Bendrasis duomenų apsaugos reglamentas (BDAR) yra tiesioginio taikymo teisės aktas, todėl nuo 2018 m. gegužės 25 d. jis tiesiogiai taikomas visose Europos Sąjungos (ES) valstybėse narėse.
Sutikimo Reikalavimai Pagal BDAR
Sugriežtinami sutikimo reikalavimai - numatoma, kad, kai duomenys tvarkomi gavus duomenų subjekto sutikimą, duomenų valdytojas turi galėti įrodyti, kad duomenų subjektas sutiko su duomenų tvarkymo operacija. Apsaugos priemonėmis turi būti užtikrinama, kad duomenų subjektas suvoktų, kad jis duoda sutikimą ir dėl ko jis jį duoda. Duomenų valdytojo iš anksto suformuluotas sutikimo pareiškimas turi būti pateiktas suprantama ir lengvai prieinama forma, aiškiai ir paprasta kalba, jame neturėtų būti nesąžiningų sąlygų.
Duomenų subjekto sutikimai gali būti renkami šiais būdais: raštu, įskaitant gautus elektroninėmis priemonėmis, žodžiu ar veiksmais, jeigu yra galimybė įrodyti, kad toks sutikimas buvo duotas, ir jeigu duomenų subjektas savo veiksmais aiškiai sutinka su siūlomu jo asmens duomenų tvarkymu. Pirmenybė kiekvienu atveju yra teikiama duomenų subjekto sutikimams, gautiems raštu (įskaitant gautus elektroninėmis priemonėmis), o kiti sutikimo būdai gali būti naudojami tik kiekvienu konkrečiu atveju įsitikinus, kad yra įmanoma įrodyti duomenų subjekto sutikimo davimo faktą.
Nepilnamečių Duomenų Tvarkymas
Pirmą kartą Europos Sąjungos teisėje reglamentuojamas nepilnamečio iki 16 m. asmens duomenų tvarkymas. Nustatyta, kad kai vaikas yra jaunesnis negu 16 metų, toks tvarkymas yra teisėtas tik tuo atveju, jeigu tą sutikimą davė arba tvarkyti duomenis leido vaiko tėvų pareigų turėtojas, ir tokiu mastu, kokiu duotas toks sutikimas ar leidimas.
Pagrindiniai BDAR Principai ir Reikalavimai
Reglamentas remiasi atitikties logika, kuri grindžiama duomenų valdytojų ir duomenų tvarkytojų skaidrumu ir atskaitomybe. Naujasis reguliavimas numato, kad duomenų valdytojas, prieš pradėdamas tvarkyti duomenis, atlieka numatytų duomenų tvarkymo operacijų poveikio asmens duomenų apsaugai vertinimą (ypač tais atvejais, kai numatoma tvarkyti jautrius duomenis ar atlikti profiliavimą). Numatyta pareiga pranešti duomenų subjektui apie asmens duomenų saugumo pažeidimą. Tiek duomenų valdytojui, tiek duomenų tvarkytojui numatoma pareiga paskirti duomenų apsaugos pareigūną. Reglamentas taip pat numato tokius naujus atitikties vertinimo kriterijus kaip elgesio kodeksų laikymasis bei sertifikavimą.
Pagal naują reglamentavimą atsakomybė už asmens duomenų tvarkymą tenka duomenų valdytojams, Reglamentas išplečia pareigų duomenų tvarkytojams ratą.
Nustatomas „vieno langelio“ principas, t. y. duomenų valdytojo arba duomenų tvarkytojo pagrindinės buveinės arba vienintelės buveinės priežiūros institucija turi kompetenciją veikti kaip vadovaujanti priežiūros institucija, kai tas duomenų valdytojas arba duomenų tvarkytojas vykdo tarpvalstybinį duomenų tvarkymą.
Stiprinamas priežiūros institucijų bendradarbiavimas. Visais atvejais, kai bus atliekamas tarpvalstybinis duomenų tvarkymas, t. y. kai asmens duomenų tvarkymas lies kelių valstybių narių gyventojus, skirtingų šalių priežiūros institucijos bus kompetentingos spręsti dėl asmens duomenų tvarkymo atitikimo Reglamentui. Siekiant užtikrinti vienodą praktiką, vadovaujanti priežiūros institucija bendradarbiaus su atitinkamų valstybių narių priežiūros institucijomis atliekant bendrus tyrimus, priimant bendrą sprendimą bei taikant sankcijas. Nustatoma pareiga vadovaujančiai priežiūros institucijai pateikti sprendimo projektą kitoms susijusioms priežiūros institucijoms, kad jos pateiktų savo nuomonę. Susijusios priežiūros institucijos per keturias savaites turės pareikšti tinkamą ir pagrįstą prieštaravimą dėl sprendimo projekto arba jam pritarti. Jeigu į prieštaravimą nėra atsižvelgiama, klausimas toliau sprendžiamas Europos duomenų apsaugos valdyboje. Europos duomenų apsaugos valdybos sprendimas vadovaujančiai priežiūros institucijai yra privalomas.
