„Facebook“, viešasis interesas ir teisinė atsakomybė

Socialiniuose tinkluose kasdien gimsta dešimtys tariamai „viešojo intereso“ istorijų. Kaimynas vėl paliko automobilį ant šaligatvio – fotografuojam ir keliam į „Facebook“ grupę. Radom pamestą asmens dokumentą – į „Facebook“. Nepatiko remontą atlikusio meistro darbas – tuoj pat pasidalijame komentaru internete, įspėjame kitus.

Galbūt atpažinote panašiai besielgiančius savo draugus ar pažįstamus? Tokią informaciją viešinantys žmonės galvoja, kad elgiasi teisingai ir sąžiningai (gėdina tvarkos pažeidėjus ar nori padėti nepažįstamiesiems), nesusimąstydami, kad viešinami duomenys ne visada yra vieši. Ir kad tai gali užtraukti teisinę atsakomybę.

Tai ne tik teorinė rizika – Lietuvos vyriausiojo administracinio teismo (LVAT) gegužės 13 d. priimta nutartis rodo, kad tokie veiksmai gali pasibaigti ne viešojo intereso gynimu, o teisine atsakomybe.

Tenorėjo pasidalinti, kas laimi viešuosius pirkimus

Byla buvo susijusi su „Facebook“ grupe, kurioje diskutuojama vieno Lietuvos Aukštaitijos miestelio ir jo rajono gyventojams aktualiais klausimais. Istorija prasidėjo visai įprastai – grupėje vyko diskusija apie savivaldybės viešąjį pirkimą ir jį laimėjusią įmonę. Ieškodamas daugiau informacijos, vienas šios grupės narys, pasinaudojęs viešai prieinama Latvijos registrų duomenų baze, „nustatė“ tikrąjį įmonės naudos gavėją ir informacija pasidalino grupėje.

Tarp paviešintų duomenų buvo asmens gimimo data, paso numeris. Žmogus turbūt manė darantis gerą darbą, atliekantis pilietinę pareigą – rado viešai prieinamus duomenis ir jais pasidalino manydamas, kad fizinis asmuo ir yra tikrasis įmonės naudos gavėjęs, su Lietuvos verslu susijęs per Latvijos įmonę.

Tačiau po kelių savaičių asmens duomenimis pasidalinusiam asmeniui teko atsakyti į klausimą – ar jis suvokė, kad taip elgdamasis galėjo pažeisti asmens, kurio duomenis paviešino, teises.

„Tik pasidalinau“ – netinka, nes tai yra duomenų tvarkymas

Nemažai dar ir šiandien yra manančiųjų, kad duomenų apsaugos taisyklės yra skirtos tik įmonėms ir valstybės institucijoms. Tačiau ES Bendrasis duomenų apsaugos reglamentas (BDAR) yra taikomas ir fiziniams asmenims, kai šie tvarko kitų asmenų duomenis ne asmeniniais ar buitiniais tikslais.

Pagal BDAR duomenų tvarkymas laikomas teisėtu tik tada, kai jis atitinka reglamente nustatytus principus ir remiasi bent vienu iš teisinių pagrindų. Vienas jų – vadinamasis teisėtas interesas, tačiau jis turi būti konkretus ir pagrįstas, bet kokia žinoma informacija nebūtinai tenkina visuomenės poreikį žinoti.

Jei „Facebook“ grupėje dalinatės kito žmogaus nuotrauka, vardu ar kitais jį identifikuojančiais duomenimis, vadinasi, tvarkote asmens duomenis, esate už tai atsakingas. Praktikoje tai reiškia, kad net ir vienas įrašas gali tapti pagrindu skundui ir teisminiam ginčui.

Viešas registras – dar nereiškia laisvo naudojimo

Savo nutartimi gegužę LVAT paneigė dar vieną dažną klaidingą įsitikinimą, kad jei informacija yra vieša, ją galime laisvai platinti.

