Kas tai? Eksperto įžvalgos

Bendrasis duomenų apsaugos reglamentas: ką būtina atlikti ir žinoti

Reklama publikuota: 2017-09-11
Raminta Stravinskaitė, advokatų kontoros GLIMSTEDT teisininkė, tarptautinės technologijų teisės asociacijos („ITechLaw“) atstovė Lietuvai ir Baltijos regionui.
svg svg
Raminta Stravinskaitė, advokatų kontoros GLIMSTEDT teisininkė, tarptautinės technologijų teisės asociacijos („ITechLaw“) atstovė Lietuvai ir Baltijos regionui.

2018 m. gegužės 25 d. bus pradėtas taikyti Bendrasis duomenų apsaugos reglamentas[i] (toliau – Reglamentas). Ką verslo įmonėms būtina atlikti ir žinoti iki jam įsigaliojant?

Tvarkomų asmens duomenų inventorizacija

Pirmiausia verslas turėtų inventorizuoti tvarkomus asmens duomenis. Turėtumėte sugebėti aiškiai įvardyti, kokius asmens duomenis tvarkote, iš kur jie yra gauti ar kam jie yra teikiami. Organizacijoje ar tam tikroje verslo srityje gali prireikti atlikti tvarkomų asmens duomenų auditą ir atsakyti sau į tokius klausimus:

  • kokius asmens duomenis tvarkote ar ketinate tvarkyti?
  • kas yra atsakingas už šių duomenų tvarkymą Jūsų bendrovėje? Kokios tų asmenų funkcijos?
  • kur ir kas saugo Jūsų klientų ir darbuotojų asmens duomenis?
  • koks yra asmens duomenų judėjimas, t.y. kam ir kokiomis priemonėmis yra perduodami asmens duomenys?
  • ar parengtos ir (ar) atnaujintos bendrovės vidinės taisyklės, procedūros, kuriose būtų aptariami asmens duomenų tvarkymo klausimai?
  • ir pan.

Asmens duomenų tvarkymo taisyklės

Bet kuris verslas, tvarkantis savo klientų ir darbuotojų asmens duomenis, privalo turėti asmens duomenų tvarkymo taisykles. Šis reikalavimas nėra naujas, tačiau, įsigaliojus Reglamentui, anksčiau parengtas taisykles privaloma peržiūrėti ir pakoreguoti pagal Reglamento nuostatas.

Informacijos apie privatumą pateikimas

Ne naujiena, kad jeigu bendrovė turi savo interneto svetainę ir (ar) mobiliąją aplikaciją ir ja naudodamasi renka asmens duomenis, privaloma joje skelbti ir privatumo politiką. Keičiasi tik tai, kad, įsigaliojus Reglamentui, internetinės svetainės ir (ar) mobiliosios aplikacijos lankytojai ir visi kiti duomenų subjektai turės daug daugiau teisių.

Reglamentas įtvirtina tokias teises kaip teisė į duomenų perkeliamumą (duomenų subjektas turės teisę gauti susijusius su juo asmens duomenis, kuriuos jis pateikė bendrovei susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu, ir persiųsti tuos duomenis kitam duomenų valdytojui) ar teisė būti pamirštam. Šių teisių turinys ir galimybė jomis pasinaudoti taip pat turės būti aptarta Jūsų privatumo politikoje.

Svarbu atkreipti dėmesį, kad minėta informacija turi būti pateikta glaustai, lengvai matomu, suprantamu ir aiškiai įskaitomu būdu.

Duomenų apsaugos pareigūnas

Reglamentu įvedama nauja sąvoka: duomenų apsaugos pareigūnas. Turėtumėte paskirti duomenų apsaugos pareigūną savo organizacijoje, jeigu tokio reikia, ar kitą asmenį iš išorės, kuris būtų atsakingas už asmens duomenų apsaugos reikalavimų laikymąsi, ir įvertinti šios pareigybės padėtį organizacijoje.

