Bendrasis duomenų apsaugos reglamentas: ką būtina atlikti ir žinoti

2018 m. gegužės 25 d. bus pradėtas taikyti Bendrasis duomenų apsaugos reglamentas[i] (toliau – Reglamentas). Ką verslo įmonėms būtina atlikti ir žinoti iki jam įsigaliojant?

Tvarkomų asmens duomenų inventorizacija

Pirmiausia verslas turėtų inventorizuoti tvarkomus asmens duomenis. Turėtumėte sugebėti aiškiai įvardyti, kokius asmens duomenis tvarkote, iš kur jie yra gauti ar kam jie yra teikiami. Organizacijoje ar tam tikroje verslo srityje gali prireikti atlikti tvarkomų asmens duomenų auditą ir atsakyti sau į tokius klausimus:

  • kokius asmens duomenis tvarkote ar ketinate tvarkyti?
  • kas yra atsakingas už šių duomenų tvarkymą Jūsų bendrovėje? Kokios tų asmenų funkcijos?
  • kur ir kas saugo Jūsų klientų ir darbuotojų asmens duomenis?
  • koks yra asmens duomenų judėjimas, t.y. kam ir kokiomis priemonėmis yra perduodami asmens duomenys?
  • ar parengtos ir (ar) atnaujintos bendrovės vidinės taisyklės, procedūros, kuriose būtų aptariami asmens duomenų tvarkymo klausimai?
  • ir pan.

Asmens duomenų tvarkymo taisyklės

Bet kuris verslas, tvarkantis savo klientų ir darbuotojų asmens duomenis, privalo turėti asmens duomenų tvarkymo taisykles. Šis reikalavimas nėra naujas, tačiau, įsigaliojus Reglamentui, anksčiau parengtas taisykles privaloma peržiūrėti ir pakoreguoti pagal Reglamento nuostatas.

Informacijos apie privatumą pateikimas

Ne naujiena, kad jeigu bendrovė turi savo interneto svetainę ir (ar) mobiliąją aplikaciją ir ja naudodamasi renka asmens duomenis, privaloma joje skelbti ir privatumo politiką. Keičiasi tik tai, kad, įsigaliojus Reglamentui, internetinės svetainės ir (ar) mobiliosios aplikacijos lankytojai ir visi kiti duomenų subjektai turės daug daugiau teisių.

Reglamentas įtvirtina tokias teises kaip teisė į duomenų perkeliamumą (duomenų subjektas turės teisę gauti susijusius su juo asmens duomenis, kuriuos jis pateikė bendrovei susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu, ir persiųsti tuos duomenis kitam duomenų valdytojui) ar teisė būti pamirštam. Šių teisių turinys ir galimybė jomis pasinaudoti taip pat turės būti aptarta Jūsų privatumo politikoje.

Svarbu atkreipti dėmesį, kad minėta informacija turi būti pateikta glaustai, lengvai matomu, suprantamu ir aiškiai įskaitomu būdu.

Duomenų apsaugos pareigūnas

Reglamentu įvedama nauja sąvoka: duomenų apsaugos pareigūnas. Turėtumėte paskirti duomenų apsaugos pareigūną savo organizacijoje, jeigu tokio reikia, ar kitą asmenį iš išorės, kuris būtų atsakingas už asmens duomenų apsaugos reikalavimų laikymąsi, ir įvertinti šios pareigybės padėtį organizacijoje.

Paskirti duomenų apsaugos pareigūną jums reikės, jei:

a) duomenis tvarkote kaip valdžios institucija arba įstaiga, išskyrus teismus, kai jie vykdo savo teismines funkcijas;

b) pagrindinė veikla yra duomenų tvarkymo operacijos, dėl kurių pobūdžio, aprėpties ir (arba) tikslų būtina reguliariai ir sistemingai dideliu mastu stebėti duomenų subjektus;

c) duomenų valdytojo arba duomenų tvarkytojo pagrindinė veikla yra specialių kategorijų duomenų tvarkymas dideliu mastu.

Patys ar pasitelkę šios srities specialistus turėtumėte nuspręsti, ar privalote paskirti duomenų apsaugos pareigūną, jeigu taip – įvertinti, ar Jūsų veiksmai, atliekami tvarkant asmens duomenis, atitiks Reglamento reikalavimus.

