Kas tai? Eksperto įžvalgos

Bendrasis duomenų apsaugos reglamentas: ką būtina atlikti ir žinoti

Publikuota: 2017-09-11
Raminta Stravinskaitė, advokatų kontoros GLIMSTEDT teisininkė, tarptautinės technologijų teisės asociacijos („ITechLaw“) atstovė Lietuvai ir Baltijos regionui.
Raminta Stravinskaitė, advokatų kontoros GLIMSTEDT teisininkė, tarptautinės technologijų teisės asociacijos („ITechLaw“) atstovė Lietuvai ir Baltijos regionui.

2018 m. gegužės 25 d. bus pradėtas taikyti Bendrasis duomenų apsaugos reglamentas[i] (toliau – Reglamentas). Ką verslo įmonėms būtina atlikti ir žinoti iki jam įsigaliojant?

Tvarkomų asmens duomenų inventorizacija

Pirmiausia verslas turėtų inventorizuoti tvarkomus asmens duomenis. Turėtumėte sugebėti aiškiai įvardyti, kokius asmens duomenis tvarkote, iš kur jie yra gauti ar kam jie yra teikiami. Organizacijoje ar tam tikroje verslo srityje gali prireikti atlikti tvarkomų asmens duomenų auditą ir atsakyti sau į tokius klausimus:

  • kokius asmens duomenis tvarkote ar ketinate tvarkyti?
  • kas yra atsakingas už šių duomenų tvarkymą Jūsų bendrovėje? Kokios tų asmenų funkcijos?
  • kur ir kas saugo Jūsų klientų ir darbuotojų asmens duomenis?
  • koks yra asmens duomenų judėjimas, t.y. kam ir kokiomis priemonėmis yra perduodami asmens duomenys?
  • ar parengtos ir (ar) atnaujintos bendrovės vidinės taisyklės, procedūros, kuriose būtų aptariami asmens duomenų tvarkymo klausimai?
  • ir pan.

Asmens duomenų tvarkymo taisyklės

Bet kuris verslas, tvarkantis savo klientų ir darbuotojų asmens duomenis, privalo turėti asmens duomenų tvarkymo taisykles. Šis reikalavimas nėra naujas, tačiau, įsigaliojus Reglamentui, anksčiau parengtas taisykles privaloma peržiūrėti ir pakoreguoti pagal Reglamento nuostatas.

Informacijos apie privatumą pateikimas

Ne naujiena, kad jeigu bendrovė turi savo interneto svetainę ir (ar) mobiliąją aplikaciją ir ja naudodamasi renka asmens duomenis, privaloma joje skelbti ir privatumo politiką. Keičiasi tik tai, kad, įsigaliojus Reglamentui, internetinės svetainės ir (ar) mobiliosios aplikacijos lankytojai ir visi kiti duomenų subjektai turės daug daugiau teisių.

Reglamentas įtvirtina tokias teises kaip teisė į duomenų perkeliamumą (duomenų subjektas turės teisę gauti susijusius su juo asmens duomenis, kuriuos jis pateikė bendrovei susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu, ir persiųsti tuos duomenis kitam duomenų valdytojui) ar teisė būti pamirštam. Šių teisių turinys ir galimybė jomis pasinaudoti taip pat turės būti aptarta Jūsų privatumo politikoje.

Svarbu atkreipti dėmesį, kad minėta informacija turi būti pateikta glaustai, lengvai matomu, suprantamu ir aiškiai įskaitomu būdu.

Duomenų apsaugos pareigūnas

Reglamentu įvedama nauja sąvoka: duomenų apsaugos pareigūnas. Turėtumėte paskirti duomenų apsaugos pareigūną savo organizacijoje, jeigu tokio reikia, ar kitą asmenį iš išorės, kuris būtų atsakingas už asmens duomenų apsaugos reikalavimų laikymąsi, ir įvertinti šios pareigybės padėtį organizacijoje.

