Visgi, privacy būtų garantuota ne
kaip techninis standartas. Kita vertus, ADA nėra tapati privacy. Standartai yra iš esmės skirtingi
tiek nuo tesiės normų, tiek ir nuo savanoriškų praktikos, elgesio kodeksų. Standartų
implementacija, įgyvendinimas pagrįstas labai paprasta taisykle: pasakyk, ką tu darai, daryk tai,
ką sakai ir būk pasirengęs savo elgesio patikrinimui. Manau, Kanados patirtis įrodo, jog
standartų koncepcija neprieštarauja žmogaus teisių filosofijai. Kitas motyvas – tarptautinis
standartas būtų pernelyg nerealus (būtų per daug sudėtinga įgyvendinti) esant tokiai didelei
valstybių ir kultūrų įvairovei. CSA Model Code išreiškia esminį suvokimą, kaip atsakinga
organizacija turėtų elgtis su renkamais, saugomais ir tvarkomais asmens duomenimis.
Privatumo apsaugos istoriniai ir kultūriniai šaltiniai gali skirtis įvairiais aspektais, tačiau
"atsakingumo" samprata tolydžio konverguojasi. Trečias motyvas – ADA jau pakankamai
reglamentuotas. ADA direktyvos 25 straipsnio prasme "adekvatus ADA lygis" gali palyginus
nesunkiai būti susietas su tokiu tarptautiniu ADA standartu. Tokio standarto paminėjimas
norminiame akte ar sutartyje išspręstų daugelį klausimų, panaikintų daug bereikalingų
neaiškumų. Nors tarptautinio standarto laikymasis gali būti palyginus brangus, pačios AD
rinkimu ir pan. užsiimančios įmonės turėtų būti suinteresuotos tokio standarto patvirtinimu.
Toks standartas būtų priimtinas netgi JAV, kaip natūrali "fair information principles" pratąsa.
c) Federalinė įstatymų leidyba privačiajame sektoriuje. 1988 m. parengtas projektas ta, kuris
sureguliuotų ADA ir privačiajame sektoriuje. Šio akto tikslas – paremti ir skatinti e-komercija
garantuojant efektyvią ADA.
e) ES reakcija į Kanados ADA lygį. Darbo Grupė dar dėl to nėra pasisakiusi. Visgi, reikėtų
pripažinti, kad net iki minėto įstatymo įsigaliojimo galima teigti, kad Kanadoje yra užtikrinamas
adekvatus ADA lygis D 25 str. prasme.
2. Australija.
1988 m. priimtas federalinis Privatumo aktas. Taikomas tik viešajam sektoriui. Įtvirtina 11 ADA
principų, įsteigia Komisionieriaus pareigybę. 11 principų pagrįsti EBPO Gairėmis. Aktas taipogi
taikytinas ir kai kurioms privataus sektoriaus elementams: mokesčių bylų numeriams ir vartotojų
kredito informacijai.
Privatusis sektorius. 1998 m. Vyriausybė paskelbė, kad ji skatins teisinę bazę ADA ir privačiajame
sektoriuje. Ji taipogi priėmė Nacionalinius teisingo asmeninės informacijos naudojimo principus. Jų
pagrindų priimami sektoriniai elgesio kodeksai, pagrįsti EBPO Gairėmis.
Nauja įstatymų leidyba. 2000 m. naujo įstatymo projektas. Jis įgyvendintų Nacionalinius teisingo
asmeninės informacijos naudojimo principus, būtų taikomas ir privačiajam sektoriui. Svarbu tai,
kad daug normų būtų perimta iš D. komisionierius taipogi pabrėžė jo svarbą e-komercijos
vystymuisi.
ES reakcija. Darbo Grupė dar dėl to nėra pasisakiusi. Visgi, pažymėtina, kad netgi SR privačiajame
sektoriuje yra labai aukštame lygyje ir neabejotinai užtikrina/garantuoja adekvatų ADA laipsnį D 25
str. tikslais.
3. Japonija.
ES reakcija. Darbo Grupė dar dėl to nėra pasisakiusi. Visgi, pažymėtina, kad privatusis sektorius
yra nesureguliuotas. SR gali būti pripažinta garantuojanti tinkama ADA laipsnį tik jeigu atitinka
aukščiau paminėtas DG nustatytas sąlygas.
Išvados. Svarbu paminėti, kad iš visų paminėtų trečiųjų valstybių, ko gero tik JAV suteikia
adekvatų ADA lygį tiek privačiajame, tiek ir viešajame sektoriuje sutinkamai su laikinuoju
susitarimu, sudarytu tarp JAV ir ES. ES požiūriu, elgesio kodeksai tegali sudaryti dalį adekvataus
ADA. Kombinacijoje su įstatyminėmis priemonėmis, jie laikytini kaip tinkami aukšto ADA lygio
garantai.
26 str. nurodo, kad VN, nesilaikydamos 25 straipsnio nuostatų, išskyrus, kai konkrečius atvejus
reglamentuojantys šalies įstatymai numato ką kita, VN numato, kad asmens duomenys gali būti
perduodami trečiajai šaliai, kuri neužtikrina adekvataus apsaugos lygio, kaip numatyta 25 straipsnio
2 dalyje, su sąlyga, kad:
• duomenų subjektas yra nedviprasmiškai davęs sutikimą perduoti siūlomus duomenis; toks
sutikimas turi būti duotas laisvai, konkrečiai, informuotai ir aiškiai. ADS privalo būti išaiškintos
tokio jo pasirinkimo pasekmės.
• duomenis perduoti būtina, kad būtų įvykdyti sutarties tarp duomenų subjekto ir duomenų
valdytojo reikalavimai, arba kad būtų įgyvendintos priemonės, kurių prieš pasirašant
sutartį imamasi duomenų subjekto prašymu; arba
• duomenis perduoti būtina, kad duomenų subjekto labui būtų sudaryta duomenų valdytojo
ir trečios šalies sutartis ar būtų įvykdyti tokios sutarties reikalavimai; arba
• duomenis perduoti būtina (arba įstatymų numatyta) dėl svarbių visuomeninių interesų arba
norint nustatyti, įvykdyti ar apginti teisinius ieškinius; čia visuomeninis interesas suprastinas
būtent kaip VN visuomeninis interesas, o ne kurios nors trečiosios valstybės.
• duomenis perduoti būtina, kad būtų apsaugoti gyvybiniai duomenų subjektų interesai; arba
• duomenys perduodami iš registro, kuris pagal įstatymus ir norminius aktus turėtų suteikti
informacijos visuomenei ir kuriuo gali naudotis plačioji visuomenė arba bet kuris teisėtai
reikalaujantis asmuo, tačiau kiekvienu konkrečiu atveju turi būti įvykdytos įstatymo numatytos
naudojimosi tokiu registru sąlygos.
Pagal 26 str. 2d., VN gali leisti perduoti asmens duomenis į trečią valstybę, kuri neužtikrina
adekvataus apsaugos lygio pagal 25 straipsnio 2 dalį, jeigu domenų valdytojas pateikia adekvačias
apsaugos priemones asmenų privatumui ir pagrindinėms teisėms bei laisvėms apsaugoti ir
atitinkamoms teisėms įgyvendinti; tokios apsaugos priemonės gali būti išdėstytos atitinkamuose
sutarčių punktuose. Tokiu atveju ADA adekvatumo įvertinimo pagrindas – toks pats, kaip ir
apskritai ADA laipsnio adekvatumo nustatymui bet kurioje trečiojoje valstybėje. Sutartinis ADA
sprendimas turėtų apimti visus pagrindinius ADA principus ir nustatyti tų principų efektyvų
realizavimą užtikrinančias priemones. Todėl ADA laipsnis pripažintinas adekvačiu 25 str. prasme,
kai:
• taikytinų tn turinys;
• priemonės jų įgyvendinimui
atitinka D nuostatas. ES Komisija skatina sutartinių nuostatų taikymą ADA srityje ir šiuo metu
nagrinėja ICC (TPR) pateiktą Pavyzdinę sutartį.
1998 m. buvo parengtos Pavyzdinės sutarties nuostatos. Tai iš esmės - ET su ICC ir su ES K atlikta
bendra studija.
ICC mano, jog Nuostatos yra tinkamos sutartinės priemonės 26 str. 2 d. tikslais.
Nuostatų turinys:
• AD buvo surinkti/tvarkomi sutinkamai su pranešimo, ADS sutikimo reikalavimais,
įtvirtintais AD šaltinio valstybėje;
• Ad importuotojas turi įdiegtą saugumo programas ir procedūras, skirtas užtikrinti, kad
neįgalioti asmenys neprieitų prie tų AD ir jų tvarkymo įrangos ir kad jos įgalioti asmenys
užtikrins AD tvarkymo konfidencialumą;
• Ad importuotojas tvarkys AD sutinkamai su reikalavimais, įtvirtintais AD šaltinio
valstybėje;
• Ad importuotojas ADS suteiks tokias pačias teises (būti informuotam, ištrinti, ištaisyti ir
pan.), kurios yra suteikiamos ADS AD šaltinio valstybėje;
• Ad importuotojas nenaudos Ad tikslams, nesuderinamiems su tais tikslais, kurie ADS buvo
pranešti AD rinkimo metu;
• Ad importuotojas naudos AD tik savo naudojimui ir neatskleis ar neperduos jų trečiajai
šaliai ar trečiajai valstybei be išankstinio AD eksportuotojo sutikimo ir toks sutikimas nebus
duodamas, jeigu AD eksportuotojui nebus užtikrinta, kad visos tokio atskleidimo sąlygos
yra patenkinamos ir kad po tokio jų atskleidimo ar perdavimo, AD bus suteiktas adekvatus
saugumo lygis;
• AD tvarkymo operacijoms taikytina AD šaltinio valstybės teisė.
Nuostatos ir ES Komisija.
EK dar nėra padariusi sprendimo (pagal D 26 str. 4 d.) dėl Nuostatų. Yra klausimas, ar galima
preziumuoti, kad Nuostatos garantuoja adekvatų ADA lygį. Bet paplitusi nuomonė, kad taip.
Visgi DG išreiškė tam tikras abejones dėl tokių siuntėjo-gavėjo sutartinių santykių atitikimo 26 str.,
nes juose visų pirma nedalyvauja ADS. Tokiu būdu, jis ne tik kad negali įtakoti šių kontraktų
vykdymo, bet ir visų pirma jų sudarymo. Aišku, galima teigti, kad eksportuojanti agentūra veikia
kaip ADS atstovas, bet tai nekeičia Ads galimybės įtakoti šių santykių.
• sutartys (kontraktai) EB viduje yra naudojami kaip atsakomybės tarp ADV ir AD tvarkytojų
padalijimo instrumentai. Vis dėlto, kai kontraktai naudojami ryšium su asmens duomenų
judėjimu į trečiąsias valstybes, ji privalo numatyti papildomas garantijas AD subjektui,
kadangi AD gavėjas trečiojoje valstybėje nėra įpareigotas ADA taisyklių, paklūstančių
adekvačiam lygiui;
• ADA, suteikiamo sutarčių pagalba, lygio adekvatumo įvertinimo pagrindas – tas pats kaip ir
apskritai ADA trečiojoje valstybėje lygio adekvatumo įvertinimui;
• tokios sutartys (kontraktai) turėtų detaliai ir aiškiai nustatyti tikslus, priemones ir sąlygas,
esant kurioms bus tvarkomi perduodami asmens duomenys ir pagrindinius ADA principų
63
Murray, p. 260.
Direktyvos 25 straipsnio įtaka b2c e-komercijai. Direktyvos nuostatos užtikrina aukštą vartotojų
ADA lygį, kas savo ruožtu padidina jų pasitikėjimą e-komercija, o tai labai teigiamai įtakoja jos
vystymąsi ir plėtrą. Be 25 str. – aukšti D įtvirtinti ADA standartai galėtų būti labai lengvai ir greitai
apeiti, turint omeny informacijos judėjimo pasauliniais tinklais greičius bei jų apimtis. Taigi,
darytina išvada, kad D 25 straipsnio įtaka e-komercijai yra tik teigiama ir sveikintina.
D 25 str. taipogi pozityviai įtakoja ir trečiąsias valstybes, skatinant jas priimti nacionalinius ta, kurių
nuostatos būtų suderintos su D reikalavimais. Tokiu būdu trečiosios valstybės tampa pačios
suinteresuotomis nacionalinėmis priemonėmis užtikrinti aukštą ADA lygį – kitu atveju jos
rizikuoja, kad jų partneriai iš ES privalo atsisakyti pervesti svarbią informaciją į jas remiantis D 25
str. Tokiu būdu, b2c komercija gali įgauti ir pasiekti max. apimtis.
Įtaka b2b komercijai. Neaiškumas, kad D 25 str. prasme reiškia ir pripažintina adekvačiu ADA
lygmeniu, be abejo – b2b komerciją įtakojo neigiamai. ES VN įmonės dažnai net nežino, ar tam
tikroje trečiojoje valstybėje, į kurią yra rengiamasi pervesti AD, yra užtikrinamas pakankamai
aukštas ADA lygis ar ne. tokiu būdu, jos rizikuoja būti patrauktomis atsakomybėn už D nuostatų
nesilaikymą. Labai galimas dalykas, kad jau vien dėl to gali būti nesudaryti svarbūs kontraktai.
Neaiškumas dėl to, kas būtent konstatuoja adekvatų ADA lygį ir kokios trečiosios valstybės
užtikrina tokį ADA lygį, pagrinde yra paaiškinama Darbo Grupės rekomendacijomis ir požiūriais
dėl tam tikrų valstybių ir pan.
Tačiau aišku viena – DG turi kuo greičiau užlopyti šias teisinio neaiškumo sukeltas spragas, kurios
toli gražu neprisideda prie e-komercijos plėtotės.
Taipogi svarbu pažymėti, kad svarbi užduotis tenka ir patiems ūkio subjektams/įmonėms. Tai visų
pirma apima sutartinių priemonių kūrimą ir įgyvendinimą 26 str. 2 d. tikslais.
Tiek Darbo Grupė, tiek ir patys verslininkai, privataus sektoriaus atstovai turėtų aktyviau įsitraukti į
adekvataus ADA lygmens užtikrinimą. Nes jie tuo turi būti suinteresuoti.
Svarbu tai, kad DG savo Pirmoje Orientacijoje (ang. First Orientation)64 1997 m. siūlo “Baltojo
sąrašo” sudarymą, į kurį būtų įtrauktos tos trečiosios valstybės, kurios savo nacionalinėmis
priemonėmis garantuoja adekvatų ADA lygį. Nors sutinkama, kad ji neturi sprendžiamosios galios
dėl konkretaus AD perdavimo, DG plečiamai aiškina jos rolę “Komisijai pateikiant nuomonę dėl
ADA lygio trečiosiose valstybėse”, kaip DG suteikiančią teisę analizuoti situaciją konkrečioje
trečiojoje valstybėje individualių atvejų kontekste ir priimti laikinąją nuomonę dėl ADA
adekvatumo. Jeigu tokia nuomonė yra pozityvi – tokios valstybės gali būti įtrauktos į minėta sąrašą.
Po to toks sąrašas gali būti plačiai paskleistas ir naudojamas visų pirma ADV, kaip gairės jų
priimamiems sprendimams. DG nesiūlo sudarinėti ‘juodojo sąrašo’. Ji tos nuomonės, kad tai visų
pirma labai jautri politinė problema ir tai, jog ta ar kita valstybė nėra įrašyta į ‘baltąjį sąrašą’,
reiškia, kad jos atžvilgiu nėra aiškios pozicijos šiuo požiūriu. Savireguliacijos atžvilgiu DG savo
Pirmoje Orientacijoje prieina išvados, kad tam, kad savireguliacinis instrumentas taptų galiojančiu
ir tinkamu "adekvataus ADA lygio" komponentu, jis turi būti įpareigojantis ir privalomas visiems
subjektams, kuriems yra perduodami AD ir nustatyti realias apsaugos priemones tais atvejais, kai
AD perduodami į nesaugias trečiąsias valstybes65.
Kas įgyvendina realią galią? 29 str. prieš 31 str. Formalus sprendžiamasis balsas dėl ADA
adekvatumo priklauso Komitetui, formuojamam pagal D 31 str. Bet DG yra aiškiai pasiryžusi
užimti aktyvią poziciją. Nebūtų nuostabu, jeigu nepriklausomi DG ekspertai užimtų radikalesnę
poziciją negu vyriausybinė institucija, kuri visų pirma gali pasivadovauti politiniais motyvais.
Yra keletas faktorių, kurie aiškiai rodo, kad DG išplėtė savo kompetenciją:
DG laiko, kad į adekvatumo sąvoką papuola būtent 6 ‘pagrindiniai principai’, kurie yra minimalūs
AD tvarkymo reikalavimai: tikslo ribojimo, Ad kokybės ir proporcingumo, skaidrumo, ADS tesiės
prieiti prie AD, juos taisyti, ištrinti, tolesnio AD tvarkymo apribojimas. Paskutinis yra logiška
pasekmė to, kad galima lengvai apeiti D reikalavimus per trečiąją valstybę, kuri ADA atžvilgiu yra
saugi. Bet kokios išimtys iš šių kertinių elementų turi būti pateisinamos ir pagrįstos D 13 str.
išvardintais pagrindais.
Ar nesant įstatyminio reguliavimo, ADA lygis gali būti adekvatus? Pagal 25 (1) ir 31 str., šis
klausimas D rėmuose lieka atviras.
Kaip jau minėta, vienas iš galimų požiūrių – AD kaip techninis standartas. Toks požiūris pradžią
įgavo Kanadoje. Kanados Standartų asociacija, 1996 m. priėmusi Pavyzdinį kodeksą, dabar bando
pasiekti, kad ISO taipogi patvirtintų analogišką standartą.
64
First Orientations on Tranfers of Personal Data to Third Countries – Possible Ways Forward in Assessing Adequacy,
Discussion Document adopted by Working Party on June 26, 1997.
65
Murray, p. 261.
Skundai dėl adekvačios apsaugos. Netgi jeigu Komitetas priima sprendimus, būtent Komisija turi
būti įtikinta pasiūlyti priemones prieš trečiąją valstybę, todėl labai svarbu, kokiu būdu
neadekvatumo skundai gali pasiekti K. VN nėra įpareigotos svarstydamos AD perdavimą į
trečiąsias valstybes. Tai išplaukia iš 25(3). DG privalo parengti kasmetinį pranešimą, kuris apimtų
ADA lygį trečiose valstybėse, tokiu būdu K oficialiai pranešant apie padėtį šiuo atžvilgiu. Kaip gali
tikėtis, K turėtų pati atlikti nacionalinių ta studijas. 1997 m. ji paskelbė konkursą tokios analizės
atlikimui 6 pagrindinių ES prekybos partnerių atžvilgiu.
Beje, kai kurių autorių – Reidenberg – nuomone, ADA adekvatumas vertintinas kiekvienu
konkrečiu atveju, kiekvieno konkretaus AD perdavimo atveju.
