Ekspertizė. Dėl Lietuvos Respublikos Asmens duomenų teisinės apsaugos įstatymo pakeitimo įstatymo XP-1350(2)

Santrauka
Lietuvos laisvosios rinkos institutas atliko Lietuvos Respublikos Asmens duomenų teisinės apsaugos įstatymo pakeitimo įstatymo XP-1350(2) (toliau – įstatymo projekto) ekspertizę ir pateikia pastabas bei pasiūlymus dėl projekto tobulinimo. Į įstatymo projektą siekta pažvelgti sistemiškai, pasisakyta dėl įstatymo tikslo, reguliavimo krypties ir pobūdžio, jo atitikimo Europos Parlamento ir Tarybos 1995 m. spalio 24 d. Direktyvai Nr. 95/46/EB Dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (toliau – Direktyva Nr. 95/46/EB). Konkrečiais siūlymais siekiama reguliuojamų santykių reglamentavimą padaryti visapusiškesnį, atsverti pernelyg reguliacinius projekto rengėjų ketinimus.
I. Bendras įstatymo projekto vertinimas
1.                         Aptariamą sritį reglamentuojančio nacionalinio teisės akto pavadinimas „Asmens duomenų teisinės apsaugos įstatymas“ yra iš dalies klaidinantis, nes visas diskusijas fokusuoja į asmens privatumo gynimą ir nepagrįstai neįvertina asmens duomenų tvarkymu kuriamos pridėtinės vertės.
Neneigiant žmogaus teisės į privatumą svarbos, reikia pastebėti, kad apie asmens duomenų apsaugą šiuo atveju kalbama visų pirma ne dėl to, kad norima numatyti sankcijas už teisės į asmens privatumą pažeidimus (tokios sankcijos yra numatytos Baudžiamajame kodekse, ATPK) ar šios teisės gynimo mechanizmus (kurie egzistuoja tiek nacionaliniu, tiek tarptautiniu mastu), tačiau dėl to, kad asmens duomenys „yra apyvartoje“, duomenų tvarkymas yra objektyviai vykstantis, vis didesnes apimtis įgyjantis reiškinys. Duomenų tvarkymas pats savaime neturi tikslo pažeisti asmens teisės į privatumą, nes duomenys tvarkomi konkrečiais, duomenų valdytojui, o dar dažniau pačiam duomenų subjektui  naudingais tikslais.
Kita vertus, tai, kad šio duomenų buvimo apyvartoje metu asmens duomenys tampa „lengviau prieinami“ tretiesiems asmenims, galintiems juos panaudoti neteisėtiems tikslams, ir tai, kad atsiranda galimybė, nesant būtinybės, ypatingiems asmens duomenims tapti viešais, pagrindžia šių santykių reglamentavimo reikalingumą.
Tačiau pastebėtina, kad ES teisės aktas, su kurio nuostatomis derinamas nacionalinis reglamentavimas – EB Duomenų apsaugos direktyva 95/46/EB – akcentuoja ne tik asmens duomenų apsaugą, bet ir laisvo asmens duomenų judėjimo, prisidedančio prie ekonominės ir socialinės pažangos, prekybos plėtros bei žmonių gerovės, svarbą. Direktyvoje pastebima, kad įvairiose Bendrijos ekonominės ir socialinės veiklos srityse vis dažniau imamasi tvarkyti asmens duomenis; ekonominė ir socialinė integracija neišvengiamai sąlygos išaugusius asmens duomenų srautus iš vienos valstybės į kitą tarp visų valstybėse narėse esančių valstybinio ar privataus sektoriaus subjektų; kad dėl informacinės technologijos pažangos yra kur kas lengviau tokius duomenis tvarkyti ir jais apsikeisti; nurodoma, kad duomenų tvarkymo sistemos skirtos tarnauti žmogui ir pan. Taigi Direktyvos pavadinimu, preambule (pvz. 2, 3, 4, 5, 6 ir kt. punktai), 1 str. numatyta dvejopa reguliavimo paskirtimi bei kitomis nuostatomis yra  išlaikomas balansas tarp asmens privatumo apsaugos ir duomenų judėjimo, tvarkymo svarbos.
2.                         Tiek galiojanti, tiek naujai siūloma įstatymo redakcija įgalina manyti, kad įstatymų leidėjas (rengėjas) remiasi prielaida, kad asmens duomenys yra tarsi neatskiriama asmens dalis. Taip traktuojant, bet koks asmens duomenų viešumas sutapatinamas su asmens ir jo privataus gyvenimo paviešinimu, o iš esmės – su teisės į privatumą pažeidimu. Laikantis šios logikos ir yra konstruojamas įstatymas – numatant ribojimus ir kontrolės mechanizmus. Šis požiūris atsispindi ir kartu su nauja įstatymo redakcija teikiamame aiškinamajame rašte: „Šie pakeitimai užtikrins aiškesnį asmens duomenų tvarkymo reguliavimą bei efektyvesnę priežiūrą“.
Asmens duomenų vertinimas tik asmens privatumo požiūriu yra tik vienas reguliuojamų santykių aspektas, tačiau ne vienintelis. Asmens duomenys yra objektyviai egzistuojantys ir atskiri nuo paties asmens, jie nėra ir asmens nuosavybė. Asmens duomenys atlieka svarbią informacinę, komunikavimo funkciją, nes asmenį identifikuojantys duomenys (asmens kodas, vardas, pavardė, adresas) įgalina asmenį atlikti sau naudingus veiksmus: save identifikuoti, gauti informaciją, naudotis viešosiomis ar komercinėmis paslaugomis ar produktais ir pan.
