Kas tai? Eksperto įžvalgos

Reikalavimai sutartims tarp duomenų valdytojų ir tvarkytojų pagal ES Bendrąjį duomenų apsaugos reglamentą

Reklama publikuota: 2017-09-25
svg svg

Be kitų naujovių, nuo 2018 m. gegužės 25 dienos pradedamas taikyti ES Bendrasis duomenų apsaugos reglamentas (BDAR) nustato ne vien rašytinę sutartį tarp duomenų tvarkytojo ir valdytojo kaip bendrąjį reikalavimą, bet ir reikšmingai išplėtoja pareigų, kurias turi prisiimti duomenų tvarkytojas, sąrašą. Jau nebepakaks bendresnio poreikio įsipareigojimų laikytis asmens duomenų apsaugą reglamentuojančių teisės aktų, užtikrinti duomenų saugumą ir veikti tik pagal duomenų valdytojo nurodymus, į sutartį privalės būti įtrauktos papildomos sąlygos. Jos skirtos užtikrinti, kad tvarkymas atitiks visus BDAR keliamus reikalavimus, ne vien užtikrins duomenų saugumą. Privalomus duomenų tvarkymo sutarties elementus galima suskirstyti į dvi kategorijas: informacija, kurią būtina pateikti sutartyje, ir privalomos sutarties sąlygos (įpareigojimai duomenų tvarkytojui). Žemiau trumpai aptariamos abi šios kategorijos.

Privaloma pateikti informacija:

1. Duomenų tvarkymo dalykas ir trukmė;  2. Duomenų tvarkymo pobūdis ir tikslai.   3. Duomenų rūšys ir duomenų subjektų kategorijos;   4. Duomenų valdytojo teisės ir pareigos.

Duomenų tvarkytojui iš sutarties turėtų būti aišku, ką šis turėtų daryti su perduodamais duomenimis, neturėtų būti naudojamos bendro pobūdžio nuostatos.

Nemokami naujienlaiškiai į savo el. pašto dėžutę:













Svarbiausios dienos naujienos trumpai:



 

Privalomos sutarties sąlygos:

