Kas klausia? Latvijos DVI paaiškina skaidrumo taisykles viešam duomenų rinkimui

Ar kada nors naršėte savo socialinių tinklų sraute ir užtikote konkursą ar registraciją į renginį, kuri pasirodė kiek per daug neaiški? Galbūt tai buvo vietinis fotografijos konkursas ar naujo technologinio įrenginio dalybos, tačiau įrašą paskelbęs profilis buvo anoniminis arba organizacijos pavadinimas sutrumpintas neatpažįstamai. Kaip žurnalistui, kuris dienas leidžia analizuodamas privatumo politikų smulkųjį šriftą, tai yra akimirkos, kai mano vidinis pavojaus signalas pradeda skambėti. Duomenų apsaugos pasaulyje kvietimas pateikti asmens duomenis be aiškios tapatybės yra ne tik prasta rinkodara – tai reguliavimo „raudona vėliava“.

2026 m. kovo 19 d. Latvijos duomenų valstybės inspekcija (DVI) aptarė būtent šį klausimą. Naujame metodiniame straipsnyje DVI paaiškino skaidrumo įsipareigojimus organizacijoms, skelbiančioms viešus pranešimus, kuriais asmenys kviečiami pateikti savo asmens duomenis. Šis žingsnis yra tiesioginis atsakas į augantį skundų skaičių iš asmenų, kurie jautėsi viliojami dalytis savo informacija su „vaiduokliais“. Atitikties požiūriu DVI primena, kad nors skaitmeninis pasaulis atrodo trumpalaikis, atsakomybė už duomenis yra nuolatinė.

Tapatybės krizė viešuosiuose pranešimuose

Pagal Bendrąjį duomenų apsaugos reglamentą (BDAR), skaidrumas nėra tik rekomendacija; tai yra pagrindinis pamatas. 12, 13 ir 14 straipsniai nurodo, kad asmenys visada privalo žinoti, kas tvarko jų duomenis ir kaip su jais susisiekti. Keista, tačiau daugelis organizacijų vis dar vadovaujasi prielaida, kad ryškus plakatas ar patrauklus socialinių tinklų prierašas atleidžia jas nuo šių griežtų reikalavimų.

Naujausios DVI gairės išsklaido šį dviprasmiškumą. Institucija pažymėjo, kad daugelis viešųjų pranešimų šiuo metu neatitinka reikalavimų, nes juose trūksta pagrindinių identifikatorių. Nesvarbu, ar tai būtų nepilnas pavadinimas, ar įrašas iš profilio, neturinčio akivaizdaus ryšio su juridiniu asmeniu, tokia praktika sukuria neskaidrią aplinką, kurioje duomenų subjektas lieka pažeidžiamas. Kitaip tariant, prašyti duomenų neprisistatant yra tas pats, kas prašyti žmogaus atiduoti savo namų raktus asmeniui, dėvinčiam kaukę.

Kokios informacijos iš tikrųjų reikalaujama?

Viena praktiškiausių DVI pranešimo įžvalgų yra paaiškinimas, kad organizacijoms savo viešuose įrašuose nebūtina vartoti specifinio žodžio „valdytojas“. Nors BDAR yra griežtas teisinis dokumentas, jo taikymas viešai prieinamoje medžiagoje turėtų būti lankstus ir suprantamas.

Vietoj griežtos terminijos DVI tikisi, kad bus aiškiai matomos dvi praktinės informacijos dalys:

1. Visas juridinis pavadinimas: Organizacija privalo nurodyti savo pilną, oficialų pavadinimą. Sutrumpinimų ar prekių ženklų pavadinimų, kurių negalima lengvai atsekti, nepakanka.
2. Kontaktiniai duomenys: Turi būti aiškus būdas asmeniui gauti daugiau informacijos. Tai gali būti registracijos numeris, juridinis adresas arba tiesioginė nuoroda į išsamią privatumo politiką.