Poveikio vertinimas

Direktyvoje 95/46/EB, kurią keičia Reglamentas, numatyta bendra prievolė pranešti priežiūros institucijoms apie asmens duomenų tvarkymą ne visada padėdavo gerinti asmens duomenų apsaugą. Atsižvelgiant į tai, privaloma registracija Valstybinėje duomenų apsaugos inspekcijoje bus keičiama veiksmingesnėmis procedūromis ir mechanizmais. Valstybinė duomenų apsaugos inspekcija savo tinklalapyje skelbia, kad iki 2018 m. balandžio 30 d. parengs ir patvirtins sąrašą duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą. Paskelbus sąrašą, verslas, tvarkantis savo klientų asmens duomenis, turės pasitikrinti, ar nepatenka tarp subjektų, kuriems toks poveikio vertinimas yra privalomas. Manoma, kad pirmiausia tai turėtų būti duomenų tvarkymo operacijų rūšys, apimančios naujų technologijų naudojimą, arba naujos rūšies operacijos, dėl kurių duomenų valdytojas anksčiau nėra atlikęs poveikio duomenų apsaugai vertinimo arba kurios tapo būtinos atsižvelgiant į nuo pirminio duomenų tvarkymo praėjusį laiką.

Informavimas apie grėsmę duomenų saugumui

Verslui atsiranda nauja pareiga informuoti Valstybinę duomenų apsaugos inspekciją apie grėsmę asmens duomenų saugumui, todėl turite įsitikinti, kad esate nustatę tinkamas procedūras, kaip aptikti asmens duomenų saugumo pažeidimus, apie juos pranešti ir juos ištirti.

Verslas apie asmens duomenų saugumo pažeidimą, turėtų pranešti kompetentingai priežiūros institucijai nepagrįstai nedelsdamas ir, jei įmanoma, praėjus ne daugiau kaip 72 valandoms nuo to laiko, kai apie asmens duomenų saugumo pažeidimą buvo sužinota, nebent sugebėtų įrodyti, kad pažeidimas neturėtų kelti pavojaus fizinių asmenų teisėms ir laisvėms.

Valstybinė duomenų apsaugos inspekcija įspėja, kad didesnės organizacijos turės sukurti taisykles ir procedūras, kaip turės būti valdomi asmens duomenų saugumo pažeidimai – centriniu ar regioniniu lygiu. Taip pat atkreipiamas dėmesys, kad, nepranešus apie pažeidimą, kai apie jį pranešti yra privaloma, gali būti skiriama bauda.

Ypatingas dėmesys vaikų asmens duomenų apsaugai

Reglamente išskiriama ypatingai jautrių asmens duomenų subjektų grupė – vaikai. Pirmą kartą Europos Sąjungos teisėje reglamentuojamas nepilnamečio iki 16 m. asmens duomenų tvarkymas. Kai vaikas yra jaunesnis negu 16 metų, toks tvarkymas tampa teisėtas tik tuo atveju, jeigu sutikimą davė arba tvarkyti duomenis leido vaiko tėvų pareigų turėtojas, ir tokiu mastu, kokiu duotas toks sutikimas ar leidimas. Tapęs suaugusiuoju, asmuo turi teisę sutikimą atšaukti ir reikalauti duomenis sunaikinti.

Laikomasi nuomonės, kad vaikų asmens duomenis reikia saugoti ypatingai, nes jie gali nepakankamai suvokti su asmens duomenų tvarkymu susijusius pavojus, padarinius ar apsaugos priemones bei savo teises.

Ypatinga apsauga pirmiausia turėtų būti taikoma vaikų asmens duomenų naudojimui rinkodaros, virtualios asmenybės ar vartotojo profilio sukūrimo tikslais ir su vaikais susijusių asmens duomenų rinkimui naudojantis vaikui tiesiogiai pasiūlytomis paslaugomis. Informacija ir pranešimai turėtų būti formuluojami vaikui lengvai suprantama, aiškia ir paprasta kalba, o prireikus naudojamas ir vizualizavimas.

Sutikimas kiekvienu tvarkymo tikslu

Nustatomas papildomas reikalavimas, kad, kai duomenys yra tvarkomi ne vienu tikslu, sutikimas turėtų būti duotas dėl visų duomenų tvarkymo tikslų. Tyla, iš anksto pažymėti langeliai arba neveikimas, kaip ir anksčiau, nėra laikomi sutikimo gavimu.

Jeigu sutikimas neatitinka Reglamento numatytų sąlygų, reikia peržiūrėti sutikimo gavimo mechanizmą arba surasti alternatyvų asmens duomenų tvarkymo teisinį pagrindą.

