Rinkimų kandidatų duomenys

[sirex]

Neaišku, ar duomenys gali būti atverti, dėl BDAR.

Danguolės Morkūnienės iš valstybinės duomenų apsaugos inspekcijos išaiškinimas:

2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL 2016 L 119, p. 1) (toliau – Reglamentas) 24 straipsnio 1 dalyje nustatyta, kad „[a]tsižvelgdamas į duomenų tvarkymo pobūdį, aprėptį, kontekstą bei tikslus, taip pat į įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas įgyvendina tinkamas technines ir organizacines priemones, kad užtikrintų ir galėtų įrodyti, kad duomenys tvarkomi laikantis šio reglamento“. Reglamento 32 straipsnio 1 dalyje nustatyta, kad „[a]tsižvelgdamas į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas bei duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat duomenų tvarkymo keliamus įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas ir duomenų tvarkytojas įgyvendina tinkamas technines ir organizacines priemones, kad būtų užtikrintas pavojų atitinkančio lygio saugumas“.

Europos Parlamento ir Tarybos direktyvos 95/46/EB 29 straipsnio darbo grupė 2013 m. birželio 5 d. nuomonėje Nr. 06/2013 „Dėl atvirųjų duomenų ir viešojo sektoriaus informacijos (VSI) pakartotinio naudojimo“ (toliau – Nuomonė), nurodė, kad „svarbu kruopščiai apsvarstyti, kokias priemones, įskaitant teisines, technines <...>, reikėtų priimti, kad jos padėtų išspręsti duomenų apsaugos problemas. Ypač svarbu apsvarstyti, kaip pakartotiniai naudotojai pateks prie duomenų, pavyzdžiui, pasinaudodami didelio informacijos kiekio atsisiuntimo funkcija ar specialia sąsaja, suteikiančia ribotos prieigos galimybes, priklausančias nuo tam tikrų sąlygų. Todėl svarbu, kokios bus įgyvendintos papildomos apsaugos priemonės, kaip antai CAPTCHA patikrinimo sistema, skirta pavojui sumažinti, kad bus nukopijuota visa duomenų bazė, ir užkirsti kelią automatinei prieigai. Naudojant konkrečias technines priemones, galima sumažinti netinkamo pasinaudojimo asmens duomenimis ir neigiamo poveikio duomenų subjektams pavojų, kuris kiltų tuo atveju, jeigu pakartotiniams naudotojams būtų suteikta neribota ir besąlygiška prieiga prie ištisų duomenų rinkinių. Svarbiausia, kad daugeliu atvejų būtų užtikrinta, kad pakartotiniams naudotojams būtų galima teikti tikslines užklausas tik naudojant technologijas, skirtas užkirsti kelią didelio informacijos kiekio atsisiuntimui, pavyzdžiui, specialias taikomųjų programų sąsajas (TPS). Tai gali padėti užtikrinti naudojimo proporcingumą ir sumažinti netinkamo ištisų duomenų bazių naudojimo pavojų. Be to, tokios specialios sąsajos gali padėti užtikrinti, kad duomenys būtų visada atnaujinti, o kartu ir tai, kad duomenys nebebūtų prieinami per TPS, kai tik atitinkama viešojo sektoriaus institucija šiuo klausimu priimtų sprendimą.“

Atsižvelgiant į tai, kas išdėstyta aukščiau, manytina, kad Vyriausioji rinkimų komisija (toliau – VRK) turi užtikrinti, kad viešai skelbiami duomenys bus saugomi naudojant tinkamas technines ir organizacines priemones, viena iš kurių galėtų būti CAPTCHA patikrinimo sistemos naudojimas. Vien tai, kad interneto svetainės naudotojai gali patirti tam tikrų nepatogumų, neturėtų neproporcingai paveikti teisėtų duomenų subjektų lūkesčių, kad jų asmens duomenys bus tvarkomi taikant tinkamas technines ir organizacines priemones, bus tikslūs ir naudojami laikantis Reglamento reikalavimų.

Reglamento 5 straipsnio 1 dalies a ir b punktuose nustatyta, kad asmens duomenys turi būti duomenų subjekto atžvilgiu tvarkomi teisėtu, sąžiningu ir skaidriu būdu (teisėtumo, sąžiningumo ir skaidrumo principas) ir renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkomi su tais tikslais nesuderinamu būdu. Vadinasi, vadovaujantis šiais Reglamente įtvirtintais principais ir Reglamento 24 straipsnio 1 dalimi ir Reglamento 32 straipsnio 1 dalimi, duomenų valdytojas turi imtis techninių ir organizacinių priemonių, kad viešai paskelbus asmens duomenis duomenų subjekto teisėms ir laisvėms nekiltų nepriimtinas pavojus. Nuomonėje taip pat yra nurodyta, kad „asmens duomenys turi būti saugomi tokia forma, kuri leistų nustatyti duomenų subjektų tapatybę ne ilgiau, negu būtina tiems tikslais, kuriems duomenys buvo surinkti arba tvarkomi toliau, pasiekti. VSI direktyvos 18 konstatuojamojoje dalyje nustatyta, kad „jei kompetentinga institucija nusprendžia daugiau nebeteikti tam tikrų dokumentų pakartotiniam naudojimui arba šių dokumentų daugiau nebeatnaujinti, ji turėtų tuos sprendimus pirma pasitaikiusia proga skelbti viešai, jei įmanoma, elektroninėmis priemonėmis“. Tačiau sunku, o kartais net neįmanoma užtikrinti, kad duomenys būtų ištrinti arba pašalinti po jų paskelbimo ir pateikimo pakartotiniam naudojimui. Šiuo atveju tinkamas (tačiau jokiu būdu ne universalus) sprendimas būtų duomenis pateikti ne atsisiunčiama forma, o tik per specialią TPS ir taikant tam tikrus apribojimus bei saugumo priemones, kaip minėta pirmiau.“

Pažymėtina, kad faktas, jog asmens duomenys viešai prieinami konkrečiam tikslui, nereiškia, kad šie asmens duomenys yra atviri pakartotiniam naudojimui bet kokiam kitam tikslui. Todėl asmenys pakartotinai naudojantys viešai paskelbtus asmens duomenis, tai turėtų daryti laikydamiesi Reglamento reikalavimų.

