Kas tai? Eksperto įžvalgos

Bendrasis duomenų apsaugos reglamentas: ką būtina atlikti ir žinoti

Publikuota: 2017-09-11
Raminta Stravinskaitė, advokatų kontoros GLIMSTEDT teisininkė, tarptautinės technologijų teisės asociacijos („ITechLaw“) atstovė Lietuvai ir Baltijos regionui.
Raminta Stravinskaitė, advokatų kontoros GLIMSTEDT teisininkė, tarptautinės technologijų teisės asociacijos („ITechLaw“) atstovė Lietuvai ir Baltijos regionui.

2018 m. gegužės 25 d. bus pradėtas taikyti Bendrasis duomenų apsaugos reglamentas[i] (toliau – Reglamentas). Ką verslo įmonėms būtina atlikti ir žinoti iki jam įsigaliojant?

Tvarkomų asmens duomenų inventorizacija

Pirmiausia verslas turėtų inventorizuoti tvarkomus asmens duomenis. Turėtumėte sugebėti aiškiai įvardyti, kokius asmens duomenis tvarkote, iš kur jie yra gauti ar kam jie yra teikiami. Organizacijoje ar tam tikroje verslo srityje gali prireikti atlikti tvarkomų asmens duomenų auditą ir atsakyti sau į tokius klausimus:

  • kokius asmens duomenis tvarkote ar ketinate tvarkyti?
  • kas yra atsakingas už šių duomenų tvarkymą Jūsų bendrovėje? Kokios tų asmenų funkcijos?
  • kur ir kas saugo Jūsų klientų ir darbuotojų asmens duomenis?
  • koks yra asmens duomenų judėjimas, t.y. kam ir kokiomis priemonėmis yra perduodami asmens duomenys?
  • ar parengtos ir (ar) atnaujintos bendrovės vidinės taisyklės, procedūros, kuriose būtų aptariami asmens duomenų tvarkymo klausimai?
  • ir pan.

Asmens duomenų tvarkymo taisyklės

Bet kuris verslas, tvarkantis savo klientų ir darbuotojų asmens duomenis, privalo turėti asmens duomenų tvarkymo taisykles. Šis reikalavimas nėra naujas, tačiau, įsigaliojus Reglamentui, anksčiau parengtas taisykles privaloma peržiūrėti ir pakoreguoti pagal Reglamento nuostatas.

Informacijos apie privatumą pateikimas

Ne naujiena, kad jeigu bendrovė turi savo interneto svetainę ir (ar) mobiliąją aplikaciją ir ja naudodamasi renka asmens duomenis, privaloma joje skelbti ir privatumo politiką. Keičiasi tik tai, kad, įsigaliojus Reglamentui, internetinės svetainės ir (ar) mobiliosios aplikacijos lankytojai ir visi kiti duomenų subjektai turės daug daugiau teisių.

Reglamentas įtvirtina tokias teises kaip teisė į duomenų perkeliamumą (duomenų subjektas turės teisę gauti susijusius su juo asmens duomenis, kuriuos jis pateikė bendrovei susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu, ir persiųsti tuos duomenis kitam duomenų valdytojui) ar teisė būti pamirštam. Šių teisių turinys ir galimybė jomis pasinaudoti taip pat turės būti aptarta Jūsų privatumo politikoje.

Svarbu atkreipti dėmesį, kad minėta informacija turi būti pateikta glaustai, lengvai matomu, suprantamu ir aiškiai įskaitomu būdu.

Duomenų apsaugos pareigūnas

Reglamentu įvedama nauja sąvoka: duomenų apsaugos pareigūnas. Turėtumėte paskirti duomenų apsaugos pareigūną savo organizacijoje, jeigu tokio reikia, ar kitą asmenį iš išorės, kuris būtų atsakingas už asmens duomenų apsaugos reikalavimų laikymąsi, ir įvertinti šios pareigybės padėtį organizacijoje.