Įstatymo leidėjui išsikėlus užduotį reguliuoti daugumą asmens duomenų naudojimo atvejų, kyla pavojus, kad asmuo neteks galimybės naudotis visomis jo asmens duomenų panaudojimo teikiamomis galimybėmis (pvz. negaus specializuoto, konkrečiai jam parengto pasiūlymo, net ir norėdamas negalės leisti tvarkyti jo asmens duomenis ir teikti juos tretiesiems asmenims be jo sutikimo ir pan.) ar patirs kitų nepageidaujamų pasekmių (turės skirti laiko įvairių sutikimų teikimui, už paslaugas turės mokėti daugiau, nes išaugs tų paslaugų teikimo sąnaudos ir pan.).
Asmens duomenų ir asmens privatumo tapatinimas nėra akivaizdus ir teismų praktikoje. Pvz., Europos žmogaus teisių teismas 1992 m. gruodžio 16 d. sprendime byloje Niemietz prieš Vokietiją nurodė, kad „nėra nei galimybės, nei būtinybės išsamiai apibrėžti sąvoką „privatus gyvenimas“ (LR Konstitucinio teismo 2000-05-08 nutarimas). Privatumo samprata taip pat kinta ir atsižvelgiant į informacijos internetinėje erdvėje plitimo mastus.
Taigi, asmens duomenys – tai žinios apie asmenį, kurias imamasi saugoti ir privačiai, ir valstybės pastangomis. Pasiekti informacijos apie asmenį judėjimo ir viešumo absoliučios kontrolės nėra pajėgus nei pats asmuo, nei jokia institucija (nebent neliktų žiniasklaidos, elektroninės erdvės ir pan.). Dėl skirtingų žmonių preferencijų ir realybės santykių įvairovės apibrėžti visiems vienodų ribų nėra įmanoma. Šios skirtingos žmonių preferencijos (jaustis saugiam; gauti informaciją; skleisti apie save informaciją ir kt.) ir yra pagrindas kvestionuoti išskirtinį valstybės vaidmenį asmens duomenų tvarkymo ir apsaugos santykiuose.
3.                         Įstatymo projekte pernelyg didelis dėmesys skiriamas duomenų tvarkymo atskirose visuomeninių santykių srityse detaliam reglamentavimui, prevencinių priemonių numatymui, kontroliuojančios institucijos galių plėtimui, kai tuo tarpu „tikram“, fiziniam duomenų tvarkymo proceso saugumui skirtas vienintelis įstatymo projekto 30 straipsnis „Duomenų saugumas“.
Išsikėlus tikslą ypač detaliai reglamentuoti atskiras santykių rūšis ir duomenų tvarkymo atvejus, kyla pavojus, kad bus ne tik užkirstas kelias aiškiai neteisėtam asmens duomenų naudojimui, bet ir nepagrįstai suvaržomi ar apsunkinami savanoriški duomenų subjektų ir duomenų valdytojų santykiai, apribota asmenų teisė į informaciją ir teisė į kokybiškas paslaugas, asociacijų laisvė ir ūkinės veiklos laisvė.
Baigtinio atskirų veiklos sektorių sąrašo (kuriame: visuomenės informavimo priemonių veikla, socialinio draudimo ir socialinės paramos veikla, sveikatos apsaugos sektorius, piliečių teisių įgyvendinimas rinkimų, referendumų, piliečių įstatymų leidybos iniciatyvos atveju, mokslinių tyrimų atlikimas, statistinių tyrimų vykdymas, tiesioginės rinkodaros veiksmai, elektroninių ryšių veikla, mokumo vertinimo ir įsiskolinimo valdymo veikla) reguliavimas gali tapti kliūtimi santykiams būti dinamiškiems, taip pat informacinei visuomenei plėtotis. Tuo pačiu atkreiptinas dėmesys, kad atskirų santykių reglamentavimo atvejais (pvz., tiesioginės rinkodaros reguliavimo aspektu), formuluotės nėra pakankamai aiškios, o tai sudaro prielaidas skirtingai jų interpretacijai ir galimybei ginčams tarp duomenų valdytojų ir Valstybinės duomenų apsaugos inspekcijos kilti.
Čia taip pat gali būti pastebėta, kad įstatymų leidėjo užmojis yra griežčiau reglamentuoti privačių duomenų valdytojų veiklą, tačiau nekvestionuoti valstybės ir savivaldybių institucijų atliekamo duomenų tvarkymo. Valstybės bei kitų registrų integravimo procesas, asmens duomenų laisvas judėjimas valstybiniame sektoriuje sudaro prielaidas tapti viešiems ne tik atskiriems asmens duomenims, bet ir žymiai išsamesnei informacijai apie asmenį.[1]
 
II. Konkretūs siūlymai įstatymo projekto tobulinimui
 
1.                   Dėl įstatymo pavadinimo
Atsižvelgiant į aukščiau išdėstytus argumentus,
§                siūlome keisti įstatymo pavadinimą į „Asmens duomenų teisinės apsaugos tvarkant asmens duomenis įstatymas“ arba „Asmens duomenų tvarkymo ir asmens duomenų teisinės apsaugos įstatymas“.
