This document is an excerpt from the EUR-Lex website
Document 52018DC0638
GUIDANCE DOCUMENT Commission guidance on the application of Union data protection law in the electoral context A contribution from the European Commission to the Leaders' meeting in Salzburg on 19-20 September 2018
REKOMENDACINIS DOKUMENTAS Komisijos gairės dėl Sąjungos duomenų apsaugos teisės aktų taikymo rinkimams Europos Komisijos medžiaga vadovų susitikimui Zalcburge 2018 m. rugsėjo 19 - 20 d.
REKOMENDACINIS DOKUMENTAS Komisijos gairės dėl Sąjungos duomenų apsaugos teisės aktų taikymo rinkimams Europos Komisijos medžiaga vadovų susitikimui Zalcburge 2018 m. rugsėjo 19 - 20 d.
COM/2018/638 final
EUROPOS KOMISIJA
Briuselis, 2018 09 12
COM(2018) 638 final
Laisvi ir sąžiningi rinkimai
REKOMENDACINIS DOKUMENTAS
Komisijos gairės dėl Sąjungos duomenų apsaugos teisės aktų taikymo rinkimams
Europos Komisijos medžiaga vadovų susitikimui Zalcburge 2018 m. rugsėjo 19 - 20 d.
Komisijos gairės dėl Sąjungos duomenų apsaugos teisės aktų taikymo rinkimams
Bendravimas su rinkėjais yra demokratinio proceso pagrindas. Politinės partijos laikosi įprastos praktikos – komunikaciją su rinkėjų auditorija pritaiko prie konkrečių jų interesų. Todėl savaime suprantama, kad rinkimuose dalyvaujantys subjektai ieško galimybių panaudoti duomenis taip, kad laimėtų balsų. Dėl populiarėjančių skaitmeninių priemonių ir internetinių platformų atsirado daugybė naujų galimybių įtraukti žmones į politines diskusijas.
Tačiau tikslinės orientacijos į rinkėjus priemonės, pagrįstos neteisėtu asmens duomenų tvarkymu, apie kurias sužinota atskleidus faktus apie „Cambridge Analytica“, yra kitokio pobūdžio. Jos atskleidžia šiuolaikinių technologijų keliamas problemas ir parodo, kad duomenų apsauga rinkimų metu yra ypač svarbi. Tai tapo svarbiu ne tik pavienių asmenų, bet ir mūsų demokratijos veikimo klausimu, nes minėtos priemonės kelia didelę grėsmę sąžiningam, demokratiniam rinkimų procesui ir gali pakenkti atviroms diskusijoms, sąžiningumui ir skaidrumui, kurie yra esminiai demokratijos elementai. Komisija mano, kad šį klausimą labai svarbu išspręsti siekiant atkurti visuomenės pasitikėjimą rinkimų proceso sąžiningumu.
Pirmosiose Jungtinės Karalystės duomenų apsaugos institucijos (angl. – Information Commissioner’s Office (ICO)) ataskaitose apie duomenų analizės naudojimą per politines kampanijas 1 ir Europos duomenų apsaugos priežiūros pareigūno nuomonėje dėl manipuliacijų internete ir asmens duomenų 2 patvirtinta, kad rinkimų metu itin tikslinės orientacijos, iš pradžių naudotos komerciniais tikslais, poveikis didėja.
Apskritai duomenų apsaugos klausimą rinkimų metu sprendžia kelios duomenų apsaugos institucijos 3 .
Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 (toliau – Bendrasis duomenų apsaugos reglamentas) 4 , kuris Europos Sąjungoje pradėtas tiesiogiai taikyti 2018 m. gegužės 25 d., Europos Sąjungai suteikiamos priemonės, kurios yra būtinos sprendžiant neteisėto asmens duomenų panaudojimo rinkimų metu atvejus. Tačiau tik ryžtingas ir nuoseklus taisyklių taikymas padės apsaugoti demokratinės politikos vientisumą. Kadangi taisyklės Europos lygmeniu vykstančiuose rinkimuose pirmą kartą bus taikomos per būsimus Europos Parlamento rinkimus, svarbu užtikrinti aiškumą rinkimų procesuose dalyvaujantiems subjektams, pavyzdžiui, nacionalinėms rinkimų institucijoms, politinėms partijoms, duomenų tarpininkams ir analitikams, socialinių tinklų platformoms ir internetinių reklamų tinklams. Todėl šių rekomendacijų tikslas – atkreipti dėmesį į rinkimų metu svarbias duomenų apsaugos prievoles. Nacionalinės duomenų apsaugos institucijos, kurios veikia kaip Bendrojo duomenų apsaugos reglamento vykdymą užtikrinantys subjektai, turi visapusiškai išnaudoti savo sustiprintus įgaliojimus, kad tirtų galimus pažeidimus, visų pirma susijusius su tiksline orientacija į rinkėjus.
1.Europos Sąjungos duomenų apsaugos sistema
Asmens duomenų apsauga yra pagrindinė teisė, įtvirtinta Europos Sąjungos pagrindinių teisių chartijoje (8 straipsnis) ir Sutartyse (SESV 16 straipsnis). Bendruoju duomenų apsaugos reglamentu sustiprinama duomenų apsaugos sistema, o Europos Sąjungai suteikiamos geresnės priemonės ateityje nagrinėti piktnaudžiavimo asmens duomenimis atvejus ir užtikrinama didesnė visų subjektų atskaitomybė ir atsakomybė asmens duomenų tvarkymo srityje.