Paskirti duomenų apsaugos pareigūną jums reikės, jei:

a) duomenis tvarkote kaip valdžios institucija arba įstaiga, išskyrus teismus, kai jie vykdo savo teismines funkcijas;

b) pagrindinė veikla yra duomenų tvarkymo operacijos, dėl kurių pobūdžio, aprėpties ir (arba) tikslų būtina reguliariai ir sistemingai dideliu mastu stebėti duomenų subjektus;

c) duomenų valdytojo arba duomenų tvarkytojo pagrindinė veikla yra specialių kategorijų duomenų tvarkymas dideliu mastu.

Patys ar pasitelkę šios srities specialistus turėtumėte nuspręsti, ar privalote paskirti duomenų apsaugos pareigūną, jeigu taip - įvertinti, ar Jūsų veiksmai, atliekami tvarkant asmens duomenis, atitiks Reglamento reikalavimus.

Poveikio vertinimas

Direktyvoje 95/46/EB, kurią keičia Reglamentas, numatyta bendra prievolė pranešti priežiūros institucijoms apie asmens duomenų tvarkymą ne visada padėdavo gerinti asmens duomenų apsaugą. Atsižvelgiant į tai, privaloma registracija Valstybinėje duomenų apsaugos inspekcijoje bus keičiama veiksmingesnėmis procedūromis ir mechanizmais. Valstybinė duomenų apsaugos inspekcija savo tinklalapyje skelbia, kad iki 2018 m. balandžio 30 d. parengs ir patvirtins sąrašą duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą. Paskelbus sąrašą, verslas, tvarkantis savo klientų asmens duomenis, turės pasitikrinti, ar nepatenka tarp subjektų, kuriems toks poveikio vertinimas yra privalomas. Manoma, kad pirmiausia tai turėtų būti duomenų tvarkymo operacijų rūšys, apimančios naujų technologijų naudojimą, arba naujos rūšies operacijos, dėl kurių duomenų valdytojas anksčiau nėra atlikęs poveikio duomenų apsaugai vertinimo arba kurios tapo būtinos atsižvelgiant į nuo pirminio duomenų tvarkymo praėjusį laiką.

Informavimas apie grėsmę duomenų saugumui

Verslui atsiranda nauja pareiga informuoti Valstybinę duomenų apsaugos inspekciją apie grėsmę asmens duomenų saugumui, todėl turite įsitikinti, kad esate nustatę tinkamas procedūras, kaip aptikti asmens duomenų saugumo pažeidimus, apie juos pranešti ir juos ištirti.

Verslas apie asmens duomenų saugumo pažeidimą, turėtų pranešti kompetentingai priežiūros institucijai nepagrįstai nedelsdamas ir, jei įmanoma, praėjus ne daugiau kaip 72 valandoms nuo to laiko, kai apie asmens duomenų saugumo pažeidimą buvo sužinota, nebent sugebėtų įrodyti, kad pažeidimas neturėtų kelti pavojaus fizinių asmenų teisėms ir laisvėms.

Valstybinė duomenų apsaugos inspekcija įspėja, kad didesnės organizacijos turės sukurti taisykles ir procedūras, kaip turės būti valdomi asmens duomenų saugumo pažeidimai - centriniu ar regioniniu lygiu. Taip pat atkreipiamas dėmesys, kad, nepranešus apie pažeidimą, kai apie jį pranešti yra privaloma, gali būti skiriama bauda.

Ypatingas dėmesys vaikų asmens duomenų apsaugai

Reglamente išskiriama ypatingai jautrių asmens duomenų subjektų grupė – vaikai. Pirmą kartą Europos Sąjungos teisėje reglamentuojamas nepilnamečio iki 16 m. asmens duomenų tvarkymas. Kai vaikas yra jaunesnis negu 16 metų, toks tvarkymas tampa teisėtas tik tuo atveju, jeigu sutikimą davė arba tvarkyti duomenis leido vaiko tėvų pareigų turėtojas, ir tokiu mastu, kokiu duotas toks sutikimas ar leidimas. Tapęs suaugusiuoju, asmuo turi teisę sutikimą atšaukti ir reikalauti duomenis sunaikinti.

