Kas tai? Eksperto įžvalgos

Bendrasis duomenų apsaugos reglamentas: ką būtina atlikti ir žinoti

Reklama publikuota: 2017-09-11
Raminta Stravinskaitė, advokatų kontoros GLIMSTEDT teisininkė, tarptautinės technologijų teisės asociacijos („ITechLaw“) atstovė Lietuvai ir Baltijos regionui.
svg svg
Raminta Stravinskaitė, advokatų kontoros GLIMSTEDT teisininkė, tarptautinės technologijų teisės asociacijos („ITechLaw“) atstovė Lietuvai ir Baltijos regionui.

2018 m. gegužės 25 d. bus pradėtas taikyti Bendrasis duomenų apsaugos reglamentas[i] (toliau – Reglamentas). Ką verslo įmonėms būtina atlikti ir žinoti iki jam įsigaliojant?

Tvarkomų asmens duomenų inventorizacija

Pirmiausia verslas turėtų inventorizuoti tvarkomus asmens duomenis. Turėtumėte sugebėti aiškiai įvardyti, kokius asmens duomenis tvarkote, iš kur jie yra gauti ar kam jie yra teikiami. Organizacijoje ar tam tikroje verslo srityje gali prireikti atlikti tvarkomų asmens duomenų auditą ir atsakyti sau į tokius klausimus:

  • kokius asmens duomenis tvarkote ar ketinate tvarkyti?
  • kas yra atsakingas už šių duomenų tvarkymą Jūsų bendrovėje? Kokios tų asmenų funkcijos?
  • kur ir kas saugo Jūsų klientų ir darbuotojų asmens duomenis?
  • koks yra asmens duomenų judėjimas, t.y. kam ir kokiomis priemonėmis yra perduodami asmens duomenys?
  • ar parengtos ir (ar) atnaujintos bendrovės vidinės taisyklės, procedūros, kuriose būtų aptariami asmens duomenų tvarkymo klausimai?
  • ir pan.

Nemokami naujienlaiškiai į savo el. pašto dėžutę:













Svarbiausios dienos naujienos trumpai:



 

Asmens duomenų tvarkymo taisyklės

Bet kuris verslas, tvarkantis savo klientų ir darbuotojų asmens duomenis, privalo turėti asmens duomenų tvarkymo taisykles. Šis reikalavimas nėra naujas, tačiau, įsigaliojus Reglamentui, anksčiau parengtas taisykles privaloma peržiūrėti ir pakoreguoti pagal Reglamento nuostatas.

Informacijos apie privatumą pateikimas

Ne naujiena, kad jeigu bendrovė turi savo interneto svetainę ir (ar) mobiliąją aplikaciją ir ja naudodamasi renka asmens duomenis, privaloma joje skelbti ir privatumo politiką. Keičiasi tik tai, kad, įsigaliojus Reglamentui, internetinės svetainės ir (ar) mobiliosios aplikacijos lankytojai ir visi kiti duomenų subjektai turės daug daugiau teisių.

Reglamentas įtvirtina tokias teises kaip teisė į duomenų perkeliamumą (duomenų subjektas turės teisę gauti susijusius su juo asmens duomenis, kuriuos jis pateikė bendrovei susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu, ir persiųsti tuos duomenis kitam duomenų valdytojui) ar teisė būti pamirštam. Šių teisių turinys ir galimybė jomis pasinaudoti taip pat turės būti aptarta Jūsų privatumo politikoje.

Svarbu atkreipti dėmesį, kad minėta informacija turi būti pateikta glaustai, lengvai matomu, suprantamu ir aiškiai įskaitomu būdu.

Duomenų apsaugos pareigūnas

Reglamentu įvedama nauja sąvoka: duomenų apsaugos pareigūnas. Turėtumėte paskirti duomenų apsaugos pareigūną savo organizacijoje, jeigu tokio reikia, ar kitą asmenį iš išorės, kuris būtų atsakingas už asmens duomenų apsaugos reikalavimų laikymąsi, ir įvertinti šios pareigybės padėtį organizacijoje.