Reglamentu Europos Sąjungoje esantiems asmenims suteikiamos papildomos ir tvirtesnės teisės, kurios yra ypač svarbios rinkimų metu. Duomenų apsaugos tvarkai, galiojusiai Europos Sąjungoje pastaruosius 20 metų, visų pirma kenkė tai, kad skirtingose valstybėse narėse taisyklės buvo taikomos nevienodai, nebuvo jokių oficialių nacionalinių duomenų apsaugos institucijų bendradarbiavimo mechanizmų ir šios institucijos turėjo ribotus vykdymo užtikrinimo įgaliojimus. Bendruoju duomenų apsaugos reglamentu siekta pašalinti šiuos trūkumus: remiantis patikimais duomenų apsaugos principais, reglamente suderinamos pagrindinės sąvokos, pavyzdžiui, sutikimo sąvoka, sustiprinamos asmenų teisės gauti informaciją apie jų duomenų tvarkymą, paaiškinamos sąlygos, kuriomis galima toliau dalytis asmens duomenimis, nustatomos asmens duomenų saugumo pažeidimus reglamentuojančios taisyklės, nustatomas duomenų apsaugos institucijų bendradarbiavimo nagrinėjant tarpvalstybines bylas mechanizmas ir sustiprinami jų vykdymo užtikrinimo įgaliojimai. ES duomenų apsaugos taisyklių pažeidimo atveju duomenų apsaugos institucijos turi įgaliojimus atlikti tyrimą (pavyzdžiui, reikalauti pateikti informaciją, atlikti patikrinimus duomenų valdytojų ir duomenų tvarkytojų patalpose) ir imtis elgesio koregavimo priemonių (pavyzdžiui, teikti įspėjimus arba papeikimus, arba laikinai ar neribotam laikui sustabdyti duomenų tvarkymą). Joms taip pat suteikti įgaliojimai skirti iki 20 mln. EUR dydžio baudas arba, jei tai yra juridinis asmuo, baudas, kurių dydis lygus 4 proc. metinės juridinio asmens apyvartos 5 . Priimdamos sprendimą dėl baudų ir jų dydžio, duomenų apsaugos institucijos įvertina konkrečios bylos aplinkybes ir veiksnius, pavyzdžiui, duomenų tvarkymo pobūdį, mastą ar tikslą, nukentėjusių asmenų skaičių ir jų patirtos žalos dydį 6 . Tikėtina, kad rinkimuose pažeidimo rimtumas ir nukentėjusių asmenų skaičius bus didelis. Dėl šios priežasties gali būti skiriamos didelės baudos, visų pirma atsižvelgiant į piliečių pasitikėjimo demokratijos procesu klausimo svarbą.
Naujai sukurta Europos duomenų apsaugos valdyba, kurioje dalyvauja visos nacionalinės duomenų apsaugos institucijos, taip pat Europos duomenų apsaugos priežiūros pareigūnas, turi didelę įtaką taikant Bendrąjį duomenų apsaugos reglamentą ir šiuo tikslu skelbia gaires, rekomendacijas ir gerąją patirtį 7 . Nacionalinės duomenų apsaugos institucijos, kurios veikia kaip Bendrojo duomenų apsaugos reglamento vykdymą užtikrinantys subjektai ir tiesioginiai suinteresuotųjų šalių kontaktiniai punktai, turi puikias galimybes užtikrinti papildomą teisinį tikrumą reglamento aiškinimo srityje. Komisija aktyviai remia šį darbą.
Direktyva dėl privatumo ir elektroninių ryšių, arba E. privatumo direktyva, (Europos Parlamento ir Tarybos direktyva 2002/58/EB 8 ) papildo Europos Sąjungos duomenų apsaugos sistemą ir yra svarbi rinkimų metu, nes į jos taikymo sritį patenka taisyklės dėl elektroninių nepageidaujamų pranešimų siuntimo, įskaitant tokių pranešimų siuntimą tiesioginės rinkodaros tikslais. E. privatumo direktyvoje taip pat nustatytos taisyklės dėl informacijos saugojimo ir prieigos prie jau saugomos informacijos gavimo, pavyzdžiui, taisyklės dėl slapukų, kurie galiniame įrenginyje, pavyzdžiui, išmaniajame telefone arba kompiuteryje, gali būti naudojami norint sekti naudotojo elgesį internete. Šiuo metu svarstomas Komisijos pasiūlymas dėl privatumo ir elektroninių ryšių reglamento (toliau – E. privatumo reglamentas) 9 yra pagrįstas tais pačiais principais kaip ir E. privatumo direktyva. Naujo reglamento taikymo sritis bus praplėsta ir apims ne tik telekomo operatorius, bet ir internete teikiamas elektroninių ryšių paslaugas.
2.Pagrindinės įvairių subjektų prievolės
Bendrasis duomenų apsaugos reglamentas taikomas visiems rinkimų metu aktyviai veikiantiems subjektams, pavyzdžiui, Europos ir nacionalinėms politinėms partijoms (toliau – politinės partijos), Europos ir nacionaliniams politiniams fondams (toliau – fondai), platformoms, duomenų analizės bendrovėms ir už rinkimų procesą atsakingoms valdžios institucijoms. Politinės partijos ir fondai asmens duomenis (pavyzdžiui, vardus, pavardes ir adresus) privalo tvarkyti teisėtai, sąžiningai, skaidriai ir tik konkrečiais tikslais. Jie negali toliau naudoti duomenų tokiu būdu, kuris yra nesuderinamas su tikslais, kuriais duomenys buvo surinkti iš pradžių. Duomenų tvarkymas žurnalistikos tikslais iš esmės taip pat patenka į Bendrojo duomenų apsaugos reglamento taikymo sritį, tačiau, atsižvelgiant į teisės į saviraišką ir informacijos laisvę svarbą demokratinėje visuomenėje, tokiam tvarkymui gali būti taikomos nacionalinėje teisėje nustatytos išimtys ir nukrypti leidžiančios nuostatos 10 .
