Vos už kelių mėnesių - 2018 m. gegužės 25-ąją - visoje Europos Sąjungoje, taigi ir Lietuvoje, buvo pradėtas tiesiogiai taikyti Bendrasis duomenų apsaugos reglamentas. Verslas privalėjo įgyvendinti jo reikalavimus, o už pažeidimus įmonėms grėsė didžiulės piniginės sankcijos. Asmens duomenų apsaugos srityje revoliuciniu vadinamas Bendrasis duomenų apsaugos reglamentas Nr. 2016/679 (toliau - Reglamentas) tapo vienu labiausiai aptarinėjamu Europos Sąjungos teisės aktų.
Vis dėlto, nors viešai prieinamos informacijos apie Reglamentą netrūksta, jį taikyti besiruošiantys verslo subjektai susiduria su gausybe praktinių problemų. Aptariamas reglamentas - kokybiškai naujas ES teisės aktas, kuriuo įtvirtintas gerokai aukštesnis asmens duomenų apsaugos standartas. Tam, kad verslas ir viešasis sektorius spėtų pasiruošti naujiems reikalavimams, Reglamento taikymas buvo atidėtas daugiau nei dvejiems metams - iki 2018 m. Labai svarbu, jog Reglamentas visoje ES (taigi ir Lietuvoje) bus taikomas tiesiogiai.
Kam taikomas reglamentas?
Reglamentas, be kita ko, bus taikomas visiems privačiame sektoriuje veikiantiems asmenims (įmonėms, individualia veikla užsiimantiems asmenims ir pan.), kurie savo veikloje tvarko asmens duomenis. Asmens duomenų sąvoka yra labai talpi ir reiškia bet kokią informaciją apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti.
Tad asmens duomenys apima ne vien fizinio asmens vardą, pavardę, asmens kodą, gimimo datą, adresą, banko sąskaitos numerį, bet ir šio asmens pomėgius, įsigytų prekių istoriją, nuosavybės teise valdomą turtą, naudojamo kompiuterio IP adresą ir gausybę kitų duomenų. Iš esmės kiekvienas verslas įvairiausiomis formomis tvarko asmens duomenis, pavyzdžiui, duomenis, susijusius su savo darbuotojais bei kandidatais į laisvas darbo vietas, su esamais ar potencialiais klientais, įvairiais tiekėjais ar partneriais. Net ir tais atvejais, kai patalpų viduje ar išorėje saugumo tikslais įrengiamos vaizdo stebėjimo kameros, taip pat laikoma, jog verslas tvarko į šių vaizdo kamerų filmavimo lauką patekusių fizinių asmenų duomenis.
Pagrindiniai reglamento reikalavimai ir naujovės
Reglamentas numato daug naujų pareigų asmens duomenis tvarkantiems verslo subjektams. Pirmiausia, Reglamente įtvirtinamas principas, jog verslas turės pats savarankiškai užtikrinti tinkamas technines ir organizacines priemones asmens duomenų apsaugai. Kitaip tariant, verslui bus mažinama administracinė našta (pavyzdžiui, nuo 2018 m. gegužės 25 d. verslui nereikės papildomai registruotis Valstybinės duomenų apsaugos inspekcijos prižiūrimame duomenų valdytojų registre), suteikiama daugiau laisvės nuspręsti, kokių konkrečių techninių ir organizacinių priemonių imtis tinkamai duomenų apsaugai.
Pavyzdžiui, verslas turės pats nuspręsti, kur saugoti tvarkomus skaitmenizuotus asmens duomenis (savo serveriuose ar išorinių paslaugų teikėjų serveriuose), šifruoti saugomus duomenis ar daryti šių duomenų atsargines kopijas ir pan. Dažniausiai savo veikloje verslas tvarko asmens duomenis prieš tai gavęs fizinių asmenų sutikimus dėl tokio jų asmens duomenų tvarkymo. Pradėjus taikyti Reglamentą, verslas prieš gaudamas tokį sutikimą privalės labai išsamiai informuoti atitinkamą fizinį asmenį. Mat fizinis asmuo turės būti informuojamas apie tai, kokiais tikslais jo duomenys tvarkomi, kokiu teisiniu pagrindu, kokias teises šis fizinis asmuo turi ir pan. Jei klientui fiziniam asmeniui iš anksto nepateikiama visa Reglamente numatyta informacija, bus laikoma, kad tokio kliento duotas sutikimas negalioja ir verslas tvarko šio kliento duomenis neteisėtai.