Kiekvienoje ES VN išeities taškas buvo – jos ADA įstatymai taikomi tik jos teritorijoje (ir kartais –
užjūrio teritorijose). Įstatymų taikymas paprastai nepriklausydavo nuo ADS nacionalinės
priklausomybės ar juridinio adreso. Šiuo požiūriu žymiai svarbesnis buvo ryšio tarp ADV ir AD
tvarkymo operacijos iš vienos pusės ir VN teritorijos iš kitos pusės. Jeigu tiek ADV ir tvarkymo
operacija buvo glaudžiai susiję su teritorija (pvz., ADV reziduoja arba yra įsteigtas toje VN arba
tvarkymo operacija yra atliekama jos teritorijoje) tuomet tokiam AD tvarkymui būdavo taikomi tos
VN ADA įstatymai.
Pagal daugumos VN ADA įstatymus, apsprendžiantysis kriterijus taikytinos teisės nustatymui buvo
AD bylos buvimo vieta. Visgi, šio kriterijaus kartais būdavo atsisakoma ir tokiu būdu vienos VN
aktas būdavo taikomas tokiems AD, kurie būdavo visai kitos VN teritorijoje. Tokio kriterijaus
taikymo atsisakymo sąlygos įvairiose VN skirdavosi. 1988 m. Olandijos ADA įstatymas galėjo būti
taikomas tokioms AD byloms, kurios buvo už Olandijos teritorijos ribų, jeigu: a) tokia AD byla yra
tvarkoma subjekto, įsteigto Olandijoje; ir b) tokia AD byloje yra AD tų asmenų, kurie pastoviai
gyvena Olandijoje. Priešinga, 1992 m. Belgijos ADA aktas galėjo būti taikomas automatizuotam
AD, esančių užsienyje, tvarkymui” kuomet toks AD tvarkymas yra tiesiogiai prieinamas Belgijoje
tokiomis priemonėmis, kurios AD tvarkymo proceso sudedamoji dalis. Ši labai jau neaiški nuostata
buvo aiškinama labai plačiai, įgalinanti Belgijos aktą taikyti serveriui, esančiam užsienyje, jeigu
arba informacija tokiame serveryje yra naudojama Belgijoje, arba kyla iš Belgijos ar yra prieinama
Belgijoje. 1978 m. Norvegijos ADA aktas, kaip išaiškino N Teisingumo ministras, turėjo būti
taikomas AD Registrui, esančiam užsienyje, kuomet toks registras gali būti kontroliuojamas iš
Norvegijos.
4 straipsnis
1. Kiekviena valstybė narė taiko nacionalines nuostatas, kurias ji priima pagal šią direktyvą, kai
tvarkomi asmens duomenys, jeigu:
a) tvarkoma, duomenų valdytojo padaliniui veikiant valstybės narės teritorijoje; jeigu tas pats
duomenų valdytojas steigiamas kelių valstybių narių teritorijoje, jis privalo imtis reikalingų
priemonių, kad kiekvienas jo padalinys vykdytų taikytinų nacionalinių įstatymų nustatytas
prievoles;
Kaip jau minėta pradžioje, šios nuostatos yra pirmosios ir kol kas vienintelės taisyklės
tarptautiniame ADA akte, kurios yra specialiai skirtos AD tvarkymo operacijoms taikytinos teisės
nustatymui. Priešingai, EBPO Gairių projekto rengėjai nesugebėjo pasiekti susitarimo dėl tam tikrų
taisyklių šioje srityje, nepaisant to fakto, jog šiuo klausimu buvo plačiai diskutuojama. Su panašiais
sunkumais susidūrė ir 1981 m. Europos Tarybos Konvencijos Nr.108 rengėjai. Kaip matyti pagal D
4 straipsnį, pagrindinis taikytinos teisės nustatymo kriterijus yra ADV įsteigimo vieta, visiškai
nepriklausomai nuo AD tvarkymo operacijos vietos. 1990 m. D projekte buvo siūloma nustatyti,
kad apsprendžiantysis kriterijus yra AD bylos vieta. Vėliau šis kriterijus buvo pakeistas, nes
pasaulinio kompiuterinio tinklo plėtotės pasekmėje tokios AD buvimo vietos nustatymas tapo labai
problematišku. D 4 straipsnio pagrindimą galime rasti D travaux preparatoires. Ypatingos svarbos
čia yra EB Komisijos komentaras dėl 1992 m. pasiūlymo D-ai: “4 straipsnio tikslas yra išvengti
dviejų galimybių:
1) kad ADS būtų patalpintas už bet kokios teisinės sistemos gynybos ir ypatingai, kad siekiant šio
tikslo būtų apeinami įstatymai;
2) kad tai pačiai AD tvarkymo operacijai būtų taikomi daugiau nei vienos VN įstatymai.
Siekis išvengti pirmos situacijos yra įtvirtintas 20 citatoje: kad duomenis tvarko trečiojoje šalyje
įsteigtas asmuo, neturėtų kliudyti šioje direktyvoje numatytai asmenų apsaugai; tokiais atvejais
tvarkymą turėtų reglamentuoti tos valstybės narės, kurioje įrengtos duomenų tvarkymui naudojamos
priemonės, priimti teisės aktai, ir turėtų būti garantijos, kurios užtikrintų, kad šioje direktyvoje
numatytos teisės ir prievolės yra tikrai gerbiamos.
Taigi D 4 straipsnyje yra vartojamos keturios svarbios sąvokos, kurias yra būtina paaiškinti
išsamiau. AD ir ADV sąvokos buvo apibrėžtos aukščiau , todėl čia prie jų nebegrįšime.
Apibrėžiant “įsteigimo” ar “įkūrimo” sąvoką, kuri yra neapibrėžta pačioje D, reikėtų atsižvelgti į D
19 preambulės citatoje numatytą “įsteigimo” apibrėžimo kriterijų. Pagal D 19 citatą, “įsteigimas”
reiškia tai, kad duomenų valdytojas yra įsisteigęs kurioje nors VN ir gali veiksmingai ir realiai
užsiimti savo veikla pagal nusistovėjusią tvarką. Dar daugiau, ADV juridinė įmonės forma nėra
lemiamas veiksnys: tai gali būti paprastas skyrius ar dukterinė įmonė su juridinio asmens teisėmis.
Taigi, jeigu Graikijoje yra įregistruota kompanija A, kuri turi dukterinę įmonę B, įsteigtą
Portugalijoje, 19 citatos pagrindu, susiklosto situacija, kad, jeigu A tvarko AD tikslams,
nustatytiems įmonės B, tokiam AD tvarkymui bus taikomi Portugalijos įstatymai, net, jeigu įmonė
B yra įmonės A dukterinė įmonė. Svarbu pažymėti, kad ETT byloje C-221/89 [1991] pabrėžė, kad
ES steigimo sutarties 52 straipsnio prasme “įsteigimas” reiškia realų ūkinės – komercinės veiklos
vykdymą per pastovią vietą kitoje VN neribotam laiko tarpui. Iš “įsteigimo” termino tampa aišku,
kad sisteminis informacijos rinkimas iš vienos VN turėtų būti suprantamas kaip “įsisteigimas”.
Apibrėžiant “įrangos” sąvoką taipogi nepakanka vien D turinio. Nuoroda į “įrangą” (ang.
equipment) sudaro įspūdi, kad turi būti naudojama kažkas esminio ir ypatingo bei solidaus. Visgi,
toks įspūdis yra klaidingas. 20 citata mini tiktai “naudojamas priemones”, taigi yra atsisakoma
Probleminiai D 4 str. aspektai. Pažymėtina, kad yra labai menkai tikroviškos gyvenimiškos
patirties ir praktikos, kaip 4 str. įtvirtintos taisyklės veikia/funkcionuoja realybėje. Tuo pačiu, ši
probleminė sritis pasižymi ypatinga akademinių tyrinėjimų stoka.
Visų pirma, 4 str. numatytos taisyklės gali turėti milžiniškos įtakos ES santykiams su pagrindiniais
tarptautinės prekybos partneriais (visų pirma – JAV). Nors, kaip jau nurodyta anksčiau, D 4 str.
gana efektyviai užtikrina pirmosios situacijos išvengimą, su antrąja situacija tam tikrais atvejais
visgi yra nesusitvarkoma. Nors, kaip taisyklė, kiekvienai AD tvarkymo operacijai yra vienas ADV,
gali būti situacijų, kuomet vienos ir tos pačios AD tvarkymo operacijos atžvilgiu egzistuoja keli
ADV, įsteigti skirtingose V. Ši galimybė yra akivaizdžiai numatyta D 2 (d) str. pateiktame ADV
apibrėžime. Tokiais atvejais, D 4 str. taikymas reikštų, kad vienai AD tvarkymo operacijai yra
taikytini kelių VN ADA statymai. Tai nebūtų problema, jeigu kelių VN įstatymai yra tarpusavyje
harmonizuoti ir suderinti. Bet mes negalime būti tuo visiškai tikri, nes įgyvendinant D, VN yra
palikta nemaža “nuožiūros ir įvertinimo erdvė” (ang. margin of appeciation).
Susijusi problema – ar D 4 str. reikalauja, kad VN atsisakytų savo senų taisyklių, tam tikrais
atvejais leidžiančių jų AD ta ekstrateritorinį taikymą. Galima teigti, kad 4 str. nereguliuoja VN AD
ta teritorinio lygmens; 4 str. tik užtikrina, kad konkrečiai situacijai yra taikomas konkretus
įstatymas. Jeigu sutikti su tokiu požiūriu, tai iš karto susiduriama su jurisdikcijų kolizijos problema.
Visgi, negalima teigti, kad D autoriai neketino sumažinti (ar visai pašalinti) tokių problemų ir 4 str.
turėtų būti aiškintinas atsižvelgiant į tai. Vis dėlto, būtų labai gerai teisinio aiškumo sumetimais,
jeigu D rengėjai būtų buvę aiškiau suformulavę šias taisykles.
Kita 4 str. problema – jame suformuluotos taisyklės yra pernelyg toli pasiekiančios on-line aplinkos
atveju. Šiuo atveju galvoje yra turima situacija, kuomet taisyklės yra suformuluotos taip plačiai ir
bendrai bei nediskriminaciniai, kad jos prima facie gali būti taikomos visai eilei veiklų
neturėdamos realių šansų būti priverstinai įgyvendintomis. Pavyzdžiui, interneto puslapių
operatoriams yra labai įprasta nustatinėti taip vadinamus ‘cookies’ (slapukus) vartotojo naršyklės
programose. Toks mechanizmas veikia automatiškai. Jeigu interneto puslapio operatorius yra
įsteigtas pvz., Indijoje, ir jis automatiškai nustato taip vadinamus ‘cookies’ vartotojams, esantiems
ES, tai operatoriaus veiksmai ko gero atitiktų D 4 str. 1 (c) įtvirtintus kriterijus, tai yra operatorius
tvarkytų Ad naudodamas įrangą (traktuotiną plačiai), esančią ES teritorijoje. Tai neabejotinai
reikštų, kad AD tvarkymas būtų reguliuojamas tokios ES VN ADA įstatymais. Mes
preziumuojame, kad ‘cookies’ yra pripažintini AD D prasme ir tikslais. Taigi, on-line režimo atveju
griežtas 4 str. 1(c) taikymas gali sukelti situaciją, kurioje didelė dalis ADV, įsteigtų ir veikiančių už
ES ribų, turėtų laikytis bent dviejų ADA ta, kurie gali būti tarpusavyje visiškai nesuderinti (tai yra
ES/EEA VN ADA ta ir atitinkamos valstybės, kurioje yra įsteigtas ADV, ADA ta). Taigi, tokiu
atveju ADA srityje ADV turėtų laikytis užsienio teisės. Iš tikrųjų, kadangi “įrangos” sąvoka yra
labai plati, apimanti “įrangą”, vienos AD tvarkymo operacijos metu išdėstytą (esančią) keliose
valstybėse, ADV turėtų laikytis ir savo veiklą suderinti su daugybe nacionalinių teisės aktų
reikalavimų. Situaciją labai komplikuoja tai, kad dauguma ADV gali net nežinoti apie pareigą
laikytis tokių nacionalinių teisės aktų. Kyla klausimas, kas turėtų atkreipti tokių ADV, įsikūrusių
trečiosiose valstybėse, dėmesį į 4 straipsnio 1 dalies c punktą.
“Įsisteigimo” prasme, ‘cookies’ sukuria tokį įsisteigimą vartotojo buvimo vietoje, nes interakcija su
varotojo harddisku yra stabilus bei pastovus įsikūrimas harddisko, taigi ir vartotojo buvimo vietoje,
per kurį yra vykdoma efektyvi ir reali ADV veikla.
Be to, D neliečia baudžiamosios teisės nuostatų. Tokiu lygiu, kokiu VN įtraukia AD pažeidimus į
savo nacionalinės BT sritį, šie baudžiamieji įstatymai yra taikytini tiems veiksmams, atliktiems toje
VN, nepriklausomai nuo D 4 str. Pavyzdžiui, Prancūzijos BK kriminalizuoja “duomenų rinkimą
nesąžiningu, apgaulingu ir neteisėtu būdu ir priemonėmis, ar asmeninės informacijos tvarkymas jos
subjektui aiškiai dėl to prieštaraujant. Prancūzijos BK taipogi numato, kad nesant AD subjekto
sutikimo, asmeninės informacijos laikymas tiesiogiai ar netiesiogiai atskleidžiant jo religinius
įsitikinimus, politines pažiūras, rasę, narystę profsąjungose ir pan. yra nusikaltimas. Bendrosios
rinkos tikslais, pastangos nustatyti išimtinę taikytiną teisės sistemą ir galimybė, kad keletas
jurisdikcijų persipins, įtakoja ADV siekį apeiti tam tikras ADA taisykles keičiant infrastruktūros
architektūrą. Tai visų pirma taikytina on-line aplinkai, kuri pasižymi geografiniu lankstumu. ADV
funkcijos gali būti visiškai išskaidytos ir nukreiptos tokiu būdu, kad pasinaudoti “manevrų laisvės”
teikiamais pranašumais. Pvz., Prancūzijoje on-line paslaugų teikėjas gali patalpinti dinaminį
(judrųjį) IP adresą įrangoje, esančioje UK, ir tokiu būdu išvengti Prancūzijos ADA ta reikalavimų
taikymo tokių IP adresų gavėjams. Pagal tokį scenarijų UK ADA ta bus taikomi IP adresams,
paskirstytiems UK serverio ir gali būti taip, kad IP adresas nepateks į šį adresų gavėjų valstybės
ADA reguliavimo sritį.
Kita problema yra tai, kad on-line aplinkoje ADS arba ADA priežiūros institucijai dažnai yra sunku
nustatyti ADV buvimo ar tuo labiau įsteigimo vietą. Dar daugiau, atsižvelgiant į tai, kad įsteigimo
teisiniai parametrai yra per daug neaiškūs, ypatingai on-line režime, 4 straipsnio 1 dalies c punkto
taikymas tampa labai komplikuotu.
Vienas šios problemos aspektas – laipsnis, kuriuo interneto puslapis pats savaime gali būti
klasifikuotas kaip įsteigimas D prasme. Čia šios problemos detaliau nenagrinėsime. Užtenka
paminėti, kad teisminė praktika šioje srityje yra labai skurdi. Iš pirmo žvilgsnio gali atrodyti, kad
interneto puslapis yra visiškai nesuderinamas su 19 citatos reikalavimu “stabiliam, nuolatiniam
įsikūrimui”. Tuo pačiu, nors gali būti teigiama, kad “efektyvus ir realus veiklos vykdymas” 19
citatos prasme gali būti atliekamas ir per interneto puslapį (bent jau per interaktyvų interneto
puslapį). Dar kitas šios problemos aspektas – VN, kurioje yra įsteigtas ADV, gali nesutapti su VN,
kurioje reziduoja ar yra įsteigtas ADS. Tokiu būdu, spartėjančių AD srautų eroje, ADS gali būti
priversti teisinės gynybos ieškoti užsienio valstybių teismuose.
Be abejo, D rengėjų tikslas buvo išvengti tokių neaiškumų harmonizuojant VN ta ADA srityje, VN
ADA priežiūros tarnybų kooperaciją ir tarpusavio teismų sprendimų pripažinimo ir vykdymo šioje
srityje.
Siekiant išvengti ankstesnių problemų ir užkirsto kelią joms, 4 str. 1 (c) reikėtų interpretuoti kaip
taikytiną dvejoms situacijoms :
• kuomet ADV siekia apeiti ES VN ADA ta reikalavimus perkeliant savo buvimo vietą į
trečiąją valstybę, bet naudoja priemones, esančias ES;
• kuomet ADV, kuris yra įsteigtas trečiojoje valstybėje, pats perduoda AD trečiajai valstybei
tolesniam tokių AD tvarkymui (vėlgi, naudojant priemones, esančias ES).
Pereinant prie antros pagrindinės problemos, ji gali būti sušvelninta jeigu taikytina teisė būtų tos
VN teisė, kurioje reziduoja ADS. Tokia taisyklė būtų paralelinė dabar egzistuojančioms
jurisdikcijos ir taikytinos teisės nustatymo taisyklėms, kurios yra visuotinai pripažintos tarptautiniu
lygiu. Tokiai alternatyvai pritarė daug mokslininkų, ypatingai atsižvelgiant į vartotojų teisių
gynybos teisinį reguliavimą ES.
Svarbu pabrėžti, kad viena iš svarbiausių pasekmių to, kad tai pačiai AD tvarkymo operacijai yra
taikomi daugiau nei vienos VN įstatymai yra tai, kad neišvengiamai kyla kolizija tarp teisių ir
pareigų, kurios tenka AD tvarkymo dalyviams. Veikla, leistina vienoje Vn, gali būti uždrausta
kitoje. Pvz., tvarkymas log bylų be registracijos. ETTm nusprendė, kad namų VN priežiūra turi būti
išskirtinė.
Visgi, kai kurios citatos nurodo, kad VN paliekama “manevrų laisvė”. 9 citata: valstybėms narėms
liks šiek tiek pasirinkimo laisvės, kuria, įgyvendinant šią direktyvą, galės pasinaudoti ir verslo bei
socialiniai partneriai.
Visų pirma, VN ADA reguliavimo skirtumai gali pasireikšti tuo, kad tam tikra veikla yra
draudžiama vienose VN, bet leidžiama kitose. Visų antra, nacionalinės ADA taisyklės gali nustatyti
skirtingus papildomus sunkumus dėl tam tikrų paslaugų teikimo, taikomus vienose VN, bet
netaikomus kitose.
Galimos pasekmės:
Kitas to pavyzdys – paieškos variklių metodai. Pavyzdžiui, Vokietijos Telepaslaugų ADA aktas,
skirtingai nuo kitų VN ADA ta, draudžia apybraižų/dosjė kūrimą, išskyrus atvejus, kuomet yra
laikomasi griežtų reikalavimų. Bendrai paėmus, Vokietijos įstatymai reikalauja, kad tokios
apybraižų/dosjė būtų pseudoniminės. Kadangi tokio reikalavimo nėra kitose VN, skirtumai gali
e-parašas ir jų sertifikavimas yra labai svarbus e-komercijos plėtrai. Šių paslaugų evoliucija VN
taipogi susiduria su ADA reikalavimais. Vokietijos Telepaslaugų ADA aktas numato specialias
nuostatas, taikytinas e-parašams ir AD, reikalingos e-parašų sertifikavimui, rinkimui – AD gali būti
renkama tik tiesiogiai iš konkretaus asmens, išskyrus atvejus, jeigu buvo duotas aiškus sutikimas
rinkimui iš trečiųjų šalių. Kitose VN panašių reikalavimų nėra. Taigi, e-parašų sertifikavimo
naudojimas Vokietijoje bus pavaldus specialiam ADA režimui.
