„Masiva group“ įsigijo „Contribee“ akcijas
Siuntų siuntimo platformą siuskpigiau.lt ir kitus internetinės prekybos verslus vystanti „Masiva group“ įsigijo 100 proc. sutelktinio rėmimo platformo…
Bendrasis duomenų apsaugos reglamentas Lietuvoje ir kitose Europos Sąjungos šalyse pradėtas taikyti dar gegužės 25 d., tačiau tik birželio 30 d. Seimas patvirtino naują Asmens duomenų teisinės apsaugos įstatymo redakciją, kuri įsigaliojo liepos 16 d.
Naujasis Asmens duomenų teisinės apsaugos įstatymas reglamentuoja tik tuos klausimus, kuriuos būtina reglamentuoti, norint tinkamai taikyti Bendrąjį duomenų apsaugos reglamentą, ir tiesiogiai susijusius su Reglamento reikalavimais, kuriuos leidžiama valstybėms narėms reglamentuoti, taip pat nacionaliniam reguliavimui priskirtinus klausimus.
Nuo liepos 16 d. naujos redakcijos Asmens duomenų teisinės apsaugos įstatymas nebereglamentuoja atskirų asmens duomenų tvarkymo atvejų, tokių kaip asmens duomenų tvarkymas sveikatos apsaugos, mokslinio tyrimo, rinkimų, referendumo, asmens mokumo ir finansinės rizikos vertinimo bei įsiskolinimo valdymo ir kt. tikslais. Asmens duomenų tvarkymas šiais tikslais pirmiausia turi atitikti Bendrojo duomenų apsaugos reglamento reikalavimus, todėl bendro pobūdžio nuostatų yra atsisakoma.
Kitos, ne bendro pobūdžio, nuostatos, susijusios su asmens duomenų tvarkymu (pvz., tvarkymo pagrindai, saugojimo terminai, pakartotinis duomenų panaudojimas ir t. t.), turės būti įtvirtintos konkrečią veiklos sritį reguliuojančiuose teisės aktuose.
Bendrajame duomenų apsaugos reglamente nurodytais atvejais valstybėms narėms yra numatoma galimybė nacionalinėje teisėje konkrečiau apibrėžti Bendrojo duomenų apsaugos reglamento taisykles ar numatyti jų apribojimus. Atsižvelgiant į tai, naujoje Asmens duomenų teisinės apsaugos įstatymo redakcijoje reglamentuojami šie asmens duomenų tvarkymo atvejų ypatumai: asmens kodo tvarkymo ypatumai, asmens duomenų tvarkymas ir saviraiškos ir informacijos laisvė, asmens duomenų tvarkymo su darbo santykiais susijusiame kontekste ypatumai, vaiko, kuriam siūlomos informacinės visuomenės paslaugos, amžius sutikimui duoti.
Viena iš esminių naujovių – nauji reikalavimai darbo santykių kontekste. Nuo liepos 16 d. įsigaliojo pakeistas Darbo kodekso 27 straipsnis, kuriuos siekiama suderinti reikalavimus darbuotojų asmens duomenų tvarkymui su Bendrojo duomenų apsaugos reglamento reikalavimais.
Pagal šį straipsnį, nebelieka pareigos turėti informacinių ir komunikacinių technologijų naudojimo bei darbuotojų stebėsenos ir kontrolės darbo vietoje tvarkos bei darbuotojų asmens duomenų saugojimo politikos.
Taip pat labai svarbu žinoti, kad naujoje Asmens duomenų teisinės apsaugos įstatymo redakcijoje yra įtvirtintas draudimas tvarkyti kandidato, pretenduojančio eiti pareigas arba dirbti darbus, ir darbuotojo asmens duomenis apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas, išskyrus atvejus, kai šie asmens duomenys būtini patikrinti, ar asmuo atitinka įstatymuose ir įgyvendinamuosiuose teisės aktuose nustatytus reikalavimus pareigoms eiti arba darbams dirbti.
