Asmens duomenų apsaugos naujovės nuo 2018-05-25
Patalpinta: 2018-02-27 06:29:51
Nuo 2018 m. gegužės 25 d. keičiasi Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas ir pradedamas taikyti Bendrasis duomenų apsaugos reglamentas (toliau – Reglamentas). Liko vos trys mėnesiai, kuomet Reglamentas bus pradėtas taikyti visoms įmonėms, kurios tvarko asmens duomenis. Asmens duomenimis Reglamente laikytina bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti. Asmens duomenų sąrašas nėra baigtinis, tai gali būti pvz., vardas, pavardė, asmens kodas, gyvenamosios vietos adresas, veido atvaizdas, pirštų atspaudai, balso tembras, telefono numeris, el. pašto adresas, automobilio numeris, išsilavinimo duomenys (baigta mokykla, diplomų duomenys), duomenys apie turimą turtą, darbo užmokestis ir t. t. Taigi, įmonė tvarkydama asmens duomenis, norėdama išvengti neapsakomai didelių baudų, kurios gali siekti iki 20 mln. Eur arba iki 4% bendrovės ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, iki 2018-05-25 privalo suderinti duomenų tvarkymo veiklą su Reglamente įtvirtintinais reikalavimais.
Pagrindiniai pasiruošimo taikyti Reglamentą etapai:
- Informacijos sklaida. Įsitikinkite, kad įmonėje dirbantys asmenys būtų informuoti, jog nuo 2018-05-25 pradedamas taikyti Reglamentas.
- Asmens duomenų inventorizacija. Atlikite auditą, inventorizaciją. Šio etapo esmė yra suvokti, kokius asmens duomenis įmonė tvarko, iš kur (iš ko) juos gauna, kam perduoda bei kiek laiko saugo. Atlikus inventorizaciją, apsirašykite asmens duomenų tvarkymo procesus. Tai gali būti Asmens duomenų tvarkymo taisyklės (ar privatumo politika) ar kitaip įvardintas įmonės vidinis dokumentas. Jeigu toks dokumentas įmonėje jau yra, peržiūrėkite, koreguokite jį atsižvelgiant į Reglamento nuostatas.
- Informacijos apie privatumą pateikimas. Renkant asmens duomenis, duomenų gavimo metu fiziniam asmeniui iš kurio renkate duomenis pateikite glaustą, suprantamą ir aiškiai įskaitomu būdu informaciją apie save (juridinio asmens pavadinimą, kodą ir buveinę arba fizinio asmens tapatybę), kontaktinius duomenis, duomenų tvarkymo tikslus, duomenų tvarkymo teisinį pagrindą, asmens duomenų gavėjus (kam bus teikiami duomenys) ir kitą Reglamente nurodytą informaciją.
- Asmens duomenų tvarkymo teisinis pagrindas. Peržiūrėkite ir įvertinkite, kokius asmens duomenis ir kokiais teisiniais pagrindais vadovaudamiesi juos tvarkote. Teisėtas pagrindas tvarkyti asmens duomenis gali būti: duotas fizinio asmens sutikimas, kad jo duomenys būtų tvarkomi vienu ar keliais konkrečiais tikslais; tvarkomi duomenys siekiant įvykdyti sutartį, kurios šalis yra fizinis asmuo, arba siekiant imtis veiksmų fizinio asmens prašymu prieš sudarant sutartį; tvarkyti duomenis būtina, kad būtų įvykdyta duomenų valdytojui taikoma teisinė prievolė ir kiti Reglamento nurodyti pagrindai.
- Duomenų subjektų (fizinių asmenų) teisės. Įsigaliojus Reglamentui, fiziniai asmenys turės daugiau teisių. Reglamentas įtvirtina teisę reikalauti ištrinti asmens duomenis („teisė būti pamirštam“), teisę į duomenų perkeliamumą. Aprašykite šių ir esamų teisių turinį ir galimybę jomis pasinaudoti įmonės Asmens duomenų tvarkymo taisyklėse (ar privatumo politikoje) ar kitaip įvardintame įmonės vidiniame dokumente.
- Sutikimas. Reglamentas nustato papildomą reikalavimą, kad, kai duomenys yra tvarkomi ne vienu tikslu, sutikimas turi būti duotas dėl visų duomenų tvarkymo tikslų. Peržiūrėkite, kaip prašomas, gaunamas ir užfiksuojamas fizinių asmenų sutikimas ir ar nereikia atlikti kokių nors pakeitimų susijusių su sutikimo gavimu.
- Vaikų asmens duomenų apsauga. Reglamente išskiriama ypatingai jautrių asmens duomenų subjektų grupė – vaikai. Ypatinga apsauga turėtų būti taikoma vaikų asmens duomenų naudojimui rinkodaros, virtualios asmenybės ar vartotojo profilio sukūrimo tikslais. Pagalvokite apie sistemų, kurios galėtų patikrinti asmens amžių, įdiegimą bei apie tai, kaip galėtų būti gaunamas tėvų arba teisėtų atstovų sutikimas dėl vaikų asmens duomenų tvarkymo.
- Asmens duomenų saugumo pažeidimai. Atsiranda nauja pareiga informuoti apie grėsmę asmens duomenų saugumui. Įsitikinkite, kad esate nustatę tinkamas procedūras kaip aptikti, pranešti ir ištrinti asmens duomenų saugumo pažeidimus.
- Pritaikytoji duomenų apsauga ir poveikio duomenų apsaugai vertinimas. Iki įsigaliojant Reglamentui Valstybinė duomenų apsaugos inspekcija turi patvirtinti sąrašą duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą. Tad, turėsite pasitikrinti, ar Jūsų verslas nepatenka tarp subjektų, kuriems toks poveikio vertinimas yra privalomas.
- Duomenų apsaugos pareigūnas. Paskirkite duomenų apsaugos pareigūną savo įmonėje, jeigu tokio reikia, ar kitą asmenį iš išorės, kuris būtų atsakingas už asmens duomenų apsaugos reikalavimų laikymąsi, ir įvertinkite šios pareigybės padėtį organizacijoje.
- Tarptautinis elementas. Jeigu Jūsų įmonė veikia tarptautiniu mastu, nuspręskite, su kuria duomenų apsaugos priežiūros institucija bendradarbiausite.
Sukurkite įmonėje atskaitomybės sistemą. Kurkite duomenų tvarkymo stebėjimo, peržiūros ir vertinimo procedūras, kurios leistų minimizuoti duomenų tvarkymo apimtį ir terminą. Būkite pasirengę ne tik laikytis duomenų apsaugos reikalavimų, bet ir parodyti, kaip tų reikalavimų laikotės.