Laikomasi nuomonės, kad vaikų asmens duomenis reikia saugoti ypatingai, nes jie gali nepakankamai suvokti su asmens duomenų tvarkymu susijusius pavojus, padarinius ar apsaugos priemones bei savo teises.

Ypatinga apsauga pirmiausia turėtų būti taikoma vaikų asmens duomenų naudojimui rinkodaros, virtualios asmenybės ar vartotojo profilio sukūrimo tikslais ir su vaikais susijusių asmens duomenų rinkimui naudojantis vaikui tiesiogiai pasiūlytomis paslaugomis. Informacija ir pranešimai turėtų būti formuluojami vaikui lengvai suprantama, aiškia ir paprasta kalba, o prireikus naudojamas ir vizualizavimas.

Sutikimas kiekvienu tvarkymo tikslu

Nustatomas papildomas reikalavimas, kad, kai duomenys yra tvarkomi ne vienu tikslu, sutikimas turėtų būti duotas dėl visų duomenų tvarkymo tikslų. Tyla, iš anksto pažymėti langeliai arba neveikimas, kaip ir anksčiau, nėra laikomi sutikimo gavimu.

Jeigu sutikimas neatitinka Reglamento numatytų sąlygų, reikia peržiūrėti sutikimo gavimo mechanizmą arba surasti alternatyvų asmens duomenų tvarkymo teisinį pagrindą.

Rekomenduojame peržiūrėti, kaip prašote, gaunate ir užfiksuojate duomenų subjekto sutikimą ir ar Jums nereikia atlikti kokių nors pakeitimų, susijusių su sutikimo gavimu. Pvz., ar nerenkate perteklinių asmens duomenų, ar gaunate klientų išankstinius sutikimus dėl tiesioginės rinkodaros priemonių, ar tinkamai pateikiate informaciją apie vykdomą vaizdo stebėjimą ir pan.

Reikalavimai duomenų tvarkytojui

Duomenų valdytojas turėtų pasitelkti tik tokius duomenų tvarkytojus, kurie suteikia pakankamų garantijų dėl savo ekspertinių žinių, patikimumo ir išteklių, reikalingų įgyvendinti technines ir organizacines priemones, atitiksiančias Reglamento reikalavimus.

Duomenų tvarkytojo atliekamas duomenų tvarkymas turėtų būti reglamentuojamas sutartimi ar kitu teisės aktu pagal ES arba valstybės narės teisę, kuriuo nustatomi duomenų tvarkytojo įsipareigojimai duomenų valdytojui, duomenų tvarkymo dalykas bei trukmė, duomenų tvarkymo pobūdis ir tikslai, asmens duomenų rūšis ir duomenų subjektų kategorijos, ir atsižvelgiant į duomenų tvarkytojo konkrečias užduotis ir pareigas atliekant duomenų tvarkymą, taip pat į pavojų duomenų subjekto teisėms ir laisvėms.

Reglamente numatyta, kad atsakomybę pagal susitarimą turės dalytis tiek duomenų valdytojas, tiek duomenų tvarkytojas, todėl labai svarbu turėti profesionaliai parengtas asmens duomenų tvarkymo sutartis.

Tarptautinis elementas

Jeigu Jūsų verslas veikia tarptautiniu mastu, turėtumėte nuspręsti, su kuria duomenų apsaugos priežiūros institucija bendradarbiausite.

Reglamentas nustato kompleksą priemonių, kaip nuspręsti, kuri duomenų apsaugos priežiūros institucija turi kompetenciją veikti kaip vadovaujanti priežiūros institucija tiriant tarptautinį skundą, pavyzdžiui, kai duomenų tvarkymo veiksmai daro didelį poveikį arba gali padaryti didelį poveikį duomenų subjektams daugiau negu vienoje ES valstybėje narėje.