Paskirti duomenų apsaugos pareigūną jums reikės, jei:

a) duomenis tvarkote kaip valdžios institucija arba įstaiga, išskyrus teismus, kai jie vykdo savo teismines funkcijas;

b) pagrindinė veikla yra duomenų tvarkymo operacijos, dėl kurių pobūdžio, aprėpties ir (arba) tikslų būtina reguliariai ir sistemingai dideliu mastu stebėti duomenų subjektus;

c) duomenų valdytojo arba duomenų tvarkytojo pagrindinė veikla yra specialių kategorijų duomenų tvarkymas dideliu mastu.

Patys ar pasitelkę šios srities specialistus turėtumėte nuspręsti, ar privalote paskirti duomenų apsaugos pareigūną, jeigu taip - įvertinti, ar Jūsų veiksmai, atliekami tvarkant asmens duomenis, atitiks Reglamento reikalavimus.

Poveikio vertinimas

Direktyvoje 95/46/EB, kurią keičia Reglamentas, numatyta bendra prievolė pranešti priežiūros institucijoms apie asmens duomenų tvarkymą ne visada padėdavo gerinti asmens duomenų apsaugą. Atsižvelgiant į tai, privaloma registracija Valstybinėje duomenų apsaugos inspekcijoje bus keičiama veiksmingesnėmis procedūromis ir mechanizmais. Valstybinė duomenų apsaugos inspekcija savo tinklalapyje skelbia, kad iki 2018 m. balandžio 30 d. parengs ir patvirtins sąrašą duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą. Paskelbus sąrašą, verslas, tvarkantis savo klientų asmens duomenis, turės pasitikrinti, ar nepatenka tarp subjektų, kuriems toks poveikio vertinimas yra privalomas. Manoma, kad pirmiausia tai turėtų būti duomenų tvarkymo operacijų rūšys, apimančios naujų technologijų naudojimą, arba naujos rūšies operacijos, dėl kurių duomenų valdytojas anksčiau nėra atlikęs poveikio duomenų apsaugai vertinimo arba kurios tapo būtinos atsižvelgiant į nuo pirminio duomenų tvarkymo praėjusį laiką.

Informavimas apie grėsmę duomenų saugumui

Verslui atsiranda nauja pareiga informuoti Valstybinę duomenų apsaugos inspekciją apie grėsmę asmens duomenų saugumui, todėl turite įsitikinti, kad esate nustatę tinkamas procedūras, kaip aptikti asmens duomenų saugumo pažeidimus, apie juos pranešti ir juos ištirti.

Verslas apie asmens duomenų saugumo pažeidimą, turėtų pranešti kompetentingai priežiūros institucijai nepagrįstai nedelsdamas ir, jei įmanoma, praėjus ne daugiau kaip 72 valandoms nuo to laiko, kai apie asmens duomenų saugumo pažeidimą buvo sužinota, nebent sugebėtų įrodyti, kad pažeidimas neturėtų kelti pavojaus fizinių asmenų teisėms ir laisvėms.

Valstybinė duomenų apsaugos inspekcija įspėja, kad didesnės organizacijos turės sukurti taisykles ir procedūras, kaip turės būti valdomi asmens duomenų saugumo pažeidimai - centriniu ar regioniniu lygiu. Taip pat atkreipiamas dėmesys, kad, nepranešus apie pažeidimą, kai apie jį pranešti yra privaloma, gali būti skiriama bauda.

Ypatingas dėmesys vaikų asmens duomenų apsaugai

Reglamente išskiriama ypatingai jautrių asmens duomenų subjektų grupė – vaikai. Pirmą kartą Europos Sąjungos teisėje reglamentuojamas nepilnamečio iki 16 m. asmens duomenų tvarkymas. Kai vaikas yra jaunesnis negu 16 metų, toks tvarkymas tampa teisėtas tik tuo atveju, jeigu sutikimą davė arba tvarkyti duomenis leido vaiko tėvų pareigų turėtojas, ir tokiu mastu, kokiu duotas toks sutikimas ar leidimas. Tapęs suaugusiuoju, asmuo turi teisę sutikimą atšaukti ir reikalauti duomenis sunaikinti.