Paskirti duomenų apsaugos pareigūną jums reikės, jei:

a) duomenis tvarkote kaip valdžios institucija arba įstaiga, išskyrus teismus, kai jie vykdo savo teismines funkcijas;

b) pagrindinė veikla yra duomenų tvarkymo operacijos, dėl kurių pobūdžio, aprėpties ir (arba) tikslų būtina reguliariai ir sistemingai dideliu mastu stebėti duomenų subjektus;

c) duomenų valdytojo arba duomenų tvarkytojo pagrindinė veikla yra specialių kategorijų duomenų tvarkymas dideliu mastu.

Patys ar pasitelkę šios srities specialistus turėtumėte nuspręsti, ar privalote paskirti duomenų apsaugos pareigūną, jeigu taip - įvertinti, ar Jūsų veiksmai, atliekami tvarkant asmens duomenis, atitiks Reglamento reikalavimus.

Poveikio vertinimas

Direktyvoje 95/46/EB, kurią keičia Reglamentas, numatyta bendra prievolė pranešti priežiūros institucijoms apie asmens duomenų tvarkymą ne visada padėdavo gerinti asmens duomenų apsaugą. Atsižvelgiant į tai, privaloma registracija Valstybinėje duomenų apsaugos inspekcijoje bus keičiama veiksmingesnėmis procedūromis ir mechanizmais. Valstybinė duomenų apsaugos inspekcija savo tinklalapyje skelbia, kad iki 2018 m. balandžio 30 d. parengs ir patvirtins sąrašą duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą. Paskelbus sąrašą, verslas, tvarkantis savo klientų asmens duomenis, turės pasitikrinti, ar nepatenka tarp subjektų, kuriems toks poveikio vertinimas yra privalomas. Manoma, kad pirmiausia tai turėtų būti duomenų tvarkymo operacijų rūšys, apimančios naujų technologijų naudojimą, arba naujos rūšies operacijos, dėl kurių duomenų valdytojas anksčiau nėra atlikęs poveikio duomenų apsaugai vertinimo arba kurios tapo būtinos atsižvelgiant į nuo pirminio duomenų tvarkymo praėjusį laiką.

Informavimas apie grėsmę duomenų saugumui

Verslui atsiranda nauja pareiga informuoti Valstybinę duomenų apsaugos inspekciją apie grėsmę asmens duomenų saugumui, todėl turite įsitikinti, kad esate nustatę tinkamas procedūras, kaip aptikti asmens duomenų saugumo pažeidimus, apie juos pranešti ir juos ištirti.

Verslas apie asmens duomenų saugumo pažeidimą, turėtų pranešti kompetentingai priežiūros institucijai nepagrįstai nedelsdamas ir, jei įmanoma, praėjus ne daugiau kaip 72 valandoms nuo to laiko, kai apie asmens duomenų saugumo pažeidimą buvo sužinota, nebent sugebėtų įrodyti, kad pažeidimas neturėtų kelti pavojaus fizinių asmenų teisėms ir laisvėms.

Valstybinė duomenų apsaugos inspekcija įspėja, kad didesnės organizacijos turės sukurti taisykles ir procedūras, kaip turės būti valdomi asmens duomenų saugumo pažeidimai - centriniu ar regioniniu lygiu. Taip pat atkreipiamas dėmesys, kad, nepranešus apie pažeidimą, kai apie jį pranešti yra privaloma, gali būti skiriama bauda.

Ypatingas dėmesys vaikų asmens duomenų apsaugai

Reglamente išskiriama ypatingai jautrių asmens duomenų subjektų grupė – vaikai. Pirmą kartą Europos Sąjungos teisėje reglamentuojamas nepilnamečio iki 16 m. asmens duomenų tvarkymas. Kai vaikas yra jaunesnis negu 16 metų, toks tvarkymas tampa teisėtas tik tuo atveju, jeigu sutikimą davė arba tvarkyti duomenis leido vaiko tėvų pareigų turėtojas, ir tokiu mastu, kokiu duotas toks sutikimas ar leidimas. Tapęs suaugusiuoju, asmuo turi teisę sutikimą atšaukti ir reikalauti duomenis sunaikinti.