Tokiu būdu įstatymo pavadinimas adekvačiau atspindėtų reglamentuojamų santykių pobūdį ir sudarytų prielaidą siekti asmens duomenų apsaugos ir racionalaus duomenų tvarkymo pusiausvyros.
 
2.                   Dėl Direktyvos 95/46/EB nuostatų dėl skatinimo parengti etikos kodeksus specifiniuose sektoriuose perkėlimo į nacionalinį įstatymą
Direktyvos 27 straipsniu pasisakoma už etikos kodeksų, kurie padėtų tinkamai įgyvendinti nacionalines nuostatas atsižvelgiant į specifinius įvairių sektorių bruožus, rengimo skatinimą. Tuo tarpu įstatymo projektu siekiama kuo detaliau reglamentuoti baigtinį specifinių sektorių sąrašą, nenumatant galimybės dalies šių santykių, o taip pat kitų įstatyme neaptartų santykių, sureguliuoti etikos kodeksų („soft law“) pagalba.
§                siūlome mažinti konkrečių atvejų reguliavimo detalumą ir didesnį dėmesį skirti bendrųjų principų, Direktyvos 95/46/EB preambulėje išdėstytų siekių įtvirtinimui (projekto 1, 3, 5 straipsniuose arba įstatymo preambulėje, jei ji būtų).
3.                   Dėl įstatymo projekto 5 str. nuostatų dėl asmens duomenų, susijusių su teistumu, tvarkymo
Įstatymo projekto 5 str. 4 dalis numato, kad asmens duomenis, susijusius su asmens teistumu, nusikalstamomis veikomis ar saugumo priemonėmis, vykdant nusikalstamų veikų prevenciją, gali tvarkyti tik valstybės institucija ar įstaiga, o kiti fiziniai ar juridiniai asmenys tokius duomenis gali tvarkyti Lietuvos Respublikos įstatymų nustatytais atvejais, kai yra tinkamai įgyvendintos Lietuvos Respublikos įstatymuose ir kituose teisės aktuose nustatytos priemonės duomenų subjekto teisėtiems interesams apsaugoti. Įtvirtinus tokią nukreipiančiąją normą ir įstatymais reglamentuojant tik svarbesniųjų visuomeninių santykių kategorijas[2], nėra aišku, ar visais kitais atvejais bei tikslais atliekamas su asmens padarytais pažeidimais susijusios informacijos tvarkymas nebūtų pripažintas prieštaraujančiu šiai normai.
Praktikoje gali būti atvejų, kai privatūs ir viešieji (tačiau ne valstybės ar savivaldybių) juridiniai asmenys yra suinteresuoti vykdyti apskaitą asmenų, kurie yra tiesiogiai pažeidę šių privačių ir viešųjų juridinių asmenų teises, sąlygoję turtinius nuostolius (pvz., sukeltos muštynės bare, riaušės sporto rungtynių metu, nesąžiningas elgesys tarpusavio verslo santykiuose ir pan.). Ir nors nuostolių patyrę subjektai neturi teisės imtis teisingumo vykdymo, tačiau turi visiškai pagrįstą  teisę ateityje siekti riboti savo santykius su pažeidimus jų ar jų klientų atžvilgiu padariusiais asmenimis, taigi ir tvarkyti informaciją apie pažeidėjus. Iš reglamentavimo nėra aišku, ar aptartais atvejais nurodytu tikslu (siekiant apsaugoti savo interesus) atliekamas pažeidimus padariusiųjų asmenų duomenų, tarp kurių gali būti ir su teistumu susijusių asmens duomenų, tvarkymas nebūtų pripažintas neteisėtu. Todėl
§                siūlome papildyti įstatymo projekto 5 straipsnį nauja 5 dalimi: „5. Asmens duomenų tvarkymas, kai duomenų valdytojas tvarko informaciją apie neteisėtą, nesąžiningą, netoleruotiną kitų asmenų veiklą ir kai ši informacija yra tiesiogiai susijusi su duomenų valdytojo veikla ar atliekamomis funkcijomis, nelaikomas asmens duomenų, susijusių su asmens teistumu, nusikalstamomis veikomis ar saugumo priemonėmis tvarkymu, šio straipsnio 4 dalyje nurodyta prasme.“
Toks papildymas nuosekliai derėtų su įstatymo projekto ketvirtuoju skirsniu, kuriame reglamentuojamas asmens duomenų tvarkymas asmens mokumui įvertinti ir įsiskolinimui  valdyti ir kuriame pripažįstamas finansų institucijų interesas tvarkyti finansinių ir (ar) turtinių įsipareigojimų neįgyvendinusių subjektų (skolininkų) duomenis. O taip pat atitiktų Lietuvos Respublikos Konstitucinio teismo doktriną bei Lietuvos Aukščiausiojo teismo praktiką, kur nurodoma, kad „Žmogaus privataus gyvenimo apsaugos ribos baigiasi tada, kai jis savo veiksmais nusikalstamai ar kitaip neteisėtai pažeidžia teisės saugomus interesus, daro žalą atskiriems asmenims, visuomenei ir valstybei.“ (Konstitucinio Teismo 2000-05-08 nutarimas), „teisė į privatų gyvenimą nėra absoliuti. Tiek Konstitucijos 22 straipsnis, tiek ir Europos žmogaus teisių ir pagrindinių laisvių apsaugos konvencijos 8 straipsnio 2 dalis numato, kad ši teisė gali būti ribojama, esant tam tikroms aplinkybėms. Vienas iš teisės į privatų gyvenimą ribojimo pagrindų – būtinumas apsaugoti kitų asmenų teises ir laisves.“ (LAT nutartis c.b. Nr. 3K-3-1373/2002).