3. Paslaugų teikimo iškraipymas. Tinklo technologija yra labai lanksti ir paslaugų teikėjams
leidžia jų informacijos tvarkymo veiką perkelti į skirtingas VN tokiu būdu atskiras funkcijas
atliekant skirtingose VN. VN ADA ta taikymas konkrečiai paslaugų rūšiai gali, tokiu būdu,
paslaugų teikėjams suteikti paskatinimą perkelti jų veiklą, priklausomai nuo to, kaip jie nori valdyti
ADA. Pavyzdžiui, labai griežtas informacijos, susijusios su ‘identifikuotinu’ asmeniu, aiškinimas
UK ir Vokietijoje reiškia, kad IP yra skatinami perkelti savo adresų serverius į šias VN. Panašiai, e-
mailo adresų ‘šienavimas’ (ang. harvesting) , kuris naudingas prekybos firmoms, turi geras
galimybes išvengti VN ADA ta taikymo (pvz. UK), kur tokia informacija yra laikoma AD tik tuo
atveju, jeigu gavėjas gali protingai atrasti identifikuojantįjį ryšį.
Iš vartotojo požiūrio, tokie paslaugų teikimo iškraipymai sukelia labai daug problemų. Vartotojui
on-line režimo infrastruktūriniai mechanizmai dažnai nežinomi, tačiau tokie dalykai gali turėti
ypatingą svarbą tokio vartotojo ADA lygiui. Tai ypatingai ryšku Belgijos ir Prancūzijos atžvilgiu,
kurios A duomenimis pripažįsta labai platų informacijos spektrą. Tokių VN vartotojai gali nustebti,
sužinoję, kad kitose VN tos pačios informacijos apsaugos lygis yra gerokai žemesnis.
Direktyvos įgyvendinimas
Kaip žinia, ES ir EEA VN atžvilgiu galioja 1968 m. Briuselio, 1988 m. Lugano konvencija. Pagal
LK 5 straipsnio 3 dalį, valstybės, kurioje žala buvo padaryta ar kurioje kilos jos pasekmės, teismai
yra kompetentingi nagrinėti bylą, kylančią iš žalos padarymo (lex locus delicti commissi). Jeigu
ADV nesilaiko ADA ta, ko pasėkoje AI tampa prieinama trečiosioms šalims, kyla klausimas – kur
būtent atsirado žala – ar tai ADV įsisteigimo valstybė, ar trečiosios šalies įsisteigimo valstybė, ar
valstybė, kurioje ir buvo atliekamas AD tvarkymas? Pagal ES D galima manyti, kad ADV
įsisteigimo vietos valstybės teismas bus visuomet kompetentingas nagrinėti bylą, kylančią iš žalos
padarymo. Jeigu tokiai valstybei netaikytina ES D, kyla neaiškumų. Tačiau netgi pagal ES D, kitos
valstybės teismai taipogi gali turėti jurisdikciją – būtent valstybės, kurioje kilo žalingos pasekmės.
Svarbiausia ETTM byla šioje srityje – Shevill et al V. Presse Alliance SA (1995 ). Vienas laikraštis
paskelbė, kad jauna moteris, F.Shevill, užsiiminėjo narkotikų prekyba. Ms Shevill buvo UK pilietė,
gyvenanti Anglijoje, o pats laikraštis buvo leidžiamas Prancūzijoje, tačiau platinamas tarptautiniu
mastu. Nustatyta, kad apie 230 kopijų buvo parduota Anglijoje ir Velse, o Yokshire, kur gyveno Ms
Shevill – 15 egzempliorių. Anglijos Aukštasis teismas kreipėsi į ETTM dėl šio nuomonės. ETTm
nurodė, kad žala pasireiškė būtent Yokshire, kur gyveno Ms Shevill, ners būtent čia ją žinojo,
būtent čia jos apšmeižimas turėjo neigiamas pasekmes.
Tradicinis lex locus delicti commissi turi minusą – jis suriša veiksmą, sąlygojantį žalą ir konkrečią
teritoriją. Tai yra labai sunku nustatyti OL aplinkoje.
66
Įžanginė citata Nr. 66.
Įžanga
Telekomunikacijos – viena iš pagrindinių sričių, kur EB gali ir turėtų plėtoti bendrąją rinką.
Akivaizdžiai svarbu, kad ši bendroji rinka nebūtų suvaržyta ir jos veikimas nebūtų apsunkintas
įvairių nacionalinių teisės aktų bei kitokių priemonių ADA srityje. Taigi, procesas, kuris buvo
pradėtas priimant ADA direktyvą, pratęstas priimant ES D 97/66/EC Dėl asmenų privatumo
apsaugos telekomunikacijų sektoriuje. Šios Direktyvos įžanginės citatos nurodo, kad D pagrindinis
tikslas – suharmonizuoti VN įstatymų leidybą, siekiant užtikrinti ekvivalentišką fundamentalių
žmogaus teisių ir laisvių apsaugą, ir ypatingai – žmogaus teisę į privatumo apsaugą
telekomunikacijų srityje ir užtikrinti laisvą tokių asmens duomenų bei telekomunikacinių
technologijų judėjimą EB vidaus rinkoje69. Direktyvos įžanginėje dalyje paminima daugybė EB
67
Murray, p. 270.
68
[1997] 24 EHRR 523.
69
Direktyvos 1 straipsnis.
"<…> Taryba savo 1988 m. birželio 30 d. rezoliucijoje dėl bendrosios rinkos raidos
telekomunikacijų paslaugoms ir įrangai73 iki 1992 m. ragino priimti atitinkamas priemones asmens
duomenų apsaugai siekiant sukurti tinkamą aplinką ateities telekomunikacijų vystymuisi EB;
Taryba dar kartą pabrėžė asmens duomenų apsaugos svarbą ir reikšmę savo 1989 m. liepos 18 d.
rezoliucijoje dėl ISDN įdiegimo EB vidaus rinkoje koordinavimo stiprinimo74".
Kaip ir bendroji Direktyva 95/46, šia D stengiamasi subalansuoti vidaus rinkos poreikius ir individo
teisę į privatumo apsaugą. D siekiama detalizuoti ir papildyti bendrosios direktyvos nuostatas. Jos
nuostatos taipogi skirtos suteikti apsaugą abonentams – juridiniams asmenims75. Kaip ir bendroji D,
ji numato visą eilę išimčių, sričių, kurioms jos nuostatos nėra taikomos – valstybės veiklai ir
veiklai, kuri nepatenka ir EB teisės sferą - kaip antai – veiklai, numatytai ES Sutarties V ir VI
dalyse, taip pat kai atliekamos duomenų tvarkymo operacijos, susijusios su visuomenės saugumu ir
gynyba, su valstybės saugumu (taip pat ir valstybės ekonomine gerove, kai tvarkymas susijęs su
valstybės saugumu) ir su valstybės veiksmais baudžiamosios teisės srityje76. D taikoma AD
tvarkymo operacijoms susijusioms su viešai prieinamų telekomunikacinių paslaugų teikimu EB.
Konkrečiai imant ji taikoma ISDN ir viešiesiems skaitmeniniams mobiliesiems tinklams77.
Nuostatos, skirtos integruoti šios D nuostatas su bendrąja ADA D yra įtvirtintos 14 straipsnyje –
VN gali priimti nacionalinius teisės aktus apribojančius 5 str. (saugumas), 6 (sąskaitos) ir 8(1), (2),
(3) ir (4) (skaitmeniniai tinklai) taikymą, kuomet tai būtina siekiant apsaugoti nacionalinį saugumą,
gynybą, visuomenės saugumą, nusikaltimų ar neteisėto telekomunikacijų tinklų panaudojimo
prevenciją, tyrimą, kaip tai numatyta ADA D 13(1) straipsnyje (išimtys). ADA D III skyrius,
nustatantis teismines priemones, atsakomybę ir sankcijas, bus taikomas nacionalinėms priemonėms,
priimtoms pagal šios direktyvos reikalavimus. ADA Darbo Grupė, įsteigta pagal ADA D 29
straipsnį, turi įgaliojimus ir šios direktyvos atžvilgiu78. Galiausiai, 11 įžanginė citata nurodo, kad
70
1 įžanginė citata.
71
3 įžanginė citata.
72
4 įžanginė citata.
73
[1989] OJ C257/1.
74
[1989] OJ C196/4.
75
1(2) straipsnis.
76
1(3) straipsnis.
77
3(1) straipsnis.
78
14(3) straipsnis.
Apibrėžimai
Ši direktyva – aiški ir neabejotina bendrosios Direktyvos dukterinė atšaka. Pagal jos 2 straipsnį, jos
nustatomos sąvokų definicijos yra papildomos toms, kurios jau yra nustatytos bendrosios
direktyvos. Direktyva pateikia šias sąvokas: "abonentas", "naudotojas", "bendrasis (viešasis)
telekomunikacijų tinklas", "telekomunikacijų paslaugos".
Saugumas
Telekomunikacinių paslaugų teikėjas privalo užtikrinti jo tinklų saugumą ir jeigu jam tampa žinoma
kokia nors potenciali saugumo pažeidimo grėsmė ar pavojus, jis apie tai nedelsiant privalo
informuoti abonentus. 4 straipsnis įtvirtina paslaugų teikėjo pareigą imtis tinkamų techninių ir
organizacinių priemonių, kad užtikrintų savo teikiamų paslaugų saugumą, jei reikia, drauge su
bendrųjų (viešųjų) telekomunikacijų tinklų operatoriumi, kad būtų užtikrintas tinko saugumas.
Atsižvelgiant į jų lygį ir įgyvendinimo kainą, šios priemonės turi užtikrinti saugumo lygį, atitinkantį
realią grėsmę.
Direktyvos 5 straipsnis skirtas ryšio konfidencialumui garantuoti. Pagal jį VN turi užtikrinti
nacionalinėse reguliavimo priemonėse ryšio bendraisiais telekomunikacijų tinklais ir bendrųjų
telekomunikacijų tinklų paslaugų konfidencialumą. Šios nuostatos nėra taikomos patiems
naudotojams, kadangi jie gali įrašinėti savo pačių pokalbių. Be abejo, VN institucijos turi teisę sekti
pokalbius, jeigu jos tam yra teisėtai įgaliotos pagal 14(1) straipsnį. Šios nuostatos neįtakos bet
kokio teisėto komunikacijų įrašinėjimo teisėto verslo vykdymo eigoje komercinio kontrakto
įrodymų pateikimo ar kitais tikslais79. Taigi, telefoninių pardavimų operacijos, kurios įrašinėja juos
pasiekusių skambučių turinį, yra leistinos.
Individuali detalizuota sąskaita gali būti panaudota siekiant išgauti asmeninės informacijos apie
konkretų individą. Konkrečiau - detalizuota sąskaita gali būti panaudota atskleisti ir surinkti tokiai
informacijai – kada asmuo yra namie, kas yra jų draugai ar pažįstami, todėl pagal šią Direktyvą
abonentai turi teisę gauti nedetalizuotas sąskaitas80. D pabrėžiama, kad detalizuotų sąskaitų
įdiegimas labai pagerino ir palengvino sąlygas abonentams tikrinti gautų sąskaitų teisingumą ir
tikslumą. Kita vertus D pripažįsta, jog jų naudojimas gali kėsintis į privačių abonentų privatumą.
Todėl, siekiant išsaugoti naudotojo privatumą, VN turi skatinti telekomunikacinių paslaugų
pasirinkimo vystymąsi – tokių kaip alternatyvių mokėjimo priemonių, kurios įgalina anonimišką
arba griežtai privatų priėjimą prie viešai prieinamų telekomunikacijų tinklų. Tokie pavyzdžiai –
telefono kortelės, kreditinės kortelės. VN taipogi gali reikalauti, kad iš detalizuotų sąskaitų būtų
ištrinti tam tikri skaičiai telefono numerių, kuriems buvo skambinta81.
Telekomunikacijų kompanijos sukaupia milžiniškus informacijos, reikalingos išrašyti
sąskaitas savo klientams, kiekius. Aišku, tokios kompanijos tokią informaciją turi tvarkyti ir
79
5(2) straipsnis.
80
7 straipsnis.
81
18 įžanginė citata.
"Abonentų apmokestinimo (sąskaitų išrašymo) tikslais ir dėl tinklų sujungimo mokėjimų pateikiami
duomenys, nurodyti priede, gali būti apdorojami. Toks apdorojimas leidžiamas tik iki pabaigos
laikotarpio, per kurį gali būti teisėtai pateikiamos sąskaitos ar reikalaujama apmokėjimo. Savo
teikiamų telekomunikacijų paslaugų rinkodaros tikslams bendrųjų telekomunikacijų paslaugų
teikėjai gali apdoroti duomenis, nurodytus priede, jeigu abonentas yra davęs savo sutikimą".
Direktyva griežtai reikalauja, kad srauto ir sąskaitų duomenys būtų tvarkomi tik asmenų, kurie yra
kontroliuojami, pavaldūs bendrųjų telekomunikacijų paslaugų teikėjams83. Alternatyviai, viešai
prieinamos telekomunikacijų valdymo paslaugos, tokios kaip billing ar srauto duomenų valdymas,
vartotojų paklausimai, apgaulės išaiškinimas arba bendrųjų telekomunikacijų paslaugų teikėjų
paslaugų reklamavimas visuomet susijęs su asmeninės informacijos, duomenų rinkimu ir tvarkymu.
Vis dėlto, toks duomenų tvarkymas turi būti apribotas tuo, kas yra griežtai būtina tokių paslaugų
teikimui84. Bet kokiu atveju, esant reikalui, kompetentingoms institucijoms turi būti pranešta apie
sąskaitų ir srauto duomenis. Valstybės narės privalo taikyti nacionalines teisės normas, siekiant
sutaikinti, suderinti abonentų teisę gauti detalizuotas sąskaitas su skambinančiųjų naudotojų ir
skambučių adresatų teise į privatumą, užtikrinant, kad tokiems naudotojams ar abonentams
prieinamos pakankamos ryšio alternatyvos85.
82
6(1) straipsnis.
83
17 įžanginė citata.
84
6(4) straipsnis.
85
7(2) straipsnis.
86
14 įžanginė citata.
87
3(3) straipsnis.
88
19 įžanginė citata.
Direktyva pabrėžia, kad telefonų direktorijos yra labai plačiai paplitę. Tai – labai vertingas
informacijos šaltinis tiesioginės rinkodaros kompanijoms. Tai ypatingai pasakytina apie Europos
kontinentą. EB visais atžvilgiais tapus vieninga ir bendra rinka, tiesioginės rinkodaros kompanijos
svajoja apie unifikuotą, bendrą visos EB telefonų direktoriją. Vis dėlto, tokios direktorijos
sukūrimas gali sukelti netgi teisminių ginčų, pvz., JAV buvo nagrinėjama byla Feist Publication
Inc. v. Rural Telephone Services Co. [1991]92, kurioje pareiškėjai nukopijavo atsakovų telefono
knygos (direktorijos) turinį siekiant sukurti didžiulę telefonų direktoriją, apimančią visą Kanzaso
valstiją. Direktyvos požiūriu – fizinių asmenų teisė į privatumą ir teisėti juridinių asmenų interesai
reikalauja, kad abonentams būti suteikta galimybė patiems nuspręsti, kokios apimties informacija
apie juos gali būti patalpinta, įtraukta į viešas telefonų direktorijas. VN šią teisę gali suteikti tik
fiziniams asmenims93. Asmeninė informacija spausdintame arba elektroniniame telefonų
direktorijos formate, kuri yra viešai prieinama (arba prieinama užklausos būdu) turi būti apribota iki
tiek, kiek yra būtina identifikuoti konkretų abonentą, išskyrus jeigu abonentas yra davęs savo
nedviprasmišką sutikimą dėl papildomos asmeninės informacijos publikavimo, paviešinimo.
Abonentas turi teisę nemokamai savo prašymu būti pašalintas iš viešai prieinamos telefonų
direktorijos. Abonentas taip pat turi teisę reikalauti, kad jo nurodyta asmeninė informacija nebūtų
naudojama tiesioginės rinkodaros tikslais, kad nebūtų nurodytas jo adresas ar lytis, jeigu ją galima
89
19 įžanginė citata.
90
8(2) straipsnis.
91
8(4) straipsnis.
92
20 I.P.R. 129. Taip pat žr. Murray, p. 278.
93
Įžanginė citata 21.
Direktyvos pozicija nepageidaujamų skambučių atžvilgiu yra griežta. Ji imperatyviai reikalauja, kad
būtų įdiegtos saugumo priemonės, užtikrinančios apsaugą nuo sutrukdymų, kuriuos gali sukelti
neprašyti automatiniai skambučiai. Tokiu atveju turi būti sudaryta galimybė užblokuoti tokius
skambučius paprastu abonento prašymu bendrųjų telekomunikacinių paslaugų teikėjui95. Įžanginėje
citatoje Nr. 22 imperatyviai reikalaujama, kad būtų užkirtas kelias abonentų privatumo teisės
pažeidimams, pasireiškiantiems nepageidaujamų skambučių gavimu. Įdomu tai, kad Direktyvos
prasme draudžiami automatiniai skambučių nukreipimai (ang. automated forwardings), tačiau pati
Direktyva nepaaiškina, kuo automatinis perskambinimas blogesnis už nepageidaujamus
skambučius, padarytus žmogaus (tragiškai suformulavau). Šiuo požiūriu šios Direktyvos nuostatos
gali būti palygintos su bendrosios Direktyvos automatinių sprendimų traktavimu. Šių nuostatų
motyvacija – bent tokiu būdu pažaboti Europos nedarbą96. Direktyva taip pat įtvirtina aiškią poziciją
skambučių, padaromų tiesioginio marketingo tikslais, atžvilgiu. VN privalo imtis atitinkamų
priemonių siekiant užtikrinti, kad būtų draudžiami nemokami skambučiai tiesioginio marketingo
tikslais be konkretaus abonento sutikimo (opt in) arba tų abonentų atžvilgiu, kurie yra aiškiai
išreiškę nenorą gauti tokius skambučius (opt out). Vn pačios turi pasirinkti tarp opt in sistemos ir
opt out sistemos.
Pažymėtina, kad pagal nuotolinio pardavimo direktyvą (distance selling) telefono
komunikacijų atveju kiekvieno pokalbio su vartotoju pradžioje turi būti aiškiai atskleista paslaugų
teikėjo tapatybė ir komercinis skambučio pobūdis. Pagal nuotolinio pardavimo direktyvos 10
straipsnį turi būti gautas išankstinis vartotojo sutikimas kai naudojamas automatinis skambinimo
mechanizmas (be žmogaus intervencijos) arba fakso aparatas.