Laikomasi nuomonės, kad vaikų asmens duomenis reikia saugoti ypatingai, nes jie gali nepakankamai suvokti su asmens duomenų tvarkymu susijusius pavojus, padarinius ar apsaugos priemones bei savo teises.

Ypatinga apsauga pirmiausia turėtų būti taikoma vaikų asmens duomenų naudojimui rinkodaros, virtualios asmenybės ar vartotojo profilio sukūrimo tikslais ir su vaikais susijusių asmens duomenų rinkimui naudojantis vaikui tiesiogiai pasiūlytomis paslaugomis. Informacija ir pranešimai turėtų būti formuluojami vaikui lengvai suprantama, aiškia ir paprasta kalba, o prireikus naudojamas ir vizualizavimas.

Sutikimas kiekvienu tvarkymo tikslu

Nustatomas papildomas reikalavimas, kad, kai duomenys yra tvarkomi ne vienu tikslu, sutikimas turėtų būti duotas dėl visų duomenų tvarkymo tikslų. Tyla, iš anksto pažymėti langeliai arba neveikimas, kaip ir anksčiau, nėra laikomi sutikimo gavimu.

Jeigu sutikimas neatitinka Reglamento numatytų sąlygų, reikia peržiūrėti sutikimo gavimo mechanizmą arba surasti alternatyvų asmens duomenų tvarkymo teisinį pagrindą.

Rekomenduojame peržiūrėti, kaip prašote, gaunate ir užfiksuojate duomenų subjekto sutikimą ir ar Jums nereikia atlikti kokių nors pakeitimų, susijusių su sutikimo gavimu. Pvz., ar nerenkate perteklinių asmens duomenų, ar gaunate klientų išankstinius sutikimus dėl tiesioginės rinkodaros priemonių, ar tinkamai pateikiate informaciją apie vykdomą vaizdo stebėjimą ir pan.

Reikalavimai duomenų tvarkytojui

Duomenų valdytojas turėtų pasitelkti tik tokius duomenų tvarkytojus, kurie suteikia pakankamų garantijų dėl savo ekspertinių žinių, patikimumo ir išteklių, reikalingų įgyvendinti technines ir organizacines priemones, atitiksiančias Reglamento reikalavimus.

Duomenų tvarkytojo atliekamas duomenų tvarkymas turėtų būti reglamentuojamas sutartimi ar kitu teisės aktu pagal ES arba valstybės narės teisę, kuriuo nustatomi duomenų tvarkytojo įsipareigojimai duomenų valdytojui, duomenų tvarkymo dalykas bei trukmė, duomenų tvarkymo pobūdis ir tikslai, asmens duomenų rūšis ir duomenų subjektų kategorijos, ir atsižvelgiant į duomenų tvarkytojo konkrečias užduotis ir pareigas atliekant duomenų tvarkymą, taip pat į pavojų duomenų subjekto teisėms ir laisvėms.

Reglamente numatyta, kad atsakomybę pagal susitarimą turės dalytis tiek duomenų valdytojas, tiek duomenų tvarkytojas, todėl labai svarbu turėti profesionaliai parengtas asmens duomenų tvarkymo sutartis.

Tarptautinis elementas

Jeigu Jūsų verslas veikia tarptautiniu mastu, turėtumėte nuspręsti, su kuria duomenų apsaugos priežiūros institucija bendradarbiausite.

Reglamentas nustato kompleksą priemonių, kaip nuspręsti, kuri duomenų apsaugos priežiūros institucija turi kompetenciją veikti kaip vadovaujanti priežiūros institucija tiriant tarptautinį skundą, pavyzdžiui, kai duomenų tvarkymo veiksmai daro didelį poveikį arba gali padaryti didelį poveikį duomenų subjektams daugiau negu vienoje ES valstybėje narėje.