Asmens duomenų sąvoka yra kompleksinė. Asmens duomenys – tai visi su fiziniu asmeniu, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti, susiję duomenys. Rinkimų metu tvarkomus duomenis dažnai sudaro specialios asmens duomenų kategorijos (neskelbtini duomenys), pavyzdžiui, politinės pažiūros, narystė profesinėse sąjungose, etninė kilmė, lytinis gyvenimas ir pan., kuriems taikoma griežtesnė apsaugos tvarka 11 . Be to, duomenų analitikai neskelbtinus duomenis (pavyzdžiui, duomenis apie politines pažiūras, taip pat religinius įsitikinimus ar lytinę orientaciją) gali išgauti iš paprastų duomenų rinkinių. Šių numanomų duomenų tvarkymas taip pat patenka į Bendrojo duomenų apsaugos reglamento taikymo sritį, todėl jiems turėtų būti taikomos visos duomenų apsaugos taisyklės.
Apibendrinant galima teigti, kad rinkimų metu Bendrasis duomenų apsaugos reglamentas yra iš esmės taikomas visoms duomenų tvarkymo operacijoms.
Atsižvelgiant į poreikį suteikti rinkimų procese dalyvaujantiems subjektams aiškumo ir pirmąsias „Cambridge Analytica“ atvejo išvadas, kituose skirsniuose atkreipiamas dėmesys į duomenų apsaugos prievoles, kurios rinkimų metu yra itin aktualios. Jos apibendrinamos priede.
2.1Duomenų valdytojai ir duomenų tvarkytojai
Duomenų valdytojų ir bendrų duomenų valdytojų atskaitomybės sąvoka – esminė Bendrojo duomenų apsaugos reglamento sąvoka. Duomenų valdytojas – organizacija, kuri savarankiškai arba bendradarbiaudama su kitais sprendžia, kodėl ir kaip tvarkomi asmens duomenys; duomenų tvarkytojas tvarko asmens duomenis tik duomenų valdytojo vardu ir jo pavedimu (atsižvelgiant į sutartimi arba kitu teisiškai privalomu aktu nustatytus jų santykius). Duomenų valdytojai privalo nustatyti priemones, kurios atitiktų riziką, taip pat iš pat pradžių įgyvendinti pritaikytąją duomenų apsaugą ir gebėti įrodyti atitiktį Bendrojo duomenų apsaugos reglamento reikalavimams (atskaitomybės principas).
Duomenų valdytojo ar duomenų tvarkytojo vaidmuo turi būti įvertinamas kiekvienu konkrečiu atveju. Rinkimų metu duomenų valdytojais gali būti įvairūs subjektai: dažniausiai duomenų valdytojai yra politinės partijos, pavieniai kandidatai ir fondai; platformos ir duomenų analizės bendrovės gali būti (bendri) duomenų valdytojai arba duomenų tvarkytojai, atliekantys atitinkamą duomenų tvarkymo operaciją, priklausomai nuo jų turimo atitinkamos duomenų tvarkymo operacijos kontrolės laipsnio 12 ; nacionalinės rinkimų institucijos yra rinkimų registrų duomenų valdytojos.
Užsienyje įsisteigusios bendrovės Bendrojo duomenų apsaugos reglamento taip pat turi laikytis tais atvejais, kai jų duomenų tvarkymo veikla yra susijusi su prekių ir paslaugų siūlymu Europos Sąjungoje esantiems asmenims arba jų elgsenos stebėsena Sąjungoje. Tai pasakytina apie daugumą platformų ir duomenų analizės bendrovių.
2.2Principai, duomenų tvarkymo teisėtumas ir neskelbtiniems duomenims taikomos specialios sąlygos
Rinkimuose dalyvaujantys subjektai asmens duomenis, įskaitant iš viešų šaltinių gautus duomenis, gali tvarkyti tik laikydamiesi su asmens duomenų tvarkymu susijusių principų ir remdamiesi tik tam tikrais Bendrajame duomenų apsaugos reglamente aiškiai nurodytais pagrindais 13 . Atrodo, kad svarbiausi teisėto duomenų tvarkymo rinkimų metu pagrindai yra asmens sutikimas, Europos Sąjungos arba nacionalinės teisės aktuose nustatytos teisinės prievolės laikymasis, užduoties vykdymas viešojo intereso labui ir teisėtas vieno iš subjektų interesas. Tačiau rinkimuose dalyvaujantys subjektai teisėto intereso pagrindu gali remtis tik jeigu už jų interesus nėra svarbesni atitinkamų asmenų interesai arba pagrindinės teisės ir laisvės.
Be to, informacijos saugojimas galiniame įrenginyje (kompiuteryje, išmaniajame telefone ir pan.) arba prieigos prie jau saugomos informacijos gavimas turi atitikti E. privatumo direktyvos reikalavimus dėl galinio įrenginio apsaugos; tai reiškia, kad atitinkamas asmuo turėtų duoti sutikimą.
Tais atvejais, kai sutikimas naudojamas kaip teisinis pagrindas, pagal Bendrąjį duomenų apsaugos reglamentą reikalaujama, kad toks sutikimas būtų duodamas aiškiu ir vienareikšmiu veiksmu, ir kad jis būtų duotas laisva valia bei būtų pagrįstas informacija 14 .
Rinkimuose dalyvaujančios valdžios institucijos asmens duomenis tvarko siekdamos laikytis teisinės prievolės arba vykdyti viešą užduotį. Kiti rinkimuose dalyvaujantys subjektai duomenis gali tvarkyti remdamiesi sutikimo arba teisėto intereso pagrindais 15 . Politinės partijos ir fondai duomenis taip pat gali tvarkyti remdamiesi viešuoju interesu, jei tai numatyta nacionalinėje teisėje 16 .