Kita Reglamento naujovė - duomenų apsaugos pareigūno pareigybė. Daliai stambesnių agroverslo įmonių, kurios tvarko asmens duomenis intensyviai, bus privalu paskirti duomenų apsaugos pareigūną, t. y. kompetentingą asmenį, kuris konsultuos įmonę asmens duomenų tvarkymo klausimais. Pagaliau, Reglamentas suteiks naujų teisių fiziniams asmenims.
Gerardas asmens duomenų apsauga mažoms įmonėms pagal bdar (gdpr) reglamentą
Štai fizinis asmuo tam tikrais atvejais turės teisę reikalauti, kad verslas visiškai sunaikintų apie jį surinktus asmens duomenis (vadinamoji teisė būti pamirštam), taip pat, kad verslas skaitmeniniu pavidalu saugiai perkeltų apie šį fizinį asmenį sukauptus asmens duomenis kitam verslui (teisė į duomenų perkeliamumą). Pradėjus taikyti Reglamentą, už jo pažeidimus verslui grės itin didelės administracinės baudos - maksimalus nustatytas šių baudų dydis siekia 20 mln. eurų arba iki 4 proc. ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, priklausomai nuo to, kuri suma didesnė.
Palyginimui, šiuo metu už asmens duomenų apsaugos pažeidimus Administracinių nusižengimų kodeksas įmonėms numato baudas iki 580 Eur, o įmonių vadovams - iki 1 200 Eur (už pakartotinį pažeidimą atitinkamai iki 1 150 ir iki 3 000 Eur). Verslui, pažeidusiam Reglamento nuostatas, taip pat grės ir civilinė atsakomybė. Pagaliau, būtina įvertinti ir padidėsiančią įmonės reputacijos riziką.
Kaip pasiruošti reglamento reikalavimams?
Pasiruošimo Reglamentui procesą galima suskirstyti į dvi dalis. Pirmiausia, agroverslui reikia atlikti individualų asmens duomenų apsaugos auditą. Per tokį auditą turi būti atsakoma į svarbius klausimus: kokie ir kieno asmens duomenys yra tvarkomi, kokiais tikslais, kokiu teisiniu pagrindu, iš kur jie gaunami, kam teikiami ir pan. Būtina peržiūrėti visas agroverslo sutartis, vidines įmonės tvarkas, kitus dokumentus, net interneto svetainės ar naudojamos programinės įrangos turinį. Inventorizavus kiekvieną asmens duomenų tvarkymo operaciją, įvertinama jos atitiktis Reglamento reikalavimams.
Kitas žingsnis - įgyvendinti per auditą parengtą individualų veiksmų planą. Tinkamas pasiruošimas Reglamento reikalavimams reikalauja teisinių ir informacinių technologijų žinių, todėl šiame procese patartina konsultuotis su kompetentingais įmonės darbuotojais ar specialistais iš išorės. Be to, praktikoje toks pasirengimo procesas vidutiniškai trunka ganėtinai ilgai - nuo vieno iki kelių mėnesių.
Turint omenyje, kad Reglamentas bus pradėtas taikyti 2018 m. Griežtesnis asmens duomenų apsaugos reguliavimas skatins verslą keisti asmens duomenų tvarkymo kultūrą.
Galimos baudos už BDAR pažeidimus
| Pažeidimas | Baudos dydis |
|---|---|
| Nedidelis pažeidimas | Iki 10 mln. eurų arba 2% metinės apyvartos (priklausomai nuo to, kuri suma didesnė) |
| Didelis pažeidimas | Iki 20 mln. eurų arba 4% metinės apyvartos (priklausomai nuo to, kuri suma didesnė) |
Kazlų Rūdos savivaldybės administracija siekia užtikrinti kiekvieno žmogaus teisę į asmens duomenų apsaugą, taikant 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentą (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau-reglamentas) ir jo įgyvendinamuosius teisės aktus.
Jeigu asmuo mano, kad pažeistos jo kaip duomenų subjekto, teisės, ar nori gauti daugiau informacijos apie asmens duomenų tvarkymą, gali kreiptis į Kazlų Rūdos savivaldybes administracijos vyriausiajį specialistą Gražvydą Gustaitį el. Jeigu asmuo nesutinka su Kazlų Rūdos savivaldybės administracijos atsakymu, jis gali kreiptis į Valstybinę duomenų apsaugos inspekciją (VDAI), Juozapavičiaus g. (8 5) 271 2804, 279 1445, el. p.