Be to, asmenys, kandidatuojantys į tam tikras pozicijas, galės nebesibaiminti, kad bus paskambinta jų esamiems darbdaviams ir pasiteirauta apie jų kandidatūros tinkamumą, jei asmenys nedavė savo išankstinio sutikimo. Nuo šiol darbdaviai galės rinkti kandidato asmens duomenis, susijusius su kvalifikacija, profesiniais gebėjimais ir dalykinėmis savybėmis, iš buvusio darbdavio tik prieš tai informavę kandidatą, o iš esamo darbdavio – tik kandidato sutikimu. Šie reikalavimai bus taikomi ne tik tais atvejais, kai asmuo dirba (pretenduoja dirbti) pagal darbo sutartį, bet ir valstybės tarnyboje, diplomatinėje tarnyboje ir kitais atvejais, kai Lietuvos Respublikos užimtumo įstatymą nurodyti teisiniai santykiai prilyginami darbo santykiams.
Įtvirtinti ir nauji reikalavimai dėl nepilnamečių asmens duomenų tvarkymo visuomenės informavimo tikslais.
Naujoje Asmens duomenų teisinės apsaugos įstatymo redakcijoje numatyta, kad vaiko, kuriam tiesiogiai siūlomos informacinės visuomenės paslaugos, asmens duomenų tvarkymas yra teisėtas, jei sutikimą duoda ne jaunesnis negu 14 metų vaikas, tuo tarpu Bendrasis duomenų apsaugos reglamentas nustato 16 metų amžiaus ribą. Atsižvelgiant į tai, rekomenduotina pagalvoti apie sistemų, kurios galėtų patikrinti asmenų amžių, įdiegimą bei apie tai, kaip būtų galima gauti tėvų arba teisėtų atstovų sutikimą dėl vaikų asmens duomenų tvarkymo.
Deja, ir toliau neaišku, kokių baudų už kokius pažeidimus galime tikėtis ir kokiu būdu Valstybinė duomenų apsaugos inspekcija apskaičiuos skiriamas baudas.
Įstatymo leidėjai teigia, jog valstybėms narėms nėra suteikta teisė nacionalinėje teisėje papildomai nustatyti administracinių baudų skyrimo ypatumus, neaptartus pačiame Bendrajame duomenų apsaugos reglamente. Asmens duomenų teisinės apsaugos įstatyme yra išskiriamos tik atskiros taisyklės dėl baudos skyrimo ypatumų valdžios institucijoms ar įstaigoms, t.y. visoms valstybės ir savivaldybių institucijoms ir įstaigoms, įmonėms ir viešosios įstaigoms, finansuojamoms iš valstybės ar savivaldybių biudžetų bei valstybės pinigų fondų ir Lietuvos Respublikos viešojo administravimo įstatymo nustatyta tvarka įgaliotos atlikti viešąjį administravimą arba teikiančios asmenims viešąsias arba administracines paslaugas arba vykdančioms kitas viešąsias funkcijas.
Derinant Asmens duomenų teisinės apsaugos projektą buvo abejonių, ar, viešajam sektoriui nustatant daug mažesnes baudas nei privačiam, nebus pažeidžiamas proporcingumo, lygiateisiškumo bei vienodos atsakomybės ir jos neišvengiamumo principai. Tačiau reikia nepamiršti, kad Bendrasis duomenų apsaugos reglamentas suteikė valstybėms narėms galimybę apsispręsti, ar administracinės baudos gali būti skiriamos valdžios institucijoms ir įstaigoms, o jei taip – nustatyti kitokio pobūdžio baudas nei numatyta Bendrajame duomenų apsaugos reglamente.
Atsižvelgiant į tai, naujoje Asmens duomenų teisinės apsaugos įstatymo redakcijoje yra nustatomos mažesnės baudų valdžios institucijoms ir įstaigoms viršutinės ribos. Priminsiu, kad Bendrajame duomenų apsaugos reglamente maksimalūs baudų dydžiai siekia iki 10 000 000 EUR, arba iki 20 000 000 EUR priklausomai nuo pažeidimų, arba atitinkamai iki 2 % ir iki 4 % įmonės ankstesnių finansinių metų bendros metinės pasaulinės apyvartos.
Parengė: Raminta Stravinskaitė, advokatų kontoros GLIMSTEDT vyresnioji teisininkė
Straipsnis publikuotas naujienų portale vz.lt