• Duomenų apsaugos reglamentas (angl. GDPR). Kas tai?

    Duomenų apsaugos reglamentas (angl. GDPR). Kas tai?

    Bendrasis duomenų apsaugos reglamentas (BDAR) – tai Europos Parlamento ir Tarybos 2016 m. balandžio 27 d. priimtas reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos, tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo. Nuo 2018 gegužės 25 d. visos įmonės ir įstaigos Lietuvoje turi tvarkyti asmens duomenis pagal šį reglamentą.

    Skaityti toliau

MES GALIME

12 pasiruošimo BDAR žingsnių

Valstybinė duomenų apsaugos inspekcija parengė 12 žingsnių rekomendacijas, kuriomis galite vadovautis, kad pasiruoštumėte nuo 2018 m. gegužės 25 d. taikyti Bendrąjį duomenų apsaugos reglamentą (ES) 2016/679. Šios rekomendacijos, pritaikius Lietuvai, buvo parengtos pagal Jungtinės Karalystės Informacijos komisionieriaus tarnybos (Information Commissioner‘s Offise) parengtas gaires „Preparing for the General Data Protection Regulation (GDPR). 12 steps to take now“.

1. SĄMONIGUMAS

Turite įsitikinti, kad Jūsų organizacijoje asmenys, priimantys sprendimus, būtų informuoti, jog nuo 2018 m. gegužės 25 d. keičiasi Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas ir pradedamas tiesiogiai taikyti Reglamentas (ES) 2016/679. Jie turėtų įvertinti Reglamento (ES) 2016/679 poveikį ir identifikuoti sritis, kuriose galėtų kilti problemų, taikant Reglamentą (ES) 2016/679. Reglamento (ES) 2016/679 įgyvendinimas gali pareikalauti nemažai išteklių, ypač didelėms organizacijoms. Visų pirma turėtumėte skirti laiko darbuotojų sąmoningumui kelti ir šviesti juos apie laukiančius pokyčius. Jums gali kilti problemų, jeigu pasirengimą įgyvendinti Reglamentą (ES) 2016/679 paliksite paskutinei minutei.

2.INFORMACIJA, KURIĄ JŪS TURITE (TVARKOMI ASMENS DUOMENYS)

Turėtumėte įvardyti, kokius asmens duomenis tvarkote, iš kur jie yra gauti ar kam jie yra teikiami. Jums gali prireikti atlikti Jūsų organizacijoje ar tam tikroje verslo srityje tvarkomų asmens duomenų auditą.Reglamentas (ES) 2016/679 atnaujina skaitmeninio tinklo teises. Pavyzdžiui, jeigu Jūs tvarkote netikslius asmens duomenis ir juos pateikiate kitam duomenų valdytojui, turėsite informuoti tą duomenų valdytoją apie pateiktus netikslius asmens duomenis, kad jis galėtų ištaisyti savo turimus įrašus. Jūs to negalėsite padaryti, jeigu nežinosite, kokius asmens duomenis tvarkote, iš kur jie yra gauti ir kam jie yra teikiami. Jums reikia turėti asmens duomenų tvarkymo veiksmų aprašą. Šių veiksmų atlikimas atitiks Reglamente (ES) 2016/679 įtvirtintą atskaitomybės principą, kuris reikalauja, kad duomenų valdytojai turi sugebėti įrodyti, kaip yra laikomasi duomenų apsaugos principų, kurie yra nurodyti Reglamento (ES) 2016/679 5 straipsnyje, pavyzdžiui, turint efektyvias asmens duomenų tvarkymo taisykles ir nustatytas procedūras.