Laikomasi nuomonės, kad vaikų asmens duomenis reikia saugoti ypatingai, nes jie gali nepakankamai suvokti su asmens duomenų tvarkymu susijusius pavojus, padarinius ar apsaugos priemones bei savo teises.

Ypatinga apsauga pirmiausia turėtų būti taikoma vaikų asmens duomenų naudojimui rinkodaros, virtualios asmenybės ar vartotojo profilio sukūrimo tikslais ir su vaikais susijusių asmens duomenų rinkimui naudojantis vaikui tiesiogiai pasiūlytomis paslaugomis. Informacija ir pranešimai turėtų būti formuluojami vaikui lengvai suprantama, aiškia ir paprasta kalba, o prireikus naudojamas ir vizualizavimas.

Sutikimas kiekvienu tvarkymo tikslu

Nustatomas papildomas reikalavimas, kad, kai duomenys yra tvarkomi ne vienu tikslu, sutikimas turėtų būti duotas dėl visų duomenų tvarkymo tikslų. Tyla, iš anksto pažymėti langeliai arba neveikimas, kaip ir anksčiau, nėra laikomi sutikimo gavimu.

Jeigu sutikimas neatitinka Reglamento numatytų sąlygų, reikia peržiūrėti sutikimo gavimo mechanizmą arba surasti alternatyvų asmens duomenų tvarkymo teisinį pagrindą.

Rekomenduojame peržiūrėti, kaip prašote, gaunate ir užfiksuojate duomenų subjekto sutikimą ir ar Jums nereikia atlikti kokių nors pakeitimų, susijusių su sutikimo gavimu. Pvz., ar nerenkate perteklinių asmens duomenų, ar gaunate klientų išankstinius sutikimus dėl tiesioginės rinkodaros priemonių, ar tinkamai pateikiate informaciją apie vykdomą vaizdo stebėjimą ir pan.

Reikalavimai duomenų tvarkytojui

Duomenų valdytojas turėtų pasitelkti tik tokius duomenų tvarkytojus, kurie suteikia pakankamų garantijų dėl savo ekspertinių žinių, patikimumo ir išteklių, reikalingų įgyvendinti technines ir organizacines priemones, atitiksiančias Reglamento reikalavimus.

Duomenų tvarkytojo atliekamas duomenų tvarkymas turėtų būti reglamentuojamas sutartimi ar kitu teisės aktu pagal ES arba valstybės narės teisę, kuriuo nustatomi duomenų tvarkytojo įsipareigojimai duomenų valdytojui, duomenų tvarkymo dalykas bei trukmė, duomenų tvarkymo pobūdis ir tikslai, asmens duomenų rūšis ir duomenų subjektų kategorijos, ir atsižvelgiant į duomenų tvarkytojo konkrečias užduotis ir pareigas atliekant duomenų tvarkymą, taip pat į pavojų duomenų subjekto teisėms ir laisvėms.

Reglamente numatyta, kad atsakomybę pagal susitarimą turės dalytis tiek duomenų valdytojas, tiek duomenų tvarkytojas, todėl labai svarbu turėti profesionaliai parengtas asmens duomenų tvarkymo sutartis.

Tarptautinis elementas

Jeigu Jūsų verslas veikia tarptautiniu mastu, turėtumėte nuspręsti, su kuria duomenų apsaugos priežiūros institucija bendradarbiausite.

Reglamentas nustato kompleksą priemonių, kaip nuspręsti, kuri duomenų apsaugos priežiūros institucija turi kompetenciją veikti kaip vadovaujanti priežiūros institucija tiriant tarptautinį skundą, pavyzdžiui, kai duomenų tvarkymo veiksmai daro didelį poveikį arba gali padaryti didelį poveikį duomenų subjektams daugiau negu vienoje ES valstybėje narėje.