Valdžios institucijos tam tikrą informaciją apie į rinkimų sąrašus arba gyventojų registrus įtrauktus asmenis (pavyzdžiui, vardą ir pavardę ir adresą) politinėms partijoms gali atskleisti tik kai tai aiškiai leidžiama pagal valstybės narės teisę ir tik siekiant dalinti reklamą rinkimų metu ir tiek, kiek to reikia siekiant šio tikslo.
Rinkimų metu dažnai tvarkomi neskelbtini duomenys. Tokių duomenų tvarkymas, įskaitant numanomų neskelbtinų duomenų tvarkymą, paprastai draudžiamas, išskyrus atvejus, kai taikomas vienas iš konkrečių Bendrajame duomenų apsaugos reglamente nustatytų pateisinamų pagrindų 17 . Neskelbtinų duomenų tvarkymas reiškia, kad turi būti įgyvendinamos konkrečios, griežtesnės sąlygos: asmuo privalo būti davęs aiškų sutikimą 18 arba turi būti viešai paskelbęs atitinkamus duomenis 19 . Politinės partijos ir fondai neskelbtinus duomenis taip pat gali tvarkyti, jeigu, remiantis Sąjungos arba valstybės narės teise, nustatytas svarbus viešasis interesas ir jei yra taikomos tinkamos apsaugos priemonės 20 . Bendrajame duomenų apsaugos reglamente nustatyta, kad politinės partijos ir fondai neskelbtinus duomenis gali tvarkyti tiek, kiek jie yra susiję tik su politinių partijų ar fondų nariais arba buvusiais nariais, arba asmenimis, kurie reguliariai bendravo su tokiais nariais, tačiau tokie duomenys atskleidžiami tik politinei partijai ar fondui, kuriam priklauso minėti nariai 21 . Tačiau politinė partija negali remtis šia konkrečia nuostata, kad tvarkytų potencialių narių ar rinkėjų duomenis.
Duomenų tvarkymo tikslas turėtų būti nurodytas duomenų rinkimo metu (tikslo apribojimo principas) 22 . Vienu tikslu surinkti duomenys toliau gali būti tvarkomi tik suderinamais tikslais; antraip norint tvarkyti duomenis nauju tikslu, reikia rasti naują Bendrajame duomenų apsaugos reglamente nustatytą teisinį pagrindą, pavyzdžiui, sutikimą. Visų pirma tais atvejais, kai vadinamieji gyvenimo būdo duomenų tarpininkai arba platformos renka duomenis komerciniais tikslais, tie duomenys negali būti toliau tvarkomi rinkimų metu.
Politinės partijos ir fondai jokių tokių duomenų, gautų iš trečiosios šalies, negali naudoti, išskyrus atvejus, kai jos taiko deramas atsargumo priemones ir patikrina, ar duomenys buvo gauti teisėtai.
2.3Skaidrumo reikalavimai
„Cambridge Analytica“ atvejis parodė, kaip svarbu kovoti su neaiškumu ir tinkamai informuoti atitinkamus fizinius asmenis. Žmonės dažnai nežino, kas tvarko jų asmens duomenis ir kokiais tikslais tai yra daroma. Pagal sąžiningo ir skaidraus duomenų tvarkymo principus reikalaujama, kad asmenys būtų informuoti apie duomenų tvarkymo operacijos vykdymą ir jos tikslus 23 . Bendrajame duomenų apsaugos reglamente šiuo atžvilgiu paaiškinamos duomenų valdytojų prievolės. Jie turi informuoti asmenis apie pagrindinius aspektus, susijusius su jų asmens duomenų tvarkymu, pavyzdžiui:
·duomenų valdytojo tapatybę,
·duomenų tvarkymo tikslus,
·asmens duomenų gavėjus,
·duomenų šaltinį, kai duomenys nėra renkami tiesiogiai iš asmens,
·automatizuotą sprendimų priėmimą ir
·bet kurią kitą informaciją, kuri yra būtina siekiant užtikrinti sąžiningą ir skaidrų duomenų tvarkymą 24 .
Be to, Bendrajame duomenų apsaugos reglamente reikalaujama, kad informacija būtų glausta, skaidri, suprantama ir pateikiama lengvai prieinama forma, aiškia ir paprasta kalba 25 . Pavyzdžiui, trumpas neaiškus pranešimas apie duomenų apsaugą, atspausdintas mažu šriftu rinkimų leidiniuose, neatitiktų skaidrumo reikalavimų.
Remiantis preliminariomis išvadomis, neišsami informacija apie duomenų rinkimo tikslą buvo pagrindinis „Cambridge Analytica“ atvejo trūkumas, taip pat vertęs suabejoti atitinkamų asmenų duoto sutikimo galiojimu. Visos rinkimų metu asmens duomenis tvarkančios organizacijos prieš asmenims duodant savo sutikimą arba prieš duomenų valdytojui pradedant tvarkyti duomenis remiantis bet kuriuo kitu duomenų tvarkymo pagrindu turi užtikrinti, kad asmenys visiškai suprastų, kaip ir kokiais tikslais bus naudojami jų asmens duomenys.
Informacija asmenims turi būti pateikiama kiekviename duomenų tvarkymo etape, o ne tik renkant duomenis.
Visų pirma, kai politinės partijos tvarko iš trečiosios šalies šaltinių gautus duomenis (pavyzdžiui, duomenis iš rinkimų registrų, duomenų tarpininkų, duomenų analitikų ir kitų šaltinių pateiktus duomenis), jos paprastai turi informuoti atitinkamus asmenis ir jiems paaiškinti, kaip jos derina ir naudoja šiuos duomenis, kad užtikrintų sąžiningą duomenų tvarkymą 26 .