3. INFORMACIJOS APIE PRIVATUMĄ PATEIKIMAS

Turėtumėte peržiūrėti Jūsų organizacijos asmens duomenų tvarkymo taisykles (ar privatumo politiką) ir susiplanuoti reikiamus pakeitimus, susijusius su Reglamento (ES) 2016/679 taikymu. Jeigu renkate asmens duomenis, tai duomenų subjektams turi būti suteikiama informacija, kurioje nurodoma duomenų valdytojo tapatybė ir kontaktiniai duomenys, duomenų tvarkymo tikslai, dėl kurių ketinama tvarkyti asmens duomenis, asmens duomenų gavėjai, jei tokie yra, arba asmens duomenų gavėjų kategorijos ir kita informacija, nurodyta Reglamento (ES) 2016/679 13 straipsnyje. Minėta informacija turėtų būti pateikta asmens duomenų tvarkymo taisyklėse, privatumo politikoje ir pan. Vadovaujantis Reglamentu (ES) 2016/679, duomenų subjektams reikės pateikti papildomos informacijos, pavyzdžiui, turėsite paaiškinti asmens duomenų tvarkymo teisinį pagrindą, asmens duomenų saugojimo laikotarpį, jei tai neįmanoma, kriterijus, taikomus tam laikotarpiui nustatyti, ir kad duomenų subjektas turi teisę pateikti skundą VDAI, jeigu mano, jog netinkamai tvarkote jo asmens duomenis. Svarbu atkreipti dėmesį, kad Reglamentas (ES) 2016/679 reikalauja, jog minėta informacija būtų pateikta glaustai, lengvai matomu, suprantamu ir aiškiai įskaitomu būdu. Atkreipiame dėmesį, kad Europos Komisija turėtų priimti deleguotuosius teisės aktus, kuriais siekiama nustatyti, kokia informacija turi būti pateikta piktogramomis, ir nustatyti standartizuotų piktogramų pateikimo procedūras.

4. DUOMENŲ SUBJEKTŲ TEISĖS

Turėtumėte peržiūrėti vidaus procedūras, ar jos apima visas duomenų subjektų teises, tokias kaip teisė reikalauti ištrinti duomenis („teisė būti pamirštam“) ar teisė į duomenų perkeliamumą įprastai naudojamu ir kompiuterio skaitomu formatu. Pagrindinės duomenų subjekto teisės pagal Reglamentą (ES) 2016/679 būtų šios: informavimas ir teisė susipažinti su asmens duomenimis, teisė reikalauti ištaisyti duomenis, teisė reikalauti ištrinti duomenis („teisė būti pamirštam“), teisė nesutikti, kad asmens duomenys būtų tvarkomi tiesioginės rinkodaros tikslais, įskaitant profiliavimą, bei kai asmens duomenų tvarkymas vykdomas pagal Reglamento (ES) 2016/679 6 straipsnio 1 dalies e arba f punktus, įskaitant profiliavimą remiantis tomis nuostatomis, teisė, kad duomenų subjektui nebūtų taikomas tik automatizuotas duomenų tvarkymas, įskaitant profiliavimą, ir teisė į duomenų perkeliamumą.Apibendrinant, duomenų subjekto teisės, kuriomis duomenų subjektai gali naudotis, yra tos pačios kaip ir pagal Direktyvą 95/46/EB, tačiau yra keli patobulinimai. Jeigu Jūs esate pasirengę šias teises įgyvendinti ir dabar, tai tuomet šių teisių įgyvendinimas pagal Reglamentą (ES) 2016/679 bus žymiai lengvesnis. Šiuo metu yra tinkamas laikas peržiūrėti visas procedūras, kokios yra taikomos duomenų subjekto teisėms įgyvendinti, ir nuspręsti, ką Jūs darytumėte, jeigu duomenų subjektas paprašytų įgyvendinti jo teisę būti pamirštam. Ar Jūsų valdomos sistemos sugebėtų nustatyti ir ištrinti tvarkomus jo asmens duomenis? Kas galės priimti sprendimus dėl asmens duomenų ištrynimo? Teisė į duomenų perkeliamumą yra nauja. Tai yra patobulinta duomenų subjekto teisės susipažinti su savo asmens duomenimis forma, kai Jūs privalėsite pateikti asmens duomenis įprastai naudojamu ir kompiuterio skaitomu formatu. Daugelis organizacijų jau dabar gali pateikti duomenis šiuo būdu, tačiau jeigu Jūs tvarkote spausdintus dokumentus ar neįprastą elektroninį formatą, tuomet tai yra pats laikas peržiūrėti Jūsų atliekamas procedūras ir padaryti reikiamus pakeitimus.