Išplėsta teritorinė Reglamento taikymo sritis

Reglamentas yra taikomas ne tik tuo atveju, kai asmens duomenis tvarko Europos Sąjungoje įsisteigęs verslas, bet ir tada, kai Europos Sąjungoje esančių duomenų subjektų asmens duomenis tvarko Europos Sąjungoje neįsisteigęs duomenų valdytojas arba duomenų tvarkytojas ir duomenų tvarkymo veikla susijusi su prekių arba paslaugų siūlymu duomenų subjektams Europos Sąjungoje arba elgesio, kai jie veikia Europos Sąjungoje, stebėsena.

 ***Nesilaikant Reglamento reikalavimų bus skiriamos įvairios sankcijos, įskaitant administracines baudas, todėl raginame verslą suskubti įsivertinti Reglamento poveikį ir nustatyti sritis, kuriose galėtų kilti problemų.

Teigiama, kad, skiriant sankcijas, bus atsižvelgiama į pažeidimo pobūdį, sunkumą ir trukmę, į tai, ar pažeidimas buvo tyčinis, į veiksmus, kurių imtasi patirtai žalai sumažinti, atsakomybės mastą arba į bet kokius svarbius ankstesnius pažeidimus, į tai, kaip apie pažeidimą sužinojo priežiūros institucija, ar buvo laikomasi tam duomenų valdytojui arba duomenų tvarkytojui taikytų priemonių, ar buvo laikomasi elgesio kodekso, taip pat į visus kitus sunkinančius ar švelninančius veiksnius. Todėl įsitikinkite, kad asmenys, kurie Jūsų įmonėje priima sprendimus, būtų informuoti, jog nuo 2018 m. gegužės 25 d. keičiasi Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas ir pradedamas tiesiogiai taikyti Reglamentas ir žinotų, kaip tinkamai jį įgyvendinti.

[i] 2016 m. balandžio 27 d. priimtas Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinama Direktyva 95/46/EB.

Gauk nemokamą TECHNOLOGIJŲ savaitraštį į savo el.pašto dėžutę:

Pasirinkite Jus dominančius NEMOKAMUS savaitraščius:













Svarbiausios dienos naujienos trumpai:



 
Rašyti komentarą

Rašyti komentarą

„Google“ steigia debesų kompiuterijos centrą Lenkijoje

„Google“ paskelbė, kad Lenkijoje steigiamas naujas jos debesų kompiuterijos centras. Anot JAV milžinės, ši...

Paslaugos
2019.09.30
Dedikuotos IT komandos samdymas – mažiau galvos skausmo verslui Verslo tribūna

Lietuvoje vis sparčiau populiarėja dedikuotų IT specialistų komandų nuomos paslaugos. Ši paslauga, skirtingai...

Technologijos
2019.09.30
Krizė IT sektoriui gali išeiti į naudą 8

Jau kurį laiką netyla kalbos apie ekonominę krizę: tik kol kas nėra aišku, kokio pobūdžio ji bus. Ar krizė...

Technologijos
2019.09.30
E. Musko vizija: gigantė raketa, apgyvendinsianti Marsą 26

Elonas Muskas pristatė naują kosmoso technologijų bendrovės „SpaceX“ kūrinį – raketą „Starship“, skirtą...

Technologijos
2019.09.29
Po „WeWork“ nesėkmės investuotojai pradeda įtariau žiūrėti į pinigus deginančias kompanijas 14

Bendrovės, debiutuojančios JAV akcijų rinkoje, sulaukia grubaus pasveikinimo, ypač jei degina pinigus. Tokia...

Statyba ir NT
2019.09.29
Telefonų industrijos dinozaurai: operacinės sistemos, kurių nebenaudojame 4

Beveik visi išmaniųjų telefonų naudotojai puikiai žino dvi pagrindines operacines sistemas (OS) – „Google“...