4.                   Dėl įstatymo projekto 7 str. nuostatų dėl asmens kodo naudojimo
Projekto rengėjų siūlomu reglamentavimu (7 str. 2 ir 5 dalys) uždraudžiant naudoti asmens kodą tiesioginės rinkodaros tikslais, net ir tuo atveju, kai yra duomenų subjekto sutikimas, pirmiausia yra pažeidžiama duomenų subjekto teisė tvarkyti, saugoti savo duomenis ir pačiam nustatyti apsaugos ribas, taip pat pažeidžiama duomenų subjekto teisė rinktis prekes, paslaugas, gauti ar skleisti informaciją. Tiesioginės rinkodaros veiksmai prilyginami visuomenei nenaudingai ar asmenims žalingai veiklai, nuo kurios visuomenė ir atskiri asmenys (duomenų subjektai) būtų saugomi. Toks požiūris į tiesioginę rinkodarą, skirtą būtent vartotojui, yra nepagrįstas. Be to, vertinant įstatymą sistemiškai, šiame straipsnyje turėtų būti įtvirtinti tik bendrieji asmens kodo naudojimo ribojimai,  įtvirtinta Atskleidimo autentifikacijos ribose taisyklė[3] ir pan., o tiesioginę rinkodarą reglamentuojančios normos turėtų būti įtvirtintos 14 straipsnyje, kuris skirtas išimtinai tiesioginei rinkodarai reglamentuoti.
Be to, projekto 7 str. 5 d. formuluotė „5. Draudžiama rinkti ir naudoti asmens kodą tiesioginės rinkodaros tikslais“ yra ne tik perteklinė šiame straipsnyje, tačiau taip pat yra nepakankamai tiksli ir gali būti nevienareikšmiškai  interpretuojama – pvz., neaišku, ar duomenų valdytojai nebus laikomi pažeidusiais įstatymą tais atvejais, kai nors tiesioginės rinkodaros veiksmų metu (siunčiant  pasiūlymus) asmens kodo nenaudos, tačiau tvarkys klientų asmens duomenis, tarp jų ir asmens kodą, nes bus gavę šiuos duomenis kitu pagrindu[4].
Jei yra siekiama, kad asmens kodas nebūtų naudojamas paštu ar kitu būdu siunčiant asmenims informaciją, teikiant pasiūlymus ar teiraujantis jų nuomonės, šią konkrečią nuostatą ir reikėtų įtvirtinti 14 straipsnyje, skirtame tiesioginei rinkodarai.
§                siūlome išbraukti įstatymo projekto 7 str. 5 dalį „5. Draudžiama rinkti ir naudoti asmens kodą tiesioginės rinkodaros tikslais.“ ir atitinkamai šio str. 2 dalyje žodžius „atvejus, nurodytus šio straipsnio 4 ir 5 dalyse“ pakeisti žodžiais „atvejį, nurodytą šio straipsnio 4 dalyje“. Išbraukus, papildyti 14 straipsnį nuostata dėl asmens kodo naudojimo ribojimo tiesioginėje rinkodaroje (žr. siūlymus dėl 14 str.)
§                siūlome 7 straipsnyje įtvirtinti bendrąsias, o ne specialiąsias nuostatas dėl asmens kodo naudojimo: išbraukti 7 str. 3 dalies 4 punkto žodžius „Šiame punkte nurodyti juridiniai asmenys asmens kodą gali naudoti tik tuo tikslu, kuriuo jis buvo gautas bei tik tais atvejais, kai tai yra būtina teisėtam ir apibrėžtam asmens duomenų tvarkymo tikslui pasiekti“ ir straipsnį papildyti nauja 5 dalimi: „5. Asmens kodą galima naudoti tik tuo tikslu, kuriuo jis buvo gautas bei tik tais atvejais, kai tai yra būtina teisėtam ir apibrėžtam asmens duomenų tvarkymo tikslui pasiekti. Duomenų valdytojai turi siekti nenaudoti asmens kodo, kai teisėtų tikslų įgyvendinimui asmens kodo naudojimas nėra būtinas.“
5.                   Dėl įstatymo projekto 11 str. nuostatų dėl asmens duomenų tvarkymo rinkimų, referendumo, piliečių įstatymų leidybos iniciatyvos tikslais
11 str. 2 dalyje numatyti ribojimai skelbti informaciją apie kandidatus ir kitus asmenis interneto tinklalapyje yra pagrįsti, tačiau nepakankami, jei yra siekiama neskelbti asmens tikslaus gyvenamosios vietos adreso. Praktikoje interneto tinklalapyje yra skelbiami kandidatų ir kitų asmenų turimo nekilnojamojo turto tikslūs adresai, kurie iš esmės yra asmens gyvenamosios vietos adresai, nes nekilnojamąjį turtą – butą, namą – turintys asmenys paprastai jame (ar viename iš turimų) ir gyvena. Taip įstatymo leidėjo ketinimas nenurodyti kandidatų ir kitų asmenų tikslios gyvenamosios vietos lieka neįgyvendintas.