5. SUBJEKTO PRAŠYMŲ DĖL TEISĖS SUSIPAŽINTI ĮGYVENDINIMAS

Turėtumėte atsinaujinti taisykles ir procedūras, atsižvelgiant į Reglamente (ES) 2016/679 įtvirtintus terminus duomenų subjekto prašymams įgyvendinti. Daugeliu atvejų Reglamentas (ES) 2016/679 numato vieno mėnesio terminą pateikti atsakymui į duomenų subjekto prašymą. Reglamentas (ES) 2016/679 numato pagrindus, dėl kurių tenkinti duomenų subjekto prašymą gali būti atsisakyta. Reglamento (ES) 2016/679 12 straipsnio 5 dalis numato, kad, kai duomenų subjekto prašymai yra akivaizdžiai nepagrįsti arba neproporcingi, visų pirma dėl jų pasikartojančio turinio, duomenų valdytojas gali arba imti pagrįstą mokestį, atsižvelgdamas į informacijos teikimo arba pranešimų ar veiksmų, kurių prašoma, administracines išlaidas, arba gali atsisakyti imtis veiksmų pagal prašymą. Pažymėtina, kad pagal Reglamentą (ES) 2016/679 duomenų valdytojui tenka pareiga įrodyti, kad prašymas yra akivaizdžiai nepagrįstas arba neproporcingas, todėl privalote numatyti priemones bei taisykles, kuriomis vadovaudamiesi vykdysite šią pareigą. Jums taip pat reikės suteikti tam tikrą papildomą informaciją asmenims, pateikusiems prašymus, pvz., apie duomenų saugojimo laikotarpius ir teisę reikalauti ištaisyti netikslius duomenis. Turėtumėte gerai apgalvoti, kokiu būdu galėtumėte greičiau nagrinėti prašymus ir pateikti informaciją, jeigu gausite didelius kiekius duomenų subjektų prašymų. Sutaupytumėte didelę dalį administracinių išlaidų, jeigu galėtumėte suteikti galimybę pateikti prašymus bei susipažinti su tam tikra informacija elektroniniu būdu, ypač tais atvejais, kai asmens duomenys tvarkomi elektroniniu būdu. Turėtumėte apsvarstyti galimybę atlikti internetu teikiamų paslaugų ekonominės naudos analizę.

6. ASMENS DUOMENŲ TVARKYMO TEISINIS PAGRINDAS

Turėtumėte peržiūrėti ir įvertinti, kokius asmens duomenis ir kokiais teisiniais pagrindais vadovaudamiesi tvarkote. Pagal Reglamentą (ES) 2016/679 kai kurios duomenų subjektų teisės priklausys nuo to, kokiu teisiniu pagrindu vadovaujantis yra tvarkomi jų asmens duomenys. Pavyzdžiui, Reglamento (ES) 2016/679 17 straipsnis numato duomenų subjekto teisę reikalauti ištrinti duomenis („teisė būti pamirštam“), jeigu jų tvarkymas buvo grindžiamas asmens sutikimu. Kokiais teisiniais pagrindais vadovaudamiesi tvarkote asmens duomenis, Jūs taip pat turėsite nurodyti savo privatumo politikoje bei atsakydami į duomenų subjektų prašymus. Asmens duomenų tvarkymo teisiniai pagrindai, numatyti Reglamente (ES) 2016/679, yra beveik tokie patys kaip ir šiuo metu galiojančiuose asmens duomenų tvarkymą reglamentuojančiuose teisės aktuose. Reglamento (ES) 2016/679 6 straipsnio 1 dalis numato, kad duomenų tvarkymas yra teisėtas tik tuo atveju, jei, pavyzdžiui: duomenų subjektas davė sutikimą, kad jo asmens duomenys būtų tvarkomi vienu ar keliais konkrečiais tikslais; tvarkyti duomenis būtina siekiant įvykdyti sutartį, kurios šalis yra duomenų subjektas, arba siekiant imtis veiksmų duomenų subjekto prašymu prieš sudarant sutartį; tvarkyti duomenis būtina, kad būtų įvykdyta duomenų valdytojui taikoma teisinės prievolė ir kt. Siekdami įgyvendinti Reglamente (ES) 2016/679 įtvirtintą atskaitomybės principą, Jūs turėtumėte dokumentuoti, kokius asmens duomenis ir kokiais teisiniais pagrindais vadovaudamiesi tvarkote tam, kad galėtumėte įrodyti, jog laikotės visų Reglamento (ES) 2016/679 nustatytų asmens duomenų tvarkymo principų.