Išplėsta teritorinė Reglamento taikymo sritis

Reglamentas yra taikomas ne tik tuo atveju, kai asmens duomenis tvarko Europos Sąjungoje įsisteigęs verslas, bet ir tada, kai Europos Sąjungoje esančių duomenų subjektų asmens duomenis tvarko Europos Sąjungoje neįsisteigęs duomenų valdytojas arba duomenų tvarkytojas ir duomenų tvarkymo veikla susijusi su prekių arba paslaugų siūlymu duomenų subjektams Europos Sąjungoje arba elgesio, kai jie veikia Europos Sąjungoje, stebėsena.

 ***Nesilaikant Reglamento reikalavimų bus skiriamos įvairios sankcijos, įskaitant administracines baudas, todėl raginame verslą suskubti įsivertinti Reglamento poveikį ir nustatyti sritis, kuriose galėtų kilti problemų.

Teigiama, kad, skiriant sankcijas, bus atsižvelgiama į pažeidimo pobūdį, sunkumą ir trukmę, į tai, ar pažeidimas buvo tyčinis, į veiksmus, kurių imtasi patirtai žalai sumažinti, atsakomybės mastą arba į bet kokius svarbius ankstesnius pažeidimus, į tai, kaip apie pažeidimą sužinojo priežiūros institucija, ar buvo laikomasi tam duomenų valdytojui arba duomenų tvarkytojui taikytų priemonių, ar buvo laikomasi elgesio kodekso, taip pat į visus kitus sunkinančius ar švelninančius veiksnius. Todėl įsitikinkite, kad asmenys, kurie Jūsų įmonėje priima sprendimus, būtų informuoti, jog nuo 2018 m. gegužės 25 d. keičiasi Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas ir pradedamas tiesiogiai taikyti Reglamentas ir žinotų, kaip tinkamai jį įgyvendinti.

[i] 2016 m. balandžio 27 d. priimtas Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinama Direktyva 95/46/EB.

Rašyti komentarą

Rašyti komentarą

Gauk nemokamą TECHNOLOGIJŲ savaitraštį į savo el.pašto dėžutę:

Pasirinkite Jus dominančius NEMOKAMUS savaitraščius:















Svarbiausios dienos naujienos trumpai:



 
Lietuva pasirašė Vyriausybės saugumo programos sutartį su „Microsoft Corporation“ 1

Lietuva sudarė Vyriausybės saugumo programos sutartį (angl. Government Security Program) su viena didžiausių...

Technologijos
2018.05.09
„Infobalt“ prezidentu išrinktas Markevičius

Naujuoju Lietuvos informacinių ir ryšių technologijų asociacijos „Infobalt“ prezidentu išrinktas Giedrius...

Technologijos
2018.05.09
Nuo „Intermedix“ atskylanti bendrovė kuriasi Kaune Premium

Nuo JAV IT paslaugų medicinos sektoriui kompanijos „Intermedix“ atskylanti bendrovė „Juvare“ kuria savo biurą...

Technologijos
2018.05.09
„Teltonika“: darbo našumas – iki 50 Eur/val., minimali alga – iki 3.000 Eur Premium 3

Telekomunikacijos sprendimų lyderė UAB „Teltonika“, pernai paskelbusi ambicingą tikslą, kad kiekvieno įmonės...

Pramonė
2018.05.09
Baltijos šalyse daugėja interneto puslapių ir auga elektroninių paslaugų vartojimas

Gausėjant interneto vardų (domenų), auga ir elektroninių paslaugų vartojimas. Vidutiniškai 3% per metus...

Technologijos
2018.05.09
115 darbuotojų Lietuvoje turėjęs IT bendrovės padalinys bankrutuoja 22

JK informacinių technologijų konsultacijų ir personalo bendrovės „All About IT Europe“ padalinys Vilniuje...