1. Duomenų tvarkytojo įsipareigojimas veikti tik pagal rašytinius valdytojo nurodymus. Tai labai svarbu dėl to, kad BDAR duomenų tvarkytoją traktuos kaip duomenų valdytoją tada, jei šis nustatys duomenų tvarkymo tikslus ir priemones nesilaikydamas duomenų valdytojo nurodymų su visomis iš to išplaukiančiomis pareigomis. Sutartyje rekomenduotina nustatyti, kas bus laikoma duomenų valdytojo nurodymu, ar valdytojo priimtos politikos, ar ir el. laiškai su nurodymais, nustatyti teisę duoti nurodymus turintys asmenys. Būtina pabrėžti, kad duomenų tvarkytojas vis vien pasilieka teisę priimti veiklos ir organizacinius sprendimus, būtinus sutartos paslaugos suteikimui tiek, kiek tai nepakeičia duomenų tvarkymo tikslų.   2. Duomenų tvarkytojo darbuotojų konfidencialumo įsipareigojimai. Sutartyje turi būti numatyta, kad tvarkytojas užtikrina, jog darbuotojai, tvarkantys asmens duomenis, yra įsipareigoję užtikrinti konfidencialumą, išskyrus atvejus, kai tokią pareigą jie jau turi pagal teisės aktus.   3. Tinkamų duomenų tvarkymo saugumo priemonių užtikrinimas. Duomenų tvarkytojas sutartimi turi įsipareigoti užtikrinti saugumo lygį, atitinkantį duomenų pobūdį ir su jais siejamos grėsmės lygį. BDAR 32 straipsnis kaip tokių priemonių pavyzdžius nurodo pseudonimų suteikimą, šifravimą, duomenų tvarkymo sistemų bei paslaugų konfidencialumo užtikrinimą ir pan.   4. Kitų duomenų tvarkytojų pasitelkimas. Duomenų tvarkytojas turi būti įpareigotas pasitelkti kitus duomenų tvarkytojus tik gavęs išankstinį duomenų valdytojo sutikimą ir sudaręs su kitu tvarkytoju rašytinę sutartį, kuriai keliami tokie patys reikalavimai kaip ir sutarčiai, sudaromai su pagrindiniu tvarkytoju. Tokiu būdu užtikrinama, kad valdytojas išlaikytų asmens duomenų kontrolę net ir tada, kai pradinis tvarkytojas perduoda dalį ar visą tvarkymą kitam.   5. Pagalba įgyvendinant duomenų subjektų teises, įrodinėjant atitikį BDAR keliamiems reikalavimams, atliekant poveikio duomenų apsaugai vertinimą ir, jei tai reikalinga, konsultuojantis su priežiūros institucija. Atsižvelgiant į tai, kad šiems veiksmams įgyvendinti gali būti reikalingos žinios apie tai, kaip tvarkymas vyks ar vyksta praktikoje, o tvarkytojui neretai perduodamas faktinis duomenų tvarkymas, tokia pagalba bus būtina. Tiesa, būtina suvokti, kad ši bendradarbiavimo pareiga nebus neribota ir priklausys nuo duomenų tvarkymo pobūdžio ir duomenų tvarkytojo turimos informacijos.   6. Pagalba teikiant pranešimus apie duomenų saugumo pažeidimus. Skirtingai nei duomenų valdytojas, kuris pareigą nacionalinei priežiūros institucijai pranešti apie asmens duomenų saugumo pažeidimą turės tik tada, jei pažeidimas gali kelti grėsmę fizinių asmenų teisėms ir laisvėms, tokia galimų pasekmių vertinimo sąlyga nėra nustatyta tvarkytojų atžvilgiu. Atitinkamai, šie turės nedelsdami informuoti duomenų valdytoją sužinoję apie bet kokį asmens duomenų saugumo pažeidimą.   7. Duomenų ištrynimo ir/ar grąžinimo pareiga bei tvarka. Sutartyje būtina numatyti, kas nutinka pas duomenų tvarkytoją esantiems duomenims nutraukus sutartį, nes tvarkytojas juos toliau saugoti gali tik tada, jei tai nustato Europos Sąjungos arba nacionalinė teisė.   8. Auditavimo bei patikrinimų galimybė. Praktikoje tai reiškia, kad tvarkytojas turės kaupti dokumentaciją apie tai, kaip vykdo duomenų tvarkymą, visada žinoti, kur yra laikomi jam perduoti duomenys bei kaip jie yra tvarkomi.

Bendrasis duomenų apsaugos reglamentas sudaro sąlygas susitarimą tarp valdytojo ir tvarkytojo visą ar iš dalies pagrįsti standartinėmis sutarčių sąlygomis, įskaitant kai jos yra sertifikavimo dalis arba parengtos Europos Komisijos arba nacionalinės priežiūros institucijos. Tiesa, kol kas tokių standartinių sutarčių sąlygų ir sertifikavimo mechanizmų nėra nustatyta, todėl šiomis priemonėmis pasinaudoti dar nėra galimybės.

