Tiesioginė rinkodara ir Bendrasis duomenų apsaugos reglamentas (BDAR)

Kas keičiasi dėl tiesioginės rinkodaros pranešimų siuntimo trumposiomis žinutėmis, elektroniniais laiškais ir kitomis elektroninių ryšių priemonėmis pradėjus taikyti BDAR?

Kokie įstatymai reguliavo tiesioginę rinkodarą? Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme (ADTAĮ) numatyta, kad asmens duomenys elektroninių ryšių srityje tvarkomi vadovaujantis ir Elektroninių ryšių įstatymu (ERĮ). Taigi tiesioginės rinkodaros pranešimų siuntimui trumposiomis žinutėmis, elektroniniais laiškais ir kitomis elektroninių ryšių priemonėmis yra taikomi abu šie įstatymai.

Elektroninių ryšių įstatyme svarbios tiesioginės rinkodaros nuostatos Pagal ERĮ tiesioginės rinkodaros pranešimus leidžiama siųsti tik gavus išankstinį abonento ar registruoto elektroninių ryšių paslaugų naudotojo sutikimą. Atsižvelgiant į šią ERĮ nuostatą, reikėtų suprasti, kad tuo atveju, kai yra naudojamos elektroninių ryšių paslaugos, kurių abonentas yra fizinis asmuo, tai tiesioginės rinkodaros siuntimui turi būti gautas jo susitikimas, o jeigu toks abonentas yra juridinis asmuo, reikėtų gauti juridinio asmens vadovo ar jo įgalioto asmens sutikimą naudoti šias paslaugas tiesioginės rinkodaros tikslu. Taigi, šiuo atveju susiduriame su tam tikra išimtimi, kai asmenų privatumo apsaugos nuostatos taikomos ir organizacijos, t. y. juridiniams asmenims.

Ne viskas keičiasi pradėjus taikyti BDAR Tikriausiai ne vienam kyla klausimų, kokių pokyčių laukti dėl tiesioginės rinkodaros pradėjus taikyti BDAR? Šiuo atveju svarbu atkreipti dėmesį, kad šis tiesiogiai taikomas teisės aktas pakeičia anksčiau galiojusią 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyvą 95/46/EB dėl asmens duomenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuri buvo įgyvendinta ADTAĮ. Taigi, nuo 2018 m. gegužės 25 d. ADTAĮ nebelieka specialaus tiesioginės rinkodaros reguliavimo, jai taikomi bendri asmens duomenų tvarkymo reikalavimai, numatyti BDAR, tačiau, kaip minėta pirmiau, tiesioginę rinkodarą, vykdomą elektroninių ryšių priemonėmis, reguliuoja ir ERĮ, kurio nuostatos šiuo metu nėra keičiamos.

Svarbiausi tiesioginės rinkodaros, siunčiamos elektroninių ryšių priemonėmis, aspektai:

  • Tiesioginės rinkodaros pranešimas žmogui gali būti siunčiamas tik gavus jo išankstinį sutikimą (pvz., sutikimai gali būti gaunami per akcijas, žaidimuose, pildant anketas, tampant lojalumo programos dalyviu ar pan.).
  • Tiesioginės rinkodaros pranešimas organizacijai gali būti siunčiamas tik gavus juridinio asmens vadovo ar jo įgalioto asmens sutikimą.
  • Tiesioginė rinkodara iš savo klientų gautais jų pačių kontaktais gali būti vykdoma tik panašių prekių ar paslaugų rinkodarai.
  • Atsitiktinai sugeneruoti telefono ryšio numeriai yra laikomi asmens duomenimis.
  • Trečiųjų asmenų kontaktinės informacijos rinkimas tiesioginės rinkodaros tikslu, neturint trečiųjų asmenų sutikimo, laikomas neteisėtu.
  • Asmenims turi būti sudaryta aiški, nemokama ir lengvai įgyvendinama galimybė ne tik duoti sutikimą dėl jo asmens duomenų tvarkymo tiesioginės rinkodaros tikslu, bet ir nesutikti ar vėliau atšaukti duotą sutikimą.
  • Pranešimų, kuriuose siūloma pasinaudoti visuomenei skirtomis mokamomis ar nemokamomis paslaugomis, siuntimas laikomas tiesiogine rinkodara. Dėl tokio pobūdžio pranešimų siuntimo šiuo metu Lietuvos įstatymuose nedaroma išlygų nei nevyriausybinėms organizacijoms, nei valstybės įstaigoms ir institucijoms.
  • Valstybinės duomenų apsaugos inspekcijos nuomone, tiesioginės rinkodaros pasiūlymais nebūtų laikomi, pvz., sveikinimai, elektroninių laiškų siuntimas, kurių turinys susijęs su sutarčių vykdymu, priminimas apie skolą ir kt. Šiuo atveju asmens duomenų tvarkymas turėtų būti grindžiamas bent vienu asmens duomenų teisėto tvarkymo kriterijumi.
  • Žmogus gali kreiptis į tiesioginę rinkodarą siunčiančią organizaciją dėl savo, kaip duomenų subjekto, teisių įgyvendinimo: teisės būti informuotam, teisės susipažinti su asmens duomenimis, teisės reikalauti ištaisyti duomenis, teisės reikalauti ištrinti duomenis, teisės apriboti duomenų tvarkymą, teisės į duomenų perkeliamumą.
  • Žmogus turi teisę iš tiesioginės rinkodaros siuntėjo gauti informaciją iš kokių šaltinių ir kokie Jūsų asmens duomenys surinkti, kokiu tikslu jie tvarkomi ir kokiems duomenų gavėjams buvo teikiami bent per paskutinius vienerius metus.
  • Jei žmogui nepavyksta išsiaiškinti su jam tiesioginę rinkodarą siūlančia organizacija, jis gali kreiptis asmens duomenų apsaugos priežiūros instituciją – Valstybinę duomenų apsaugos inspekciją, kad ši padėtų apginti jo teises.
  • Valstybinė duomenų apsaugos inspekcija gali organizacijai, neteisėtai siunčiančiai tiesioginę rinkodarą, taikyti įvairias sankcijas, pavyzdžiui, pareikalauti sustabdyti, nutraukti duomenų tvarkymą, skirti baudą.