7. SUTIKIMAS

Turėtumėte peržiūrėti, kaip prašote, gaunate ir užfiksuojate duomenų subjekto sutikimą ir ar Jums nereikia atlikti kokių nors pakeitimų, susijusių su sutikimo gavimu. Sutikimas turėtų būti duodamas aiškiu aktu patvirtinant, kad yra suteiktas laisva valia, konkretus, informacija pagrįstas ir vienareikšmis nurodymas, kad duomenų subjektas sutinka, jog būtų tvarkomi su juo susiję asmens duomenys, pavyzdžiui, raštiškai, įskaitant elektroninėmis priemonėmis, arba žodinis pareiškimas. Tai galėtų būti atliekama pažymint langelį interneto svetainėje, pasirenkant informacinės visuomenės paslaugų techninius parametrus arba kitu pareiškimu arba poelgiu, iš kurio aiškiai matyti tame kontekste, kad duomenų subjektas sutinka su siūlomu jo asmens duomenų tvarkymu. Tyla, iš anksto pažymėti langeliai arba neveikimas neturėtų būti laikomi sutikimu. Jeigu remiatės sutikimu, kaip teisiniu pagrindu tvarkyti asmens duomenis, įsitikinkite, kad jis atitinka Reglamento (ES) 2016/679 7 straipsnyje numatytas sąlygas. Priešingu atveju peržiūrėkite sutikimo gavimo mechanizmą arba suraskite alternatyvų asmens duomenų tvarkymo teisinį pagrindą. Atkreipkite dėmesį, kad turi būti galimybė patikrinti sutikimą ir kad asmenys paprastai turi daugiau teisių tais atvejais, kai jų asmens duomenys tvarkomi remiantis sutikimu. Reglamento (ES) 2016/679 7 straipsnis numato, kad, kai duomenys tvarkomi remiantis sutikimu, duomenų valdytojas turi galėti įrodyti, kad duomenų subjektas davė sutikimą, kad būtų tvarkomi jo asmens duomenys. Atsižvelgiant į tai, turėtumėte peržiūrėti sistemas, kurias naudojate sutikimui įrašyti, siekdami užtikrinti, kad turite veiksmingas priemones, kuriomis galėtumėte įrodyti, kad duomenų subjektas sutikimą tvarkyti jo asmens duomenis davė.

8. VAIKAI

Turėtumėte pagalvoti apie sistemų, kurios galėtų patikrinti asmenų amžių, įdiegimą bei apie tai, kaip galėtų būti gaunamas tėvų arba teisėtų atstovų sutikimas dėl vaikų asmens duomenų tvarkymo. Pirmą kartą Europos Sąjungos teisėje reglamentuojamas nepilnamečio iki 16 m. asmens duomenų tvarkymas, ypač kai tai susiję su informacinės visuomenės paslaugų tiesioginiu siūlymu vaikui. Reglamento (ES) 2016/679 8 straipsnyje nustatyta, kad, kai vaikas yra jaunesnis kaip 16 metų, toks tvarkymas yra teisėtas tik tuo atveju, jeigu tą sutikimą davė arba tvarkyti duomenis leido vaiko tėvų pareigų turėtojas, ir tokiu mastu, kokiu duotas toks sutikimas ar leidimas. Šis reglamentavimas Jums gali turėti didelės įtakos tuo atveju, jeigu teikiate paslaugas vaikams ir renkate jų asmens duomenis. Atminkite, kad sutikimas turi būti patikrinamas, o informacija ir pranešimai, kai duomenų tvarkymas susijęs su vaiku, turėtų būti suformuluoti vaikui lengvai suprantama aiškia ir paprasta kalba.

9. ASMENS DUOMENŲ SAUGUMO PAŽEIDIMAI

Turite įsitikinti, kad esate nustatę tinkamas procedūras, kaip aptikti, apie juos pranešti ir ištirti asmens duomenų saugumo pažeidimus. Kai kurioms organizacijoms jau šiuo metu yra nustatyti reikalavimai pranešti VDAI apie asmens duomenų saugumo pažeidimus (pvz., elektroninių ryšių paslaugų teikėjams). Tačiau Reglamentas (ES) 2016/679 visiems įtvirtina vienodą pareigą pranešti apie pažeidimus. Tai bus nauja daugeliui organizacijų, tvarkančių asmens duomenis. Atkreipiame dėmesį, kad ne apie visus pažeidimus bus privaloma pranešti VDAI, – tik apie tuos, kuriems atsitikus, fiziniai asmenys gali patirti materialinę ar nematerialinę žalą, pavyzdžiui, prarasti savo asmens duomenų kontrolę, patirti teisių apribojimą, diskriminaciją, gali būti pavogta ar suklastota jo asmens tapatybė, jam padaryta finansinių nuostolių, neleistinai panaikinami pseudonimai, gali būti pakenkta jo reputacijai, prarastas asmens duomenų, kurie laikomi profesine paslaptimi, konfidencialumas arba padaryta kita ekonominė ar socialinė žala atitinkamam fiziniam asmeniui. Jūs turėtumėte jau dabar įsitikinti, kad esate nustatę tinkamas procedūras, kaip aptikti, pranešti ir ištirti asmens duomenų saugumo pažeidimus. Tai galėtų apimti tvarkomų asmens duomenų kategorijų vertinimą ir sąrašą atvejų, apie kuriuos būtų privaloma pranešti atsitikus asmens duomenų saugumo pažeidimui. Tam tikrais atvejais Jūs turėsite nedelsdami pranešti duomenų subjektui apie asmens duomenų saugumo pažeidimą, t. y., kai dėl tokio pažeidimo gali kilti didelis pavojus duomenų subjekto teisėms ir laisvėms, pavyzdžiui, gali atsirasti finansinių nuostolių. Didesnės organizacijos turės sukurti taisykles ir procedūras, kaip turės būti valdomi asmens duomenų saugumo pažeidimai, t. y. centriniu ar regioniniu lygiu. Atkreipkite dėmesį, kad nepranešus apie pažeidimą, kai apie tokį pažeidimą privaloma pranešti, gali būti skiriama bauda.