2.4Profiliavimas, automatizuotas sprendimų priėmimas ir tikslinė orientacija
Profiliavimas – tai automatizuotas duomenų tvarkymas, naudojamas siekiant išanalizuoti ar numatyti aspektus, susijusius, pavyzdžiui, su asmeniniais pomėgiais, interesais, ekonomine padėtimi ir kt. 27 . Profiliavimas gali būti naudojamas siekiant turinio tikslinės orientacijos į asmenis, t. y. analizuoti asmens duomenis (pvz., paieškos internete istoriją), siekiant nustatyti konkrečius atitinkamos auditorijos arba asmens interesus ir daryti įtaką jų veiksmams. Tikslinė orientacija gali būti naudojama siekiant asmeniui arba auditorijai, besinaudojančiai internetine paslauga, pavyzdžiui, socialiniais tinklais, atsiųsti specialiai jiems pritaikytas žinutes.
„Cambridge Analytica“ atvejis išryškino konkrečias problemas, kurias socialiniuose tinkluose sukelia tikslinės orientacijos metodai. Organizacijos gali užsiimti duomenų, surinktų iš socialinių tinklų naudotojų, gavyba, kad sukurtų rinkėjų profilius. Tai gali sudaryti sąlygas tokioms organizacijoms nustatyti rinkėjų, kuriems būtų galima lengviau daryti įtaką, tapatybę, o tai savo ruožtu leistų daryti poveikį rinkimų rezultatams.
Tokiam duomenų tvarkymui taikomi visi Bendrajame duomenų apsaugos reglamente nustatyti bendrieji principai ir taisyklės, pavyzdžiui, teisėtumo, sąžiningumo, skaidrumo ir tikslo apribojimo principai. Žmonės labai dažnai nežino, kad jų atžvilgiu vykdoma profiliavimo veikla: jie nesupranta, kodėl gauna tam tikrą reklamą, kuri yra akivaizdžiai susijusi su jų paskutinėmis atliktomis paieškomis, arba kodėl jie iš įvairių organizacijų gauna specialiai jiems pritaikytas žinutes. Bendrajame duomenų apsaugos reglamente visi duomenų valdytojai, pavyzdžiui, politinės partijos arba duomenų analitikai, įpareigojami informuoti asmenis, kai jie naudoja tokius metodus, taip pat apie jų pasekmes 28 .
Bendrajame duomenų apsaugos reglamente pripažįstama, kad automatizuotas sprendimų priėmimas, įskaitant profiliavimą, gali turėti rimtų padarinių. Bendrajame duomenų apsaugos reglamente nustatyta, kad asmuo turi teisę į tai, kad jo atžvilgiu nebūtų priimamas sprendimas, pagrįstas tik automatizuotu duomenų tvarkymu, kuris jam sukelia teisines pasekmes arba turi kitokį panašų poveikį, išskyrus atvejus, kai toks duomenų tvarkymas vykdomas griežtomis sąlygomis, t. y. kai asmenys duoda savo aiškų sutikimą arba kai tai leidžiama pagal Europos Sąjungos arba valstybės narės teisę, kurioje nustatytos tinkamos apsaugos priemonės 29 .
Tikslinės orientacijos praktika rinkimų metu į šią kategoriją patenka tais atvejais, kai ji asmenims daro pakankamai didelį poveikį. Europos duomenų apsaugos valdyba nurodė, kad taip yra tuo atveju, kai sprendimas gali gerokai paveikti su asmeniu susijusias aplinkybes, tų asmenų elgesį arba pasirinkimą arba daryti jam ilgalaikį ar nuolatinį poveikį 30 . Valdyba manė, kad tikslinga internetinė reklama tam tikromis aplinkybėmis galėtų daryti pakankamai didelį poveikį asmenims, kai, pavyzdžiui, ji yra nepageidaujama arba kai joje naudojamasi žiniomis apie asmens pažeidžiamumą. Atsižvelgiant į demokratinės balsavimo teisės įgyvendinimo svarbą, specialiai pritaikyti pranešimai, dėl kurių, pavyzdžiui, asmenys gali nuspręsti nebalsuoti arba balsuoti konkrečiu būdu, galėtų atitikti didelio poveikio kriterijų.
Todėl rinkimų metu duomenų valdytojai turi užtikrinti, kad bet koks duomenų tvarkymas naudojant tokius metodus būtų teisėtas atsižvelgiant į minėtus Bendrojo duomenų apsaugos reglamento principus ir griežtas sąlygas.
2.5Asmens duomenų saugumas ir tikslumas
Atsižvelgiant į susijusių duomenų rinkinių dydį ir tai, kad dažnai tokiuose rinkiniuose yra neskelbtinų duomenų, saugumas rinkimų metu turi ypač didelę reikšmę. Pagal Bendrąjį duomenų apsaugos reglamentą reikalaujama, kad asmens duomenis tvarkantys operatoriai (duomenų valdytojai ir duomenų tvarkytojai) įgyvendintų tinkamas technines ir organizacines priemones, kad būtų užtikrintas pavojaus, dėl duomenų tvarkymo kylančio asmenų teisėms ir laisvėms, lygį atitinkantis saugumas 31 .
Pagal Bendrąjį duomenų apsaugos reglamentą reikalaujama, kad duomenų valdytojai praneštų apie asmens duomenų saugumo pažeidimus kompetentingai priežiūros institucijai ir tai padarytų nedelsiant, bet ne vėliau kaip per 72 valandas. Kai tikėtina, kad dėl asmens duomenų apsaugos pažeidimo kils didelis pavojus asmenų teisėms ir laisvėms, duomenų valdytojas taip pat privalo nedelsdamas informuoti nuo to duomenų saugumo pažeidimo nukentėjusius asmenis 32 .