Žinoma, ne visais atvejais duomenų valdytojas praktikoje gali nustatyti ir pateikti savo sutarties sąlygas. Didieji debesijos, IT paslaugų teikėjai, nors ir būdami duomenų tvarkytojais, teikia ir toliau teiks savo standartines sutartis su savo nustatytomis sąlygomis. Tačiau net ir tokiu atveju naudinga įsitikinti, ar tikrai duomenų tvarkytojo teikiama sutartis atitinka visus BDAR keliamus reikalavimus, nes net ir didieji rinkos žaidėjai įprastai yra suinteresuoti atitiktimi BDAR, todėl toks klientų spaudimas gali juos paskatinti kuo anksčiau pateikti BDAR atitinkančias standartines sutarčių sąlygas. Tuo tarpu BDAR aiškiai nenurodo, kieno, duomenų tvarkytojo, valdytojo ar abiejų pareiga įtraukti reikiamas nuostatas, o pagal BDAR tiesiogiai už duomenų tvarkymą taps atsakingi ir duomenų tvarkytojai, todėl keliamų reikalavimų nesilaikymas gali turėti neigiamų pasekmių tiek duomenų tvarkytojui, tiek ir valdytojui. Visgi, BDAR preambulėje nurodyta duomenų valdytojo pareiga „pasitelkti tik tokius duomenų tvarkytojus, kurie suteikia pakankamų garantijų, susijusių visų pirma su ekspertinėmis žiniomis, patikimumu ir ištekliais, kad būtų įgyvendintos techninės ir organizacinės priemonės, kurios atitiks šio reglamento reikalavimus, įskaitant dėl tvarkymo saugumo“ leidžia spręsti, kad duomenų valdytojai turėtų būti labiausiai suinteresuoti tinkamų susitarimų su tvarkytojais sudarymu.

Bendrasis duomenų apsaugos reglamentas nenumato išimčių ar pereinamojo laikotarpio iki 2018 m. gegužės 25 dienos sudarytoms sutartims, todėl, siekiant išvengti skubaus sutarčių keitimo pradėjus taikyti BDAR, rekomenduotina pasirengti ir pradėti naudoti atnaujintus kontraktus. Jei bendrovė savo tvarkomus asmens duomenis patiki nemažam ratui duomenų tvarkytojų, tinkamu pirmuoju žingsniu galėtų būti visų duomenų tvarkytojų ir su jais sudarytų sutarčių inventorizacija, identifikuojant didžiausios rizikos sutartis ir atitinkamai pradedant peržiūrą nuo jų. Tinkamai parengtos sutartys su duomenų tvarkytojais ne vien padės atitiktį pareigą turėti tokias sutartis, bet ir padės suprasti abiejų sutarties šalių teises, pareigas bei atsakomybę, palengvins atitikties BDAR užtikrinimą ir suteiks geresnę apsaugą perduodamiems duomenims bei galimybę valdytojams pademonstruoti atitikį BDAR reikalavimams.

Pasirinkite jus dominančias įmones ir temas – asmeniniu naujienlaiškiu informuosime iškart, kai jos bus minimos „Verslo žiniose“, „Sodros“, Registrų centro ir kt. šaltiniuose.

„Išskirtinai sunkų“ ketvirtį „Tesla“ pristatė 68% daugiau elektromobilių

„Tesla“ šeštadienį pranešė, kad per pirmuosius tris šių metų mėnesius visame pasaulyje pristatė 310.048...

Automobiliai
20:45
NASA pradeda skrydžiams į Mėnulį skirtos raketos galutinius patikrinimus

NASA penktadienį pradėjo kritiškai svarbius dviejų dienų bandymus, per kuriuos bus patikrintos didžiulės...

Inovacijos
16:57
Dėl Rusijos karių nesėkmės Ukrainoje kaltas ir nešifruotas radijo ryšys

Viena iš daugelio Rusijos nesėkmių Ukrainoje yra radijo komunikacija. Daugybė karių bendrauja paprastais...

Inovacijos
14:40
„Audi“ patvirtino neketinanti išduoti universalų Premium

700 km be sustojimo galintis įveikti koncepcinis „A6 Avant e-tron“ yra „95% gamybai paruoštas“ serijinis...

Automobiliai
11:58
Pirmieji garso įrašai Marse atskleidė esant dvejopą garso greitį 2

Marse padaryti pirmieji garso įrašai rodo, kad planetoje tvyro tyla, retkarčiais paįvairinama vėjo gūsių,...

Inovacijos
2022.04.01
Technologijų miestelio „Cyber City“ statybos Vilniaus Naujamiestyje artėja prie pabaigos 1

Sostinės Naujamiestyje, buvusioje „Spartos“ fabriko teritorijoje, kylančio technologijų miestelio „Cyber...