Šaltinis: https://www.ada.lt/go.php/lit/Tiesiogine-rinkodara-ir-bendrasis-duomenu-apsaugos-reglamentas-bdar/1

Continue Reading

Įmonėms ir organizacijoms skirtos taisyklės

Vykdymas ir sankcijos

Vykdymas ir sankcijos

Atsakomybės ribojimo pareiškimas

Atsakomybės ribojimo pareiškimas

Susijusių dokumentų biblioteka

Susijusių dokumentų biblioteka

Continue Reading

Asmens duomenų inspekcija tikrins paslaugų teikėjus

Valstybinė duomenų apsaugos inspekcija patvirtino bei paskelbė 2019 m. prevencinių patikrinimų planą. Tai pirmasis didelis tikrinimas po naujojo Asmens duomenų reglamento įsigaliojimo, todėl bendrovių laukia didelis iššūkis pasitikrinti, ar jų veikla ir dokumentai atitinka reglamento nuostatas. Šiais metais tikrinimams turėtų būti pasirengusios šios verslo subjektų grupės:
  • Sporto klubai (dėl biometrinių duomenų tvarkymo teisėtumo; parastai biometrinis duomuo – piršto antspaudas yra naudojamas kaip praėjimo į sporto klubus kontrolės priemonė);
  • Sporto ir turizmo prekių bei paslaugų bendrovės nuomos sutarties sudarymo ir vykdymo tikslu (dėl duomenų kiekio mažinimo principo įgyvendinimo ir asmenų informavimo apie jų duomenų tvarkymą);
  • Viešbučiai (dėl duomenų kiekio mažinimo tvarkant svečių asmens duomenis);
  • Greitųjų kreditų bendrovės (dėl vartojimo kredito sutarčių sudarymo ir vykdymo tikslu tvarkomų asmens duomenų saugumo užtikrinimo).
Saraše nemažai mūsų kasdienių bendrovių, pvz. sporto klubas Impuls, mažieji Narvesen kioskai ar įrankių nuomos bendrovė Gotas. Taip pat tikrinamos bus ir valstybinės institucijos dėl sutarčių, sudarytų su duomenų tvarkytojais atitikties Bendrajam duomenų apsaugos reglamente nustatytiems reikalavimams. Galiausiai, tikrinimų sulauks ir kiti pavieniai duomenų valdytojai, kai kurie pakartotinai, siekiant įvertinti, ar įgyvendino Valstybinės duomenų apsaugos inspekcijos pateiktus nurodymus. Tikslų ketinamų tikrinti duomenų valdytojų sąrašą rasite čia: https://www.ada.lt/go.php/lit/Valstybine-duomenu-apsaugos-inspekcija-paskelbe-2019-m-prevenciniu-patikrinimu-plana. Visi šie duomenų valdytojai, jei dar nespėjo tuo pasirūpinti, turi užtikrinti, kad patikrinimo dienai turėtų pilnai parengtą bei tinkamai funkcionuojančią atitiktį Bendrojo duomenų apsaugos reglamento reikalavimams galinčią patvirtinti vidinę dokumentaciją – taisykles, apibrėžiančias asmens duomenų tvarkymo principus, tikslus bei tvarkymo pagrindus, duomenų subjektų teisių įgyvendinimo tvarką, technines ir organizacines priemones, skirtas duomenų saugumui užtikrinti, duomenų saugumo pažeidimų valdymo planą ir kita. Vieni svarbiausių ir būtiniausių dokumentų – asmens duomenų tvarkymo veiklos įrašai bei, jei duomenų valdytojas vykdo didesnei rizikai priskirtas duomenų tvarkymo operacijas, pavyzdžiui, filmuoja savo darbuotojus, tvarko biometrinius, sveikatos ar teistumo duomenis, poveikio duomenų apsaugai vertinimo atskaitos. Labai tikėtina, kad būtent šių dokumentų, pradėjusi tikrinimą, parašys Valstybinė duomenų apsaugos inspekcija. Tikimasi, kad patikrinusi šiuos subjektus, Valstybinė duomenų apsaugos inspekcija nurodys, ką savo veikloje privalu koreguoti, o bendradarbiauti atsisakiusiems ar itin grubių pažeidimų neišvengusiems duomenų valdytojams gali grėsti ir Bendrojo duomenų apsaugos reglamento įtvirtintos itin solidaus dydžio baudos.
Šaltinis: https://triniti.lt/2019/02/06/asmens-duomenu-inspekcija-tikrins-paslaugu-teikejus/