Politinės partijos ir kiti rinkimų procese dalyvaujantys subjektai ypatingą dėmesį turėtų skirti tam, kad būtų užtikrintas asmens duomenų tikslumas, kai tai susiję su dideliais duomenų kiekiais ir kai duomenų rinkiniai sudaromi naudojant skirtingus ir įvairius šaltinius. Netikslius duomenis būtina nedelsiant ištrinti arba ištaisyti ir prireikus atnaujinti.
2.6Poveikio duomenų apsaugai vertinimas
Bendrajame duomenų apsaugos reglamente nustatyta nauja rizikos vertinimo priemonė, taikoma prieš pradedant tvarkyti duomenis, – poveikio duomenų apsaugai vertinimas. Jį reikalaujama atlikti visais atvejais, kai dėl duomenų tvarkymo gali kilti didelis pavojus asmenų teisėms ir laisvėms 33 . Rinkimų metu tai yra susiję su duomenų valdytojo atliekamu sistemingu ir išsamiu su asmeniu susijusių asmeninių aspektų vertinimu (įskaitant profiliavimą), kuris turi didelį poveikį asmeniui, taip pat su duomenų valdytojo vykdomu neskelbtinų duomenų tvarkymu dideliu mastu. Nacionalinės rinkimų institucijos, kurios veikia vykdydamos joms pavestas viešas užduotis, gali ir neatlikti poveikio duomenų apsaugai vertinimo, jeigu poveikio duomenų apsaugai vertinimas jau buvo atliktas priimant teisės aktą.
Poveikio vertinimuose, kuriuos įvairūs subjektai turi atlikti rinkimų metu, reikėtų aptarti aspektus, kurie yra būtini siekiant pašalinti su tokiu duomenų tvarkymu susijusią riziką, visų pirma tai pasakytina apie duomenų rinkinių, gautų iš trečiųjų šalių, tvarkymo teisėtumą ir skaidrumo reikalavimus.
3.Asmenų teisės
Bendrajame duomenų apsaugos reglamente asmenims suteikiamos papildomos ir tvirtesnės teisės, kurios ypač svarbios rinkimų metu:
·teisė susipažinti su savo asmens duomenimis;
·teisė prašyti ištrinti savo asmens duomenis, jeigu duomenų tvarkymas yra pagrįstas sutikimu ir jei sutikimas atšaukiamas, jeigu duomenys tampa nebereikalingi arba jeigu duomenys tvarkomi neteisėtai, ir
·teisė ištaisyti neteisingus, netikslius arba neišsamius asmens duomenis.
Asmenys taip pat turi teisę prieštarauti duomenų tvarkymui (pavyzdžiui, kad į rinkėjų sąrašus įtraukti duomenys nebūtų perduodami politinėms partijoms), jeigu jų duomenų tvarkymas yra pagrįstas su teisėtais interesais arba viešuoju interesu susijusiais pagrindais.
Asmenys turi teisę į tai, kad jiems nebūtų taikomi tik automatizuotu jų asmens duomenų tvarkymu grindžiami sprendimai. Tokiais atvejais asmuo gali prašyti leidimo įsikišti kaip fizinis asmuo ir jam gali būti suteikta teisė pareikšti savo nuomonę dėl sprendimo bei jį užginčyti.
Kad asmenys galėtų pasinaudoti šiomis teisėmis, visi dalyvaujantys subjektai turi nustatyti būtinas priemones ir sudaryti reikalingas sąlygas. Bendrajame duomenų apsaugos reglamente numatyta galimybė parengti duomenų apsaugos institucijos tvirtinamą elgesio kodeksą, kuriame nurodoma, kaip reglamentą taikyti konkrečiose srityse, įskaitant rinkimus.
Bendruoju duomenų apsaugos reglamentu asmenims suteikiama teisė pateikti skundą priežiūros institucijai ir teisė pasinaudoti teisminėmis teisių gynimo priemonėmis. Juo asmenims taip pat suteikiama teisė įgalioti nevyriausybinę organizaciją pateikti skundą jų vardu
34
. Tam tikrose valstybėse narėse nacionaliniais teisės aktais nevyriausybinėms organizacijoms leidžiama pateikti skundą neturint asmens įgaliojimo. Tai ypač svarbu rinkimų metu, turint omenyje, kad gali būti labai daug suinteresuotų asmenų.