Savo redaktoriaus darbe peržiūrimai medžiagai dažnai taikau skaitmeninės higienos principą. Jei negaliu patikrinti duomenų užklausos šaltinio trimis paspaudimais, užklausa yra iš esmės ydinga. Organizacijos gali įvykdyti savo skaidrumo prievoles įtraukdamos tiesioginę nuorodą į renginio taisykles arba privatumą užtikrinantį nukreipimo puslapį, kuriame pateikiama visa reikiama informacija prieš renkant duomenis.

Anoniminio duomenų rinkimo pavojus

DVI išskyrė keletą netinkamų praktikų, kurios dabar yra griežtai stebimos reguliuotojų. Skelbimas iš anoniminio profilio yra bene didžiausias pažeidimas. Reguliavimo kontekste anoniminis profilis veikia kaip kliūtis atsakomybei. Jei įvyktų duomenų saugumo pažeidimas – kurį dažnai prilyginu naftos išsiliejimui – nukentėję asmenys neturėtų galimybės sužinoti, kas už tai atsakingas, arba kur pasinaudoti savo teise būti pamirštiems.

Prisimenu tyrimą, kurį atlikau dėl virtinės „iškylančių“ (pop-up) seminarų, kurių metu buvo renkami profesionalų kontaktiniai duomenys. Daugelis šių organizatorių naudojo bendrinius pavadinimus, tokius kaip „Global Tech Insights“, neturėdami jokio juridinio asmens pagrindo. Kai pasigilinau, išsiaiškinau, kad duomenys buvo nukreipiami į antrinę rinką. Štai kodėl DVI pozicija yra tokia svarbi: ji verčia duomenų rinkėją būti skaidrų nuo pat pirmo kontakto taško.

Atitiktis kaip kompasas

Organizacijoms atitikties vertinimas kaip kompaso, o ne kaip kliūties, gali padėti išvengti didelės žalos reputacijai. Kai įmonė skaidriai nurodo savo tapatybę, ji kuria pasitikėjimo pagrindą. Priešingai, neaiškumas dėl to, kas stovi už duomenų rinkimo iniciatyvos, leidžia manyti, kad organizacija turi ką slėpti. Iš esmės DVI prašo skaitmeninio vizitinės kortelės ekvivalento.

Nepaisant tarptautinio duomenų perdavimo sudėtingumo ar eksteritorialumo, šių gairių esmė paprasta: būkite sąžiningi dėl to, kas esate. Jei rengiate konkursą Rygoje ar renginį Jūrmaloje, jūsų auditorija nusipelno tiksliai žinoti, į kieno rankas patenka jų duomenys.

Praktinis kontrolinis sąrašas kitam jūsų pranešimui

Norėdami užtikrinti, kad jūsų organizacija atitiktų DVI lūkesčius, apsvarstykite šį metodinį požiūrį į kitą viešą kvietimą teikti duomenis:

• Patikrinkite pavadinimą: Ar pranešime naudojamas visas juridinis pavadinimas, įregistruotas Įmonių registre?
• Išbandykite nuorodas: Jei naudojate nuorodą į privatumo politiką, ar ji veikia mobiliuosiuose įrenginiuose, kuriuose vyksta didžioji dalis naršymo socialiniuose tinkluose?
• Patikrinkite profilį: Ar socialinių tinklų paskyra yra patvirtinta arba aiškiai susieta su jūsų oficialia svetaine?
• Sumažinkite užklausą: Taikykite duomenų mažinimo principą. Ar tikrai jums reikia jų telefono numerio naujienlaiškio prenumeratai, ar pakanka el. pašto adreso?

Galiausiai DVI gairės primena, kad privatumas yra pagrindinė žmogaus teisė, o ne varnelė, kurią reikia pažymėti projekto pabaigoje. Pateikdamos aiškią identifikaciją, organizacijos tolsta nuo rizikingos duomenų praktikos ir juda link sudėtingesnės, patikimesnės skaitmeninės ekosistemos.

Šaltiniai:

• Latvijos valstybinė duomenų inspekcija (Datu valsts inspekcija - DVI) oficialus straipsnis, 2026 m. kovas.
• Bendrasis duomenų apsaugos reglamentas (BDAR), 12, 13 ir 14 straipsniai.
• Oficialios gairės dėl skaidrumo ir valdytojo identifikavimo viešojoje erdvėje.