Įranga
Įgyvendinimas
94
Direktyvos 11(1) straipsnis.
95
20 įžanginė citata.
96
1998 m. sausio 1 d. nedarbo lygis buvo aukščiausias nuo pat antrojo pasaulinio karo laikų. The Economist, January
16, 1998.
Teisėtas pasiklausymas
Tai itin reikšminga nusikaltimų tyrimų ir nacionalinių interesų (konkrečiai imant – nacionalinio
saugumo) gynybos bei apsaugos priemonė. Tačiau šiuo požiūriu būtina gerbti individų teises ir
laisves. Tačiau asmens teisės į privatumą apsauga, sudėtingėjant technologijai, darosi vis sunkesniu
uždaviniu. Tarybos rezoliucija dėl teisėtų intercepcijų telekomunikacijų srityje97, priimta 1995 m.
turėjo tikslą identifikuoti ir išspręsti šiuos sunkumus. Ši Tarybos rezoliucija nustato, kad Tarybos
nustatyti reikalavimai teisėtam pasiklausymui yra priemonių, kurias turėtų įgyvendinti valstybių
narių vyriausybės, pavyzdinis sąrašas.
Šiuo metu rengiama nauja Tarybos rezoliucija dėl teisėto pasiklausymo telekomunikacijų
srityje ryšium su naujosiomis technologijomis98. Šios rezoliucijos nuostatos taikytinos tiek satelitui,
tiek ir interneto telekomunikacijoms.
Reikalavimai
97
Council Resolution of January 17, 1995.
98
Brussels, March 15, 1999. http://www.fipr.org/polarch/enfopol19.html.
99
Murray, p. 282.
Duomenų apsaugos precedentinė teisė (case law) tarptautiniu mastu neegzistuoja. Europos
Teisingumo Teismas pateikė informaciją apie ne daugiau nei pustuzinį privatumo pažeidimo bylų
ES įstatymų lygyje. Vokietijos teismai priėmė gerokai daugiau nei 100 nuosprendžių. Daugumoje
kitų Europos šalių dauguma ginčų buvo sprendžiami administraciniame lygyje (pvz. Austrijoje,
Švedijoje, Jungtinėje Karalystėje). Bendrai imant, daug asmens apsaugos ginčų buvo išspręsta
neteismine tvarka.
Precedentinės teisės nebuvimas ar jos atsiradimas nėra susijęs su Duomenų apsaugos įstatymo
svarba ar pažeidimų nebuvimu. Duomenų apsaugos problemų sprendimo teismuose tradicija ES
valstybėse narėse skiriasi. Be to, kišimasis į asmeninį gyvenimą retai kada baigiasi finansiniais
nuostoliais, taigi apie kompensaciją nėra ko ir kalbėti. Nematerialios nuosavybės teisių (pvz. teisė į
apsisprendimą; asmeninė garbė) pažeidimus nustatyti sudėtinga, todėl precedentinė teisė atspindi tik
kai kurias potencialaus konflikto sritis.
Vyriškos lyties asmuo kreipėsi dėl priėmimo į darbą ES Komisijos tarnybose. Paklaustas ar sutinka
atlikti AIDS testą, jis atsakė neigiamai. Nepaisant to, jam buvo atliktas limfocitų testas T4/T8, kuris
parodė, jog yra įtarimas, kad jis serga AIDS, tačiau aiškaus ligos patvirtinimo nebuvo. Šio įtarimo
pagrindu Komisija atsisakė priimti jį į darbą.
Europos teisingumo teismas rėmėsi Europos Žmogaus Teisių Konvencijos 8 str. (+), suteikiančiu
teisę į asmeninį gyvenimą. Europos Konvencija paminėta ES sutartyje (Amsterdamo variantas) 6
str., ir, kadangi Europos Konstitucija neegzistuoja, Europos Konvencijos 8 straipsnį Teismas
įvertino kaip pagrindinę laisvę, ginamą Bendrijos įstatymais. Būtent šiame akte nustatyta teisė
laikyti paslaptyje asmens sveikatos būklę, o išimtys leidžiamos tik kai visuomenės gerovei kyla
pavojus.
Europos teisingumo teismas priėmė sprendimą, kad versti prašantįjį subjektą atlikti medicininį testą
prieš jo valią yra neteisėta, tačiau Bendrija neprivalo prisiimti rizikos, atsirandančios atsisakius
atlikti tokį testą.
1999 m. (C-223/98 1999 m. spalio 24 d.) Europos teisingumo Teismas nusprendė, kad 1994 m.
gruodžio 22 d. Tarybos Potvarkis (EB) Nr. 3295/94 “Dėl priemonių piratinių prekių ir
nesankcionuotų kopijų perdavimo į laisvą rinką keliui užkirsti” prieštarauja Švedijos paslapčių
saugojimo įstatymui, pagal kurį asmeninė ar ekonominio pobūdžio informacija, susijusi su
asmenimis ir gauta atliekant muitinės procedūras, neturi būti atskleista.
Byla Teisme buvo iškelta Švedijos Muitinės pareigūnams atsisakius išduoti piratinių prekių su
“Adidas” prekės ženklu, kurio savininkas yra Vokietijos įmonė Adidas AG, gavėjų pavardes ir
adresus.
Teismas priėmė sprendimą, kad prekybinio ženklo savininko interesai yra svarbesni nei asmens
interesai sustabdyti asmens duomenų teikimą. Pagal EK 10 straipsnį, EB potvarkis turi pirmenybę
prieš nacionalinius įstatymus. Nuoroda į nacionalinius įstatymus EB potvarkio cituojamame 6 str. 1
punkte, liečianti asmens duomenų apsaugą, nereiškia, kad nacionaliniai įstatymai gali trukdyti EB
potvarkių taikymui. Nacionaliniai asmens duomenų įstatymai ribojami tik tiek, kiek taikoma
nuosavybės teisė pagal EB įstatymus. Asmenų apsauga užtikrinama remiantis atitinkamu EB
potvarkiu, kuris numato prekių gavėjų apsaugojimą nuo materialinės žalos, kylančios pateikus jų
vardus teisminio tyrimo tikslams.
Europos teisingumo Teismas nesiremia Duomenų apsaugos direktyva, pagal kurią asmens duomenų
perdavimas trečiai šaliai leidžiamas tada, jei trečia šalis turi teisėtus interesus, kurių neviršija
pagrindinės duomenų subjekto teisės ir laisvės (7 str. (f) EB Duomenų apsaugos direktyva).
Naujasis Švedijos Duomenų apsaugos įstatymas, įgyvendinantis EB direktyvą, numato nuostatą,
panašią į EB Duomenų apsaugos direktyvos 7 str. (f). teiginys, jog pavardžių išdavimas, pažeidus
intelektinės nuosavybės teises, pažeidžia duomenų subjekto pagrindines teises ir laisves nėra
pakankamai pagrįstas.
Taigi, konkreti nuostata Švedijos muitinių įstatyme, draudžianti pavardžių atskleidimą, faktiškai
prieštarauja Švedijos Duomenų apsaugos įstatymui. Švedijos Teismui nebereikėjo perduoti šio
klausimo Europos Teisingumo teismui, kadangi perkelta EB direktyva yra viršesnė už Švedijos
Muitinės paslapčių saugojimo įstatymą (Sekretesslag 1980).
Aukščiausias Konstitucinis Teismas nutarė, kad milžiniško kiekio gyventojų surašymo asmens
duomenų rinkimas ir tvarkymas yra neteisėtas ir prieštarauja Konstitucijai. Žmogaus orumas (1 str.
1GG p.) ir asmeninės laisvės teisė (2 str. 2 p.) laikomi pažeistais, jei asmuo nežino kas, kokiems
tikslams bei kokius jo duomenis tvarko. Be to, Teismas nusprendė, kad būtent asmens duomenų
kaupimas yra Konstitucijos pažeidimas. Priėmus šį sprendimą “teisė į informacinį apsisprendimą”
laikoma asmeninės laisvės ir asmenybės dalimi.
Milijonai jau atspausdintų gyventojų surašymo anketų buvo sunaikintos. Ši gyventojų surašymo
byla tapo kertiniu akmeniu Duomenų apsaugos teisės istorijoje Vokietijoje.
1988 m. automobilių gamintojas Fiat, esantis Torino, Italija, pareikalavo visų vadovaujančių
darbuotojų asmens duomenų iš Fiat filialo Prancūzijoje. Prancūzija jau buvo priėmusi Duomenų
apsaugos įstatymą, Italija - ne. Italija net iki dabar nepriėmė Europos Tarybos 1980 m. Duomenų
apsaugos Konvencijos. EB direktyva dar nebuvo įsigaliojusi.
Prancūzijos duomenų inspekcijos Komisija pareikalavo, kad Fiat Italija padarytų raštišką
pareiškimą, kad duomenų perdavimą reglamentuos Prancūzijos duomenų apsaugos įstatymas ir
Europos Tarybos konvencija.
Šiandien šio ginčo sprendimas nebūtų sudėtingas. Perkėlus EB Duomenų apsaugos direktyvą Italija,
remiantis EB Duomenų apsaugos direktyvos 1 str.Nr. 2, galėtų pareikalauti duomenų perdavimo,
kadangi Prancūzija neturėtų teisės riboti ar uždrausti perdavimo nevienodų duomenų apsaugos
standartų pagrindu. Jei pagrindinė ir dukterinė įmonės yra Europos Sąjungos viduje, sutarties tarp jų
nebereikia.
Schufa byla buvo nagrinėjama Vokietijos Federaliniame Civiliniame Teisme, sprendžiant klausimą
ar brokeris, kurio asmens duomenys buvo supainioti su asmens duomenimis žmogaus su tokiu pat
vardu ir pavarde, bei gyvenančiu tame pačiame mieste, gali pretenduoti į nuostolių atlyginimą,
kompensuojamą SCHUFA, ribotos atsakomybės bendrovės, įkurtos visų Vokietijos bankų,
veikiančių kaip bankų tarpusavio balansų suvedimo centras.Bankas pateikė neteisingą informaciją
apie brokerį, pranešdamas jog jis nepatikimas ir turi ekonominių sunkumų. SCHUFA pateikė
klaidingą ataskaitą trečiam bankui jos nepatikrinus.
Federalinis Civilinis Teismas nustatė, kad SCHUFA neprivalo atlyginti brokeriui jo patirtų
nuostolių, kadangi SCHUFA, anot jos pagrindinių sutarčių su bankais,neprivalo tikrinti jai pateiktų
dokumentų teisingumo. Klaidos šaltinis buvo neteisingas asmens duomenų perdavimas iš brokerio
banko į SCHUFA.
Šis sprendimas buvo smarkiai kritikuojamas dėl dviejų priežasčių: teismas atmetė nuostolių
atlyginimą apskritai, kadangi buvęs Vokietijos Duomenų apsaugos įstatymas nenumatė
atsakomybės nuostatos, o bendrųjų Civilinio kodekso nuostatų regreso taisė buvo atmesta. Antroji
priežastis, kad SCHUFA nepatikrino atsiųstų duomenų, buvo nepagrįsta, kadangi bankai ir
SCHUFA nebuvo įpareigoti susitarti dėl nuostolių trečiai šaliai, t.y. brokeriui.
Vokietijos Traukinių kompanija ir New York City Bank susitarė išleisti bendrą geležinkelio
marketingo kortelę, suteikiančią jos savininkui teisę į 50% traukinių bilieto kainos nuolaidą ir VISA
kortelę vienoje kortelėje. Buvo tikimasi, kad 10 milijonų traukinių bilietų pirkėjų gaus bendrą
VISA/traukinių kortelę nemokamai, už VISA kortelę papildomas mokestis nebuvo numatytas. New
York City Bank ir jo dukterinė įmonė VISA pareikalavo tam tikros informacijos iš abonentų: koks
jų pajamų dydis, profesija, darbo sutarties nuostatos, pareigos teikti išlaikymą ir t.t. Šie duomenys
turėjo būti tvarkomi duomenų tvarkymo centruose JAV.
Paaiškėjo, jog tik 15% Vokietijos Traukinių kortelės savininkų pageidavo pasirašyti bendrą
traukinių ir VISA kortelės sutartį, nepaisant to, kad VISA kortelė buvo nemokama, bei to fakto, kad
New York City Bank buvo pasiruošęs taikyti Vokietijos Duomenų apsaugos įstatymą Jungtinėse
Valstijose.
Šiuo metu rinkos tyrimo sutartis dėl bendros traukinių/VISA kortelės yra nutraukta, nes naujų rinkų
paieška nuvylė į ją įsitraukusias įmones.
5.7. Lufthansa/VISA/VIAG
Lufthansa išleidžia kortelę, kurioje apjungtos kredito kortelė, lėktuvo bilietų rezervavimas ir
telekomunikacinės priemonės. Bet koks vieno EURO vertės pirkinys užskaitomas kaip vadinamasis
“premijinis taškas”. Jungtinės kortelės savininkas renka premijinius taškus, pirkdamas Lufthansa
lėktuvo bilietą, prekes VISA kortele ar skambindamas telefonu naudodamasis VIAG paslaugomis.
Premijinių taškų savininkai, surinkę tam tikrą taškų skaičių (šiuo metu 25 000) įgauna teisę į
nemokamus Lufthansos skrydžius.
Bendradarbiavimas ir kooperavimasis tarp VN tam tikrose srityse (Home and Justice Affairs
ir pan.) gali būti pasiekitas ir efektyviai įgyvendintas tik apsikeičiant informacija ir duomenimis.
• EUROPOL;
• MUITININĖS ĮSTAIGŲ SUSITARIMAI;
AD ir e-komercija.
Nėra unifikuoto ir visuotinai pripažinto ek apibrėžimo. Ek yra daug daugiau nei vien tik prekių ir
paslaugų pirkimas ir pardavimas internetu. Iš esmės ji apima bet kokią komercinę transakciją
atliktą elektroniniu būdu – elektroninėmis priemonėmis, elektroninėje aplinkoje ir pan.
Įvairių šaltinių pateikiami ek apibrėžimai labai skiriasi. Vieni į ek sąvoką įtraukia visas finansines ir
komercines transakcijas, kurios yra atliekamos elektroniškai, įtraukiant visas kreditinių/debitinių
kortelių transakcijas. Kiti ek apriboja mažmenine prekyba vartotojams, kurių atžvilgiu sandoris ir
mokėjimas vyksta atviruosiuose tinkluose, pvz. internete. Pirmasis apibrėžimas taikomas ek, kuri
egzistuoja jau ne pirmą dešimtmetį. Antrasis – tik ek, kuri gyvuoja vos kelis metus. Visgi,
manyčiau, kad pirmasis – platesnis apibrėžimas yra kur kas tikslingesnis ir todėl čia ek vartosiu
būtent šia prasme.
Ek pagrindas yra taip vadinama EDI – Electronic Data Interchange (Elektroninis pasikeitimas
duomenimis). Ši sistema naudojama daugelio ūkinių subjektų sandoriuose su jų tiekėjais. Bet yra
esminiai skirtumai tarp ED ir ek. EDI tėra tarp dviejų šalių: tai yra uždara rinka, o ek kaip tik ir
pasižymi rinkos atvirumu. EDI paprastai yra naudojamas nacionaliniu lygmeniu, tuo tarpu ek iš
prigimties yra globalinė. EDI yra naudojama tik tinklo savininko, o ek – atviras tinklas, prieinamas
kiekvienam.
Ek yra labai sparčiai įsišaknijantis į kompleksinį komercinių veiklų, tarp daugybės dalyvių –
juridinių asmenų ir individų, žinomų ir nežinomų, atliktų globaliniu lygmeniu, tinklą.
1. b2b;
2. b2c;
3. b2public government;
4. c2c;
5. c2public government.
Pačios ek kategorijos – b2b ir b2c ek. Pagrindinė dalis globaliu lygmeniu – būtent b2b.
Ek yra naudinga tiek vartotojams, tiek ir pardavėjams. Pardavėjas gali būti globaliai esantis visur ir
visada, nepriklausomai nuo geografinių sienų ir pan. Vartotojai išlošia iš didesnės pasiūlos ir
pasirinkimo.
Ek ir ADA.
Ek dar tėra vystymosi stadijoje. Pasitikėjimas yra būtina sąlyga ek tolimesnei plėtrai ir vystymuisi.
Ek yra pagrįsta tarpusavio pasitikėjimu ir užtikrintumu. Tai reiškia, kad tiek vartotojas, tiek ir
Yra daug galimų on-line saugumo užtikrinimo būdų – vienas iš tokių – Trusted Third Parties (jų
uždavinys – suteikti garantijas dėl e-kontraktais; jos veikia kaip nepriklausomos trečiosios šalys), e-
parašai, ta pati encryption.
Ada ta gali užtikrinti aukštesnį pasitikėjimo ek laipsnį. ES K sutinka, kad D labai pasitarnaus
padidinant vartotojų pasitikėjimą ek.
Svarbu pažymėti, kad D taikytina tiek b2b, tiek ir b2c. Aišku viena, b2c yra neabejotinai
stimuliuojama, tačiau tam tikros D nuostatos, ypatingai dėl savo neaiškumo ir neapibrėžtumo, šiek
tiek pristabdo b2b ek plėtotę.
2000 m. ADA DG, veikianti D 29 str. pagrindu, parengė savo Nuomonę 1/2000 dėl tam tikrų ADA
aspektų EK. Pagrindinis dėmesys – EM, OL režimui.
Trumpa interneto (INT) istorija. 1973 m. JAV Gynybos Tyrimų Projektų Agentūra (DARPA)
inicijavo tiriamąją programą, siekiant išanalizuoti įvairios paskirties ir rūšies informacijos
tarpusavio susiejimo technikas ir technologijas. Uždavinys – sukurti komunikacijų protokolus, kurie
įgalintų tinkle esančius kompiuterius skaidriai komunikuoti daugybėje susietų tinklų sistemoje. Tai
buvo pavadinta Internetting projektu. Iš čia ir atsirado interneto pavadinimas. Protokolai, sukurti šio
tyrimo metu, įgavo TCP/IP Protocol Suite pavadinimą ir pradžioje buvo sukurti du protokolai: TCP
(Transmission Control Protocol) ir Internet Protocol. 1986 m. JAV Nacionalinis Mokslo Fondas
(NSF) inicijavo NSFNET sukūrimą, kuris šiuo metu yra kertinis interneto komunikacijų elementas.
JAV NASA ir JAV Energetikos Departamentas sukūrė papildomus tinklo funkcionavimo elementus
– NSINET ir ESNET. Europoje – susiformavo NORDUNET. Regioninė parama internetui yra
teikiama įvairių konsorciumų tinklų; lokali – per mokslinio tyrimo/švietimo institucijas. JAV
didžiulė parama atėjo iš valstijų ir federalinės valdžios; bet didžiausias indėlis – iš privačiojo
sektoriaus. Milžiniška parama internetui – iš JAV Federalinės valdžios, nes istoriškai internetas
buvo federaliniu lygmeniu finansuojamas valstybinis mokslinis tiriamasis projektas. 1980 - aisiais
internetas ima apimti ir komercines struktūras. Svarbu pabrėžti, kad internetas nėra kažkoks dalykas
– tai greičiau priemonių/instrumentų rinkinys/sistema.