Paskirti duomenų apsaugos pareigūną jums reikės, jei:

a) duomenis tvarkote kaip valdžios institucija arba įstaiga, išskyrus teismus, kai jie vykdo savo teismines funkcijas;

b) pagrindinė veikla yra duomenų tvarkymo operacijos, dėl kurių pobūdžio, aprėpties ir (arba) tikslų būtina reguliariai ir sistemingai dideliu mastu stebėti duomenų subjektus;

c) duomenų valdytojo arba duomenų tvarkytojo pagrindinė veikla yra specialių kategorijų duomenų tvarkymas dideliu mastu.

Patys ar pasitelkę šios srities specialistus turėtumėte nuspręsti, ar privalote paskirti duomenų apsaugos pareigūną, jeigu taip - įvertinti, ar Jūsų veiksmai, atliekami tvarkant asmens duomenis, atitiks Reglamento reikalavimus.

Poveikio vertinimas

Direktyvoje 95/46/EB, kurią keičia Reglamentas, numatyta bendra prievolė pranešti priežiūros institucijoms apie asmens duomenų tvarkymą ne visada padėdavo gerinti asmens duomenų apsaugą. Atsižvelgiant į tai, privaloma registracija Valstybinėje duomenų apsaugos inspekcijoje bus keičiama veiksmingesnėmis procedūromis ir mechanizmais. Valstybinė duomenų apsaugos inspekcija savo tinklalapyje skelbia, kad iki 2018 m. balandžio 30 d. parengs ir patvirtins sąrašą duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą. Paskelbus sąrašą, verslas, tvarkantis savo klientų asmens duomenis, turės pasitikrinti, ar nepatenka tarp subjektų, kuriems toks poveikio vertinimas yra privalomas. Manoma, kad pirmiausia tai turėtų būti duomenų tvarkymo operacijų rūšys, apimančios naujų technologijų naudojimą, arba naujos rūšies operacijos, dėl kurių duomenų valdytojas anksčiau nėra atlikęs poveikio duomenų apsaugai vertinimo arba kurios tapo būtinos atsižvelgiant į nuo pirminio duomenų tvarkymo praėjusį laiką.

Informavimas apie grėsmę duomenų saugumui

Verslui atsiranda nauja pareiga informuoti Valstybinę duomenų apsaugos inspekciją apie grėsmę asmens duomenų saugumui, todėl turite įsitikinti, kad esate nustatę tinkamas procedūras, kaip aptikti asmens duomenų saugumo pažeidimus, apie juos pranešti ir juos ištirti.

Verslas apie asmens duomenų saugumo pažeidimą, turėtų pranešti kompetentingai priežiūros institucijai nepagrįstai nedelsdamas ir, jei įmanoma, praėjus ne daugiau kaip 72 valandoms nuo to laiko, kai apie asmens duomenų saugumo pažeidimą buvo sužinota, nebent sugebėtų įrodyti, kad pažeidimas neturėtų kelti pavojaus fizinių asmenų teisėms ir laisvėms.

Valstybinė duomenų apsaugos inspekcija įspėja, kad didesnės organizacijos turės sukurti taisykles ir procedūras, kaip turės būti valdomi asmens duomenų saugumo pažeidimai - centriniu ar regioniniu lygiu. Taip pat atkreipiamas dėmesys, kad, nepranešus apie pažeidimą, kai apie jį pranešti yra privaloma, gali būti skiriama bauda.

Ypatingas dėmesys vaikų asmens duomenų apsaugai

Reglamente išskiriama ypatingai jautrių asmens duomenų subjektų grupė – vaikai. Pirmą kartą Europos Sąjungos teisėje reglamentuojamas nepilnamečio iki 16 m. asmens duomenų tvarkymas. Kai vaikas yra jaunesnis negu 16 metų, toks tvarkymas tampa teisėtas tik tuo atveju, jeigu sutikimą davė arba tvarkyti duomenis leido vaiko tėvų pareigų turėtojas, ir tokiu mastu, kokiu duotas toks sutikimas ar leidimas. Tapęs suaugusiuoju, asmuo turi teisę sutikimą atšaukti ir reikalauti duomenis sunaikinti.

