Greitai bus pradėtas taikyti naujasis Europos Parlamento patvirtintas Bendrasis duomenų apsaugos reglamentas

Pasirenkite taikyti ES Bendrąjį duomenų apsaugos reglamentą jau dabar. Štai 10 aspektų, į kuriuos siūlome atkreipti dėmesį, kad lengviau pasiruoštumėte naujojo reglamento taikymo pradžiai.
EU’s General Data Protection Regulation will affect many companies in Europe. Are you ready for the changes?
EU’s General Data Protection Regulation will affect many companies in Europe. Are you ready for the changes?

2016 m. gegužės mėn. įsigaliojo Europos Parlamento patvirtintas Bendrasis duomenų apsaugos reglamentas. Jau dabar žinome, kad, kai po dvejų metų pereinamojo laikotarpio  - 2018 m. gegužės mėn. įsigalios naujosios reglamente įtvirtintos taisyklės, asmens duomenis tvarkančioms įmonėms bus taikomi nauji veiklos reikalavimai.

Asmens duomenų sąvoka naujajame reglamente yra apibrėžiama labai plačiai, todėl į jo taikymo sritį faktiškai pateks beveik visos su asmens duomenimis dirbančios įmonės. Kadangi iki Bendrojo duomenų apsaugos reglamento taikymo pradžios liko tik šiek tiek daugiau nei 300 darbo dienų,  pateikiame dešimt aspektų, į kuriuos siūlome atsižvelgti siekiant lengviau pasirengti reglamento taikymui jau šiandien.


1. Įrodykite, kad laikotės taisyklių
Naujajame reglamente reikalaujama, kad asmens duomenų valdytojas galėtų įrodyti, jog asmens duomenis tvarko laikydamasis reglamente numatytų reikalavimų.

Praktiškai tai reiškia, kad siekdami įrodyti, jog į jūsų atsakomybės sritį patenkančios duomenų tvarkymo operacijos atitinka Bendrajame duomenų apsaugos reglamente įtvirtintas taisykles, šias operacijas turite registruoti.

2. Įsitikinkite, kad turite sutikimą
Jei asmens duomenų tvarkymas grindžiamas duomenų subjekto sutikimu, turite galėti įrodyti, kad šis sutikimas asmens buvo duotas.

Be to, ateityje duomenų subjekto sutikimui bus taikomi griežtesni reikalavimai:

  • sutikimas turės būti duotas aiškiu raštišku, elektroniniu arba žodiniu pareiškimu;
  • iš sutikimo turės būti aišku, kad asmuo savanoriškai, individualiai ir sąmoningai išreiškė savo valią sutikti su jo asmens duomenų tvarkymu;

Sutikimas galės būti duodamas duomenų subjektui pažymėjus atitinkamą žymimąjį langelį.

3. Užtikrinkite duomenų subjekto teisę būti pamirštam
Reglamentu bus nustatyta naujovė – duomenų subjektų teisė būti pamirštiems. Praktiškai tai reiškia teisę į tai, kad jų duomenys būtų pašalinti iš duomenų valdytojų informacinių bazių.

Taip galėtų nutikti, jei duomenų subjektas atšauktų duomenų valdytojui anksčiau duotą sutikimą tvarkyti jo asmens duomenis. Vis dėlto, jei asmens duomenys tvarkomi išimtiniais Bendrajame duomenų apsaugos reglamente numatytais teisiniais pagrindais, duomenų pašalinimo prievolė netaikoma.

Jei jums kyla pareiga pašalinti asmens duomenis, apie tai turite informuoti visus duomenų gavėjus, kurie šiuos duomenis yra gavę arba paskelbę. Šiuo reikalavimu siekiama užtikrinti, kad taip pat būtų pašalintos visos su asmens duomenų turiniu susijusios nuorodos, dublikatai ir kopijos.

4. Įgyvendinkite duomenų subjekto teisę perkelti duomenis
Naujuoju reglamentu numatyta kiekvieno duomenų subjekto  teisė gauti savo asmens duomenis kompiuteriu skaitomu formatu ir perkelti juos pas kitą duomenų valdytoją.

Ši teisė taip pat taikoma asmens duomenims, kuriuos asmuo jums pateikė duodamas sutikimą arba pagal abipusį susitarimą. Vis dėlto, šia reglamente įtvirtinta prievole jūs neįpareigojami patvirtinti arba turėti techniškai suderinamų duomenų tvarkymo sistemų.

5. Jums gali būti taikomas profiliavimo draudimas
Kiekvienas duomenų subjektas turi teisę į tai, kad jo atžvilgiu nebūtų taikomas automatizuotu duomenų tvarkymu grindžiamas  asmeninių aspektų vertinimas, kuris jam darytų teisminį arba kitokį reikšmingą poveikį. Kitaip tariant, svarbaus sprendimo, kuris daro poveikį asmeniui, negalite priimti remdamiesi automatizuotu jo duomenų tvarkymu.