§                siūlome 11 str. 2 dalyje po žodžių „tikslus gyvenamosios vietos adresas“, po kablelio įrašyti žodžius „tikslus turimo nekilnojamojo turto adresas“.
6.                   Dėl įstatymo projekto 12 str. nuostatų dėl asmens duomenų tvarkymo mokslinio tyrimo tikslais
Projekto 12 str. 1 dalies nuostatos yra pernelyg varžančios mokslinių tyrimų atlikimą. Iš projekto 12 str. ir 13 str. nuostatose nurodyta, kad įstatymų leidėjas mokslinius tyrimus laiko pavojingesne asmens privatumui veikla nei, pvz., asmens duomenų tvarkymą statistikos tikslais, kuomet nėra reikalaujama duomenų subjektų sutikimo ir išankstinės Valstybinės duomenų apsaugos inspekcijos patikros. Toks skirtingas šių savo esme panašių santykių traktavimas nėra pagrįstas.
§                siūlome pakeisti 12 straipsnio 2 dalį ir išdėstyti ją taip: „2. Šio straipsnio 1 dalies nuostatos netaikomos tais atvejais, kai moksliniam tyrimui panaudoti asmens duomenys nedelsiant pakeičiami taip, kad nebūtų galima nustatyti duomenų subjekto tapatybės.“, taip pat numatyti kitus atvejus ir/ar kriterijus, kuomet tvarkant asmens duomenis mokslinio tyrimo tikslais, nėra reikalingas nei duomenų subjekto sutikimas, nei išankstinė patikra.
7.                   Dėl įstatymo projekto 14 str. nuostatų dėl asmens duomenų tvarkymo tiesioginės rinkodaros tikslais
Jau buvo pastebėta, kad įstatymų leidėjas nepagrįstai tiesioginės rinkodaros veiksmus traktuoja kaip keliančius padidintą pavojų asmens privatumui ir neatsižvelgia į pačią rinkodaros veiksmų prigimtį ir paskirtį. Manoma (įstatymo leidėjas mano), kad prekių ir paslaugų siūlymas yra verslo subjektų interesas, kuris konkuruoja su asmens teise į privatumą. Nematoma kita rinkodaros veiksmų pusė – tai, kad prekių ir paslaugų siūlymu asmenims suteikiama informacija ir galimybė rinktis. Lietuvos Respublikos Konstitucinis teismas yra atkreipęs dėmesį, kad „visuotinai pripažįstama, kad šiuolaikinėje visuomenėje informacija yra žmogaus poreikis, jo žinojimo matas /…/ Žmogaus teisių ir laisvių įgyvendinimas yra tiesiogiai susijęs su žmogaus galimybe gauti iš įvairių šaltinių informaciją ir ja naudotis“ (1996-12-19 nutarimas). Pažymėtina, kad Direktyva 95/46/EB niekaip neišskiria tiesioginės rinkodaros veiksmų ir nenumato ypatingesnių asmens duomenų tvarkymo ribojimų šiuose santykiuose. Nacionalinis reglamentavimas yra nepagrįstai griežtesnis šioje srityje.
Įstatymo projekto 14 str. įtvirtina opt-in (išankstinio sutikimo) reikalavimą. Be to, šio straipsnio 4 dalies formuluotė yra ypač paini: viena vertus, galima manyti, kad duomenų valdytojai, kurie jau yra gavę klientų kontaktinius asmens duomenis, šiuos duomenis gali naudoti be atskiro duomenų subjekto sutikimo panašių prekių ar paslaugų rinkodarai, jei klientams yra suteikiama aiški, nemokama ir lengvai įgyvendinama galimybė nesutikti arba atsisakyti, kita vertus sakinio paskutinioji dalis (nuo žodžių „kai šie duomenys yra renkami“) kalba apie galimybės atsisakyti buvimą jau duomenų rinkimo metu. Jei įstatymo leidėjas numato išlygą dėl įstatymo įsigaliojimo metu jau įvykusių santykių, tai ši išlyga turi būti apibrėžta aiškiai ir nedviprasmiškai.
Siūlome įstatymo projekto 14 str. visais atvejais – tiek jau įvykusiems santykiams, tiek būsimiems – įtvirtinti taip vadinamąją opt-out (vėlesnio atsisakymo) taisyklę, kuri reiškia, kad klientas turi lengvai įgyvendinamą galimybę atsisakyti pranešimų ir pasiūlymų. Toks reglamentavimas atitiktų tarptautinę praktiką – Europos Tarybos Ministrų komiteto 1985 m. rekomendaciją R(85)20 Dėl asmens duomenų, naudojamų tiesioginės rinkodaros tikslais, apsaugos[5], nekeltų nereikalingų diskusijų dėl tiesioginės rinkodaros apibrėžimo interpretavimo[6], nesudarytų prielaidų dėl papildomo apsunkinimo didėti prekių ir paslaugų kainoms bei, svarbiausia, užtikrintų duomenų subjektų teisės į informaciją įgyvendinimą.