10. PRITAIKYTOJI DUOMENŲ APSAUGA IR POVEIKIO DUOMENŲ APSAUGAI VERTINIMAS

Gera praktika pripažįstamas pritaikytosios (angl. by design) duomenų apsaugos požiūrio laikymasis, o poveikio duomenų apsaugai vertinimas laikytinas jos dalimi. Pritaikytoji duomenų apsauga ir duomenų kiekio mažinimas visada buvo laikomi besąlygiškais asmens duomenų apsaugos principais. Taigi, Reglamente (ES) 2016/679 šie principai įtvirtinti kaip aiškūs teisiniai reikalavimai. Pažymėtina, kad poveikio duomenų apsaugai vertinimą ne visada privaloma atlikti. Poveikio duomenų apsaugai vertinimą reikės atlikti tik tais atvejais, kai gali kilti didelis pavojus asmenų teisėms bei laisvėms, pavyzdžiui, kai naudojamos naujos technologijos dideliu mastu ar atliekamas asmeninių aspektų vertinimas, remiantis profiliavimu, kuris turės reikšmingą poveikį duomenų subjektams. Atkreipkite dėmesį, kad jeigu atlikus poveikio duomenų apsaugai vertinimą nustatoma, jog tvarkant asmens duomenimis gali kilti didelis pavojus asmenų teisėms ir laisvėms, Jums reikės kreiptis į duomenų apsaugos priežiūros instituciją konsultacijos, ar asmens duomenų apsaugos tvarkymo veiksmai atitinka Reglamento (ES) 2016/679 reikalavimus. Norėtume atkreipti dėmesį, kad VDAI planuoja sudaryti ir viešai paskelbti sąrašą duomenų tvarkymo operacijų, kurioms bus taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą pagal Reglamento (ES) 2016/679 35 straipsnio 1 dalį. Šiuo metu Direktyvos 95/46/EB 29 straipsnio duomenų apsaugos darbo grupė rengia gaires dėl poveikio duomenų apsaugai vertinimo. Susipažinę su gairėmis dėl poveikio duomenų apsaugai vertinimo, turėsite galimybę nuspręsti, kaip jas įgyvendinti Jūsų organizacijoje.

11. DUOMENŲ APSAUGOS PAREIGŪNAS

Turėtumėte paskirti duomenų apsaugos pareigūną savo organizacijoje, jeigu tokio reikia, ar kitą asmenį iš išorės, kuris būtų atsakingas už asmens duomenų apsaugos reikalavimų laikymąsi, ir įvertinti šios pareigybės padėtį organizacijoje. Vadovaujantis Reglamento (ES) 2016/679 37 straipsniu, kai kurios organizacijos privalės paskirti duomenų apsaugos pareigūną, pavyzdžiui, valdžios institucijos ar įstaigos, išskyrus teismus, kai jie vykdo savo teismines funkcijas, arba duomenų valdytojo arba duomenų tvarkytojo pagrindinė veikla yra duomenų tvarkymo operacijos, dėl kurių pobūdžio, aprėpties ir (arba) tikslų būtina reguliariai ir sistemingai dideliu mastu stebėti duomenų subjektus. Svarbiausia užtikrinti, kad kas nors Jūsų organizacijoje ar asmuo iš išorės, turintis duomenų apsaugos teisės praktinių ir ekspertinių žinių, būtų atsakingas už duomenų apsaugai taikomų reikalavimų įgyvendinimą. Taigi Jūs turėtumėte nuspręsti, ar reikia paskirti duomenų apsaugos pareigūną, ir jeigu taip, tai įvertinti, ar Jūsų veiksmai, atliekami tvarkant asmens duomenis, atitiks Reglamento (ES) 2016/679 reikalavimus.