Laikomasi nuomonės, kad vaikų asmens duomenis reikia saugoti ypatingai, nes jie gali nepakankamai suvokti su asmens duomenų tvarkymu susijusius pavojus, padarinius ar apsaugos priemones bei savo teises.

Ypatinga apsauga pirmiausia turėtų būti taikoma vaikų asmens duomenų naudojimui rinkodaros, virtualios asmenybės ar vartotojo profilio sukūrimo tikslais ir su vaikais susijusių asmens duomenų rinkimui naudojantis vaikui tiesiogiai pasiūlytomis paslaugomis. Informacija ir pranešimai turėtų būti formuluojami vaikui lengvai suprantama, aiškia ir paprasta kalba, o prireikus naudojamas ir vizualizavimas.

Sutikimas kiekvienu tvarkymo tikslu

Nustatomas papildomas reikalavimas, kad, kai duomenys yra tvarkomi ne vienu tikslu, sutikimas turėtų būti duotas dėl visų duomenų tvarkymo tikslų. Tyla, iš anksto pažymėti langeliai arba neveikimas, kaip ir anksčiau, nėra laikomi sutikimo gavimu.

Jeigu sutikimas neatitinka Reglamento numatytų sąlygų, reikia peržiūrėti sutikimo gavimo mechanizmą arba surasti alternatyvų asmens duomenų tvarkymo teisinį pagrindą.

Rekomenduojame peržiūrėti, kaip prašote, gaunate ir užfiksuojate duomenų subjekto sutikimą ir ar Jums nereikia atlikti kokių nors pakeitimų, susijusių su sutikimo gavimu. Pvz., ar nerenkate perteklinių asmens duomenų, ar gaunate klientų išankstinius sutikimus dėl tiesioginės rinkodaros priemonių, ar tinkamai pateikiate informaciją apie vykdomą vaizdo stebėjimą ir pan.

Reikalavimai duomenų tvarkytojui

Duomenų valdytojas turėtų pasitelkti tik tokius duomenų tvarkytojus, kurie suteikia pakankamų garantijų dėl savo ekspertinių žinių, patikimumo ir išteklių, reikalingų įgyvendinti technines ir organizacines priemones, atitiksiančias Reglamento reikalavimus.

Duomenų tvarkytojo atliekamas duomenų tvarkymas turėtų būti reglamentuojamas sutartimi ar kitu teisės aktu pagal ES arba valstybės narės teisę, kuriuo nustatomi duomenų tvarkytojo įsipareigojimai duomenų valdytojui, duomenų tvarkymo dalykas bei trukmė, duomenų tvarkymo pobūdis ir tikslai, asmens duomenų rūšis ir duomenų subjektų kategorijos, ir atsižvelgiant į duomenų tvarkytojo konkrečias užduotis ir pareigas atliekant duomenų tvarkymą, taip pat į pavojų duomenų subjekto teisėms ir laisvėms.

Reglamente numatyta, kad atsakomybę pagal susitarimą turės dalytis tiek duomenų valdytojas, tiek duomenų tvarkytojas, todėl labai svarbu turėti profesionaliai parengtas asmens duomenų tvarkymo sutartis.

Tarptautinis elementas

Jeigu Jūsų verslas veikia tarptautiniu mastu, turėtumėte nuspręsti, su kuria duomenų apsaugos priežiūros institucija bendradarbiausite.

Reglamentas nustato kompleksą priemonių, kaip nuspręsti, kuri duomenų apsaugos priežiūros institucija turi kompetenciją veikti kaip vadovaujanti priežiūros institucija tiriant tarptautinį skundą, pavyzdžiui, kai duomenų tvarkymo veiksmai daro didelį poveikį arba gali padaryti didelį poveikį duomenų subjektams daugiau negu vienoje ES valstybėje narėje.