INT oficialiai (IFTA – JAV Intenet Tax Freedom Act, 1998 m.) apibrėžiamas kaip kompiuterinių ir
telekomunikacinių įrenginių/prietaisų kolektyvinė sankaupa, apimanti įrenginius ir operacinę
programinę įrangą, kuri apima tarpusavyje sujungtą pasaulinį tinklą, naudojantį ir veikiantį
Transmission Control Protocol/Internet Protocol pagrindu (arba bet kokių kitų vėlesnių ar
ankstesnių protokolų), įgalinančių komunikuoti bet kokios prigimties ir rūšies informaciją.
Kitas INT apibrėžimas – atviras tarptautinis kompiuterinis tinklas. Tai didžiulis ir atviras
tarptautinis kompiuterinis tinklas, susidedantis iš daugybės tūkstančių tinklų, aprėpiančių visą
pasaulį. Komunikacijos INT atliekamos būtent jau minėtųjų Transmission Control
Protocol/Internet Protocol pagalba. INT yra siūloma keletas paslaugų: duomenų failų perdavimas
(FTP), e-mailas, WWW ir pan.
Kaip matyti, šiame apibrėžime yra du svarbūs komponentai – atviras kompiuterinis tinklas ir
komunikaciniai protokolai, vartojami į tinklą sujungtų kompiuterių. Atviras kompiuterinis tinklas
nėra apribotas nei geografiškai, nei laike. Tai iš esmės – pasaulinis tinklas, susidedantis iš
smulkesnių tinklų.
Šiuo metu INT apima kažkur apie 150 000 individualių labai įvairaus dydžio tinklų ir yra
naudojamas apie 310 mln. individų visame pasaulyje. Šie skaičiai dabar jau gali būti pasenę
(2000 03 10 d.).
Šiuo metu yra 5 milijonus komercinių tinklapių, apie 3 mln. – vyriausybinių organizacijų, kitų –
edukacinių, komunikacinių, karinių, organizacinių – po 1,5 mln. (aišku tik apytiksliai ir nevienodai
pasiskirsčius).
Be abejo, šis apibrėžimas yra daugiau techninis, o ne juridinis. Pagrindiniai INT požymiai:
Pagal šiuo metu parengtą LR E-prekybos įstatymo projektą, tai yra vadinama tiesioginės kreipties
režimu – darbo kompiuteriniame tinkle būdas, kai pirkėjas iš savo kompiuterio siunčia elektroninius
duomenų pranešimus į tinkle esantį pardavėjo ar elektroninės prekybos tarpininko kompiuterį,
kuris iš karto apdoroja užklausą ir automatiškai atsiunčia pirkėjui atsakomąjį elektroninį duomenų
pranešimą.
Atsižvelgiant į INT apibrėžimą, INT gali pasiūlyti keltą paslaugų – File Transfer Protocol, e-mailą
(EM), WWW. Plačiausiai paplitusios INT paslaugos – būtent EM ir www. INT yra naudojamas
komerciniais tikslais persiunčiant I bitus iš vieno kompiuterio į kitą(us). Šiam tikslui paslaugos
buvo sukonfigūruotos taip, kad INT galėtų būti perduodami būtent skaitmeniniai
www apima daugybę tinklapių, kurie yra tarpusavyje sujungti naudojant hypertekstą, įgalinantį
judėti iš vieno puslapio į kitą. Tinklapis gali apimti didelę multi-media įvairovę. Tinklapiai
sukuriami naudojant HTML kalbą. www susideda iš serverių, kompiuterių, kurie aptarnauja,
palaiko tinklapius.
FTP – INT paslauga, TCP/IP pagalba įgalinanti pasiekti failus ir katalogus, esančius serveryje.
Jeigu vartotojas yra prisijungęs prie ftp-serverio, jis gali prieiti ir persisiųsti failus ir katalogus į abi
puses. Ši paslauga svarbi iš INT parsisiunčiant s-produktus.
Dar viena INT paslauga – INT real time paslauga, įgalinanti žmones komunikuoti vienu metu tiek
balsu, tiek ir raštu. Santykyje su ek, ši paslauga gali būti naudojama dviem būdais. Pirma, nustatant
komunikacijas tarp pardavėjo ir pirkėjo. Antra, prieiti prie informacijos iš TV ar radijo stoties
tiesiogiai, OL.
www – ko gero geriausia žinoma INT paslauga. Labai paplitusi klaidinga nuomonė, kad WWW yra
tinklas. Bet tai nėra tinklas. Tai tėra paslauga. Ši paslauga naudojasi dviem technologijomis – HTTP
ir HTML (Hyper Text Markup Language). Šios dvi technologijos yra skirtingos ir atskiros. HTTP –
protokolas, įgalinantis vartotojų naršykles (programines įrangas) išsikviesti ir užsiprašyti
dokumentų ar kitų išteklių, kuriuos pateikia tinklo serveris. HTML yra tekstinė kalba, kuri vartotojo
naršyklei nurodo, kaip parodyti ar atkurti įvairius tinklapio elementus. Hypertekstas – terminas,
vartojamas apibrėžti informacinį ‘puslapį’ (tinklapį), kuris gali apimti ir media informaciją, ne tik
įprastą tekstą – video, audio, grafinius vaizdus ir pan. Jis taip pat gali nurodyti į kitus tinklapius,
failus. Vartotojas naršo po tuos puslapius paprasčiausiai spustelėdamas tuos linkus – nuorodas.
Yra du pagrindiniai būdai – per ISP – INT Service Provider ir OL Service Providers.
ISP. Tai vartotojui suteikia tiesioginį ryšį su INT. Vartotojo kompiuteris gali pats prisijungti prie
INT, arba gali būti tinklo, kuris yra sujungtas su INT, dalimi. Tai yra tiesioginio pasijungimo
metodas. ISP gali aptarnauti serverius, kurie yra viešai prieinami, arba prieinami tik jo abonentams,
vartotojams, kurie pasijungia per jo linkus.
OL SP. Čia scenarijus visiškai skirtingas. Vartotojas nepasijungia tiesiogiai prie INT, o yra
pajungiamas prie atskiros sistemos. Sistemos operatorius savo vartotojams siūlo įvairias paslaugas –
EM, diskusijų grupes ir pan. Viena iš šitų paslaugų gali būti prijungimas prie INT. Taigi, vartotojas
prie INT prisijungia per OL SP sistemą. Tai gali turėti įdomių pasekmių elk sudarymui.
ES K pranešimai jau 1997 m. – 1998 m. akcentavo on-line aplinkos keliamus pavojus ADA. On-
line (OL) aplinka pasižymi tuo, kad joje yra daugybė veikėjų, labai spartūs struktūros, formos ir
pan. pokyčiai, esminis informacijos tvarkymo decentralizavimu, teritorinių apribojimų nepaisymu ir
pan. Vienintelis apsilankymas internete gali įtraukti keletą tinklalapių, esančių skirtingose VN ar net
trečiosiose valstybėse. OL paslaugų architektūra internete yra tarpkontinentinė. Paieškos varikliai,
‘cookies’, OL shopping, OL atsiskaitymai, log analizė, žaidimai, medicininė diagnozė – tai tik
keletas OL paslaugų pavyzdžių. Jie visi pasižymi potencialia galimybe itin greitai ir efektyviai
rinkti ir platinti AD. Susiduria dvi principinės vertybės – privatumo apsauga ir saugios ir patikimos
asmeninės informacijos poreikis, komercinis masinės piliečių kontrolės/priežiūros poreikis. ADA
yra būtinybė, jeigu siekiama, kad ek įsivyrautų pasitikėjimas ir užtikrintumas. Visgi, OL ypatybės
kelia ypatingų pavojų netgi ir D sukurtai ADA sistemai. Teisingų informacijos tvarkymo principų
įgyvendinimas tampa ypatingai komplikuotas skystoje ir neapibrėžtoje interneto aplinkoje.
Tuo pačiu metu, OL paslaugų techninis ir komercinis vystymuisi keliant rimtus pavojus ADA,
technologinės priemonės įgalina užtikrinti tinkamą ADA lygį ir tuo pačiu – pasitikėjimo ek ir
saugumo OL režime lygį. Komunikacijos, pavyzdžiui, gali būti užkoduotos, siekiant išsaugoti
dalyvių konfidencialumą ir anonimiškumą. Elektroniniai atsiskaitymai gali būti struktūrizuoti
anoniminiu būdu visiškai pašalinant būtinybė rinkti AD. Privatumo preferencijos gali būti
inkorporuotos į interneto naršyklę, kuri, kombinacijoje su tam tikro tinklalapio asmeninės
informacijos praktikos žymėjimu (ang. labelling) ir filtravimu, gali garantuoti aukštą AD pagarbos
laipsnį. Pagrindinai klausimai – laipsnis, kuriuo infrastruktūros įrenginiai sukelia ADA problemas ir
laipsnis, kuriuo ADA gali būti įdiegta OL paslaugų struktūroje/architektūroje.
ADA DG, veikianti D 29 straipsnio pagrindu, nurodė, jog AD, konkrečiai imant – EM adresų,
rinkimas atvirose/viešosiose INT erdvėse ir jų panaudojimas marketingo, reklamos, komerciniais ir
kt. tikslais, pažeidžia ES ADA reikalavimus dėl šių priežasčių:
a) tai gali būti aiškinama kaip neteisingas ir neteisėtas (ang. unfair) AD rinkimas (D 6 str.
1(a));
b) tai prieštarautų AD tvarkymo tikslų principui, nes kaip taisyklė individai savo EM adresus
INT nurodo tam, kad dalyvautų tam tikrose diskusijų forumuose ir pan.;
c) turint omenyje išlaidas, kurios EM atveju tenka gavėjui ir kitus disbalansus, toks žinučių ir
pan. siuntimas EM aiškiai pažeistų interesų balansą, numatytą D 7 str. f punkte.
Svarbu tai, kad EK reguliuojančios ES ta normos negali būti suprantamos kaip pakeičiančios ADA
reikalavimus, todėl bet kokiems EK pasireiškimams yra neabejotinai taikomi D reikalavimai.
Šių naujų rizikų ir pavojų ADA šviesoje – svarbu nors trumpai aptarti VN rengiamas ir esamas
ADA priemones.
• dar kartą patvirtinti, kad EBPO Gairės yra taikytinos bet kokios AD rinkimui ir tvarkymui
naudojamos technologijos atžvilgiu;
• skatinti tuos verslininkus, kurie savo veiklą pritaiko informacijos ir komunikacijų tinklams,
kurie priima tokius techninius sprendimus, kurie garantuotų privačių ADA tokiuose
tinkluose, ir ypatingai – internete;
• skatinti viešąjį švietimą klausimais, susijusiais su ADA ir modernios technologijos
naudojimu;
• pradėti dialogą, įtraukiantį vyriausybes, pramonės šakų atstovus, verslininkus, individualius
vartotojus, ADA institucijas, diskutuoti tendencijas ADA srityje.
Šiame kontekste 1998 m. vasario 16-17 d. buvo suorganizuota Konferencija “Privatumo apsauga
Pasaulinių tinklų visuomenėje”. Svarbus akcentas buvo uždėtas – skatinti privatų sektorių suteikiant
reikšmingą ADA pasauliniuose tinkluose visų pirma efektyviomis savireguliacinėmis priemonėmis.
Konferencijos dalyviai pažymėjo, kad didėjantis pasitikėjimas OL ADA srityje yra esminis b2b
elektroninės komercijos augimo elementas, ir kad EBPO Gairės tebenustato bendras taisykles ir
fundamentalius principus šioje srityje. Buvo taipogi pabrėžta, kad VN turėtų įsipareigoti saugoti ir
ginti individų privatumą sparčiai besiplečiančių tarptautinių tinklų kontekste.
Paprastas naršymas po internetą gali sukurti didelį kiekį informacijos, prieinamos aplankytiems
tinklalapiams, netgi jeigu dauguma tokios informacijos yra reikalinga, siekiant realizuoti interneto
interakciją ir ji iš esmės laikoma nediferencijuotoje formoje. Kuomet yra įeinama į tinklapį, tam
tikra antraštinė informacija (ang. header information) tampa perduodama iš vartotojo kompiuterio į
serverį (kompiuterį, kuris prižiūri, palaiko ir pan. lankomą tinklapį). Tokia informacija (kurios,
ypatingai vartotojo e-mailo adreso atveju, gali visiškai užtekti atsekti varotojo tikrą realų vardą ir
adresą per e-mailo direktoriją) gali apimti:
• vartotojo Interneto protokolo adresą (IP – kiekvienas kompiuteris internete turi unikalų IP
adresą, paprastai išreikštą formoje #.#.#.#, kur # - skaičius nuo 0-255), iš kurio per DNS
(Domeno Vardo Sistema) gali būti nustatytas domeno vardas ir organizacijos, kuri
įregistravimo domeno vardą, pavadinimas ir buvimo vieta,
• pagrindinė informacija apie naršyklę, operacinę sistemą ir vartotojo naudojamą hadwaro
platformą;
• apsilankymo laiką ir datą;
• tinklapio, kuris buvo aplankytas prieš apsilankant šiame, Uniform Resource Locator (URL);
• jeigu buvo naudojamas paieškos variklis konkrečiam tinklapiui rasti, visa užklausų grandinė
gali būti perduota serveriui;
• priklausomai nuo naršyklės, vartotojo e-mailo adresas.
Gerai žinoma, kad du pagrindiniai techniniai komponentai, esantys naršyklėse (Java arba ActiveX)
vienu metu patyrė rimtų anomalijų, kurios sukėlė pavojų AD ir failų, esančių vartotojų
kompiuteriuose, saugumui. Konkrečiau – 2 ir 3 Netscape Navigator versijose saito serveriui buvo
įmanoma pagrobti lankytojų e-mailo adresus jiems apie tai net nežinant. Vėlesnės naršyklių versijos
šią problemą pašalino. Visgi, automatinio AD rinkimo priemonės egzistuoja per IP adresus, kurie
talpina, be kita ko, vartotojo domeno vardą ir jo provaiderį.
AD taip pat galima rinkti prašant užpildyti tam tikras registracijos formas. Jeigu naršyklės nėra
sukonfiguruota tokiu būdu, kad kiekvieną kartą, kai serveris nori paimti informaciją, esančią
naršyklės profilyje, vartotojui pateikiamas pranešimas ‘dialogo dėžutės’ forma, AD perdavimas
vyksta automatiškai, vartotojui apie tai nežinant.
Be abejo, AD dažnai yra atskleidžiami savanoriškai. Daug komercinių tinklapių prašo, kad
vartotojas užpildytų ir saitui pateiktų tam tikras registracijos formas, tam, kad galėtų subscribintis,
prijungti prie diskusijų forumo, teikti pasiūlymus ar užbaigti sandorį. Paprastai reikalaujamos ar
prašomos informacijos tipas gali apimti: vardą, adresą, namų/darbo telefoną, e-mailo adresą. Kartais
renkami duomenys, susiję su amžiumi, lytimi, vedybinį statusą, darbą, pajamas, asmeninius
interesus. Be to, pirkimo formos paprastai reikalauja kredito kortelės numerio, įskaitant jos tipą,
numerį ir galiojimo terminą. Jeigu vartotojas prašomas tinklapiui informaciją nusiųsti e-mailu,
tuomet saitas gali nustatyti vartotojo e-mailo adresą e-mailo headerių pagalba.
‘cookies’ yra maži duomenų paketai, sukuriami interneto puslapio serverio ir laikomi vartotojo
harddiske. Cookies buvo išvystyti siekiant padėti kliento/serverio santykiams ir duomenų rinkimui,
ir gali būti serverio vertinami dabartinio ir vėlesnio apsilankymo tinklapyje metu. Cookies gali būti
naudojami pagreitinti ir palengvinti headerių, clickstream ir savanoriškai atskleistos informacijos
rinkimą, agregaciją ir panaudojimą. Tai padaroma kiekvienam vartotojui suteikiant unikalų kodą ir
saugant šį numerį cookyje. Šis kodas yra ištraukiamas kiekvieną kartą aplankant tą tinklapį. Vėliau
apie vartotoją surinkta informacija gali būti surišta su šiuo unikaliu kodu.
Tokiu būdu, nors pasaulinių tinklų plėtra ir skaitmeninių technologijų vystymasis atnešė daugybę
socialinių ir ekonominių pranašumų ir naudos, tačiau aišku, kad šis procesas didina riziką, kad
asmeninė informacija gali būti renkama ir generuojama automatiškai, renkama, laikoma, susiejama
be paties ADS žinios.
Kai kurie autoriai 1980 m. EBPO Gaires siūlo pritaikyti OL aplinkai ir siūlo įtvirtinti šias
papildomas ADS teises:
• teisė būti neindeksuotam;
• teisė efektyviai koduoti AI;
• teisė reikalauti, kad AI būtų teisingai ir sąžiningai tvarkoma viešosiose infrastruktūrose
užtikrinant, kad asmuo nebūtų neteisėtai nušalintas nuo galimybės dalyvauti ginant savo
teises;
• teisė tikrinti automatinius sprendimus ir teisė suprasti tokius automatinius sprendimus;
• teisė reikalauti, kad būtų atskleistas AI, kurios pagrindu gali būti kuriamas asmens profilis,
rinkimas.
Daugumos siūlomų 1980 m. EBPO Gairių pakeitimų tikslas – AD rinkimą padaryti kiek įmanoma
skaidresniu, visose AI rinkimo, naudojimo ir tvarkymo operacijose suteikiant galimybę dalyvauti ir
pačiam ADS.
Vartotojo anonimiškumo laipsnis gali būti padidintas, apribojant cookių vartojimą, užblokuojant
automatiškai generuojamų AD (header, e-mail header, clickstream) surinkimą, perdavimą. Šios
technologijos vartotojui suteikia galimybę kontroliuoti savo pačių privatumo apsaugos lygį.
a) Cookies valdymas.
C yra internetinis mechanizmas, kuris įgalina saito rengėjams tam tikrą informaciją patalpinti paties
vartotojo kompiuteryje. Pavyzdžiui, cookyje gali būti patalpintas vartotojo užsakymas, ir tame
tinklapyje vartotojui apsilankius antrą kartą, serveris automatiškai pasiima vartotojo cookyje esantį
užsakymą. Tai – HTTP (Hypertext Transport Protocol) instrumentas, naudojamas internete ir www.