Tai, kad Latvijos registras viešai skelbė konkrečius asmens duomenis, reiškė tik tai, kad pats registras turėjo teisę juos tvarkyti ir skelbti pagal jam taikomą teisinį reguliavimą. Bet tai jokiu būdu nesuteikia automatinės teisės kitiems asmenims tuos duomenis perskelbti ar platinti savo nuožiūra.

Kiekvienas toks duomenų, paimtų iš viešai prieinamų registrų, viešas paskelbimas yra laikomas atskiru duomenų tvarkymo veiksmu, kuriam būtinas savarankiškas teisinis pagrindas.

Kas yra teisėtas interesas

Vertinant teisėto intereso pagrindą taikomas trijų sąlygų testas. Pirmiausia sprendžiama, ar apskritai egzistuoja teisėtas interesas.  LVAT nagrinėtoje byloje jis buvo pripažintas – diskusija apie viešuosius pirkimus yra susijusi su viešuoju interesu.

Tuomet vertinama, ar duomenų paskelbimas buvo būtinas teisėtu interesu grindžiamam tikslui. Minimame nutarime LVAT nustatė, kad vardo, pavardės ir ryšio su įmone pakako situacijai suprasti, o gimimo data ir paso numeris nebuvo būtini.

Ir galiausiai įvertinama, ar asmens teisė į privatumą nėra viršesnė. Vertinant proporcingumą atsižvelgiama į duomenų pobūdį, jų jautrumą ir potencialią sklaidos apimtį.

Šioje byloje pirmoji sąlyga buvo tenkinama, tačiau kitos – ne. Tai ir lėmė pažeidimo nustatymą.

Duomenų kiekio mažinimo principas praktikoje

Svarbu dar paminėti, kad BDAR remiasi duomenų kiekio mažinimo principu – skelbti galima tik tuos duomenis, kurie ne tik turi tinkamą teisinį pagrindą, tačiau yra būtini konkrečiam tikslui pasiekti. Pavyzdžiui, norint parodyti netinkamą automobilio statymo atvejį, galimai pakanka situacijos ir transporto priemonės identifikavimo duomenų, norint atkreipti dėmesį į viešąjį pirkimą, pakanka informacijos apie įmonę ir jos ryšius. Vertėtų nepamiršti įvertinti ir aplinką, kurioje talpinami duomenys – uždara ar atvira grupė, kas yra grupės nariai, kokiems tikslams grupė sukurta, ar visiems konkrečios grupės nariams aktualu matyti informaciją.

Papildomi duomenys – gimimo data, kontaktiniai duomenys, šeiminė informacija, adresas, paso numeris ar asmens kodas – paprastai nėra būtini ir didina riziką peržengti teisėtumo ribą.

Ką tai reiškia praktikoje

BDAR nuostatos taikomos visiems asmenims, skelbiantiems informaciją apie kitus, ir jų laikymasis gali turėti apčiuopiamų teisinių pasekmių. Tad prieš viešinant kito asmens informaciją, reikia atsakyti į klausimus – kokiu tikslu informacija skelbiama, ir ar jos apimtis yra tikrai būtina tikslui pasiekti.

Automobilio valstybinis numeris gali būti svarbus vertinant parkavimo pažeidimą, savininko buto numeris – ne. Įmonės vadovo vardas gali būti aktualus viešojo pirkimo kontekste, gimimo data – ne.

Atidžiai vertinama turėtų būti ne tik viešinimo tikslas, bet ir duomenų apimtis bei jų proporcingumas. Tokia logika aktuali ne tik viešųjų pirkimų ar verslo ryšių kontekste – ji taikoma ir kasdienėse situacijose socialiniuose tinkluose, kai viešinama informacija apie kaimynus, klientus, draugus, darbuotojus ar kai dalinamasi pažeidimais bei radiniais.

Komentaro autorė: advokatų kontoros „Ellex Valiunas“ asocijuotoji teisininkė Diana Laura Ločinska