Duomenų valdytojai ir duomenų tvarkytojai gali perduoti asmens duomenis į trečiąją valstybę tik tuo atveju, jeigu duomenų valdytojas arba duomenų tvarkytojas yra nustatęs tinkamas apsaugos priemones, su sąlyga, kad suteikiama galimybė naudotis vykdytinomis duomenų subjekto teisėmis ir veiksmingomis duomenų subjektų teisių gynimo priemonėmis.
Reglamente numatytas baudų dydis priverčia susimąstyti esamus ir būsimus duomenų valdytojus ir pažvelgti asmens duomenų apsaugą labai atsakingai. Duomenų valdytojui ir duomenų tvarkytojui, pažeidusiam Reglamento nuostatas, gali būti skiriamos administracinės baudos, kurios kiekvienu konkrečiu atveju turi būti veiksmingos, proporcingos ir atgrasomos. Priklausomai nuo Reglamento pažeidimo pobūdžio bauda gali siekti nuo 2 iki 4 proc.
Sutikimo Savybės
Kai asmens duomenys yra tvarkomi sutikimo pagrindu, tvarkomi tik tie asmens duomenys, tais tikslais, kurie nurodyti sutikime, ir su jais atliekamos tik tos tvarkymo operacijos (veiksmai), kurios nurodytos sutikime.
Sutikimas turi būti:
- duotas laisva duomenų subjekto valia;
- konkretus ir išsamus;
- duomenų subjektas davė tinkamai informuotas;
- nedviprasmiškas duomenų subjekto valios išreiškimas, kad su juo susiję duomenys būtų tvarkomi.
Tam, kad reikalavimas dėl tinkamo informavimo būtų įvykdytas, prieš duomenų subjektui pasirašant sutikimą jam turi būti pateikta BDAR 13 straipsnyje nurodyta informacija bei informuojama apie duomenų subjekto teisę bet kuriuo metu atšaukti savo sutikimą.
Duomenų subjektas turi teisę bet kuriuo metu atšaukti savo sutikimą. Duomenų subjektui atšaukus sutikimą, draudžiama tvarkyti asmens duomenis tais tikslais ir atlikti duomenų tvarkymo operacijas (veiksmus), kurios buvo atliekamos tokio sutikimo pagrindu, išskyrus atvejus, kai tokiam duomenų tvarkymui egzistuoja kitas Taisyklėse ar BDAR įtvirtintas asmens duomenų tvarkymo teisinis pagrindas. Sutikimui atšaukti yra sudaromos analogiškos sąlygos kaip ir sutikimui duoti, draudžiama apsunkinti ar sudaryti papildomas sąlygas sutikimui atšaukti. Sutikimo atšaukimas negali sukelti duomenų subjektui neigiamų padarinių, įskaitant paslaugos kokybės sumažinimą. Sutikimo atšaukimas nedaro poveikio sutikimu pagrįsto duomenų tvarkymo, atlikto iki sutikimo atšaukimo, teisėtumui.
Sutikimas ir jame nurodyti asmens duomenys yra saugomi trejus metus nuo sutikimo atšaukimo arba jo galiojimo termino pabaigos, arba nuo TKA sprendimo nebetvarkyti asmens duomenų sutikime nustatytais tikslais priėmimo dienos, išskyrus atvejus, kai teisės aktai numato kitokį duomenų saugojimo terminą.
TKA privalo informuoti duomenų subjektą apie jo asmens duomenų tvarkymo veiklą.
Duomenų subjekto teisės:
- teisę prašyti, kad būtų leista susipažinti su duomenimis ir juos ištaisyti arba ištrinti,
- teisę prašyti apriboti duomenų tvarkymą,
- teisę nesutikti, kad duomenys būtų tvarkomi,
- teisę į duomenų perkeliamumą.
Prašymai dėl teisių įgyvendinimo TKA turi būti pateikti raštu (įskaitant teikiamus elektroniniu formatu), taip pat turi būti įmanoma identifikuoti prašymą padavusio asmens bei duomenų subjekto tapatybę. Duomenų subjekto tapatybė nustatoma pagal asmens tapatybę patvirtinantį dokumentą ar elektroninių ryšių priemonėmis, kurios leidžia tinkamai identifikuoti asmenį.