Mano atsakymas:

Šiuo atveju, jūsų cituojamas BDAR fragmentas neturi galios, kadangi BDAR 5 straipsnis teigia:

c) tvarkyti duomenis būtina, kad būtų įvykdyta duomenų valdytojui
   taikoma teisinė prievolė;

[...]

e) tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą
   viešojo intereso labui arba vykdant duomenų valdytojui pavestas
   viešosios valdžios funkcijas;

Šiuo atveju, VRK turi teisinę prievolę, viešai skelbti kandidatų anketinius duomenis ir skelbiant kandidatų asmeninius duomenis turi užduotį užtikrinti demokratinių procesų veikimą, kad rinkėjai galėtų išsirinkti savo atstovus.

Tai yra patvirtinta ir jūsų cituojamoje Nuomonėje:

7.2. Nacionalinių prieigos taisyklių skirtumai

VSI direktyvoje aiškiai pripažįstama ir nurodoma, kad ji pagrįsta
dabartinėmis prieigos taisyklėmis valstybėse narėse ir nekeičia
nacionalinių prieigos prie dokumentų taisyklių.

Čia dar karta pabrėžiama, kad nacionalinė teisė ir teisinė prievolė tam tikrais atvejais viešinti asmeninius duomenis yra aukščiau bendrųjų reglamentų.

Jūsų pateikta citata iš Nuomonės yra ištraukta iš kiek kito konteksto, tačiau persiskaičius visą dokumentą, supratau, kad VRK skelbiamus duomenis visiškai galima skelbti ir CSV formatu, nurodant aiškias naudojimo sąlygas. Nuomonėje keliose vietose pateikti pavyzdžiai, kad apribojimai turi būti taikomi tik tais atvejais, kai tikslinga juos taikyti.

Konkrečiai žiūrinti į nacionalinę teisė, LR VRK įstatymas teigia:

3 straipsnis. Vyriausiosios rinkimų komisijos uždaviniai ir
              įgaliojimai

19) rinkimų, referendumo, Lietuvos Respublikos piliečių įstatymų
    leidybos iniciatyvos, Europos Sąjungos piliečių iniciatyvos,
    politinių kampanijų, politinių partijų finansavimo, rinkėjų
    informavimo, rinkimų ir referendumų procesų skaidrumo bei
    demokratinės sistemos veikimo valstybėje užtikrinimo, kandidatų
    sąžiningos konkurencijos tikslais Vyriausiosios rinkimų
    komisijos interneto svetainėje skelbia pagal kandidatų ar jų
    atstovų pateiktus pareiškinius ir kitus dokumentus parengtą
    informaciją apie kandidatus, kandidatų gautus balsus, rinkimų,
    referendumo komisijų narių, stebėtojų, atstovų, iniciatyvinių
    grupių narių, politinės kampanijos aukotojų sąrašus
    Vyriausiosios rinkimų komisijos nustatyta tvarka. Informacija
    apie kandidatus, kandidatų gautus balsus ir rinkimų, referendumo
    komisijų narių, stebėtojų, atstovų, iniciatyvinių grupių narių,
    politinės kampanijos aukotojų sąrašai po šios informacijos ir
    sąrašų paskelbimo Vyriausiosios rinkimų komisijos interneto
    svetainėje gali būti keičiami, kai taisomos kalbos klaidos ar
    informacija interneto svetainėje skiriasi nuo informacijos,
    pateiktos pareiškiniuose ir kituose dokumentuose. Interneto
    svetainėje negali būti skelbiami kandidatų ir kitų asmenų asmens
    kodai, pilietybę ar asmens tapatybę patvirtinančių dokumentų
    numeriai, gyvenamosios vietos adresas;

Konkrečiai VRK atveju, nematau jokio teisinio pagrindo drausti skelbti kandidatų duomenis CSV ar panašiais formatais ir juos teikti pakartotiniam panaudojimui, su sąlyga, kad pakartotinis panaudojimas atitinka įstatymą.

Šiuo atveju įstatyme rašoma, kad kandidatų asmeniniai duomenys skelbiami tikslu informuoti rinkėjus, užtikrinti proceso skaidrumą, užtikrinti demokratijos veikimą ir sąžiningą konkurenciją tarp kandidatų.

Todėl, jei kandidatų asmeniniai duomenys pakartotinai naudojami įstatyme apibrėžtais tikslais, jokie bendrieji reglamentai tam neprieštarauja.

Konkrečiai tokie portalai, kaip manoseimas.lt, manobalsas.lt ar įvairios pavienės duomenų analizės iniciatyvos visiškai teisėtai gali pakartotinai naudoti ir jungti VRK skelbiamus anketinius duomenis su kitais duomenų rinkiniais, tol, kol tai atitinka įstatyme nurodytus tikslus. O VRK turėtų suteikti tam visas technines priemones.

Žinoma, jei VRK skelbiami asmeniniai duomenys būtų naudojami kitais tikslais, nei nurodyta įstatyme, tada taip būdų pažeidžiamas įstatymas ir tokius atvejus reikėtų drausti.

[sirex]

changed weight to 10