Išplėsta teritorinė Reglamento taikymo sritis

Reglamentas yra taikomas ne tik tuo atveju, kai asmens duomenis tvarko Europos Sąjungoje įsisteigęs verslas, bet ir tada, kai Europos Sąjungoje esančių duomenų subjektų asmens duomenis tvarko Europos Sąjungoje neįsisteigęs duomenų valdytojas arba duomenų tvarkytojas ir duomenų tvarkymo veikla susijusi su prekių arba paslaugų siūlymu duomenų subjektams Europos Sąjungoje arba elgesio, kai jie veikia Europos Sąjungoje, stebėsena.

 ***Nesilaikant Reglamento reikalavimų bus skiriamos įvairios sankcijos, įskaitant administracines baudas, todėl raginame verslą suskubti įsivertinti Reglamento poveikį ir nustatyti sritis, kuriose galėtų kilti problemų.

Teigiama, kad, skiriant sankcijas, bus atsižvelgiama į pažeidimo pobūdį, sunkumą ir trukmę, į tai, ar pažeidimas buvo tyčinis, į veiksmus, kurių imtasi patirtai žalai sumažinti, atsakomybės mastą arba į bet kokius svarbius ankstesnius pažeidimus, į tai, kaip apie pažeidimą sužinojo priežiūros institucija, ar buvo laikomasi tam duomenų valdytojui arba duomenų tvarkytojui taikytų priemonių, ar buvo laikomasi elgesio kodekso, taip pat į visus kitus sunkinančius ar švelninančius veiksnius. Todėl įsitikinkite, kad asmenys, kurie Jūsų įmonėje priima sprendimus, būtų informuoti, jog nuo 2018 m. gegužės 25 d. keičiasi Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas ir pradedamas tiesiogiai taikyti Reglamentas ir žinotų, kaip tinkamai jį įgyvendinti.

[i] 2016 m. balandžio 27 d. priimtas Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinama Direktyva 95/46/EB.

Gauk nemokamą TECHNOLOGIJŲ savaitraštį į savo el.pašto dėžutę:

Pasirinkite Jus dominančius NEMOKAMUS savaitraščius:













Svarbiausios dienos naujienos trumpai:



 
Pandemijos pasekmės: IT specialistų trūkumo sausra plečiasi, o lietaus nematyti Premium

Su IT susijusių paslaugų augimas per pandemiją lėmė ir dar labiau padidėjusį šių specialistų poreikį. Verslo...

„ŽMONĖS Cinema“ pranešė patyrusi kibernetinę ataką, tačiau vartotojų duomenys nenukentėjo

Namų kino platforma „ŽMONĖS Cinema“ trečiadienį pranešė patyrusi kibernetinę ataką, tačiau vartotojų...

Technologijos
2021.03.31
Registrų centre – daugiau atvirų duomenų apie gyventojus ir verslą 1

Regionų geoinformacinės aplinkos žemėlapį (REGIA) papildė statistiniai Registrų centro (RC) duomenys apie...

Technologijos
2021.03.31
Švedijos „Miss Group“, įsigijusi „Interneto viziją“, žvalgosi Latvijoje ir Estijoje Premium 1

Švedijos kapitalo kompanijai „Miss Group“ pernai įsigijus vieną seniausių Lietuvos prieglobos ir susijusių...

Technologijos
2021.03.31
„Huawei“ sugebėjo išlaikyti nedidelį augimą, pelnas sudarė beveik 10 mlrd. USD

Kinijos technologijų milžinės „Huawei“ tarptautinės pardavimų pajamos 2020 m. siekė 136,7 mlrd. USD ir buvo...

Technologijos
2021.03.31
KPMG: pasaulinės investicijos į „fintech“ pernai sumažėjo trečdaliu

COVID-19 pandemija trumpam pristabdė pasaulines investicijas į finansines technologijas („fintech“) – pirmoje...