Pagrindiniai rinkimų procese aktualūs duomenų apsaugos klausimai 35
|
Politinės partijos ir fondai |
Politinės partijos ir fondai yra duomenų valdytojai |
|
|
·Laikosi tikslo apribojimo principo, toliau duomenis tvarko tik suderinamu tikslu (pavyzdžiui, kai duomenimis dalijamasi su platformomis). ·Pasirenka tinkamą duomenų (taip pat numanomų duomenų) tvarkymo pagrindą: sutikimas, teisėtas interesas, viešojo intereso užduotis (jei nustatyta teisės aktais), konkrečios neskelbtiniems duomenims (pavyzdžiui, politinėms pažiūroms) taikomos sąlygos. ·Atlieka poveikio duomenų apsaugai vertinimą. ·Informuoja asmenis apie kiekvieną duomenų tvarkymo tikslą (skaidrumo reikalavimai) rinkdami duomenis tiesiogiai arba gaudami juos iš trečiųjų šalių. ·Užtikrina duomenų, visų pirma iš skirtingų šaltinių gautų duomenų ir numanomų duomenų, tikslumą. ·Patikrina, ar iš trečiųjų šalių gauti duomenys gauti teisėtai ir kokiais tikslais (pavyzdžiui, ar gautas informuoto asmens sutikimas konkrečiam tikslui). ·Atsižvelgia į konkrečią profiliavimo riziką ir priima atitinkamas apsaugos priemones. ·Automatizuotai priimdami sprendimus, laikosi konkrečių sąlygų (pavyzdžiui, gauna aiškų sutikimą ir įgyvendina tinkamas apsaugos priemones). ·Aiškiai nustato, kurie asmenys gali susipažinti su duomenimis. ·Užtikrina duomenų saugumą taikydami technines ir organizacines priemones; praneša apie duomenų saugumo pažeidimus. ·Sutartyse arba kituose teisiškai privalomuose aktuose paaiškina duomenų tvarkytojų, pavyzdžiui, duomenų analizės bendrovių, prievoles. ·Ištrina duomenis, kai jie tampa nereikalingi atsižvelgiant į pradinį tikslą, dėl kurio jie buvo surinkti. |
||
|
Duomenų tarpininkai ir duomenų analizės bendrovės |
Duomenų tarpininkai ir duomenų analizės bendrovės veikia kaip (bendri) duomenų valdytojai ar duomenų tvarkytojai, priklausomai nuo to, kokiu mastu jie kontroliuoja duomenų tvarkymą. |
|
|
Kaip duomenų valdytojai |
Kaip duomenų tvarkytojai |
|
|
·Laikosi tikslo ribojimo principo, toliau duomenis tvarko tik suderinamu tikslu (visų pirma tais atvejais, kai dalijasi duomenimis su trečiosiomis šalimis). ·Pasirenka tinkamą duomenų tvarkymo teisinį pagrindą: sutikimas, teisėtas interesas. Neskelbtinų duomenų atveju duomenis galima tvarkyti tik gavus aiškų sutikimą arba aiškiai viešai paskelbus duomenis. ·Atlieka poveikio duomenų apsaugai vertinimą. ·Informuoja asmenis apie kiekvieną duomenų tvarkymo tikslą (skaidrumo reikalavimai) – visų pirma tais atvejais, kai sutikimo prašoma atsižvelgiant į tai, kad duomenys paprastai bus parduodami trečiajai šaliai. ·Automatizuotai priimdami sprendimus, laikosi konkrečių sąlygų (pavyzdžiui, gauna aiškų sutikimą ir įgyvendina tinkamas apsaugos priemones). ·Ypatingą dėmesį skiria duomenų tvarkymo teisėtumui ir tikslumui, kai derinami skirtingi duomenų rinkiniai. ·Užtikrina duomenų saugumą taikydami technines ir organizacines priemones; praneša apie duomenų saugumo pažeidimus. |
·Laikosi sutartyje arba kitame privalomame teisės akte nustatytų duomenų valdytojo prievolių. ·Užtikrina duomenų saugumą taikydami technines ir organizacines priemones. ·Padeda duomenų valdytojui atlikti poveikio duomenų apsaugai vertinimą, įgyvendinant duomenų subjektų teises arba nedelsiant pranešant duomenų valdytojui apie duomenų saugumo pažeidimą, jei apie jį sužinoma. |
|
|
Platformos paprastai yra duomenų valdytojai, jei duomenys tvarkomi jų platformose, ir galbūt bendri duomenų valdytojai kartu su kitomis organizacijomis. |
||
|
Socialinių tinklų platformos / internetiniai reklamų tinklai |
·Pasirenka tinkamą duomenų tvarkymo teisinį pagrindą: sutartis su asmenimis, sutikimas, teisėtas interesas. Neskelbtinų duomenų atveju duomenis galima tvarkyti tik gavus aiškų sutikimą arba aiškiai viešai paskelbus duomenis. ·Naudoja tik tuos duomenis, kurie yra būtini nustatytam tikslui pasiekti. ·Atlieka poveikio duomenų apsaugai vertinimą. ·Su trečiosiomis šalimis dalydamiesi duomenimis apie narius, užtikrina teisėtumą. ·Laikosi skaidrumo reikalavimų, visų pirma susijusių su nuostatomis ir sąlygomis, jeigu duomenimis vėliau dalijamasi su trečiąja šalimi ir pan. ·Automatizuotai priimdami sprendimus, laikosi konkrečių sąlygų (pavyzdžiui, gauna aiškų sutikimą ir įgyvendina tinkamas apsaugos priemones). ·Užtikrina duomenų saugumą taikydami technines ir organizacines priemones; praneša apie duomenų saugumo pažeidimus. ·Numato kontrolės priemones ir sąlygas, kuriomis asmenys gali veiksmingai įgyvendinti savo teises, įskaitant teisę į tai, kad jiems nebūtų taikomas tik automatizuotu duomenų tvarkymu grindžiamas sprendimas. |
|
|
Nacionalinės rinkimų institucijos yra duomenų valdytojai |
||
|
Nacionalinės rinkimų institucijos |
·Duomenų tvarkymo teisinis pagrindas: teisinė prievolė arba įstatymu pagrįsta su viešuoju interesu susijusi užduotis. ·Atlieka poveikio duomenų apsaugai vertinimą, jeigu poveikis dar neįvertintas teisės akte. |
|
2018 m. liepos 10 d. Jungtinės Karalystės duomenų apsaugos institucijos (angl. – Information Commissioner’s Office(ICO)) ataskaitos „Investigation into the use of data analytics in political campaigns – Investigation update“ ir „Democracy Disrupted? Personal information and political influence“.
https://edps.europa.eu/sites/edp/files/publication/18-03-19_online_manipulation_en.pdf.
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3013267, „Provvedimento in materia di trattamento di dati presso i partiti politici e di esonero dall’informativa per fini di propaganda elettorale“, paskelbta 2014 m. kovo 26 d. Italijos duomenų apsaugos institucijos oficialiajame leidinyje Nr. 71 (internetinis dok. Nr. 3013267); https://www.cnil.fr/fr/communication-politique-quelles-sont-les-regles-pour-lutilisation-des-donnees-issues-des-reseaux , „Communication politique: quelles sont les règles pour l’utilisation des données issues des réseaux sociaux?“, paskelbė Commission Nationale de l’informatique et des libertés (Prancūzijos nacionalinė informatikos ir laisvės komisija), 2016 m. lapkričio 8 d.; https://ico.org.uk/media/for-organisations/documents/1589/promotion_of_a_political_party.pdf , Informacijos komisaro biuras „Guidance on political campaigning“ (2017 m. balandžio 26 d.).
