Pastarąjį pusmetį galima apibūdinti kaip isteriją dėl GDPR (ES Bendrojo duomenų apsaugos reglamento). GDPR įsigaliojo ir galioja jau beveik pora savaičių. Visiems asmens duomenų tvarkytojams jau gresia milijoninės baudos, kurias rūpestingai primena visi parduodantys GDPR įgyvendinimo paslaugas. Kas gi realiai pasikeitė tvarkant mūsų asmens duomenis per šį laiką? Kol kas pastebimiausi du dalykai.

Pirma, el. pašto dėžutėse labai padaugėjo žinučių prisiekiančių ištikimybę GDPR. Kai kuriose prašoma sutikimo šlamštinti el. pašto dėžutes toliau, kitose sutikimo neprašoma, bet faktiškai brukama reklama pavadinta informavimu apie GDPR. Antra, dauguma verslų (ypač veikiančių internete) pasiskelbė, kad jie jau įgyvendina GDPR reikalavimus: norėdami gauti paslaugas prisijungę prie tinklapio jūsų prašo sutikti su pasikeitusiomis paslaugų sąlygomis. Realybė tokia, kad dauguma išsigandę sankcijų GDPR „įgyvendino“ pro forma, t. y. visiškai paviršutiniškai ir formaliai.

 

Pakoregavo naudojimo sąlygas, vidines taisykles, įdėjo kelias žinutes apie GDPR suteikiamas teises vartotojui (duomenų subjektui) ir pan. Apsukrūs teisininkai ir konsultantai parduodantys tokį pro forma atitikimą GDPR gavo lengvo grobio. Ar tai viskas, ką mums davė GDPR? Kurgi žadėtoji revoliucija? Realybė tokia, kad GDPR reikalavimus šiandien atitinka tik tie, kas jokių asmens duomenų netvarko. O tie, kurie labiausiai deklaruoja atitikimą GDPR, veikiausiai jį vykdo mažiausiai. GDPR reikalavimų kol kas paprasčiausiai neįmanoma atitikti, nes reikalavimai yra tiesiog nežinomi. GDPR yra vienas iš labiausiai neapibrėžtų ES teisės aktų, be to, jis paliečia labai platų subjektų ratą – kiekvieną žmogų ir iš esmės bet kurį verslą, įstaigą ar organizaciją.

 

Labai daug naujų taisyklių kol kas dar nepaaiškintos, o daugelis paaiškinimų įneša dar daugiau painiavos. Susimastykite, ar duomenų apsaugą lemia naujos taisyklės ir informaciniai pranešimai, ar tai, kas iš tiesų daroma su mūsų asmens duomenimis? Ar mūsų duomenų apsauga bent truputį pagerėjo? Ar tie, kurie tvarko mūsų duomenis neteisėtai, sustabdė savo veiklą?

 

Negirdėjau, kad kas nors būtų apie tai skelbęs. Duomenų rinkėjų ir tarpininkų masinio užsidarymo taip pat nepastebėjau. Jų kaip niekada daug ir kasdien atsiranda vis naujų. Reklamos internete kaip sekė iš paskos taip ir toliau persekioja kuo nors susidomėjusį vartotoją. Šlamštlaiškių kiekis kol kas tik padidėjo. Vaizdo kamerų niekas nenurinko, pokalbių įrašinėjimo neatsisakė. Skolų išieškotojai toliau visus terorizuoja, nors daugeliu atvejų duomenis tvarko neteisėtai.

 

Verslų, kurie padarė realius pakeitimus, tarkim, atsisakė duomenų tvarkymo (sunaikino duomenis), jei tam neturi pagrindo, ar apribojo tvarkymą tiek, kiek minimaliai būtina, kol kas nesutikau. Kai kiti reklamuojasi įgyvendinę GDPR, gal sąžiningiausieji kuklinasi? Netgi verslai, kurie pasidarė realų duomenų apsaugos auditą ar poveikio duomenų apsaugai vertinimą – inventorizavo turimus asmens duomenis, kas ir kaip juos tvarko įmonės viduje, ir visa tai įsivertino savikritiškai – abejotino duomenų tvarkymo kol kas neatsisakė. Tikėkimės, kad bent jau pradėjo geriau suprasti galimas rizikas ir atsakomybes.

 

Sąžiningiau GDPR įgyvendino tik viešasis sektorius. Mokyklos nebeviešina mokinių pavardžių. Mano poliklinika atsisakė teikti informaciją el. paštu motyvuodama GDPR reikalavimais. Gal ir saugiau, tačiau tikrai nepatogiau. Europos Sąjunga priimdama GDPR pažadėjo pakeisti realią situaciją tvarkant mūsų asmens duomenis. 2018 m. gegužės 25 d. atėjo ir praėjo, tai kada gi laukti realių pokyčių?