Šis profiliavimo draudimas netaikomas, jei sprendimo reikia asmens ir jūsų įmonės tarpusavio sutarčiai įvykdyti. Turite užtikrinti, kad jūsų profiliavimo ir sprendimų priėmimo modeliai atitiktų teisės aktus ir kad būtų atlikti visi būtini pakeitimai. 

Dažniausiai profiliavimo draudimas netaikomas priimant sprendimus dėl kredito suteikimo. Šie sprendimai įprastai yra grindžiami automatizuoto klasifikavimo sistemomis ir sprendimų rekomendacijomis.

6. Informuokite apie jūsų duomenų saugumo pažeidimus
Ateityje privalėsite informuoti nacionalinę priežiūros instituciją ir duomenų subjektus apie bet kokius jų asmens duomenų saugumo pažeidimus. Šis įpareigojimas taikomas tuomet, jei toks pažeidimas gali kelti grėsmę bet kokioms asmens teisėms ir laisvėms. Kilus tokioms situacijoms, turite imtis kelių veiksmų:

  • per 72 valandas nuo pažeidimo turite apie tai pranešti nacionalinei priežiūros institucijai;
  • apie pažeidimą turite informuoti visus susijusius duomenų subjektus, jei dėl duomenų saugumo problemų jų teisėms ir laisvėms gali kilti didelis pavojus.

Kad galėtumėte tinkamai vykdyti šias reglamente numatytas prievoles, jums svarbu parengti vidines asmens duomenų tvarkymo taisykles  ir procedūras, kuriomis būtų užtikrinamas veiksmingas ir tinkamas procesas.

7. Pateikite informaciją apie tai, kaip tvarkote duomenis
Dabar įmonės visame pasaulyje renka daugiau asmens duomenų nei kada nors anksčiau. Ateityje, norėdami tinkamai laikytis Bendrojo duomenų apsaugos reglamento, turėsite nacionalinei priežiūros institucijai teikti daugiau informacijos apie duomenų tvarkymą jūsų įmonėje.

Tai reiškia, kad privalėsite nurodyti asmens duomenų saugojimo jūsų įmonėje trukmę, o jei tai neįmanoma – nurodyti šiai trukmei nustatyti taikomus kriterijus.

Praktiškai tai taip pat reiškia, kad turėsite  atnaujinti asmens duomenų valdytojų registre esančius duomenis ir vidinius asmens duomenų tvarkymo taisykles numatančius dokumentus.

8. Naujojo duomenų apsaugos pareigūno vaidmuo
Kadangi duomenų apsaugai skiriama vis daugiau dėmesio, jums gali prireikti paskirti duomenų apsaugos pareigūną, kuriam būtų pavesta prižiūrėti asmens duomenų apsaugos reikalavimų laikymąsi įmonėje. Pagal reglamentą organizacijos, kurioms reikia duomenų apsaugos pareigūno, yra įmonės, kurių pagrindinė veikla yra duomenų tvarkymo operacijos arba specialių kategorijų duomenų tvarkymas dideliu mastu. Todėl patariame įvertinti, ar jūsų įmonei yra taikomas reikalavimas paskirti duomenų apsaugos pareigūną.

9. Norėdami naudotis užsakomosiomis asmens duomenų tvarkymo paslaugomis, turėsite taikyti atitinkamas apsaugos priemones
Jei savo veikloje naudojatės asmens duomenų tvarkytojų, veikiančių jūsų vardu, paslaugomis, jums keliami keli reikalavimai:

  • turite pasitelkti tik tuos duomenų tvarkytojus, kurie užtikrina, kad tinkamos techninės ir organizacinės apsaugos priemonės bus įgyvendintos tokiu būdų, kad duomenų tvarkymas atitiktų reglamento reikalavimus;
  • privalote užtikrinti duomenų subjektų teisių apsaugą.

Praktiškai tai reiškia, kad turite įvertinti potencialus duomenų tvarkytojo galimybes užtikrinti jam perduodamų asmens duomenų apsaugą ir užtikrinti, kad visos sutartys su asmens duomenų tvarkytojais būtų parengtos tinkamai. Pavyzdžiui, duomenų saugojimas naudojantis archyvavimo paslaugomis laikomas naudojimusi duomenų tvarkytojų paslaugomis, nors paslaugos teikėjas duomenų aktyviai netvarko.

10. Už pažeidimus gali būti taikoma didelė bauda
Taip pat svarbu atminti, kad, be įspėjimo, už duomenų apsaugos reglamento pažeidimą taip pat gali grėsti didžiulės sankcijos. Didžiausia bauda gali siekti 20 mln. EUR arba 4 proc. visos jūsų įmonės ankstesnių finansinių metų bendros apyvartos