12. TARPTAUTINIS ELEMENTAS

Jeigu Jūsų organizacija veikia tarptautiniu mastu, turėtumėte nuspręsti, su kuria duomenų apsaugos priežiūros institucija bendradarbiausite. Reglamentas (ES) 2016/679 nustato kompleksą priemonių, kaip nuspręsti, kuri duomenų apsaugos priežiūros institucija turi kompetenciją veikti kaip vadovaujanti priežiūros institucija, kai yra tiriamas skundas su tarptautiniu elementu, pavyzdžiui, duomenų tvarkymo veiksmai daro didelį poveikį arba gali padaryti didelį poveikį duomenų subjektams daugiau negu vienoje ES valstybėje narėje. Paprasčiau tariant, vadovaujančioji institucija nustatoma atsižvelgiant į tai, kur yra įsikūrusi pagrindinė organizacijos buveinė (pvz., kurioje veikia pagrindinė administracija) ar kur yra priimami sprendimai dėl duomenų tvarkymo. Tradicinėse įmonėse tai yra nesunku nustatyti. Žymiai sunkiau daug padalinių turinčioms (angl. multi-site) kompanijoms, kur sprendimai dėl skirtingų tvarkymo veiksmų yra priimami skirtingose vietose. Tuo atveju, kai nėra aišku, kuri duomenų apsaugos priežiūros institucija yra vadovaujančioji, būtų naudinga nustatyti, kur Jūsų organizacija priima reikšmingiausius sprendimus dėl duomenų tvarkymo. Tai padės nustatyti Jūsų organizacijos „pagrindinę buveinę“ ir vadovaujančiąją priežiūros instituciją.

DUOMENŲ SUBJEKTO TEISĖS ASMENS DUOMENŲ APSAUGOS SRITYJE

Teisė žinoti

Teisė žinoti

Teisė žinoti, būti informuotam apie savo asmens duomenų tvarkymą.

Skaityti toliau

Teisė susipažinti

Teisė susipažinti

Teisė susipažinti su savo asmens duomenimis

Skaityti toliau

Teisė nesutikti

Teisė nesutikti

Teisė nesutikti, kad būtų tvarkomi Jūsų asmens duomenys

Skaityti toliau

Teisė ištaisyti, sunaikinti

Teisė ištaisyti, sunaikinti

Teisė reikalauti ištaisyti, sunaikinti ar sustabdyti savo asmens duomenų tvarkymo veiksmus

Skaityti toliau

Naujienos

Nebelieka išankstinės patikros ir įmonių registracijos

Valstybinė duomenų apsaugos inspekcija informuoja, kad nuo 2018 m. gegužės 25 d. pradedamas...

Skaityti toliau

Žmogaus teisės asmens duomenų ir privatumo apsaugos srityje

2018 m. gegužės 25 d. Lietuvoje bus pradėtas taikyti Bendrasis duomenų apsaugos reglamentas...

Skaityti toliau

Ką turi žinoti el. parduotuvių savininkai apie Duomenų apsaugos reglamentą?

2018 m.  gegužės 25 d. įsigalioja Bendrasis duomenų apsaugos reglamentas. Ar šis reglamentas...

Skaityti toliau

dažnai užduodami klausimai

Pateikiame dažniausiai užduodamus klausimus, dėl BDAR įgyvendinimo Jūsų įmonėje, bei atsakymus į juos.

Turite klausimų? Galite juos užduoti parašę mums elektroninį laišką adresu dap@duomenu-apsauga.lt ir mes susisieksime su Jumis 3 darbo dienų bėgyje.

Nežinote nuo ko pradėti įgyvendinant BDAR? Skambinkite mums telefonu 8 615 18383 ir mes suteiksime Jums nemokamą konsultaciją.

Kas yra BDAR?

Bendrosios duomenų apsaugos reglamentas (BDAR) yra naujas Europos Sąjungos duomenų apsaugos teisės aktas, kuris pakeičia nuo 1995 m. galiojusią Duomenų apsaugos direktyvą. BDAR išliko dauguma Direktyvoje apibrėžtų principų, tačiau šis teisės aktas yra gerokai ambicingesnis. Vienas iš ryškiausių pakeitimų yra tai, kad BDAR suteikia žmonėms galimybę labiau kontroliuoti savo asmens duomenis ir nustato naujas prievoles organizacijoms, kurios tuos duomenis renka, tvarko arba analizuoja. BDAR taip pat suteikia daugiau galių valstybių priežiūros institucijomis, kurios reglamentą pažeidusioms organizacijoms gali taikyti dideles baudas.