Šioje kliento/serverio aplinkoje c visuomet įgalina serverį tiek tam tikrą informaciją patalpinti
vartotojo kompe, tiek ją ir išgauti. Beje, cookiai taipogi naudojami ir intranete (vietiniuose
tinkluose). Jų pagalba galima automatiškai identifikuoti vartotoją, tokiu būdu visiškai pašalinant
būtinybę kliento tapatumu įsitikinti priregistravimo (login/password) pagalba ir pan. bėda ta, kad
kaip taisyklė, cookiai vartotojo kompiuteryje yra patalpinami net pačiam vartotojui apie tai
nežinant. Taigi, visai natūralu, kad cookiai informacinėje visuomenėje kelia nemenką žmonių
susirūpinimą. Pvz., vartotojui yra pasiūloma suskurti savo profile – dosjė, kurios pagalba serveris
pasiūlo vartotojo poreikius ir pomėgius atitinkančius sprendimus (pirkimo ir pan.). Jeigu asmuo
pasirenka tokia dosjė nesinaudoti (nenori įsisprausti į tam tikrus rėmus: kainos, dydžių, markių ir
pan.), jis įvairius pasiūlymus skenuoja pats individualiai, be serverio pagalbos. Tokiu būdu asmuo
leidžia suprasti, kad jis pasirenka anonimiško naršymo modelį. Asmenys dažnai labai jautriai
reaguoja į bet kokį išorinį nesankcionuotą įsikišimą į jų privačias valdas – šiuo atveju netgi į jų
kompiuterį, talpinantį milžiniškus kiekius asmeninės informacijos. Pagal MS, c yra labai mažytis
teksto gabaliukas, kurį serveris siekia patalpinti vartotojo harddiske. Jeigu vartotojas su tuo sutinka,
tuomet jo naršyklė tą teksto gabaliuką patalpina mažame faile, išsaugomame vartotojo harddiske.
Šis tekstas, per se – pats savaime, serveriui viso labo leidžia supratsi it būti informuotam, kad
ankstesnis vartotojas vėl aplanko serverio prižiūrimą tinklapį. Jis nieko nepasako apie vartotojo
tapatybę, jo identitetą – nei e-mailo adreso, nei jokios kitos personalizuotos informacijos. C
serveriui padeda įvertinti vartotojo naudojimąsi serverio tinklapiu, padeda serveriui numatyti, ko
gali norėti ar norės konkretus vartotojas, ko jis ieškos ir ko sieks. Be abejo, jeigu vartotojas priima
c, niekas greitai nepakinta. Tačiau programinės įrangos atsisiuntimo metu, prašymo naudoti MS
logo savo tinklapyje ir pan. tai pasijaučia. Kiekvienu tokiu atveju tavęs prašoma pateikti nemažai
asmeninės informacijos – vardo, pavardės, e-mailo adreso, netgi amžiaus ir pan. C kaip tik ir
Kartais tinklapis pateikia cookių naudojimo politiką, tačiau jų naudojimo tikslai – dažnai nurodomi
labai jau neutraliai:
Apskritai paėmus, turi būti išskiriamos dvi kategorijos AD tvarkymo: tikslinio marketingo tikslais ir
navigacinės (clickstream) informacijos tvarkymas:
• Esmė – tiksliniai komerciniai pasiūlymai yra pateikiami saito lankytojams: paprastu laišku,
e-mailu ir rečiausiai – telefonu;
• navigacinės (clickstream) informacijos tvarkymo esmė – vartotojo identifikacinės
informacijos rinkimas (surenkamos registracijų metu) ir programinės įrangos pagalba
surenkama informacija.
Kadangi cookies gali būti naudojami susiejant unikalų kodą su konkrečiu vartotoju, vienas iš
anonimiškumo išsaugojimo būdų – individams leisti apriboti jų sukūrimą ar visai užkirsti kelią jų
naudojimui. Metodai:
Šios technologijos reikalauja nemenkų vartotojo pastangų ir jos serveriams iš esmės neužkerta kelio
pagrindinės header informacijos rinkimui. Visgi, tokių technologijų tolesnis vystymasis jų
panaudojimą gali padaryti prieinamesnį ir efektyvesnį.
Anonimiški ‘remeileriai’ įgalina siųsti e-mailo žinutes, neatskleidžiant siuntėjo tapatybės. Tokie,
kaip Hotmail ar FreedomRemailer, veikia per tinklapius, kuriuose yra sukurtas e-mailas, ir įgalina
Anoniminis tarpininkas gali būti naudojamas, siekiant užkirsti kelią tinklapiui automatiškai rinkti
headerio informaciją apie vartotoją, susiejant clickstream informaciją su konkrečiu vartotoju arba
cookius vartotojo kompiuteryje nustatant. Toks tarpininkas yra tinklo serveris, kuris veikia tarp
vartotojo ir likusio tinklo (W). Kai vartotojas nori pažiūrėti tam tikrą tinklapį, jis/ji to puslapio
užklausia/paprašo iš tarpininko. Tarpininkas suranda, atidaro puslapį ir jį persiunčia vartotojui.
Kadangi vartotojas niekuomet tiesiogiai sujungiamas su tinklapiu, serveriui nėra perduodama jokia
headerio informacija apie vartotoją, nei serveris gali nustatyti cookius. Tokios paslaugos pavyzdys –
Anonymizer.
Klausimai, susiję su Anoniminis tarpininkas, apima būtinybę, kad tokie anoniminiai tarpininkai
laikytųsi geros AD tvarkymo praktikos/principų. Taipogi, verta pažymėti, kad kyla būtinybė užkirsti
kelią piktnaudžiavimams anonimiškumu.
Keletas kompanijų jau yra įdiegusios ir plėtoja ‘e-grynųjų’ pinigų mechanizmus pasauliniuose
tinkluose. E-grynieji pinigai (EGP) encryption sistemos pagalba mokėtojui suteikia anonimiškumą.
Iš esmės, pinigai iš banko sąskaitos gali būti paversti e-monetomis, kurios savo ruožtu paverčiamos
e-pinigine vartotojo kompiuteryje. Iš čia e-monetos gali būti pervedamos kitiems ūkio subjektams,
on-line vykdantiems veiklą. Kiekviena e-moneta turi unikalų serijinį numerį ir yra patvirtinama e-
parašu, kuris įgalina įvertinti sandorių autentiškumą ir užkerta kelią tos pačios e–monetos
pakartotinam išleidimui. Siekiant apsaugoti vartotojo anonimiškumą, vartotojo kompiuteris (o ne
bankas) gali randomo pagalba (atsitiktinai) monetai suteikti unikalų serijinį numerį, kuris
specialiame e-voke yra persiunčiamas bankui. Bankas prie voko prideda ‘aklą skaitmeninį parašą’,
debituoja vartotojo sąskaitą banke ir e-monetą grąžina, net nesužinodamas jos serijinio numerio. Po
to vartotojas gali išleisti e-monetą, ir apmokėjimas yra įvykdomas, netgi jeigu jis taip ir nesužino
mokėtojo tapatybės.
Kita e-atsiskaitymų sistema – Mondex. Čia lėšos yra laikomos ‘smart kortelėje’ ir sandoriai yra
sudaromi ir įvykdomi tiesiogiai tarp šalių, apie sandorį nepranešant centriniam kompiuteriui.
Saugumo ir praktiškumo sumetimais, ant kiekvienos tokios ‘smart kortelės’ yra tam tikros
juostelės/pėdsakai, kurie gali būti atsekti kilus ginčams, ištaisyti nepavykusį sandorį, arba jeigu to
reikalauja įstatymai. Normaliuose sandoriuose, visgi, individo privatumas yra ginamas, nes
mažmenininkas neturi priėjimo prie banko informacijos, kuri asmens vardą susieja su Mondex
kortelės numeriu.
e-mokėjimo mechanizmai turi tam tikrus apribojimus. Visų pirma, jie priklauso nuo tinklo išorinių
ribų ir gali būti naudojami tik kuomet yra pripažinti daugumos ūkio subjektų. Antra, asmeninė
b) Skaitmeninis sertifikavimas. Kita ‘beveidžių’ sandorių priemonė – sk. sert. (SS). Ši sistema
pagrįsta viešųjų rakto kriptografijų technologijomis, kurios įgalina nustatyti asmeninius atributus,
neatskleidžiant šalies tikrojo vardo ar kitos identifikacinės informacijos.
Sk.sertifikatai, išleisti patikimo šaltinio - tokio kaip ‘sertifikavimo valdžios’, gali suteikti
nepriklausomą informacijos (identiteto ir sandorio detalių) autentiškumo įvertinimą. Siekiant
sumažinti AD atskleidimą, SS gali būti išleisti tam, kad būtų įmanoma nustatyti asmeninius
atributus: amžių, gyvenamąją vietą, pilietybę, narystę ir pan., neatskleidžiant asmens tikrojo vardo
ar kitos jį galinčios identifikuoti informacijos. Tokie SS gali sumažinti ar netgi išvengti būtinybę
atskleisti AD, kuomet nėra labai svarbu, kad būtent yra sandorio šalis, o žymiai svarbiau įsitikinti,
ar jis pasižymi tam tikromis charakteristikomis ar ne. pvz., verslininkas, prekiaujantis amžiaus
požiūriu jautria produkcija, OL aplinkoje privalo įsitikinti, ar pirkėjai yra sulaukę tam tikro
amžiaus.
Turi būti išlaikytas balansas tarp anonimiškumo teikiamų pranašumų ir asmeninės informacijos
atskleidimo, tam, kad būtų sudaryta galimybė dalyvauti įvairiuose OL santykiuose, komunikacijose
ir pan. Tinklapų, renkančių asmeninę informaciją, skaičius vis didėja. Tam tikri privatumo organai
(TRUSTe, BBBOnLine) ir prekybos asociacijos (Online Privacy Alliance) skatina tam tikras AD
rinkimo, naudojimo praktikas, bendruosius AD tvarkymo ir apskritai ADA principus. Pvz., TRUSTe
licencijavimo programoje dalyvaujantys saitai privalo laikytis minimalių reikalavimų: pranešti savo
praktiką, kokia informacija yra renkama, kas su ja yra daroma, su kuo ja dalinamasi, saito opt-out
praktika ir pan. Vienas svarbiausių faktorių, apsprendžiančių, ar vartotojai pasitiki saito skelbiamais
AD tvarkymo principais, yra prieinami teisinės gynybos mechanizmai tokių principų pažeidimų
atveju.
1. Sąlygos ir terminai.
Tinklapyje jo politika privatumo apsaugos atžvilgiu gali būti įtraukta į sutarties, sudarytinos tarp
saito ir jo lankytojų, sąlygose ir terminuose. Privatumo sąlygos įvairiuose saituose labai skiriasi tiek
savo apimtimi, tiek ir turiniu.
2. Skaitmeninės žymės/etiketės.
S-etiketės (SE) dažnai siūlo alternatyvą pranešimui (notifikacijai) arba ją esminiai papildo.
Pagrindinė idėja – saito politikos privatumo apsaugos atžvilgiu unifikuotas žodynas, parengtas
atitinkamos on-line visuomenės ar organizacijos, kuris naudojamas aprašant individualių saitų
privatumo praktiką. Toks aprašymas yra etiketės formos, kuri įtraukiama į saito header’į ir gali būti
perskaityta (atpažinta) vartotojo naršyklės.
P3P (Platform for Privacy Preferences) kaip tik ir įgyvendina šį požiūrį. P3P yra išvystytas World
Wide Web Consortium (W3C) ir yra pagrįsta jų Platform for Internet Content Selection (PICS)
saitų žymėjimo rėmais. P3P tikslas ir uždavinys – įgalinti tinklapius kuo paprasčiau išreikšti jų
privatumo praktiką dėl AD rinkimo ir naudojimo ir vartotojams suteikti galimybę nustatyti ir
specifikuoti jų individualias preferencijas. Privatumo žodynas, kuris yra išvystytas šiuo metu, apima
AD kategorijų sąrašą ir AD tvarkymo praktikas dėl AD naudojimo tikslų, atskleidimo, individo
galimybės susipažinti su AD apie jį, individo galimybės tuos AD ištaisyti, asmenų, atsakingų už
pretenzijų nagrinėjimą ir pan. Interakcija tarp privatumo preferencijų, kurias turi nusistatęs tam
tikras saitas ir vartotojo individualių privatumo preferencijų, vyksta tarpininkaujant P3P. Tinklapiai,
kurių privatumo praktikos atitinka vartotojo individualias privatumo preferencijas, yra aplankomi
nepastebint. Tuo tarpu vartotojams yra iš karto pranešama, jeigu lankomo tinklapio privatumo
praktikos neatitinka vartotojo individualias privatumo preferencijų, ir pastarajam yra suteikiama
galimybė sutikti su tinklapio privatumo sąlygomis, pasiūlyti naujas ar jas atmesti ir nutraukti
lankymąsi tame tinklapyje. Tokie P3P dar kartais yra vadinami pasirinkimo agentai (ang. agents of
choice). Esmė ta, kad P3P naudoja standartinę kalbą, kuria yra užkoduojamos vartotojo
individualios privatumo preferencijos, ir kuri yra atpažįstama tiek serverio, tiek ir pačios naršyklės.
P3P taipogi gali paimti ir taip vadinamus vartotojo AD depozitoriumus, kuriuose vartotojai gali
laikyti duomenis, kurių labai dažnai prireikia naršant po internetą. AD, esantys šiuose AD
depozitoriumuose, yra apibrėžiami standartiniais pavadinimais. Tokiu būdu, vėlgi yra išvengiama
daugkartinio įvairių registracijos formų pildymo ir pan. Nuo 1999 m. pradžios mažiausiai penkios
kompanijos paskelbė teikiančios naują paslaugą, kuri žmonėms padeda tvarkyti jų on-line identitetą
ir apsaugoti jų privatumą. Šios paslaugos ir priemonėmis yra žinomos kaip infomediaries. Visi jie
pagrįsti P3P. Dauguma jų vartotojui suteikia galimybę asmeninę informaciją saugoti saugiose AD
bazėse ir naudoti juos sąryšyje su automatine formų pildymo sistema. Kiti galimybę pasinaudoti
automatine formų pildymo sistema apriboja tik tiems atvejams, kuomet saito privatumo praktika
visiškai atitinka vartotojo privatumo prioritetus. Kai kurie taipogi turi mechanizmus, vartotojams
suteikiančius galimybę aiškiai išreikšti sutikimą dėl renkamos informacijos ir tik tokiu atveju
įgalinančius AD rinkimą marketingo tikslais. Šios kompanijos – www.digitalme.com,
www.jotter.com, www.lumeria.com, www.privacybank.com, www.privaseek.com. Iš esmės šiuo
metu vyksta tarsi kova tarp verslininkų ir vartotojų šioje srityje. Ir neaišku, kas čia kam nusileis.
Nes faktas tas, kad niekas neverčia lankytis tinklapiuose, kaip ir nėra vertimo tiesiogiai atskleisti
1. Pasirinktini duomenų laukai (fields) ir click-box pasirinkimai. Kai kurie tinklapiai, rinkdami
asmeninę informaciją, vartotojams siūlo pasirinkimą: tarsi atskiria privalomuosius AD laukus,
kuriuos užpildyti yra būtina ir pasirinktinus duomenų laukus, kuriuos užpildyti nėra būtina. Taipogi,
vartotojams yra pateikiami taip vadinami click-box, kurie vartotojui suteikia galimybę nustatyti jų
suteiktos informacijos leistinus naudojimo būdus ir tikslus. Privalomoji informacija paprastai apima
identifikacinę ir mokėjimo informaciją, kuri yra reikalinga transakcijai tarp šalių, o pasirinktinai
nurodoma informacija – vartotojo amžių, lytį, profesiją, darbą ir kt. asmenines preferencijas. Taigi,
vartotojams yra suteikiama galimybė sutikti arba nesutikti su jų AD naudojimu marketingo tikslais,
AD perdavimo trečiosioms šalims.
SE ir automatinis filtravimas, kurie jau buvo aptarti anksčiau, yra taipogi naudojami vartotojui
suteikiant pasirinkimus, kuomet saito privatumo praktika neatitinka jo individualių preferencijų,
kurios yra nustatytos jo naršyklės programinėje įrangoje. Tai – paprastos OL derybos.
3.Opting-out sistema.
Spammingas
Asmens duomenų subjektas privalomu teisėtu pagrindu, susijusiu su jo konkrečia padėtimi, turi
teisę prieštarauti duomenų apie jį tvarkymui, išskyrus, kai nacionaliniai įstatymai nustato kitaip104.
Kai prieštaraujama pagrįstai, tvarkant duomenų valdytojo iniciatyva, tokie duomenys nebegali būti
toliau tvarkomi. Ši teisė besąlygiškai garantuojama tais atvejais, kai duomenys tvarkomi tiesioginės
rinkodaros tikslais105. Be to, kai duomenys turi būti pirmą kartą atskleisti tretiesiems asmenims arba
100
Directive No. 2000/31/EC of the European Parliament and of the Council of 8 June 2000 on certain legal aspects of information society services,
in particular electronic commerce, in the Internal Market, OJ L 178, 17/07/2000.
101
Murray, p. 245.
102
Directive 95/46 on the protection of individuals with regard to the processing of personal data and on the free movement of such data. OJ L 281,
23.11.1995.
103
Įžanginė Direktyvos citata Nr. 71.
104
Direktyvos 14 straipsnio 1 dalis.
105
Direktyvos 14 straipsnio 1 dalies b punktas. “Tiesioginė rinkodara” Europos Tarybos rekomendacijoje dėl asmens duomenų panaudojimo
tiesioginės rinkodaros tikslais apibrėžiama, “kaip apimanti bet kokią veiklą, įgalinančią siūlyti prekes ir paslaugas ar persiųsti bet kokius kitus
pranešimus visuomenės daliai paštu, telefonu ar kitokiomis tiesioginėmis priemonėmis, kuriomis siekiama informuoti subjektą ar iš jo gauti atsakymą
Tai gali būti užtikrinta naudojant tiek ir tradicines priemones, paplitusias off-line pasaulyje (paštas,
telefonas), tiek ir interaktyvias OL procedūras, kuriose prašymas ir atsakymas yra vykdomi realiu
laiku, ryšio tarp tinklapio ir vartotojo metu.
Vėliau ICC pakeitė tam tikras PK nuostatas ES Direktyvos ‘adekvačios ADA’ reikalavimo
kontekste. Šis pakeitimas atsižvelgia į EK Darbo Grupės komentarus, pateiktus sutinkamai su D 29
straipsniu.
ar suteikti su tuo susijusias paslaugas”. (Recommendation N°(85)20 of Committee of ministers to Member States on the protection of personal data
used for the purposes of direct marketing, adopted on 25 th October 1985).
106
Direktyvos 14 straipsnio 1 dalies c punktas.
Trusted Third Parties, kurios sertifikuoja saitą ir patvirtina, kad jis atitinka ir laikosi savo skelbiamų
privatumo praktikų. Efektyvus įgyvendinimas turi du aspektus. Pirma, mechanizmai, kurie užtikrina
ex ante (iš anksto), kad paviešintų privatumo praktikų yra laikomasi praktikoje. Antra, kas atsitinka,
jeigu paviešintų privatumo praktikų yra nesilaikoma. Konkrečiai imant, į ką gali kreiptis ADS, kam
reikšti pretenzijas privatumo apsaugos principų pažeidimo atveju. Taigi – svarbi yra ir antroji
stadija/dalis – ex post pretenzijų ir skundų sureguliavimo mechanizmai.
a) Vidinis ADA pareigūnas. Tiek nacionaliniai ta, tiek ir savireguliacijos kodeksai gali
reikalauti, kad būtų paskirtas tam tikras vidinis ADAP, kuris būtų atsakingas už tai, kaip
organizacija laikosi taikytinų privatumo apsaugos principų.
b) Trečiųjų šalių inspektavimas ir saito sertifikavimas. Tokie inspektavimai apima tiek auditą,
tiek ir ‘seeding’ (maitinimą), kurio esmė ta, kad saitui yra pateikiama tam tikra asmeninė
informacija ir jos naudojimas lyginamas su saito paskelbtais privatumo apsaugos principais. Saitai,
kurie patenkina šias peržiūras, yra paženklinami e-etikete arba gerai atpažįstama ikona. Tokie
paženklinimai visuomenei signalizuoja, kad tas saitas laikosi savo skelbtų privatumo apsaugos
principų.