2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL L 119, 2016 5 4, p. 1).
Komisijos rekomendacijas dėl Bendrojo duomenų apsaugos reglamento galima rasti adresu https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-protection-rules_lt.
Bendrojo duomenų apsaugos reglamento 83 straipsnis.
Europos duomenų apsaugos priežiūros pareigūnas taip pat skelbia nuomones.
2002 m. liepos 12 d. Europos Parlamento ir Tarybos direktyva 2002/58/EB dėl asmens duomenų tvarkymo ir privatumo apsaugos elektroninių ryšių sektoriuje (Direktyva dėl privatumo ir elektroninių ryšių) (OL L 201, 2002 7 31, p. 37).
Pasiūlymas dėl Europos Parlamento ir Tarybos reglamento dėl teisės į privatų gyvenimą ir asmens duomenų apsaugos elektroninių ryšių srityje, kuriuo panaikinama Direktyva 2002/58/EB (Reglamentas dėl privatumo ir elektroninių ryšių), COM(2017) 10 final.
Bendrojo duomenų apsaugos reglamento 85 straipsnio 2 dalis.
Bendrojo duomenų apsaugos reglamento 9 straipsnio 1 dalis.
Naujausioje Europos Sąjungos Teisingumo Teismo praktikoje (2018 m. liepos 10 d. Sprendimas byloje C-25/17, susijusioje su Jehovos liudytojais) paaiškinta, kad organizacija, kuri „daro įtaką“ asmens duomenų rinkimo ir tvarkymo veiklai, tam tikromis aplinkybėmis gali būti laikoma duomenų valdytoja.
Bendrojo duomenų apsaugos reglamento 5 ir 6 straipsniai.
Bendrojo duomenų apsaugos reglamento 7 straipsnis ir 4 straipsnio 11 dalis.
Jeigu nedaromas didelis poveikis atitinkamų asmenų teisėms ir laisvėms.
Žr. Bendrojo duomenų apsaugos reglamento 56 konstatuojamąją dalį: „kai, vykstant rinkimams, demokratinės sistemos veikimui valstybėje narėje užtikrinti būtina, kad politinės partijos surinktų asmens duomenis apie asmenų politines pažiūras, dėl viešojo intereso priežasčių gali būti leista tvarkyti tokius duomenis su sąlyga, kad yra nustatytos tinkamos apsaugos priemonės“.
Bendrojo duomenų apsaugos reglamento 9 straipsnis.
Bendrojo duomenų apsaugos reglamento 9 straipsnio 2 dalies a punktas.
Bendrojo duomenų apsaugos reglamento 9 straipsnio 2 dalies e punktas.
Bendrojo duomenų apsaugos reglamento 9 straipsnio 2 dalies g punktas.
Bendrojo duomenų apsaugos reglamento 9 straipsnio 2 dalies d punktas. Politinė partija arba fondas su trečiosiomis šalimis be atitinkamo asmens sutikimo negali dalytis duomenimis, susijusiais su jų nariais ar buvusiais nariais arba asmenimis, su kuriais tokie nariai reguliariai bendravo.
Bendrojo duomenų apsaugos reglamento 5 straipsnio 1 dalies b punktas.
Bendrojo duomenų apsaugos reglamento 5 straipsnio 1 dalies a punktas.
Bendrojo duomenų apsaugos reglamento 13 ir 14 straipsniai.
Europos duomenų apsaugos valdybos rekomendacijos dėl skaidrumo.
Bendrojo duomenų apsaugos reglamento 14 straipsnis.
Kaip apibrėžta Bendrojo duomenų apsaugos reglamento 4 straipsnio 4 dalyje.
Bendrojo duomenų apsaugos reglamento 13 straipsnio 2 dalis.
Bendrojo duomenų apsaugos reglamento 22 straipsnis.
Europos duomenų apsaugos valdybos Automatizuoto sprendimų priėmimo gairės, WP251, 1 red., paskutinį kartą peržiūrėtos ir patvirtintos 2018 m. vasario 6 d.
Bendrojo duomenų apsaugos reglamento 32 straipsnis.
Bendrojo duomenų apsaugos reglamento 33 ir 34 straipsniai ir Europos duomenų apsaugos valdybos gairės dėl pranešimo apie asmens duomenų saugumo pažeidimą.
Bendrojo duomenų apsaugos reglamento 35 ir 36 straipsniai ir Europos duomenų apsaugos valdybos gairės dėl poveikio duomenų apsaugai vertinimo.
Bendrojo duomenų apsaugos reglamento 80 straipsnio 1 dalis.
Pirmiau pateikta informacija jokiu būdu nėra išsami. Ja siekiama atkreipti dėmesį į įvairias svarbias Bendrajame duomenų apsaugos reglamente nustatytas prievoles, susijusias su duomenimis, kurie yra svarbūs rinkimų procese. Jie yra susiję su tais atvejais, kai politinės partijos pačios renka duomenis (iš viešųjų šaltinių, dalyvaudamos socialiniuose tinkluose, tiesiogiai iš rinkėjų ir pan.) ir, norėdamos per socialinių tinklų platformas pasiekti daugiau rinkėjų, naudojasi duomenų tarpininkų arba duomenų analizės bendrovių paslaugomis. Pirmiau minėtiems subjektams platformos taip pat gali būti duomenų šaltinis. Svarbūs gali būti ir kiti teisės aktai, pavyzdžiui, nepageidaujamų pranešimų siuntimo taisyklės ir E. privatumo direktyvoje numatyta galinių įrenginių apsauga.