Continue Reading

Per Europą ritasi pirmųjų BDAR sankcijų banga

Prireikė daugiau nei pusmečio, kad 2018 m. pavasario pabaigoje įsigaliojęs ES Bendrasis duomenų apsaugos reglamentas (BDAR) įrodytų buvęs priimtas ne tuščiai. Pirmieji asmens duomenų pažeidimai skaudžiai atsirūgo jau ne vienai įmonei Europoje.

Portugalija

Viena pirmųjų baudų Europoje už asmens duomenų apsaugos pažeidimus buvo skirta Portugalijos ligoninei „Centro Hospitalar Barreiro Montijo“ – 2018 m. liepos viduryje ligoninei buvo skirta net 400 tūkst. eurų bauda dėl trijų reglamento pažeidimų. Pasak šalies duomenų apsaugos tarnybos, ligoninėje per daug darbuotojų turėjo prieigą prie pacientų asmens duomenų, nebuvo laikomasi tinkamų techninių ir organizacinių priemonių asmens duomenims apsaugoti.

Tarp ligoninės administracijos sukeltų pažeidimų minimi tokie atvejai, kaip vidinių sistemų vartotojų skaičiaus neatitikimas realybei, pavyzdžiui, sistemoje buvo registruoti 985 vartotojai su žyma „gydytojas“, nors pačioje ligoninėje tuo metu dirbo tik 296 gydytojai.

Devyni techniniai darbuotojai turėjo medicinos grupei skirtą prieigos lygį prie pacientų duomenų ir galėjo bet kada peržiūrėti norimų asmenų ligos istorijas.

„Piktnaudžiavimas prieiga prie asmens duomenų yra viena iš dažnesnių įmonių problemų, todėl rekomenduojame tiek įmonių, tiek valstybės įstaigų vadovams susirūpinti ir užbėgti įvykiams už akių inicijuojant darbuotojams suteiktų prieigos teisių prie informacinių sistemų resursų auditą“, – komentuoja ESET Lietuva IT inžinierius Ramūnas Liubertas.

Vokietija

2018 m. lapkričio pabaigoje Badeno-Viurtembergo regiono duomenų apsaugos institucija paskelbė apie pirmąjį rimtą BDAR reglamento pažeidimą Vokietijoje. Pokalbių svetainei „Knuddels.de“ buvo skirta 20 tūkst. eurų bauda dėl 32-ojo BDAR straipsnio pažeidimo.

Iki „Facebook“ atsiradimo Vokietijoje itin populiarus buvęs „Knuddels.de“ praėjusių metų rugsėjį patyrė masinį duomenų pažeidimą, kurio metu programišiai nutekino beveik 2 milijonus vartotojų vardų ir slaptažodžių ir virš 800 tūkstančių el. pašto adresų, taip pat kitokio pobūdžio informacijos. Pasisavinti duomenys netrukus atsirado įvairiose dalinimosi svetainėse.

Duomenų pažeidimą tyrę ekspertai tikina, kad „Knuddels.de“ nesilaikė tinkamų saugumo priemonių, kad apsaugotų savo vartotojų informaciją. Kita vertus, pokalbių svetainės administratoriai, pastebėję duomenų nutekėjimą, iškart informavo savo vartotojus ir duomenų apsaugos tarnybą ir ėmėsi IT infrastruktūros stiprinimo. Tai buvo viena iš priežasčių, kodėl organizacijai buvo skirta mažesnė bauda, nei nurodo BDAR reglamentas.