Yra keletas priežasčių, dėl ko saitui gali reikėti trečiosios šalies inspektavimo arba saito
sertifikavimo. Saitai gali savanoriškai sudalyvauti tokiuose patikrinimuose. Tinklapis, pvz., gali
norėti viešai pademonstruoti tai, kad jis laikosi prisiimtų įsipareigojimų ADA srityje. Tokiu būdu
tikimasi pritraukti kuo daugiau lankytojų. Rizika, kad sertifikatas bus atšauktas yra susijusi su to
paviešinimu, kas savo ruožtu gali labai neigiamai įtakoti to tinklapio apyvartą, apsilankymų skaičių
ir pan. Pateiksiu keletą tokių verslo ir profesinių organizacijų, kurios siūlo įvairias sertifkavimo
schemas.
Standartų institucijos.
Apskaitos firmos. Privatumo auditas dabar yra atliekamas didelių apskaitos konsultavimo paslaugas
teikiančių firmų. WEBTRUST programa nustato gaires individualioms apskaitos firmoms,
teikiančioms privatumo apsaugos audito paslaugas.
b) Centrinės priežiūros institucijos. Dauguma nacionalinių ADA numato tokios centrinės ADA
priežiūros institucijos įsteigimą, kuri atliktų išankstinę priežiūrą. Tai numato ir D 28 str.
Tam tikros teisės normos gali paskatinti centrinės institucijos atliekamo monitoringo apimtis ir
kokybę. Tai visų pirma – privalomojo registravimosi sistema – padidina tokiai centrinei institucijai
prieinamos informacijos kiekį ir pradinis auditas gali reikalauti įstatymų laikymosi dar prieš AD
tvarkymo operacijos atlikimą.
Tokios sertifikavimo organizacijos yra naudingos dvejopai: (a) pramoninių institucijų ar asociaicijų
nustatyti privatumo pasaugos standartai yra tarsi išeities taškas vertinant konkretaus tinklapio
(ADV) praktiką; (b) tokios trečiosios sertifikavimo institucijos turi ir reputacinį interesą – užtikrinti,
kad jų nariai laikytųsi privatumo pasaugos standartų; todėl jos turi nemenką derėjimosi galią. Šie
Trečiosios šalys gali turėti labai įvairias galimybes skundų nagrinėjimo srityje: nuo tyrimo,
tarpininkavimo iki nuteisimo ar nubaudimo. Sankcijos, kurios yra paprastai taikomos pažeidėjams:
TRUSTe – kuomet ji gauna skindą, iš pradžių ji išsiunčia formalų pranešimą ir suteikia galimybę
įtariamam pažeidėjui pačiam atsakyti. Jeigu ginčas neišsprendžiamas, TRUSTe atlieka tyrimą.
Priklausomai nuo pažeidimo sunkumo, tyrimas gali baigtis baudomis, dalyvio ‘pasitikėjimo ženklo’
atėmimas ir pan. Sunkūs ir svarbūs ginčai gali būti persiųsti FTC.
G. Švietimas.
Esmė – tai, kad internetas sukelia visai naujo pobūdžio ir naujos prigimties pavojus Ad
saugumui.
1. Žymiai išplitęs AD surinkimas ir generavimas. Kai kuri renkama ar generuojama
informacija yra esminė ir būtina tinklo operatoriui vykdant savo funkcijas – pvz. telefono numeris,
kuris sujungia kviečiančią šalį su gavėju, IP adresas, nes be jo negali funkcionuoti tinklas. Visgi,
kita informacija gali būti siekiama visiškai kitų, už tų ribų išeinančių tikslų. Tai ir kelia pagrindinį
rūpestį ir nerimą.
b) Teisinė gynyba.
EBPO 2000 sukūrė taip vadinamą OECD PRIVACY POLICY STATEMENT GENERATOR,
kurio tikslas – padėti privačioms įmonėms, įstaigoms ir organizacijoms savo veiklą OL suderinti su
Gairių reikalavimais. Jis yra prieinamas OL ir įgalina kiekvienai įmonei parinkti/sukurti/pritaikyti
individualų pranešimą apie jos privatumo apsaugos OL politiką.
Išvada: naudojant ir pasitelkus tik vieną iš šių metodų, nėra įmanoma išspręsti OL aplinkos
keliamų problemų ADA.
Anonimiškumas.
Galimybė išlikti anonimišku įgalina laisviau bendrauti su kitais interneto naudotojais tuo
pačiu išlaikant savo privatumą. Kaip sakoma “internete ... niekas nežino, kad tu esi šuo”107. Asmens
duomenų apsaugos darbo grupė, veikianti Direktyvos 29 straipsnio pagrindu, publikavo
rekomendaciją dėl anonimiškumo internete108. Anot Asmens duomenų apsaugos darbo grupės
internetas nėra anarchinis getas, kuriame negalioja socialinės normos. Tačiau ji išreiškia
susirūpinimą “visur, kur mes einame interneto erdvėje mes paliekame skaitmeninį pėdsaką. Vis
didesnei socialinio elgesio daliai įgyvendinant internete, vis daugiau ir daugiau mūsų veiklos,
elgesio ir pasirinkimų yra įrašoma. Tačiau pavojai mūsų asmeniniam privatumui slypi ne tik
milžiniškam informacijos, esančios internete, kiekyje, tačiau programinėje įrangoje, įgalinančioje
atlikti paeišką internete ir surinkti į vieną vietą visus duomenis apie vieną konkretų individą”.
Asmens duomenų apsaugos darbo grupė pacituoja straipsnį iš JAV laikraščio, aprašančio, kaip
tokios programinės įrangos pagalba galima sukompiliuoti detalią biografiją apie atsitiktinai
pasirinktą asmenį ir panaudojant informaciją iš visų diskusijų forumų ir grupių, kuriose tik
dalyvauja toks asmuo – įmanoma sužinoti asmens adresą, telefono numerį, gimimo vietą, studijų
vietą, profesiją, dabartinę darbovietę, susidomėjimą teatru, mėgstamiausią alaus rūšį,
mėgiaumiausius restoranus ir atostogų praleidimo būdus, jo požiūrius į tokius skirtingus dalykus,
kaip Bill Gates ir “socialiai represyvią” situaciją Indijoje109. JAV nagrinėta byla McVeigh v.
Cohen110 puikiai pailiustruoja pavojus, kuriuos internetas sukelia individų privatumui. Ieškovas,
JAV povadeninio laivo jūreivis, nusiuntė elektroninį pranešimą civiliam jūrų laivyno darbuotojai
jos prašydamas nurodyti vaikų, esančių laive, amžių tam, kad jis galėtų suorganizuoti žaislų
atidavimą. Deja, ji neatpažino jo e-mailo adreso, todėl ji sukontaktavo su IAP – AOL, kuris jai
atsiuntė naudotojo dosjė. Tarp kitų dalykų dosjė buvo nurodyta, kad juo vedybinis statusas –
“gėjus”. Ši informacija buvo perduota McVeigh vadui, ko pasėkoje McVeigh buvo atleistas iš
pareigų. Vis dėlto, Asmens duomenų apsaugos darbo grupė pripažįsta, kad anonomiškumo internete
klausimas yra centrinės svarbos tiek vyriausybėms, tiek ir tarptautinėms organizacijoms. Viena
vertus, anonimiškumas laikytinas vienu iš pagrindinių žmogaus teisių ir laisvių garantų
kibererdvėje. Kita vertus, galimybė dalyvauti ir komunikuoti on-line neatskleidžiant savo tapatybės
prištarautų viešajam interesui tokiose srityse, kaip kova su neteisėtu ir žalingu turiniu, finansine
apgauleir autorinių teisių pažeidimais. Darbo grupė išnagrinėjo anonimiškumo poreikį toiose
srityse, kaip informacijos patalpinimas naujienų grupėse, siunčiant e-mailą ir naudojant
skaitmeninius pinigus ir priėjo visos eilės išvadų:
• galimybė pasirinkti anonimiškumą yra esminė, jeigu individai siekia online režime turėti
privatumo apsaugą, identišką apsaugai offline pasaulyje;
• anonimiškumas nėra visuomet tinkamas; įvertinant aplinkybes, esant kurioms yra tinkamas
“anonimiškumo pasirinkimas”, būtinas atsargus pagrindinių žmogaus teisių įvertinimas,
balasavimas su saviraškos laisve ir viešuoju interesu. Teisiniai apribojimai, kurie gali būti
nustatyti asmens teisei į anonimiškumą, ar techninėms anonimiškumo priemonėms
107
The Economist, May 31, 1997.
108
Recommendation 3/97 Anonimity on the Internet, adopted by the Working Party on December 3, 1997.
109
Minneapolis Star Tribune.
110
983 Supp. 215. Murray, p. 286.
Taigi, išvada, kad yra esminis asmens galėjimas likti anonimišku, yra labai svarbi, ypatingai tuo
požiūriu, kad EB sudaro įspūdį, lyg tai siektų kiek įmanoma griežčiau sureguliuoti internetą.
Didelė problema yra ta, kad gimstanti elektroninė rinka didžiąja dalimi remiasi reklama:
“Onsale ir Buy.com siūlo parduoti prekes didmeninėmis kainomis ir žemesnėmis. Iš tikrųjų, Onsale
neseniai pradėjo teikti paslaugą, pavadintą “atCost”, siūlančią didelį kompiuterinės įrangos
pasirinkimą gamintojų kainomis. Abi firmos tikisi gauti pelną iš pardavimo reklamos, nukreiptos
naudotojams, aplankantiems jų svetaines. Kaip manote, ar būtų naivu tikėtis, kad kokia nors
Dollar.com on-line pardavinėtų vieno dolerio vertės banknotus už 90 centų ir gauna pelną iš
reklamos?”111
Kaip tampa aišku, didžioji šios reklamos dalis pagrįsta sklandžiu ir netrukdomu asmeninės
informacijos ir duomenų judėjimu. Jeigu naudotojai galėtų išlikti anonimiškais, žymiai sumažėtų
tokios informacijos srautai, kas savo ruožtu neigiamai paveiktų elektroninės komercijos verslovių
pelną, o tai trukdytų efektyviai elektroninės komercijos raidai112. Pažymėtina, kad Skaitmeninių
teisių direktyvos projektas (Komisijos pasiūlymas) įžangoje nurodo, kad tokių teisių valdymo
technologijos įgalina asmeninės informacijos rinkimą, todėl jose turi būti inkorporuoti tinkami
privatumo apsaugos mechanizmai.
1. Anonimiškumo kaštai.
Tai yra labai patogi priemonė, kurios pagalba galima išvengi neteisėtos ir nemoralios veiklos
pasmerkimo. Konspiracija, e-neapykantos mailai, neapykantos kalbos ir šūkiai, šmeižimas,
komercinių paslapčių atskleidimas ir pan. rizikos požiūriu tampa beveik nerizikingi. Be abejo,
visuomet lieka galimybė nustatyti tiek tokių pranešimų šaltinį, tiek ir jų autorystę. Anoniminis
dalyvavimas on-line aplinkoje sukuria taip vadinamą nepažįstamųjų komunikaciją, kurios išdava –
jokio pasitikėjimo, jokios realybės ir tikroviškumo. Anonimiškumo priešininkai pabrėžia, kad AN
sumenkina atskaitomybės ir atsakomybės reikšmę.
2. Anonimiškumo nauda.
Tas pats AN gali tapti svarbiu teisės į saviraiškos laisvę užtikrinimo įrankiu. Viena iš išvengimo
taip vadinamos ‘profiliacijos’ – anoniminės interakcijos.
111
The Economist, January 30, 1999.
112
Murray, p. 288.
ADA srityje vadovaujantis vaidmuo TT arenoje neabejotinai tenka Europos kontinentui, visų pirma
– ET ir ES. JAV šiuo požiūriu lieka tarsi antrajame plane. Tačiau yra neatleistina visiškai
neužsiminti apie šios valstybės teisinius ADA reguliavimo ypatumus/požymius. Visų pirma, šios
valstybės nereikėtų pamiršti vien jau todėl, kad:
• Joje yra įsikūrę, veikia ir pan. operatoriai, kurie prižiūri, rengia ir pan. daugiausia interneto
puslapių pasauliniu mastu – tai yra būtent iš JAV yra kilę apie 90 proc. visų Interneto
puslapių;
• Būtent JAV yra tvarkoma daugiausia AD – renkama, klasifikuojama ir pan. ir nebūtinai jų
subjektai – JAV piliečiai ar įmonės;
• JAV yra pagrindinis ES prekybos partneris; neabejotinai – ir e-prekybos. O e-prekyba
neįsivaizduojama be AD judėjimo;
• JAV yra susiklosčiusi labai ypatinga ADA teisinė sistema, kuri labai skiriasi nuo ES AD
reguliavimo modelio;
• JAV AD tvarkymo atžvilgiu yra taikomi kitokie apsaugos standartai, kurie daugeliu požiūriu
yra žemesni nei ES;
• ADA pagrindinės teisinio pobūdžio problemos kyla būtent on-line aplinkoje, pasaulinių
tinklų erdvėje, o JAV ryškus šios srities lyderis.
Istoriškai JAV jau nuo seno bandė derinti konkuruojančius interesus ir vertybes. Valstijos per
bendrąją teisę ir įstatymus pateikė skirtingus asmeninės informacijos apsaugos lygius. Panašiai,
federaliniu lygmeniu JAV privatumo apsauga plėtojosi sektorius po sektoriaus, kuriant daugybę
įstatymų, įsteigiančių skirtingus ADA standartus, priklausomai nuo asmeninės informacijos rūšies ir
pobūdžio, kai kurią informaciją, netgi labai jautrią, paliekant visai be jokios įstatyminės apsaugos.
Pvz. vyriausybiniai duomenų bankai, kredito pranešimai, švietimo, transporto priemonių ir video
nuomos įrašai paklūsta skirtingiems ADA įstatymams, taigi jų atžvilgiu yra taikomi skirtingi ADA
standartai. Finansinių Paslaugų Modernizacijos aktu JAV Kongresas nustatė tam tikrų finansinių
įrašų apsaugą. Kongreso dar laukia medicininių įrašų konfidencialumo apsauga. Vietoje to, JAV
Kongresas pavedė Sveikatos ir Žmogaus Paslaugų Departamentui parengti taisykles šioje srityje.
Trumpai tariant, dabartinė informacijos privatumo apsauga JAV yra kratinys/vinegretas valstijų ir
federalinių įstatymų, kurie neretai tarpusavyje persikloja, o kartais palieka labai dideles spragas.
Nors kai kurie įstatymai specialiai kalba apie elektroninius duomenų įrašus, nėra aišku, kas bus, kai
šie duomenys pajudės OL aplinkoje. Taipogi neaišku, kaip ta, skirti telekomunikacijoms ir
kabelinėms industrijoms, bus pritaikyti internetui. Interneto srityje JAV Kongresas taipogi pasirinko
sektorinį reguliavimo modelį – Vaikų Privatumo Apsaugos OL aplinkoje Aktas, priimtas 1998 m.,
yra skirtas kovoti su OL rinkimu ir skleidimu asmeninės informacijos iš vaikų iki 13 metų amžiaus.
Jis nustato, kad tokios operacijos yra galimos tik tuo atveju, jeigu tam vaikų tėvai arba jų globėjai
yra davę aiškų išankstinį sutikimą. Tėvams turi būti pranešta apie bet kokį tokios informacijos
platinimą ir tvarkymą.
1979 m. juos parengė ir publikavo JAV Sveikatos, Švietimo ir Socialinės Gerovės Departamentas:
JAV Konstitucija aiškiai neįtvirtina asmens tesiės į privatumo apsaugą. Visgi, teismų praktika,
precedentinė teisė pripažino, kad JAV K suteikia tokią teisę individams.
Įstatymai.
AI, laikomos ir turimos vyriausybinių institucijų, naudojimas yra reguliuojamas Privatumo Akto,
priimto 1974 m., kuris įtvirtina aukščiau minėtus teisingus AI tvarkymo/naudojimo principus.
Valdymo ir Biudžeto Įstaiga yra atsakinga už šio akto taikymą. Aktas ADS suteikia civilinę teisę
pateikti ieškinį, kuris gali baigtis nuostolių priteisimu. Aktas taipogi numato baudžiamojo
persekiojimo priemones.
Valstijų įstatymai.
Kai kurių valstijų konstitucijos numato asmens teisę į privatumo apsaugą. Jos seka federalinį
sektorinį reguliavimo modelį. Tačiau privatumo apsaugos lygis labai varijuoja.
JAV Vyriausybė tiki, kad privataus sektoriaus išvystyti ir įgyvendinami elgesio kodeksai yra
efektyviausias ADA būdas, nereikalaujantis biurokratinio mechanizmo sukūrimo, kuris sulėtintų ek
plėtotę. Vyriausybinių institucijų pranešimai:
• “Privatumas ir Nacionalinė I Infrastruktūra: AI naudojimo ir tvarkymo principai: (1995 m.
birželis); įtvirtino pagrindinius privatumo principus, pagrįstus EBPO Gairėmis;
• “Privatumas ir Nacionalinė Informacijos Infrastruktūra: AI, susijusios su
telekomunikacijomis, apsauga” (1995 m. spalis); rekomendavo telekomunikacijų paslaugų
teikėjams įdiegti privatumo principus, kurie įgalintų pranešti vartotojams apie jų privatumo
praktiką/politiką ir gauti jų sutikimą tokios AI naudojimui;
• “Privatumo skatinimo Nacionalinėje I Infrastruktūroje metodai” (1997 m. balandis) –
nustato OL privatumo apsaugos metodus, įskaitant federalinės ADA tarnybos įkūrimą;
• “Globaliųjų Elektroninių Komercijos tinklų rėmai” (1997 m. birželis) – parengtas Clinton’o
administracijos; siūlo, kad vyriausybė atliktų daugiau tiesioginį vaidmenį, jeigu pati
pramonė nespręs privatumo problemų;
• “Individualios reference (informacinės) paslaugos: Pranešimas Kongresui” (1997 m.
gruodis); parengtas FTC; diskutuoja look-up paslaugų, naudojamų individo tapatybei
nustatyti, įvertinti ir pan., pranašumus ir riziką; diskutuojami ir privataus sektoriaus parengti
savireguliacijos principai;
• “Efektyvios savireguliacijos ADA srityje elementai” (1998 m. sausis); apžvelgia veiksmus,
kurių gali imtis privatusis sektorius;
• “Privacy On Line: pranešimas Kongresui” (1998 m. birželis); parengtas FTC; akcentuoja
pranešimo, saugumo ir priėjimo svarbą privatumo apsaugai, siūlo, kad yra reikalinga tam
tikra paspirtis savireguliacijai ir pasauliniam privatumo principų įgyvendinimui;
rekomenduoja, kad ta reguliuotų vaikų apsaugą OL. Rekomenduoja, kad jeigu nėra
Savireguliaciniai instrumentai.