Kokie yra pagrindiniai BDAR reikalavimai?

Asmens duomenis renkančioms arba apdorojančioms organizacijoms BDAR nustato įvairius reikalavimus, įskaitant reikalavimą laikytis šešių pagrindinių principų:

  • skaidrumas, objektyvumas ir teisėtumas tvarkant ir naudojant asmens duomenis;
  • asmens duomenų apdorojimas vykdomas tik konkrečiais, aiškiai apibrėžtais ir teisėtais tikslais;
  • tikslui įgyvendinti renkamas ir saugomas tik minimalus asmens duomenų kiekis;
  • užtikrinamas duomenų tikslumas ir galimybė juos ištrinti bei redaguoti;
  • ribojamas asmens duomenų saugojimas;
  • užtikrinamas asmens duomenų saugumas, vientisumas ir konfidencialumas.

Ar BDAR taikomas mano organizacijai?

BDAR taikomas visų dydžių ir visų pramonės šalių organizacijoms. Konkrečiai BDAR taikomas:

  • bet kokio žmogaus asmens duomenų apdorojimui, jei apdorojimas vykdomas savo veiklą ES registruotos organizacijos kontekste (neatsižvelgiant į tai, kur vyksta apdorojimas);
  • ES gyvenančių žmonių asmens duomenų apdorojimui, kai jį atlieka ne ES organizacija, o apdorojimas yra susijęs su prekių arba paslaugų siūlymu tokiems žmonėms arba su jų elgsenos stebėjimu.

Kaip žinoti ar mūsų organizacijai taikomas BDAR?

BDAR reglamentuoja asmens duomenų rinkimą, saugojimą, naudojimą ir bendrinimą. BDAR asmens duomenis apibrėžia kaip bet kokius su identifikuotu arba identifikuojamu fiziniu asmeniu susijusius duomenis. Tai gali būti tokia informacija, kaip IP adresai, pardavimo duomenų bazės, klientų aptarnavimo duomenys, atsiliepimų formos ir kt.

Kas atsitiks, jei nesilaikysime BDAR reikalavimų?

Didžiausia bauda už rimtus pažeidimus bus didesnė nei 20 mln. eurų arba keturi procentai organizacijos metinių bendrųjų pajamų, atsižvelgiant į tai, kuris skaičius yra didesnis. Be to, BDAR įgalina klientus (ir jų vardu veikiančias organizacijas) teikti civilinius ieškinius BDAR pažeidusioms organizacijoms.

Kokias svarbiausias BDAR sąvokas turėčiau žinoti?

BDAR 4 straipsnyje pateikiamas reglamente naudojamų sąvokų sąrašas. Toliau pateikiamos svarbiausios sąvokos, kurias turite suprasti.

  • Asmens duomenys – tai bet kokia informacija, susijusi su identifikuotu arba identifikuojamu fiziniu asmeniu, dar vadinamu „duomenų subjektu“. Asmuo gali būti identifikuojamas tiesiogiai arba netiesiogiai, nurodant identifikatorių (pvz., vardą, pavardę, identifikacijos numerį, internetinio identifikatoriaus vietos duomenis) arba su jo fizine, psichologine, genetine, protine, ekonomine, kultūrine ar socialine tapatybe susijusius veiksnius.
  • Apdorojimas – tai bet kokia su asmens duomenimis ar asmens duomenų rinkiniais automatiškai arba neautomatiškai atliekama operacija ar operacijų rinkinys. Tai gali būti rinkimas, įrašymas, organizacijos duomenų sisteminimas, saugojimas ir kt.
  • Duomenų keitimas pseudonimais – tai asmens duomenų apdorojimo veiksmas, po kurio asmens duomenys nebegali būti priskiriami konkrečiam duomenų subjektui be papildomos, atskirai laikomos informacijos.
  • Duomenų tvarkymas – bet kuris su asmens duomenimis atliekamas veiksmas ar veiksmų rinkinys. Pvz., rinkimas, užrašymas, saugojimas, grupavimas, jungimas, keitimas, paskelbimas, paieška, naikinimas ir t. t.
  • Duomenų tvarkymas automatiniu būdu – duomenų tvarkymo veiksmai, atliekami elektroninėmis priemonėmis, t. y. įvairiomis informacijos ir ryšių priemonėmis: kompiuteriais, telefonais, planšetiniais kompiuteriais, išmaniaisiais laikrodžiais, vaizdo registratoriais, fotoaparatais, diktofonais ir t. t.
  • Duomenų subjektas – tai Jūs ir kiekvienas žmogus, kurio asmens duomenys yra tvarkomi.
  • Duomenų valdytojas – organizacija ar asmuo, kuris naudoja asmens duomenis profesiniais tikslais, pvz., valstybės institucija, įstaiga, savivaldybė, ligoninė, poliklinika, policija, bankas, kredito unija, draudimo bendrovė, e. parduotuvė, kelionių agentūra, mokykla, advokatas, antstolis, notaras ir t. t. Jis nustato duomenų tvarkymo tikslus ir priemones, t. y. kokiu apibrėžtu ir teisėtu tikslu, teisiniu pagrindu vadovaudamasis ir kokius asmens duomenis tvarko, kam teikia, kaip užtikrina duomenų subjekto teises, kokią programinę įrangą naudoja duomenims tvarkyti ir t. t.
  • Duomenų tvarkytojas – organizacija, duomenų valdytojo įgaliota atlikti duomenų tvarkymo darbą. Duomenų tvarkytojas veikia laikydamasis duomenų valdytojo nurodymų.
  • Kontrolierius – tai fizinis arba juridinis asmuo, valstybinė institucija, agentūra ar kita institucija, kuri viena arba kartu su kitais asmenimis nustato, kaip ir kodėl apdorojami duomenys.
  • Apdorotojas – tai fizinis arba juridinis asmuo, valstybinė institucija, agentūra ar kita institucija, kuri apdoroja asmens duomenis kontrolieriaus vardu.