Išplėsta teritorinė Reglamento taikymo sritis

Reglamentas yra taikomas ne tik tuo atveju, kai asmens duomenis tvarko Europos Sąjungoje įsisteigęs verslas, bet ir tada, kai Europos Sąjungoje esančių duomenų subjektų asmens duomenis tvarko Europos Sąjungoje neįsisteigęs duomenų valdytojas arba duomenų tvarkytojas ir duomenų tvarkymo veikla susijusi su prekių arba paslaugų siūlymu duomenų subjektams Europos Sąjungoje arba elgesio, kai jie veikia Europos Sąjungoje, stebėsena.

 ***Nesilaikant Reglamento reikalavimų bus skiriamos įvairios sankcijos, įskaitant administracines baudas, todėl raginame verslą suskubti įsivertinti Reglamento poveikį ir nustatyti sritis, kuriose galėtų kilti problemų.

Teigiama, kad, skiriant sankcijas, bus atsižvelgiama į pažeidimo pobūdį, sunkumą ir trukmę, į tai, ar pažeidimas buvo tyčinis, į veiksmus, kurių imtasi patirtai žalai sumažinti, atsakomybės mastą arba į bet kokius svarbius ankstesnius pažeidimus, į tai, kaip apie pažeidimą sužinojo priežiūros institucija, ar buvo laikomasi tam duomenų valdytojui arba duomenų tvarkytojui taikytų priemonių, ar buvo laikomasi elgesio kodekso, taip pat į visus kitus sunkinančius ar švelninančius veiksnius. Todėl įsitikinkite, kad asmenys, kurie Jūsų įmonėje priima sprendimus, būtų informuoti, jog nuo 2018 m. gegužės 25 d. keičiasi Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas ir pradedamas tiesiogiai taikyti Reglamentas ir žinotų, kaip tinkamai jį įgyvendinti.

[i] 2016 m. balandžio 27 d. priimtas Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinama Direktyva 95/46/EB.

Pasirinkite jus dominančias įmones ir temas – asmeniniu naujienlaiškiu informuosime iškart, kai jos bus minimos „Verslo žiniose“, „Sodros“, Registrų centro ir kt. šaltiniuose.

NKSC vadovas: kibernetinės atakos nuslopo, tačiau bet kada gali vėl prasidėti

Kibernetinės atakos prieš Lietuvos institucijas ir verslą nuslopo, bet ekspertai pasirengę jų atsinaujinimui,...

Inovacijos
17:18
„BaltCap“ Latvijos technologijų bendrovę „Vendon“ parduoda „Azkoyen“ grupei

Didžiausia Baltijos šalyse privataus kapitalo fondų valdytoja „BaltCap“ už neskelbiamą sumą parduoda Latvijos...

Inovacijos
16:19
Pernai bendrovės „Bolt“ nuostolis išaugo iki 547,2 mln. Eur

„Bolt“ prekės ženklą naudojantis Estijos startuolis „Bolt Technology“ 2021-aisiais patyrė 547,2 mln. Eur...

Logistika
16:09
Autonominis laivas perplaukė Atlantą

Robotinis laivas be įgulos „Mayflower“, pakartojęs anglų kolonistų 1620 metų kelionę laivu „Mayflower“,...

Logistika
11:50
VŽ klausomiausi podkastai birželį

Pateikiame daugiausia „Verslo žinių“ prenumeratorių dėmesio sulaukusių podkastų TOP 10.

Laisvalaikis
09:52
„Wargaming Vilniaus“ vadovas: nuo rudens Lietuvoje suaktyvinsime specialistų samdą Premium

Baltarusijos žaidimų milžinė „Wargaming“ per metus Lietuvoje pasamdė apie keliasdešimt darbuotojų, o nuo...

