Scroll to top

Bendrasis duomenų apsaugos reglamentas (BDAR). Ką privalote žinoti.

Primename, kad nuo šių metų gegužės 25 d. tiesiogiai pradedamas taikyti ES bendrasis duomenų apsaugos reglamentas (BDARdėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo. Tai reiškia, kad iš esmės keičiasi (griežtėja) LR Asmens duomenų teisinės apsaugos reikalavimai. Visoms įmonėms ir organizacijoms, kurios savo veikloje susiduria ir tvarko asmens duomenis pasiruošti ir pradėti taikyti naująją tvarką liko mažiau nei mėnuo.

Tikriausiai nebūsime originalūs, tačiau siūlome dar kartą peržvelgti, kas yra laikoma privačiais asmens duomenimis ir įvertinti ar tokia informacija yra naudojama jūsų įmonės veikloje. Pagal esamas bei naujai įsigaliojančias taisykles, asmens duomenimis laikytina: fizinio asmens vardas, pavardė, asmens kodas, gyvenamosios vietos, darbovietės, elektroninio pašto adresai, kompiuterio IP adresas, telefono, transporto priemonių registracijos numeriai, pirštų atspaudai, veido atvaizdas, turimas turtas, gaunamos pajamos, šeiminė padėtis, sveikatos informacija ir pan. Informacijos, kuri laikoma asmens duomenimis sąrašas nėra baigtinis. Taigi jeigu turite duomenų bazę, kurioje yra kaupiami bet kokie klientų duomenys – naujasis teisinis reguliavimas (reglamentas) yra taikomas ir jums.

Pasiruošimas BDAR:

Pateikiame trumpą, 3 punktų atmintinę, ką svarbu padaryti, norint atitikti naujojo reglamento reikalavimams. Šia atmintine taip pat galite pasinaudoti siekdami pasitikrinti ar tinkamai pasiruošėte naujai įsigaliojančiam reguliavimui.

1. Atlikite vidinį asmens duomenų naudojimo auditą ir parenkite darbuotojus.

Išanalizuokite ir identifikuokite su kokiais asmens duomenimis dirbate ir iš kur juos gaunate, kaip juos naudojate ar kam perduodate. Įsitikinkite, kad esama duomenų gavimo ir apdorojimo tvarka neprieštarauja naujajam teisiniam reguliavimui. Detaliai ir aiškiai aprašykite asmens duomenų gavimo ir naudojimo tvarką (procesus), jei tokia tvarka šiai dienai nėra parengta. Pasirašytinai supažindinkite įmonės darbuotojus su vidinėmis įmonės asmens duomenų tvarkymo taisyklėmis, taip pat būkite įsitikinę, kad darbuotojai yra susipažinę ir su asmens duomenų apsaugą reguliuojančiais įstatymais. Už renkamų ir saugomų duomenų apsaugą paskirkite atsakingą asmenį. Svarbu pažymėti, kad reglamentas taip pat numato atvejus, kai skirti atsakingą asmenį yra privaloma.

2. Gaukite asmens sutikimą rinkti ir tvarkyti jo duomenis.

Atkreipiame dėmesį, kad BDAR yra numatytas papildomas, iki šiol netaikytas reikalavimas, pagal kurį jeigu asmens duomenys renkami ir naudojami keliais tikslais, asmens duomenų davėjo sutikimas turi būti duodamas dėl visų naudojimo tikslų atskirai. Įsitikinkite, kad naudojama sistema tinkamai identifikuoja ir atskiria šiuos tikslus, o vartotojų sutikimas yra gaunamas pagal kiekvieną iš jų. Iškilus būtinybei turėsite pagrįsti, kad asmens duomenys buvo naudojami būtent tuo tikslu, kurį jums suteikė vartotojas. Nepamirškite, kad vartotojo sutikimas dėl jo duomenų naudojimo yra privalomas. Taip pat vartotojas turi būti supažindintas su informacija apie jus, duomenų rinkimo ir tvarkymo tikslais, teisiniu pagrindu ir kita reglamente nustatyta informacija (trumpa forma pateikite vartotojui pasirašytinai susipažinti su duomenimis apie jūsų įmonę, kontaktus kuri ir kaip bus naudojami surinkti duomenys ir pan.). Pažymime, kad išskirtinis dėmesys reglamente yra skiriamas nepilnamečių ir kitų pažeidžiamų grupių asmenų duomenų apsaugai. Atsižvelgiant į tai, pasistenkite įsitikinti, kad esate pajėgūs tinkamai identifikuoti tokius asmenis. Jeigu savo veikloje privalote tvarkyti nepilnamečių ar neveiksnių asmenų duomenis, apgalvokite, kokia tvarka bus gaunamas tėvų ar teisėtų šių asmenų atstovų sutikimas dėl duomenų tvarkymo.

 

bdar diagrama

3. Duomenų davėjų teisės ir asmens duomenų saugumas.

Naujoji BDAR tvarka fiziniams asmenims (asmens duomenų subjektams) numato žymiai daugiau teisių, viena iš kurių yra asmens teisė „būti pamirštam“ arba, kad jo duomenys būtų ištrinti. Privalote numatyti realią ir paprastą galimybę asmeniui šia teise pasinaudoti. Reglamentas taip pat numato pareigą asmens duomenų tvarkytojui identifikuoti ir prireikus kontroliuojančias institucijas informuoti apie galimas grėsmes asmens duomenų naudojimui.

Pagal naujuosius reikalavimus kontroliuojanti institucija – Valstybinė duomenų apsaugos inspekcija privalo parengti duomenų tvarkymo operacijų sąrašą, kurioms bus taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą. Pasitikrinkite ar jūsų veikla nepapuola į šį sąrašą ir ar jums nebus taikomi papildomi reikalavimai.

Nenorime gąsdinti, tačiau primename, kad baudos už netinkamą asmens duomenų tvarkymą numatytos tikrai didelės ir pati kontrolė, panašu, kad gali būti labai griežta. Kaip numato teisės aktai, baudos gali siekti iki 20 mln. Eur arba iki 4 proc. įmonės metinės apyvartos.

Apibendrinant aukščiau aptarus patarimus, nuoširdžiai rekomenduojame iki 2018 m. gegužės 25 d. peržiūrėti įmonėje esančią asmens duomenų tvarkymo sistemą ir įsitikinti, kad ji pilnai atitinka naujai keliamus reikalavimus. Atkreipiame dėmesį, kad svarbu ne tik laikytis naujųjų reikalavimų, bet prireikus, kontroliuojančiajai institucijai parodyti ir įrodyti, kad tų reikalavimų realiai yra laikomasi.

Post a Comment