Kaip BDAR reglamentuoja saugą?

Remiantis BDAR, jūsų organizacija turi imtis priemonių, užtikrinančių asmens duomenų saugumą. Tokios priemonės apima „organizacines priemones“ (pvz., organizacijos darbuotojų, turinčių prieigą prie asmens duomenų, skaičiaus ribojimas) ir „technines priemones“ (pvz., šifravimas). BDAR nenurodo konkrečių saugos priemonių, kurias turėtų taikyti organizacijos. Vietoj to tikimasi, kad jūs patys nustatysite taikytinas saugos priemones, atsižvelgdami į tokius veiksnius, kaip jūsų renkamų asmens duomenų pobūdis, jų slaptumas ir su apdorojimu susijusi rizika. Yra daug saugumo rizikos tipų, į kuriuos reikia atsižvelgti. Dažniausiai pasitaikanti rizika – tai fizinis įsilaužimas, nesąžiningi darbuotojai, atsitiktinis praradimas ir internetiniai programišiai. Atitiktį gali padėti užtikrinti rizikos valdymo planas ir tokie rizikos mažinimo veiksmai, kaip slaptažodžio apsaugos taikymas, audito registravimo žurnalų vedimas ir šifravimas.

Kaip reikia elgtis, įvykus duomenų pažeidimui, remiantis BDAR?

BDAR apibrėžia „asmens duomenų pažeidimą“ kaip „saugumo pažeidimą, dėl kurio atsitiktinai arba neteisėtai sugadinami, prarandami ar pakeičiami, neleistinai atskleidžiami perduodami, saugomi ar kitaip apdorojami duomenys arba neleistinai suteikiama prieiga prie jų“. Įvykus tokiam pažeidimui, turite per 72 val. nuo jo aptikimo pranešti apie tai priežiūros institucijoms. Taip pat gali reikėti pranešti klientams (arba „duomenų subjektams“), kad dėl pažeidimo jiems iškilo didelis žalos pavojus.

Jūs teigiate, kad organizacijos turi būti „skaidrios“. Ką tai reiškia?

Tai reiškia, kad turite būti sąžiningi ir aiškiai apibrėžti, kodėl ir kaip apdorojate žmonių duomenis. BDAR išsamiai aprašoma, ką turėtumėte pranešti žmonėms apie apdorojamus asmens duomenis, ir tai, be kitų dalykų, apima tokią informaciją:

  • kodėl apdorojate asmens duomenis;
  • kiek ilgai saugosite duomenis (arba kriterijai, nurodantys, kaip ilgai reikia saugoti duomenis);
  • su kuo bus bendrinami asmens duomenys ir
  • ar asmens duomenys bus perduodami už Europos ekonominės erdvės ribų.
Šią informaciją turite pateikti taip, kad ji būti aiški ir lengvai pasiekiama. Dėl šios priežasties verta atidžiai peržiūrėti savo informacijos atskleidimo nuostatas ir palyginti jas su BDAR reikalavimais.