Naujas asmens duomenų apsaugos reglamentas

Agnė Kisieliauskaitė, advokatų kontoros „Motieka ir Audzevičius“ teisininkė.

Naujas asmens duomenų apsaugos reglamentas. Kas tai ir kam jis bus taikomas?

Dėl sparčios technologinės pažangos per pastaruosius 20 metų stipriai išaugo keitimosi asmens duomenimis ir jų rinkimo mastas – be asmens duomenų tvarkymo verslas šiandien neįsivaizduojamas. Įmonėms reikalingi klientų vardai ir pavardės, interneto parduotuvėse kaupiami prekių pristatymo adresai, rinkodarai naudojami elektroniniai adresai, interneto svetainėse renkami slapukai (angl. cookies), mobiliosios programėlės tvarko pseudonimus, leidžiančius vartotojus identifikuoti.

Tačiau nepaisant nuolat tobulėjančios technologijos ir didėjančio asmens duomenų naudojimo masto, šiame skaitmeniniame amžiuje verslo vykdomą asmens duomenų tvarkymą ES lygiu vis dar reglamentuoja 1995 m.(!) priimta direktyva. Situacija iš esmės pasikeis nuo 2018 m. gegužės 25 d. – nuo šios datos asmens duomenys privalės būti tvarkomi pagal naują ES reglamentą 2016/679.

Nauja tvarka reformuos asmens duomenų apsaugos taisykles, sugriežtins duomenų valdytojų pareigas ir atsakomybę, įtvirtins naujų teisių asmens duomenų subjektams ir naujų pareigų asmens duomenų valdytojams. Precedentų neturinčio reglamento taisyklės bus taikomos vienodai visose ES valstybėse narėse, o už šių taisyklių pažeidimus numatytos įspūdingo dydžio sankcijos – priežiūrą vykdanti institucija galės skirti baudą iki 20 mln. eurų arba iki 4 procentų ankstesnių finansinių metų bendros metinės pasaulinės apyvartos (priklausomai nuo to, kuri suma didesnė). Naujasis reglamentavimas išplės tiek jo privalančių laikytis subjektų ratą, tiek pačių asmens duomenų sąvoką.

Naujos taisyklės taikomos asmens duomenų tvarkymo veikla užsiimančioms įmonėms, todėl svarbu nustatyti, kas laikoma „duomenis tvarkančiomis įmonėmis“ ir kas patenka į „asmens duomenų“ sąvoką.

Asmens duomenis tvarko ir duomenų valdytojai (interneto svetainės, elektroninės parduotuvės, telefonų programėlės), ir duomenų tvarkytojai (IT paslaugų arba debesų kompiuterijos paslaugų teikėjai). Todėl jie privalės laikytis naujų taisyklių, jeigu ES turės buveinę, kuri vykdydama savo veiklą naudos asmens duomenis. Svarbu tai, kad buveinė neapsiriboja tik registracijos adresu, todėl nauji reikalavimai galios ir, pavyzdžiui, pardavimų padalinį ES teritorijoje turinčiai tarptautinei bendrovei. Reglamentas lygiai taip pat bus taikomas ir įmonėms, neturinčiomis buveinės ES, jeigu jos siūlys prekes ar paslaugas ES subjektams arba stebės ES veikiančių subjektų elgesį, t. y. fiziniams asmenims suteikinės profilius, turėdamos tikslą priimti su tais asmenimis susijusius sprendimus arba išnagrinėti ar prognozuoti jų asmeninius pomėgius, elgesį ir požiūrius.

Reglamente numatyta, kad asmens duomenimis laikytina bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti. Jeigu įmonė tvarko asmenų vardus, pavardes, elektroninio pašto adresus, kreditinių kortelių informaciją, prekių pristatymo arba sąskaitos pateikimo adresus, slapukus, tai norėdama išvengti rekordinio dydžio baudų, iki 2018 m. pavasario privalo suderinti duomenų tvarkymo veiklą su reglamente įtvirtintinais reikalavimais.

Komentarai