Austrija

Pirmoji su BDAR pažeidimu susijusi bauda Austrijoje buvo gana menka – už netinkamą stebėjimo kameros įrengimą prie parduotuvės verslininkui buvo skirta 4 800 eurų bauda. Pasak Austrijos duomenų apsaugos tarnybos, parduotuvės kamera filmavo per daug viešosios erdvės ir nebuvo tinkamai pažymėta, kad teritorija yra stebima.

Vis dėlto įdomesnis atvejis šiuo metu verda dėl Austrijos pašto, kuris, kaip paaiškėjo, politinėms partijoms pardavė virš 2,2 milijonų austrų duomenų, tokių kaip jų vardai, namų adresai, amžius ir lytis, kad politikai galėtų organizuoti tikslines kampanijas prieš rinkimus. Austrijos paštas ginasi, kad tokia praktika, kai duomenys parduodami tiesioginės rinkodaros tikslais, yra nuo seno leidžiama šalies įstatymų. Austrijos duomenų apsaugos institucija jau įsitraukė į šio skandalo tyrimą.

Lietuva

Tuo tarpu Lietuvoje kol kas negirdėti apie rimtesnius asmens duomenų apsaugos pažeidimus. Tiesa, Valstybinė duomenų apsaugos inspekcija sulaukia dvigubai daugiau skundų nei iki BDAR įsigaliojimo: per 2018 m. pirmus 3 ketvirčius gauti 644 asmenų skundai, kai 2017 m. per tą patį laikotarpį užregistruota tik 311.

Remiantis inspekcijos veiklos statistika, daugiausia lietuviai skundžiasi dėl tiesioginės rinkodaros, vaizdo duomenų, duomenų tvarkymo internete, skolininkų duomenų, valstybės registrų, asmens kodo ir kitos informacijos.

„Lietuvoje dažna nūdiena tokia, kol įmonė negavo tiesioginio skundo, tol neskubama susitvarkyti asmens duomenų tvarkymą reglamentuojančią teisinę bazę ar diegtis atitinkamų saugumo priemonių. Visa tai grindžiama žmogiškųjų resursų, laiko ar lėšų stoka, tačiau tai nebus argumentas išvengti atsakomybės tiriant skundą inspekcijos specialistams“, – teigia R. Liubertas.”

Šaltinis:www.eset.lt

Continue Reading

Nebelieka išankstinės patikros ir įmonių registracijos

Valstybinė duomenų apsaugos inspekcija informuoja, kad nuo 2018 m. gegužės 25 d. pradedamas taikyti 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) nebenumato pareigos duomenų valdytojui pranešti Valstybinei duomenų apsaugos inspekcijai apie asmens duomenų tvarkymą automatiniu būdu (pagal Asmens duomenų teisinės apsaugos įstatymo 31 str.) bei atlikti išankstinę patikrą (pagal Asmens duomenų teisinės apsaugos įstatymo 33 str.). Taigi, pradėjus taikyti naująjį asmens duomenų apsaugos teisinį reguliavimą, nebelieka įmonių, įstaigų ar kitų organizacijų, tvarkančių asmens duomenis, registracijos Asmens duomenų valdytojų valstybės registre. Siūlome įvertinti, ar tikslinga teikti Valstybinei duomenų apsaugos inspekcijai minėtus pranešimus, atsižvelgiant į jų teisės aktais nustatytus nagrinėjimo terminus ir tvarką, nes Valstybinė duomenų apsaugos inspekcija gali nebespėti priimti sprendimo dėl Jūsų pateikto asmens duomenų tvarkymo iki Bendrojo duomenų apsaugos reglamento taikymo pradžios. Šaltinis: www.ada.lt

MES GALIME

Continue Reading

Tiesioginė rinkodara ir Bendrasis duomenų apsaugos reglamentas (BDAR)

Kas keičiasi dėl tiesioginės rinkodaros pranešimų siuntimo trumposiomis žinutėmis, elektroniniais...

Skaityti toliau

Įmonėms ir organizacijoms skirtos taisyklės

Sužinokite, kokių ES duomenų apsaugos taisyklių turi laikytis jūsų organizacija...

Skaityti toliau

Asmens duomenų inspekcija tikrins paslaugų teikėjus

Valstybinė duomenų apsaugos inspekcija patvirtino bei paskelbė 2019 m. prevencinių patikrinimų...

Skaityti toliau