Statyba ir NT
2022.04.01
R. Rainys: neapsaugota organizacija anksčiau ar vėliau tampa kibernetinės atakos auka Premium

Dirbant Nacionaliniame kibernetinio saugumo centre (NKSC) kartais būdavo apmaudu, jog verslas ir kitos...

Inovacijos
2022.04.01
Estijoje uždraudžiama „Yandex“ veikla

Estijos vyriausybė patvirtino nacionalines sankcijas Rusijos kapitalo bendrovei „Yandex“ – jos tiesioginė ar...

Inovacijos
2022.04.01
„Fintech“ bendrovių Lietuvoje pernai padaugėjo 13%, pritrauktos rekordinės investicijos

Lietuvos „fintech“ sektorius praėjusiais metais pritraukė rekordinį investicijų skaičių, bendrovių per 2021...

Inovacijos
2022.04.01
Paskelbtas svarbiausias 5G dažnių aukcionas

Ryšių reguliavimo tarnyba (RRT) paskelbė 3,5 GHz juostos dažnių, numatytų komercinio 5G mobiliojo ryšio...

Inovacijos
2022.04.01
Specialistų trūksta, alga ne per didžiausia: stringa Kibernetinio saugumo centro vadovo paieška Premium 1

Krašto apsaugos ministerijai (KAM) kol kas sunkiai sekasi surasti naująjį Nacionalinio kibernetinio saugumo...

Inovacijos
2022.04.01
JAV nusitaikė į Rusijos technologijų įmones, sankcionavo didžiausią lustų gamintoją 1

Jungtinės Valstijos ketvirtadienį paskelbė sankcijas kelioms Rusijos technologijų įmonėms, įskaitant...

Inovacijos
2022.03.31
Pasaulis gręžiasi nuo Rusijos IT bendrovių, jų įrangą vis dar naudoja Lietuvos įstaigos Premium 3

Iš Rusijos kilusios IT bendrovės, kaip „Kaspersky“ ar „Yandex“, pastarąjį mėnesį atsidūrė po Vakarų...

Inovacijos
2022.03.31
Lietuvos žaidimų industrija: iškart galėtume įdarbinti 100 darbuotojų

Žaidimų industrija Lietuvoje šiuo metu yra pajėgi plėstis dar ketvirtadaliu, tačiau susiduriama su talentų...

Inovacijos
2022.03.31
„Inbalance“ gavo 1,5 mln. Eur finansavimą, įrengs 640 elektromobilių įkrovimo stotelių

Investicijų bendrovės „I asset management“ fondas „NuCapital“‚ suteikė 1,5 mln. Eur paskolą, kurią per...

Automobiliai
2022.03.31
Po rekordinių metų startuoliams – investicijų štilis, bet laukiama kelių stambių sandorių Premium

Per pirmąjį metų ketvirtį penki Lietuvos startuoliai, remiantis viešai skelbtais duomenimis, pritraukė apie...

Inovacijos
2022.03.31
Po kibernetinės atakos „Rosaviacija“ bando surasti 65 TB ištrintų duomenų 4

Pasak pranešimų, strateginė Rusijos aviacijos agentūra prarado visus savo serveriuose laikytus duomenis,...

Logistika
2022.03.30
R. Rainys – apie kibernetinį saugumą, sąsajas tarp kriptovaliutų ir „ransomware“ bei „Yandex. Taxi“ Lietuvoje Premium 3

Rytis Rainys, kadenciją baigiantis Nacionalinio kibernetinio saugumo centro (NKSC) vadovas, sako, jog nuo...

Inovacijos
2022.03.30
Estijoje ketinama uždrausti „Yandex“

Estijos verslumo ir informacinių technologijų ministerija pranešė teiksianti vyriausybei siūlymą uždrausti...

Inovacijos
2022.03.30
VLK kibernetinį atsparumą stiprina bendradarbiaudama su „NRD Cyber Security“ Verslo tribūna

Valstybinė ligonių kasa prie Sveikatos apsaugos ministerijos (VLK) užtikrina sveikatos priežiūrą,...

2022.03.30

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Valdyti Sutinku