Technologijos
2019.09.29
Kinų atsakas – vertikalaus vaizdo serialai 7

Mobiliuoju telefonu nufilmuoti, t. y. vertikalūs, vaizdo įrašai jau seniai įprasti. Dabar didžiosios...

Laisvalaikis
2019.09.28
Po programinės įrangos atnaujinimo „Tesla“ turės ir karaokės funkciją

JAV elektromobilių kompanija „Tesla“ artimiausiomis dienomis pristatys programinės įrangos atnaujinimą, kuris...

Automobiliai
2019.09.28
Mūsų programuotojų reputacija – viena geriausių Europoje 22

IT rinka – viena dinamiškiausių pasaulyje, o IT specialistų poreikis visame pasaulyje nuolat auga ir...

Paslaugos
2019.09.28
Sukčiai SMS klastotėmis iš SEB klientų išviliojo 62.000 Eur  16

Sukčiai trumpųjų žinučių (SMS) klastotėmis iš SEB banko klientų išviliojo 62.000 Eur, šeštadienį rašo...

Finansai
2019.09.28
„OnePlus“ pristatė „7T“ modelį su 90 Hz ekranu 7

Kinijos išmaniųjų telefonų gamintoja „OnePlus“ šios savaitės pabaigoje Indijoje pasauliui pristatė naujausią...

Technologijos
2019.09.27
Lazerių įmonės „Eksma“ steigėjas R. Kraujalis: greiti sprendimai sėkmės negarantuoja Premium

Rimantas Kraujalis įdavęs vizitinę kortelę šypsosi – štai, joje nebėra įrašyta jokių pareigų. „Jau du...

Laisvalaikis
2019.09.27
Mokslininkai kviečia į „Tyrėjų naktį“

Rugsėjo 27 d. visuose didžiuosiuose Lietuvos miestuose – Vilniuje, Kaune, Klaipėdoje, Šiauliuose, Panevėžyje...

Laisvalaikis
2019.09.26
Korupcija įtariamai „Ericsson“ susitarimas su JAV kainuos 1,2 mlrd. USD 7

Švedijos telekomunikacijų įrangos gamintoja „Ericsson“ skaičiuoja, kad nuo trečiojo ketvirčio rezultatų jai...

Paslaugos
2019.09.26
Vežėjams siūlo už degalus mokėti išmaniai ir išvengti sukčių Premium 3

Įvairiose srityse atsiskaitymams keliantis į išmaniuosius įrenginius, vežėjai vis dar masiškai naudojasi...

„Paysera“ pasiūlė mokėjimus per „Google Pay“ ir „Samsung Pay“ 15

Bendrovė „Paysera LT“ skelbia, kad nuo šiol jos siūlomas „Visa“ mokėjimų korteles galima susieti su „Google...

Paslaugos
2019.09.26
„Ziticity“ ruošiasi startui Paryžiuje Premium 2

Lietuvių siuntų pristatymo startuolis UAB „Miesto logistika“, veikiantis su prekės ženklu „Ziticity“, dar...

Paslaugos
2019.09.26
VDU mokslininkai vysto dirbtinio intelekto technologijų sprendimus lietuvių kalbai: kodai bus perduoti visuomenei Verslo tribūna 1

2018-aisiais Lietuva tapo viena pirmųjų ES narių, kuri ėmėsi oficialiai skatinti ir vystyti dirbtinio...

Technologijos
2019.09.25
Išmanioji LoRa ateina į Lietuvos miestus Verslo tribūna 9

Grupė Lietuvos įmonių, susibūrusių po daiktų interneto ir išmaniojo miesto vėliavomis, suformavo kompetencinį...

Technologijos
2019.09.25
Šanchajus įsileidžia savavaldžius taksi  3

Didžiausias Kinijos miestas tapo pirmuoju šalyje, kuriame bus leidžiama keleivius ir krovinius vežti...

Automobiliai
2019.09.24

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Sutinku Plačiau