Technologijos
2018.05.09
„Nokia“ plečia sprendimų verslą, įsigijo JAV bendrovę „SpaceTime Insight“

Suomijos telekomunikacijų įrangos gamintoja „Nokia“ įsigijo JAV bendrovę „SpaceTime Insight“. Pastaroji...

Technologijos
2018.05.08
„Facebook“ epopėja: Senatoriau, jie rodo reklamas Premium

„Senatoriau, mes rodome reklamas“, – pasakė Markas Zuckerbergas ir šyptelėjo, nelyg apsidžiaugęs paiku...

Verslo klasė
2018.05.07
Naujos medžiagos mūsų kūnuose ir namuose

Nano – šį priešdėlį dažniausiai girdime, kai kalbama apie naujai žmogaus sukurtas medžiagas. 

Išmani Lietuva
2018.05.07
„Tesla“ degina ne kurą, ji degina pinigus Premium 7

Bendrovei, kurią įkūręs Elonas Muskas užvedė elektromobilių rinką, dar šiemet gali pritrūkti pinigų.

Technologijos
2018.05.07
Su Ilja Laurso pagalba ir lėšomis kuria milijardinį technologijų įmonių fondą 30

Rizikos kapitalo fondas „Nextury Ventures“ ir investicijų valdymo įmonė „Synergy Finance“ kuria investicijų į...

Rinkos
2018.05.07
Nuo serverių armagedono įmonę išgelbėjo vienas sprendimas Rėmėjo turinys 3

Kenkėjiškos programos aukomis gali tapti bet kas – smulki įmonė ir korporacija, paprastas darbuotojas ir...

Technologijos
2018.05.07
JAV telekomunikacijų bendrovė „West“ žengia į Lietuvą 1

Jungtinių Amerikos Valstijų (JAV) telekomunikacijų bendrovė „West“ žengia į Lietuvą. Čia ji įkūrė bendrovę...

Technologijos
2018.05.07
„Fitek LT“ jau 20 metų padeda žengti didesnio efektyvumo link Rėmėjo turinys

Per du veiklos dešimtmečius „Fitek LT“ pasimatavo net keturis skirtingus pavadinimus, lydimus ir pokyčių...

Vadyba
2018.05.07
Buffetas nori dar „Apple“ akcijų, gailisi dėl „Amazon“ ir „Google“ 15

Vienas žymiausių pasaulio investuotojų Warrenas Buffettas savo kasmetiniame renginyje demonstravo ypatingą...

Rinkos
2018.05.06
Bankai eina „fintech“ startuolių pramintu keliu   6

Finansinių technologijų („fintech“) startuoliai, tokie, kaip „Revolut“ ar N26, jau kurį laiką sudaro...

Rinkos
2018.05.06
„Facebook“ svarsto apie mokamą narystę be reklamos

Socialinį tinklą „Facebook“ valdanti kompanija pastaruoju metu tyrė galimybes vartotojams pasiūlyti mokamą...

Technologijos
2018.05.05
Ukrainos telekomunikacijų rinkoje – banginis iš Meksikos

Ukrainos kabelinės televizijos ir interneto tiekėjos „Volia“ akcininkai derasi su vienu turtingiausių...

Technologijos
2018.05.05
Warrenas Buffettas gausiai pastatė už „Apple“ 9

Vieno turtingiausių pasaulio verslininkų Warreno Buffetto kompanija „Berkshire Hathaway“ per šių metų pirmąjį...

Technologijos
2018.05.04
„Tele2“ pradeda teikti „fiksuotojo ryšio“ paslaugas 5

„Tele2“ pradeda teikti „fiksuotojo ryšio“ paslaugas verslo klientams. Ši paslauga leis įmonėms atsisakyti...

Technologijos
2018.05.04

Verslo žinių pasiūlymai

Siekdami pagerinti Jūsų naršymo kokybę, statistiniais ir rinkodaros tikslais šioje svetainėje naudojame slapukus (angl. „cookies“), kuriuos galite bet kada atšaukti.
Sutinku Plačiau