Technologijos
2021.03.31
„Elgama-Elektronika“ – apie stulbinančio augimo priežastis  Premium 6

Per praėjusius metus išmaniųjų elektros skaitiklių kompanijos „Elgama-Elektronika“ apyvartą eksportas...

Pramonė
2021.03.31
D. Sabonis investavo į NFT startuolį, valdantį „NBA Top Shot“

Krepšininkas Domantas Sabonis prisijungė prie dar kelių dešimčių NBA krepšininkų ir investavo į startuolį...

Rinkos
2021.03.30
„Teleperformance“ sistema per kompiuterio kamerą stebės dirbančius namuose Premium 1

Prancūzijos klientų patirties valdymo bendrovė „Teleperformance“ naudos dirbtinio intelekto sistemą, kuri...

Technologijos
2021.03.30
BPC baigia perimti greitosios pagalbos skambučius

Bendrasis pagalbos centras (BPC) pranešė nuo antradienio perimantis greitosios medicinos pagalbos tarnybos...

Technologijos
2021.03.30
„Telia“ pradeda prekybą naudotais ir atnaujintais telefonais

„Telia“ Lietuvoje pradeda prekiauti atnaujintais (angl. refurbished) telefonais. Šie mažai naudoti išmanieji,...

Technologijos
2021.03.30
Tyrimas: konkurencingiausias IT sektorius regione – Lenkijoje, Lietuva – dešimtuke Premium

Jungtinėje Karalystėje (JK) įsikūrusios turinio ir analitikos platformos „Emerging Europe“ tyrimas rodo, kad...

Technologijos
2021.03.30
Kaip pakeisti prekės ženklą kone per naktį, kad ryte neištiktų chaosas Premium

Verslininkai, nusprendę atnaujinti įmonės įvaizdį ir pakeisti prekės ženklą, dažnai visas jėgas meta...

Gazelė
2021.03.30
Technologijų kompanijų apmokestinimas temdo JAV ir Jungtinės Karalystės santykius

Jungtinės Valstijos įspėjo Jungtinę Karalystę galinčios nustatyti muitų tarifus kai kurioms britų prekėms,...

Technologijos
2021.03.29
Neįprasta kibernetinė ataka ir negailestinga „Google“ ranka: atjungus nuo platformų, pardavimai krito 90% Premium 2

UAB „Informacinės sistemos ir technologijos“, veikianti su prekės ženklu „BaCloud“, patyrė neįprastą...

Technologijos
2021.03.29
„Nuctech“ prašymu Lietuvoje sustabdytas bagažo patikros įrangos konkursas

Vilniaus apygardos teismas „Nuctech“ ir UAB „Inta“ prašymu laikinai sustabdė Lietuvos oro uostų bagažo...

Technologijos
2021.03.29
Investavusi 2,6 mln. Eur, „Ekobazė“ gamins produktus iš perdirbtų padangų 8

Į įrangą investavusi 2,6 mln. Eur, atliekų tvarkymo įmonė „Ekobazė“ pradeda naujų guminių gaminių iš...

Pramonė
2021.03.29
Lietuvos mokslo perlai: investuotojus labiausiai domina biotechnologijos Premium

Lietuvos universitetuose gimsta daugiau atžalinių bendrovių, o kelios Vilniaus universiteto (VU) mokslininkų...

Technologijos
2021.03.29
Ar verslo mokyklų atliktos analizės duoda realios naudos? Premium

XXI a. pirmojo dešimtmečio pradžioje tyrinėdamas „Nike“ požiūrį į socialinę atsakomybę, Richardas Locke’as iš...

Vadyba
2021.03.28
„Amazon“ plečia programą, kuri darbą sandėliuose paverčia žaidimu

Prieš kelerius metus sandėliuose pradėjusi taikyti sužaidybinimo (angl. gamification) elementus JAV e.

Technologijos
2021.03.27

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Valdyti Sutinku