§                siūlome tokią įstatymo 14 str. redakciją:
„14 straipsnis. Asmens duomenų tvarkymas tiesioginės rinkodaros tikslais
1. Asmens duomenys gali būti tvarkomi tiesioginės rinkodaros tikslais, jeigu juos renkant yra nustatoma asmens duomenų saugojimo trukmė.
2. Duomenų valdytojas privalo sudaryti aiškią, nemokamą ir lengvai įgyvendinamą galimybę duomenų subjektui išreikšti sutikimą ar nesutikimą dėl jo asmens duomenų tvarkymo tiesioginės rinkodaros tikslais.
3. Duomenų valdytojas, kuris teikdamas paslaugas ar parduodamas prekes šio įstatymo nustatyta tvarka ir sąlygomis yra gavęs iš duomenų subjektų, esančių jo klientais, kontaktinius asmens duomenis (vardas, pavardė ir adresas), šiuos duomenis gali naudoti savo paties panašių prekių ar paslaugų rinkodarai, jei klientams yra suteikiama aiški, nemokama ir lengvai įgyvendinama galimybė nesutikti arba atsisakyti tokio duomenų naudojimo anksčiau nurodytais tikslais.
4. Atliekant tiesioginės rinkodaros veiksmus yra draudžiama naudoti asmens kodą, išskyrus atvejus, kai duomenų subjektas yra davęs rašytinį sutikimą dėl asmens kodo tvarkymo tiesioginės rinkodaros tikslais ir kai asmens kodo naudojimas atitinka šio įstatymo 7 straipsnio reikalavimus.
5. Jei duomenų subjektas duomenų valdytojui išreiškė nesutikimą, kad jo duomenys būtų tvarkomi ir naudojami tiesioginės rinkodaros tikslais, duomenų valdytojas privalo nutraukti duomenų subjekto asmens duomenų tvarkymą ir naudojimą šiuo tikslu.“
8.                   Dėl įstatymo projekto 17 str. nuostatų dėl vaizdo stebėjimo darbo vietoje
Projekto rengėjai siūlo įtvirtinti reguliavimą, kuomet yra leidžiama vykdyti vaizdo stebėjimą darbo vietoje kai yra būtina užtikrinti asmenų ar turto saugumą, tačiau yra draudžiama vykdyti vaizdo stebėjimą siekiant kontroliuoti dirbančio asmens darbo kokybę ir (ar) apimtis.
Toks situacijų atribojimas nėra tinkamas, nes darbo kokybė ir(ar) apimtys reiškia ir darbuotojui patikėtų gamybos priemonių efektyvų arba neracionalų naudojimą, turtinių vertybių (gamybos produkto) kūrimą, darbo saugos taisyklių laikymąsi ar pažeidimus, galinčius sąlygoti gamybos priemonių sugadinimą ar asmenų sužalojimą, paties darbuotojo susižalojimą ir pan., taigi nebūtų įmanoma aiškiai atskirti, kuomet vaizdo stebėjimas vykdomas siekiant užtikrinti asmenų ir turto saugumą, o kuomet kontroliuoti darbo kokybę ir(ar) apimtis. Net ir tais atvejais, kuomet darbinė veikla yra tiesiogiai susijusi su materialinėmis vertybėmis ar turto ir asmenų apsauga (pvz. kasininko, kazino darbuotojo, saugos darbuotojo darbas), situacijos galės būti interpretuojamos nevienareikšmiškai ir sąlygos ginčų tarp vaizdo stebėjimo veiksmus atliekančių duomenų valdytojų ir kontroliuojančios institucijos atsiradimą. Todėl
§                siūlome išbraukti 17 straipsnio 2 dalį „2. Draudžiama vykdyti vaizdo stebėjimą siekiant kontroliuoti dirbančio asmens darbo kokybę ir (ar) apimtis.“
9.                   Dėl Direktyvos 95/46/EB nuostatų dėl supaprastinto reikalavimo pranešti priežiūros institucijai apie automatinį duomenų tvarkymą arba atleidimo nuo pranešimo perkėlimo į įstatymą  ir įstatymo projekto 32 str. tikslingumo
Direktyvos 18 straipsnio 1 dalis numato duomenų valdytojo prievolę prieš atliekant visiškai ar iš dalies automatinę tvarkymo operaciją arba operacijų grupę pranešti apie tai priežiūros institucijai, o to paties straipsnio 2, 3, 4, 5 dalyse numatyta supaprastinto pranešimo arba atleidimo nuo pranešimo galimybė. Pranešimo supaprastinimo ar atleidimo nuo pranešimo viena iš sąlygų yra reikalavimas duomenų valdytojui paskirti nepriklausomą pareigūną, kuris užtikrintų duomenų apsaugą reglamentuojančio teisės akto nuostatų laikymąsi. Pažymėtina, kad Asmens duomenų teisinės apsaugos įstatymą siūloma papildyti nauju 32 straipsniu, kuris numato, kad duomenų valdytojas „turi teisę paskirti už duomenų apsaugą atsakingą asmenį ar padalinį“, tačiau nenumatoma, kokiu tikslu toks asmuo ar padalinys galėtų būti steigiamas.