Peržengiant ES ribas. Kaip užtikrinti duomenų apsaugą trečiosiose šalyse.
Asmens Duomenų Tvarkymas Skolų Išieškojimo Tikslu
Skolų išieškojimo procese neabejotinai tvarkomi asmens duomenys - vardas, pavardė, mokėtojo kodas, gimimo data, adresas ir kiti. Pasitaiko atvejų, kad skolų išieškojimo procedūros gali sukelti neigiamų finansinių pasekmių žmogui, todėl į tokį duomenų tvarkymą neretai reaguojama ypač jautriai. Tvarkant asmens duomenis skolų išieškojimo tikslu turi būti laikomasi Bendrajame duomenų apsaugos reglamente įtvirtintų bendrų asmens duomenų apsaugos principų.
Konkrečiai skolų išieškojimo procedūros nėra aptartos šiame teisės akte, tačiau asmens duomenų apsaugos priežiūros institucija sulaukia nemažai asmenų skundų ir kreipimųsi pasikonsultuoti. Pasak Valstybinės duomenų apsaugos inspekcijos direktoriaus Raimondo Andrijausko: „Iš 2018 m. gautų 859 skundų 65 buvo pateikti skolininkų dėl galimai netinkamo jų asmens duomenų tvarkymo. Neretai susiduriama su asmenų nepasitenkinimą sukeliančiomis situacijomis, kurios susijusios su konfidencialumo principo, įtvirtinto Bendrajame duomenų apsaugos reglamente, pažeidimu.
Skolą išieškanti bendrovė turi pasirūpinti, kad jos pasirinktos techninės ir organizacinės priemonės padėtų užtikrinti ne tik asmens duomenų saugumą, bet ir užkirstų kelią neteisėtai prieigai prie asmens duomenų. Pavyzdžiui, skolininko informacija neturėtų būti atskleista ar sudaryta galimybė atskleisti asmenims, kurie neturi teisės jos gauti ar matyti, pavyzdžiui, kolegoms darbovietėje, paprašius perduoti pranešimą apie skolą kaimynų, giminaičių ar panašiai. Nors apie duomenų gavėjus, kuriems pavedama išieškoti skolą, asmenys privalo būti informuoti, tačiau sutikimas asmens duomenų perdavimui skolos išieškojimo įmonėms nėra privalomas. Neretai asmenys klysta tikėdamiesi, kad jų asmens duomenų tvarkymas, nesant jų sutikimo, yra neteisėtas ar net draudžiamas. Čia dar kartą reikėtų pabrėžti, kad sutikimas yra tik vienas iš galimų pagrindų tvarkyti asmens duomenis, tačiau ne vienintelis. Dažniausiai asmens duomenys skolų išieškojimo tikslu yra tvarkomi remiantis įmonės ar įstaigos, kuriam asmuo skolingas, teisėtu interesu.
Be kita ko, įmonės ar įstaigos, kurioms asmenys yra skolingi, turi teisę perduoti reikalavimą į skolą, pavyzdžiui, parduoti. Tai numato Lietuvos Respublikos civilinis kodeksas. Be jokios abejonės, kartu su skola perduodami ir asmens duomenys. Kitas dažnas Valstybinės duomenų apsaugos inspekcijos veikloje pasitaikantis atvejis, susijęs su asmens duomenų tvarkymu skolos išieškojimo tikslu, kai asmens duomenų tvarkymui šiuo tikslu yra pasitelkiama skolų išieškojimo veiklą vykdanti bendrovė (duomenų tvarkytojas). Taigi, įmonė ar įstaiga pagal Bendrąjį duomenų apsaugos reglamentą turi teisę tiek asmens duomenis tvarkyti pati, tiek pasitelkti kitą asmenį - duomenų tvarkytoją. Tokia duomenų valdytojo teisė nėra ribojama asmens duomenų tvarkymo sąlygomis ir tai reiškia, kad tokiam duomenų tvarkytojo pasitelkimui neprivaloma prašyti duomenų subjekto sutikimo, turėti teisėto intereso ar bet kurio kito teisinio pagrindo.
Kartais klystama ir mėginant rasti skolininkus, pavyzdžiui, aptikti jų pėdsakus socialiniuose tinkluose ar telefonu. Šiais kanalais ieškant įsiskolinusių asmenų ir neįsitikinus surasto asmens tapatybe, kyla rizika atskleisti asmens duomenis tretiesiems asmenims, su išieškoma skola neturintiems nieko bendra.