Susiję su OL aplinka.
1998 m. savo pranešime Kongresui FTC pabrėžė, jog šiuo metu nėra rekomenduojama
įstatymleidystės intervencija OL privatumo apsaugos srityje. Vietoje to – turėtų būti
susikoncentruota ties efektyvia ir visaapimančia savireguliacija.
JAV ADA OL aplinkoje.
FTC įsitikinusi, kad aukštesnis ADA OL režime lygis yra naudingas ne tik vartotojams, bet ir
pačios ek plėtotei. 1998 m. pranešime FTC padarė išvadą, jog efektyvi savireguliacinė sistema dar
tik labai ankstyvojoje stadijoje, todėl reikia kažkokių išorinių postūmių/paskatinimo. Kaip
pažymėjo FTC, savireguliacinė ADA reguliavimo sistema yra labiausiai įsikišanti ADA
reguliavimo schema; greičiausiai ir efektyviausiai atsakanti į inteneto ir apskritai IT vystymosi
keliamus poreikius ir problemas. Be abejo, savireguliacinė sistema dabar patiria daug sunkumų.
Naujausi tyrimai parodė, kad nepaisant didelių pramonės atstovų pastangų, netgi labiausiai užimti
tinklapiai neįgyvendina visų keturių teisingo AI naudojimo principų. Be to, ‘pasitikėjimo
sertifikavimo’ programos apima labai nedaug tinklapių.
1998 m. rugpjūtį, iš karto po Pranešimo paskelbimo, FTC išnagrinėjo ir paskelbė sprendimą byloje
prieš GeoCities, saito operatorių, kuris savo nariams laidžia įkurti/administruoti ir prižiūrėti savo
asmeninį saitą GeoCities tinklapyje. FTC nustatė, kad GC vykdomas jos vartotojų AI rinkimas ir
platinimas pažeidžia FTC Akto 5 straipsnį. FTC teigė, kad GC savo vartotojams teigė, kad AI,
surinkta iš jų registracijų formų, bus naudojama tik jiems atsiunčiant užprašytus reklaminius
skelbimus/pasiūlymus ir pan. vietoje to, GC šią AI pardavinėjo trečiosioms šalims, įskaitant CMG
Information Services, kuri tą AI naudojo marketingo tikslais. nepripažindama savo kaltės, GC
susitarė ir įsipareigojo imtis priemonių dėl AD rinkimo ir naudojimo. Pagrindinė iš tokių priemonių
– GC įsipareigojimas nedaryti klaidingų patvirtinimų/skelbimų/garantijų ir pan., tiesiogiai išreikštų
ar numanomų, dėl jos AI rinkimo/naudojimo praktikos, įskaitant, be neapsiribojant, nurodant, kokia
AI bus perduota trečiosioms šalims, kokiu būdu ir kaip ji bus naudojama ten. GC įsipareigojo
taikyti visą eilę apsauginių priemonių. Beveik visos jos atspindėtos ES D 95/46. Byla palietė ir
vaikų iki 13 m. amžiaus privatumo apsaugą. Nustatyti reikalavimas šiuo atžvilgiu atkartojo 1998 m.
Children’s OL Privacy Aktą.
2000 m. pranešime Kongresui FTC jau į pirmą vietą iškelia taip vadinamą ‘technologijų
neutralumo’ koncepciją.
Dėl jo galutinio įgyvendinimo ES ir JAV ADA santykiuose buvo susitarta tik visai neseniai – 2000
m. pabaigoje.
Šių SEP parengimą visų pirma sąlygojo ES D 95/46 25 straipsnio reikalavimas, kad AD tarptautinis
perdavimas į trečiąją valstybę yra leidžiamas tik tuo atveju, jeigu priimančioje valstybėje, kuri nėra
ES VN, yra adekvatus ADA lygis. Siekiant sumažinti kylančius neaiškumus dėl ‘adekvatumo’
sampratos ir AD judėjimo apskritai, JAV Komercijos Departamentas priima šiuos principus. Jie
buvo parengti konsultacijų su privataus sektoriaus atstovais, ES institucijų atstovais pagrindu. Jų
tikslas – skatinti ir vystyti prekybą ir komercinius santykius tarp JAV ir ES.
Privati kompanija gali prisijungti ir tokiu būdu įsipareigoti šiais SUP keletą būdų.
Kai organizacijai yra taikomi JAV įstatymai, inter alia, įtakojantys ADA, ji įgyja teisę savo veiklai,
susijusiai su AD tvarkymu, taikyti SUP.
• Pranešimas;
• Pasirinkimas;
• Tolesnis AD perdavimas – organizacija privalo suteikti individams galimybę pasirinkti, ar
jie noriu, kad apie juos surinkta AI būtų perduota ar atskleista trečiosioms šalims (jeigu toks
naudojimas yra nesuderinamas su tikslais, kuriems ta AI buvo surinkta, arba neapima tokių
atvejų, apie kuriuos tokiam ADS buvo pranešta iš anksto);
• Saugumas;
2000 03 15 ES ir JAV pasiekė susitarimą dėl plataus masto/plano ADA sistemos, įskaitant OL
režime.
Išvados.
Pirma, pramoninės grupės privalo ir toliau skatinti visaapimantį teisingo AI naudojimo principų
įgyvendinimą. Tokios kompanijos kaip IBM, MS ir Disney, paskelbė, kad jos nesireklamuos tuose
saituose, kurie nesilaiko šių principų.
Antra, privatusis sektorius privalo susikoncentruoti ties tinklapio skelbiamos privatumo politikos
esme, kad įmonės laikytųsi esminių ir pagrindinių ADA principų.
Galiausiai, privatusis sektorius privalo dirbti iš vien su vyriausybe ir vartotojų teisių apsaugos
grupėmis.
AD invazijos technologijos
Identiteto sistemos.
ID kortelės. Jos vienoje ar kitoje formoje yra paplitusios beveik visose pasaulio valstybėse. Tačiau
jų tipas, funkcijos ir integralumas labai varijuoja. Nors dauguma V turi oficialius, privalomuosius
identiteto kodus, kurie naudojami daugumai tikslų, daug išsivysčiusių V tokių kortelių neturi. Tarp
tokių yra JAV, Kanada, Australija, UK, Airija, Skandinavijos šalys. Paskutiniu metu ID K buvo
sujungtos su nacionaline registracijos sistema, kuri savo ruožtu sudaro vyriausybės administraciją.
Tokiose sistemose – Ispanijoje, Portugalijoje ID K tampa tik viena nedidele matoma milžiniškos
sistemos dalimi. ID K tampa paslaugų technologijų ir identiteto nustatymo fuzija. Taigi –
pastebimas multifunkcionalinis ID kodo naudojimas.
Biometrics
Last saved by A on 2001.11.18 19:35 112
ADA reguliavimas tarptautinėje ir ES teisėje_____________________________________
Komunikacijų priežiūra
Silpna grandis. Dauguma darbdavių turi galimybę tikrinti savo darbuotojų susirašinėjimą, lankomus
tinklapius, žiūrimą informaciją, laiką praleidžiamą internete, pokalbiams telefonu, domėjimosi
sritis, naršymo pomėgius, siuntinėjamą ir netgi gaunamą informaciją ir pan. Darbuotojai daugeliu
požiūriu tampa ‘peršviečiamais’.
1947 m. JAV, UK, Kanados, Australijos ir NZ atstovai pasirašė Nacionalinio Saugumo Paktą,
žinomą kaip ‘Quadripartite’ arba UK – US susitarimas – UKUSA. Jo siekis – įdiegti žvalgybinius
ryšius, kurių pagalba būtų įmanoma įgyvendinti Nac. saugumo uždavinius. Pagal šį susitarimą,
penkios tautos pasidalino pasaulį į penkias įtakos zonas, kiekvienai valstybei nustatant tam tikrus
taikinius. UKUSA susitarimas standartizavo terminologiją, kodinius žodžius, intercepcijos
procedūras, bendradarbiavimo rėmus, pasikeitimą informacija, priėjimą prie įrenginių ir pan. Vienas
svarbus susitarimo elementas – duomenų ir personalo apsikeitimas. Ryšys reiškia, kad operatorius
iš NZ signalizuoja žvalgybos agentūrą Australijoje, kad ši atliktų vietinių komunikacijų
intercepciją. Stipriausias alijansas – tarp JAV ir UK nacionalinio saugumo tarnybų. Svarbiausias
alijanso įrenginys – Menwith Hill Šiaurės Anglijoje. Labai didelės milžiniškų komunikacijų kiekių
pasiklausimo/perėmimo galimybės.
Video stebėjimas.
Svarbu pažymėti, kad šiuo atveju teisinės gynybos ar apsaugos priemonės yra labiau ribotos –
dažnai pačiose darbo sutartyse tai aiškiai įrašoma kaip viena iš jos sąlygų. Naudojama technologija
(surveillance) dabar gali pasiekti beveik kiekvieną darbuotojo privataus gyvenimo aspektą. Netgi
psichologiniai testai, intelekto testai, gabumų testai, laisvalaikio interesų ir pomėgių testai,
asmenybės testai, sąžiningumo testai yra įvertinami elektroniniu būdu. Pažymėtina, kad JK ir JAV
yra palyginus mažai teisinių apribojimų video stebėjimui, tuo tarpu kitose ES VN šie reikalavimai
yra kur kas griežtesni. Tokiose VN darbdavys privalo dėl tokių dalykų susitari su darbuotoju.
• Vairuotojų pažymėjimų registras (asmens vardas, pavardė, namų adresas, gimimo data,
asmens kodas, lytis, svoris/ūgis/akių spalva, regėjimas, fizinė/medicininė būsena,
fotografija, organų donorystės statusas);
• Transporto priemonės VR (asmens vardas, pavardė, namų adresas, automobilio tipas,
draudimo informacija, nuosavybės/naudojimosi teisės, asmens/identifikacinis kodas);
• NTR (asmens vardas, pavardė, namų adresas, rinkos kaina, apsunkinimai/įkeitimai,
santuokinė padėtis, asmens kodas);
• Nuosavybės (turto) mokesčių įrašai (inter alia, rinkos vertė, naudojimo informacija, baseino
buvimas, kitų apmokestinimo objektų buvimas, konstrukcijas tipas ir pan.);
• Rinkėjų registravimo įrašai (asmens vardas, pavardė, namų adresas, gimimo data, asmens
kodas, narystė partijose, dalyvavimo rinkimuose istorija);
• Policijos įrašai (asmens vardas, pavardė, namų adresas, gimimo data, areštai, kaltinimai,
bausmės, sveikatos informacija);
• Civilinių teismų įrašai (bankrotai, ištuokos, vaikų globa, rūpyba, testamentai,
medicininė/šeimos informacija, kita detali asmeninė informacija);
• Darbo pažymėjimai (asmens vardas, pavardė, namų adresas, profesija/specialybė, pareigos,
asmens kodas);
• Medžiotojų/žvejų/ginklo turėtojų/motorinių valčių/lėktuvų/malūnsparnių ir pan.
savininkų/naudotojų/turėtojų registras (asmens vardas, pavardė, namų adresas, asmens
kodas, reguliuojamos veiklos detalės, sveikatos informacija).
Šis sąrašas toli gražu ne baigtinis. Jis – viso labo iliustracinis. Kiti VR gali apimti finansinius
duomenis, socialinio aprūpinimo duomenis, įvairius jautrius duomenis ir pan. VR duomenų
atskleidimo mechanizmai ir technologijos gali turėti įtakos privatumo apsaugos analizei, nes tai
paveikia tai, kaip kiti gali susipažinti su informacija ir pan.
1. Popieriniai įrašai.
2. Kompiuteriniai įrašai.
3. Internetiniai įrašai.
Jis įgalina globalųjį priėjimą prie bet kokių įrašų. Susipažinimo su VR /priėjimo ir naudojimosi
galimybės yra beveik neribotos. Tačiau ši OL aplinka būtent ir kelia daugiausia rūpesčių.
Konfliktai.
1. Priėjimo prie VR politika.
Priėjimas prie VR tarnauja keletui tikslų. Piliečiams reikia vyriausybinės informacijos, siekiant
priimti politinius sprendimus dėl vyriausybinių programų, kandidatų ir pan. Žinios apie vyriausybę
yra svarbus pasitikėjimo politine sistema katalizatorius. Vyriausybinė informacija taip pat gali būti
vertingas ekonominis išteklius, kuris gali būti panaudotas tolesniam ekonomikos augimui. Kai
kurios priėjimo politikos/principai turi konstitucinį pagrindimą pvz. – JAV AT nusprendė, kad JAV
K Pirmoji pataisa žmonėms suteikia teisę susipažinti su baudžiamosiomis bylomis). 1994 m. JAV
priėmė Vairuotojų Privatumo Apsaugos Aktą (jį priimti paskatino incidentas: įsiutęs teležvaigždės
fanas per vairuotojų registrą surado jos adresą ir patykojęs ją užmušė). Transporto priemonių
vairuotojų licencijavimas yra valstybės funkcija, bet federaliniai įstatymai nustato šių VR
naudojimo sąlygas/apribojimus. Minėtas aktas pasirenka apriboto pasirinkimo modelį. Pagal jį,
valstybiniams transporto priemonių skyriams yra draudžiama atskleisti identifikuotiną informaciją
marketingo tikslais arba atsakant į individualius prašymus/užklausimus, išskyrus atvejus, jeigu ADS
anksčiau turėjo galimybę pasirinkti tokį asmeninės informacijos atskleidimą. Be abejo, įstatymas
numato priverstinius AD atskleidimus įstatymo numatytais atvejais: vairuotojų saugumo/vagysčių
užkardymo tikslais ir pan.
Pagal aktą, AI gali būti atskleista, siekiant įvertinti informaciją, individo suteiktą verslininkui.
Pavyzdžiui, JAV vairuotojo pažymėjimas yra plačiai paplitęs ir pripažintas asmens dokumentas.
Pagal bendruosius priėjimo prie VR įstatymus, asmens, norinčio susipažinti su įrašais, tapatybė ir
tikslas yra nesvarbūs. Viešai prieinama informacija gali būti gauta bet kokio vartotojo bet kuriam
tikslui. Be abejo, dažnai išvardijama, kuriais teisėtais tikslais yra galima susipažinti. Arba galimas ir
negatyvus sureguliavimo būdas – visiems tikslams, išskyrus neteisėtiems. JAV DPPA nustato
leistinus tokio susipažinimo tikslus – numato dvylika tokių tikslų. Tačiau darymas skirtumo tarp
naudotojų ir naudojimo taipogi sukelia problemų. Pirma, platūs teisiniai principai gali užkirsti kelią
skirtumų pateisinimui. Pvz., JAV konstitucinis lygios apsaugos principas reikalauja, kad nebūtų
jokių nepagrįstų išimčių. Jeigu įrašus galima naudoti žurnalistiniams tikslams, kodėl tai turėtų būti
negalima tiesioginio marketingo/žinių rinkimo tikslais? Jeigu rinkėjų registrai gali būti panaudoti
tik rinkimų tikslais, tai ar juos galima naudoti kandidatų paramai, iniciatyvoms, finansavimui ir
pan.? Taipogi, įsigalint multifunkcionaliniam požiūriui, draudimo ir bankinių įrašų atskyrimas gali
LR ta ADA srityje.
1996 m. birželio 11 d. (Nr. I-1374) Lietuvos Respublikos asmens duomenų teisinės apsaugos
įstatymas;
Lietuvos Respublikos Vyriausybės 2001 m. vasario 28 d. nutarimas Nr. 228 Dėl Duomenų teikimo
duomenų subjektui atlyginimo tvarkos ir Duomenų surinkimo iš registruotų duomenų valdytojų
atlyginimo tvarkos patvirtinimo;
Lietuvos Respublikos Vyriausybės 2001 m. sausio 31 d. nutarimas Nr. 112 Dėl valstybės kadastrų,
klasifikatorių ir registrų duomenų teikimo neatlygintinai 2001 metais;
Lietuvos Respublikos Vyriausybės 2000 m. rugpjūčio 30 d. nutarimas Nr. 1011 Dėl kreipimosi į
Respublikos Prezidentą su prašymu pateikti Lietuvos Respublikos Seimui ratifikuoti 1981 metų
Konvenciją dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu;
Lietuvos Respublikos Vyriausybės 2000 m. rugpjūčio 30 d. nutarimas Nr. 516 Dėl Lietuvos
Respublikos asmens duomenų teisinės apsaugos įstatymo pakeitimo įstatymo projekto pateikimo
Lietuvos Respublikos Seimui;
Lietuvos Respublikos Vyriausybės 2000 m. kovo 27 d. nutarimas Nr. 349 Dėl Asmens duomenų
valdytojų valstybės registro įsteigimo ir šio registro nuostatų patvirtinimo;
Lietuvos Respublikos Vyriausybės 1998 m. rugsėjo 08 d. nutarimas Nr. 1085 Dėl Valstybinės
duomenų apsaugos inspekcijos prie Valdymo reformų ir savivaldybių reikalų ministerijos nuostatų;
Lietuvos Respublikos Vyriausybės 1998 m. sausio 08 d. nutarimas Nr. 14 Dėl duomenų perrašymo į
Nekilnojamojo turto registrą etapų;
Lietuvos Respublikos Vyriausybės 1997 m. spalio 13 d. nutarimas Nr. 1126 Dėl Valstybinės
mokesčių inspekcijos, Valstybinio socialinio draudimo fondo valdybos ir Valstybinės ligonių kasos
Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 04 d. nutarimas Nr. 952 Dėl duomenų apsaugos
valstybės ir vietos savivaldos informacinėse sistemose;
Lietuvos Respublikos Vyriausybės 1997 m. liepos 04 d. nutarimas Nr. 726 Dėl valstybės registrų
duomenų naudojimo ir Valstybės registrų sąrašo nuostatų patvirtinimo;
Lietuvos Respublikos Vyriausybės 1996 m. spalio 10 d. nutarimas Nr. 1185 Dėl Valstybinės
duomenų apsaugos inspekcijos įsteigimo;
Lietuvos Respublikos Vyriausybės 1992 m. rugsėjo 21 d. nutarimas Nr. 681 Dėl kompiuterinių
programų ir duomenų bazių teisinės apsaugos;
Lietuvos Respublikos ryšių ir informatikos ministerijos 1997 m. birželio 25 d. Įsakymas Nr. 17 Dėl
asmens duomenų teikimo sutarties.
2001 kovo 09 d. Valstybinio patentų biuro direktoriaus įsakymas Nr. 27 Dėl LR prekių ženklų
registro duomenų skelbimo.
2001 vasario 20 d. įstatymu Nr. IX-189 ratifikuota ET Konvencija dėl asmenų apsaugos ryšium su
asmens duomenų automatizuotu tvarkymu (ETS Nr. 108).
1996 m. LR Nekilnojamojo turto registro įstatymo (pakeistas 2001 m. birželio 21 d. įstatymu Nr.
IX-391) 42 straipsnis (Teisė naudotis nekilnojamojo turto registro duomenimis).