Neperkeliant direktyvos nuostatų dėl supaprastinto pranešimo ar atleidimo nuo pranešimo, siūlomas 32 straipsnis yra perteklinis ir galintis sąlygoti situaciją, kai duomenų valdytojai bus raginami kurti papildomą padalinį (nes tokia galimybė numatyta įstatyme), tačiau nesinaudos direktyvoje numatyta lengvata dėl pranešimo supaprastinimo. Nors Direktyvos ir įstatymo projekto atitikties lentelėje nurodoma, kad šiuo straipsniu yra perkeliamos Direktyvos nuostatos, šis perkėlimas realiai nėra atliktas.
§                siūlome įstatymo projekto septintą skirsnį papildyti nauju straipsniu „Supaprastintas pranešimas apie duomenų tvarkymą ir atleidimas nuo pranešimo“, kuriuo į įstatymą būtų perkeltos Direktyvos 95/46/EB 18 straipsnio 2-5 dalių nuostatos dėl supaprastinto pranešimo apie duomenų tvarkymą ar duomenų valdytojų atleidimo nuo pranešimo (tais atvejais, kuomet duomenų valdytojas yra paskyręs už duomenų apsaugą atsakingą asmenį ar padalinį) arba šiomis nuostatomis papildyti įstatymo projekto 31 arba 32 straipsnius.
10.                Dėl įstatymo projekte įtvirtintų Valstybinės duomenų apsaugos inspekcijos  (VDAI) teisių ir pareigų
10.1. Projekto rengėjai siūlo atsisakyti šiuo metu galiojančioje įstatymo redakcijoje 33 str. 2 dalyje įtvirtintos nuostatos „Jei Valstybinė duomenų apsaugos inspekcija per 2 mėnesius nuo šioje dalyje nurodyto pranešimo gavimo dienos nepriima sprendimo dėl leidimo išdavimo ar atsisakymo jį išduoti, laikoma, kad leidimas duomenų valdytojui atlikti asmens duomenų tvarkymo veiksmus, dėl kurių buvo pateiktas pranešimas, yra išduotas.“ Toks ketinimas laikytinas pažeidžiančiu siekį mažinti biurokratinę naštą valstybėje, neatitinkančiu geresnio reglamentavimo principų[7]bei nepagrįstu Valstybinės duomenų inspekcijos atskaitomybės mažinimu.
§                siūlome 33 str. 2 dalyje po paskutinio sakinio įrašyti: „Jei Valstybinė duomenų apsaugos inspekcija per 2 mėnesius nuo šioje dalyje nurodyto pranešimo gavimo dienos nepriima sprendimo dėl leidimo išdavimo ar atsisakymo jį išduoti, laikoma, kad leidimas duomenų valdytojui atlikti asmens duomenų tvarkymo veiksmus, dėl kurių buvo pateiktas pranešimas, yra išduotas.“ (t.y. siūlome neišbraukti šiuo metu galiojančios nuostatos).
10.2. Projekte siūloma papildyti 46 straipsnyje įtvirtintų Valstybinės duomenų apsaugos inspekcijos teisių sąrašą nauju 9 punktu: „9) asmens duomenų tvarkymo teisėtumo patikrinimo metu renkant įrodymus naudoti fotografavimo, filmavimo ir garso įrašymo įrangą“. Toks reglamentavimas yra kvestionuotinas jau vien dėl to, kad fotografuojama, filmuojama ir įrašinėjama tokia informacija, kurią siekiama apsaugoti viso įstatymo nuostatomis – tai informacija, susijusi su asmens duomenimis. Asmens duomenų tvarkymo apsaugos reikalavimai turi būti privalomi visiems duomenų tvarkytojams, įskaitant ir kontroliuojančią instituciją. Taigi, nuostata, įgalinanti fotografuoti ar filmuoti su asmens duomenų tvarkymu (asmens duomenimis) susijusią informaciją, yra nenuosekli viso įstatymo, ribojančio duomenų tvarkymą, vaizdo stebėjimą, atžvilgiu. Taip pat toks Valstybinės duomenų apsaugos inspekcijos įgaliojimų išplėtimas nėra pagrįstas, lyginant juos su kitų sričių kontroliuojančių institucijų įgaliojimais[8].
§                siūlome išbraukti 46 straipsnio 9 punktą „9) asmens duomenų tvarkymo teisėtumo patikrinimo metu renkant įrodymus naudoti fotografavimo, filmavimo ir garso įrašymo įrangą.
 
11.                Dėl įstatymo projekto 50 str. ir 53 str. numatytų terminų nagrinėjant asmenų skundus
 Projekto 53 str. įtvirtinta, kad Valstybinės duomenų apsaugos inspekcija gavusi skundą, ne vėliau kaip per 3 darbo dienas savo raštu turi patvirtinti skundo priėmimo faktą ir apie tai informuoti pareiškėją. Tuo tarpu 50 str. įtvirtinta, kad inspekcija esant pagrindui atsisakyti nagrinėti skundą, sprendimą dėl skundo nenagrinėjimo turi priimti ir apie tai informuoti pareiškėją ne vėliau kaip per 5 darbo dienas nuo skundo gavimo dienos.
Toks skirtingų terminų įtvirtinimas nėra racionalus, nes sąlygos situacijas, kuomet pareiškėjui per 3 darbo dienas privalės būti išsiųstas patvirtinimas apie skundo priėmimą, o dar po 2 darbo dienų galės būti priimtas sprendimas atsisakyti nagrinėti skundą. Tuo bus neracionaliai naudojami Valstybinės duomenų inspekcijos ištekliai bei darbuotojų laikas (dviejų raštų pareiškėjui parengimas ir išsiuntimas pareiškėjui) bei klaidinamas pareiškėjas (gavęs pranešimą apie skundo priėmimą, pareiškėjas pagrįstai tikėsis jo skundą esant priimtinu. Tuo tarpu, skundo priėmimo klausimas dar nebus baigtas spręsti).