Inovacijos
05:45
„Estateguru“ siekia pritraukti institucinių investuotojų, žada nepamiršti mažmeninių Premium

„Estateguru“ ruošiasi antram lėšų pritraukimo raundui. Startuolis ketina smarkiai padidinti veiklos apimtis,...

Rinkos
2022.06.30
„Samsung“ pirmoji pasaulyje pradeda masinę pažangių 3 nm lustų gamybą

„Samsung Electronics“ tapo pirmąja lustų gamintoja pasaulyje, pradėjusia masinę pažangių 3 nanometrų...

Inovacijos
2022.06.30
Rekordiniai Lietuvos žaidimų industrijos metai: naujos galimybės ir senos problemos Premium

Lietuvos žaidimų industrija pernai stiebėsi į viršų – plėtėsi vietos įmonės, taip pat atvyko naujų, kurios...

Inovacijos
2022.06.30
„Snapchat“ pristato mokamą prenumeratos paslaugą

Socialinio tinklo „Snapchat“ valdytoja „Snap“ trečiadienį pranešė, kad išleidžia mokamą paslaugų planą...

Inovacijos
2022.06.30
Darbo aplinka keičiasi iš esmės: „Xerox“ žengia permainų priešakyje Verslo tribūna

Skaitmeninimo iniciatyvos versle, ypač paskatino prigijęs hibridinio ar nuotolinio darbo modelis, ragina...

Išmani Lietuva
2022.06.30
Priimant sprendimus „Tele2“ siūlo nespėlioti: duomenų analitika leis pamatyti tendencijas ir priimti efektyvesnius sprendimus Verslo tribūna

Iš kur ir kaip juda žmonės mieste, kokia vieta paslaugų teikimui pati tinkamiausia, kaip ir kur buriasi...

Regioninis verslas
2022.06.30
Birželį pradėti ir baigti NT projektai Premium

Birželį Vilniuje pradėtos naujų daugiabučių, bendro gyvenimo būsto, biurų pastato statybos, Kaune ir...

Statyba ir NT
2022.06.30
„Teltonika Telematics“ vadovas: ne kiekviena klaida yra nusižengimas Premium

Trečias geidžiamiausias darbdavys Lietuvoje „Teltonika Telamatics“ dalijasi sėkmės istorija, kaip į...

Vadyba
2022.06.30
Turtingiausių strateginių įmonių vadovų TOP 10 – M. Armonaitis, M. Rudnickis, A. Latakas

Tarp strateginių Lietuvos įmonių vadovų pagal deklaruoto 2021 m. turto ir lėšų vertę išsiskyrė Klaipėdos...

Vadyba
2022.06.29
Tvari IT įranga – mada ar ateitis? Verslo tribūna

Kol vienos įmonės vis dar abejoja dėl investicinės grąžos į tvarumą, kitos gi imasi lyderystės ir brėžia...

Inovacijos
2022.06.29
A. Anušauskas: kiberatakų organizatoriai ieško silpnų vietų, galimi išpuoliai prieš verslą 1

Su Rusija siejamos organizuotos kibernetinės atakos prieš Lietuvą pirmąkart pasiekė tokį platų mastą, o radus...

Inovacijos
2022.06.29
Auga Aerokosmoso duomenų centro kuriamų sprendimų ir technologijų paklausa Verslo tribūna

Praėjusiais metais Vilniaus Gedimino technikos universiteto (VILNIUS TECH) Antano Gustaičio aviacijos...

Kuriantiems rytojui
2022.06.29
Ar verta skaitmeninius sprendimus migruoti į „debesį“? Verslo tribūna

JAV technologinių tyrimų ir konsultacijų įmonės „Gartner“ atliktas tyrimas rodo, kad iki 2025 m. bendrovių...

„Simitri“ patirtis ir milijoninė apyvarta pirmaisiais metais: kaip sukurti pelningą e. parduotuvę Premium 5

2020-aisiais įkurta e. parduotuvė „Simitri“ „nulūžo“ per 10 min. po to, kai jos įkūrėjai – influenceriai...

Gazelė
2022.06.29

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Valdyti Sutinku