Rekomenduojame peržiūrėti, kaip prašote, gaunate ir užfiksuojate duomenų subjekto sutikimą ir ar Jums nereikia atlikti kokių nors pakeitimų, susijusių su sutikimo gavimu. Pvz., ar nerenkate perteklinių asmens duomenų, ar gaunate klientų išankstinius sutikimus dėl tiesioginės rinkodaros priemonių, ar tinkamai pateikiate informaciją apie vykdomą vaizdo stebėjimą ir pan.

Reikalavimai duomenų tvarkytojui

Duomenų valdytojas turėtų pasitelkti tik tokius duomenų tvarkytojus, kurie suteikia pakankamų garantijų dėl savo ekspertinių žinių, patikimumo ir išteklių, reikalingų įgyvendinti technines ir organizacines priemones, atitiksiančias Reglamento reikalavimus.

Duomenų tvarkytojo atliekamas duomenų tvarkymas turėtų būti reglamentuojamas sutartimi ar kitu teisės aktu pagal ES arba valstybės narės teisę, kuriuo nustatomi duomenų tvarkytojo įsipareigojimai duomenų valdytojui, duomenų tvarkymo dalykas bei trukmė, duomenų tvarkymo pobūdis ir tikslai, asmens duomenų rūšis ir duomenų subjektų kategorijos, ir atsižvelgiant į duomenų tvarkytojo konkrečias užduotis ir pareigas atliekant duomenų tvarkymą, taip pat į pavojų duomenų subjekto teisėms ir laisvėms.

Reglamente numatyta, kad atsakomybę pagal susitarimą turės dalytis tiek duomenų valdytojas, tiek duomenų tvarkytojas, todėl labai svarbu turėti profesionaliai parengtas asmens duomenų tvarkymo sutartis.

Tarptautinis elementas

Jeigu Jūsų verslas veikia tarptautiniu mastu, turėtumėte nuspręsti, su kuria duomenų apsaugos priežiūros institucija bendradarbiausite.

Reglamentas nustato kompleksą priemonių, kaip nuspręsti, kuri duomenų apsaugos priežiūros institucija turi kompetenciją veikti kaip vadovaujanti priežiūros institucija tiriant tarptautinį skundą, pavyzdžiui, kai duomenų tvarkymo veiksmai daro didelį poveikį arba gali padaryti didelį poveikį duomenų subjektams daugiau negu vienoje ES valstybėje narėje.

Išplėsta teritorinė Reglamento taikymo sritis

Reglamentas yra taikomas ne tik tuo atveju, kai asmens duomenis tvarko Europos Sąjungoje įsisteigęs verslas, bet ir tada, kai Europos Sąjungoje esančių duomenų subjektų asmens duomenis tvarko Europos Sąjungoje neįsisteigęs duomenų valdytojas arba duomenų tvarkytojas ir duomenų tvarkymo veikla susijusi su prekių arba paslaugų siūlymu duomenų subjektams Europos Sąjungoje arba elgesio, kai jie veikia Europos Sąjungoje, stebėsena.

***

Nesilaikant Reglamento reikalavimų bus skiriamos įvairios sankcijos, įskaitant administracines baudas, todėl raginame verslą suskubti įsivertinti Reglamento poveikį ir nustatyti sritis, kuriose galėtų kilti problemų.

Teigiama, kad, skiriant sankcijas, bus atsižvelgiama į pažeidimo pobūdį, sunkumą ir trukmę, į tai, ar pažeidimas buvo tyčinis, į veiksmus, kurių imtasi patirtai žalai sumažinti, atsakomybės mastą arba į bet kokius svarbius ankstesnius pažeidimus, į tai, kaip apie pažeidimą sužinojo priežiūros institucija, ar buvo laikomasi tam duomenų valdytojui arba duomenų tvarkytojui taikytų priemonių, ar buvo laikomasi elgesio kodekso, taip pat į visus kitus sunkinančius ar švelninančius veiksnius. Todėl įsitikinkite, kad asmenys, kurie Jūsų įmonėje priima sprendimus, būtų informuoti, jog nuo 2018 m. gegužės 25 d. keičiasi Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas ir pradedamas tiesiogiai taikyti Reglamentas ir žinotų, kaip tinkamai jį įgyvendinti.

[i] 2016 m. balandžio 27 d. priimtas Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinama Direktyva 95/46/EB.

 

Raminta Stravinskaitė, advokatų kontoros GLIMSTEDT teisininkė, tarptautinės technologijų teisės asociacijos (ITechLaw) atstovė Lietuvai ir Baltijos regionui

Straipsnis publikuotas naujienų portale vz.lt

 

Užsisakykite svarbiausias naujienas