§                siūlome 50 str. 1 dalyje ir 53 straipsnyje numatyti vieną ir tą patį terminą.


[1] Pastarųjų mėnesių žiniasklaidoje atspindėti asmens duomenų paviešinimo atvejai rodo, kad pažeidimų yra tiek privačiame sektoriuje (pvz., į banko šiukšlių maišus pakliuvusios asmens dokumentų kopijos, – „Šiukšlių maišuose prie „Hansabanko“ – klientų pasų kopijos“, Delfi.lt, 2007 liepos 12 d.), tiek valstybinėse institucijose (pvz., tretieji asmenys savanaudiškais tikslais pasinaudojo naujai pagaminto ir asmens niekur iki tol nenaudoto paso duomenimis, – „Trys niekuo dėti vilničiai tapo piktybiškais lizingo bendrovių skolininkais“, „Lietuvos rytas“, 2007 rugpjūčio 13 d.). Atskirais atvejais asmenys ieško kaltų net tuomet, kai patys yra paviešinę savo duomenis (pvz., leidiniui „Kas yra kas Lietuvoje?“ nurodžiusi savo gimimo datą, moteris vėliau stebėjosi, kaip ši data gali būti žinoma tretiesiems asmenims, – „Asmens duomenys – rinkodarai“, „Lietuvos žinios“2007 rugsėjo 10 d.).
[2] Pvz., duomenys apie sukeltus eismo įvykius be duomenų subjekto sutikimo gali būti tvarkomi remiantis LR Transporto priemonių valdytojų civilinės atsakomybės privalomojo draudimo įstatymu, Žin., 2007, Nr. 61-2340.
[3] Ši taisyklė reiškia, kad  prireikus patvirtinti tam tikro asmens tapatumą, tam tikrų jo požymių buvimą (autentifikuoti), dera atlikti minimalaus būtino kiekio asmens duomenų atkleidimą.
[4] Pvz., įmonės, sudariusios paslaugų teikimo sutartis su fiziniais asmenimis (pvz. ryšių sektoriuje) ar prekių tiekimo sutartis su fiziniais asmenimis, besiverčiantiems individualia veikla, ir pan., rinks ir tvarkys  klientų/partnerių asmens duomenis, taip pat ir asmens kodus. Tiesioginė rinkodara šiuose verslo santykiuose yra viena iš veiklų
[5] Rekomendacijos 2.1-2.5 dalyse nurodyta kaip gali/turi būti renkami duomenys, o 4.1-4.2 dalyse nurodyta, kokias teises turi duomenų subjektas. Rekomendacijos 4 dalyje lygiagrečiai nurodyta tiek opt-in (išankstinio sutikimo), tiek opt-out (paskesnio atsisakymo) galimybė, nei vienai neteikiant prioriteto ir nurodant, kad duomenų subjektas turi turėti bent vieną iš šių galimybių.
[6] Nors įstatyme tiesioginės rinkodaros sąvoka apibrėžta, lieka neaišku, ar kreipimasis į asmenį siekiant gauti sutikimą jo atžvilgiu vykdyti tiesioginės rinkodaros veiksmus nebus priskirtas prie tiesioginės rinkodaros veiksmų. Taip pat sunku būtų nustatyti ribą, pvz., tarp klientui teikiamos informacijos apie vartojamos paslaugos savybes ir informacijos apie naujus tos pačios paslaugos ypatumus ir pan.
[7] Šie principai įtvirtinti 2006 m. gruodžio 12 d. Europos Komisijos komunikate Pavasario Europos Vadovų Tarybai „Atnaujintos Lisabonos strategijos ekonomikos augimui ir darbo vietų kūrimui įgyvendinimas“ (KOM (2006) 816), kuriame taip pat pabrėžiama, kad, siekiant užtikrinti tolesnę pažangą, nacionaliniu ir Bendrijos lygmeniu, turi būti kuriama nauja reglamentavimo kultūra. 2007 m. kovo 8–9 d. Europos Vadovų Taryba pritarė Europos Komisijos pasiūlymui iki 2012 metų 25 proc. sumažinti su ES teisės aktais susijusią administracinę naštą.
[8] Pvz., Mokesčių administravimo įstatyme mokesčių inspekcijai ši teisė nors ir numatyta, tačiau apribota: mokesčių inspektorius turi teisę „nepažeisdamas įstatymų garantuojamo asmens privataus gyvenimo neliečiamumo, fotografuoti, daryti garso ir vaizdo įrašus“. Šiuo atveju reikėtų vadovautis proporcingumo principu: mokesčių inspekcijai, ginančiai viešąjį interesą (kurio negina privatūs subjektai) gali būti numatyti platesni įgaliojimai, tuo tarpu asmens duomenų apsaugos atveju duomenų apsauga yra ne tik kontroliuojančios institucijos, bet ir pačių duomenų valdytojų (ypač privačių) interesas, todėl VDAI įgaliojimai turėtų būti siauresnės apimties.