Pasak konsultacijų įmonės „Sabelija“, kuri padeda verslui pasiruošti naujojo reglamento įsigaliojimui, teisininko, šiuo reglamentu yra įtvirtinamas atskaitomybės principas duomenų apsaugos srityje. Praktiškai tai reiškia, kad Valstybinė duomenų apsaugos inspekcija galės patikrinti bet kurį juridinį asmenį ir įvertinti, kaip jie tvarkosi su asmens duomenimis įmonės ar įstaigos viduje. Šis reglamentas taikomas ne tik visose Europos Sąjungos šalyse, bet privalomas ir tiems duomenų valdytojams ar duomenų tvarkytojams, kurių veikla yra susijusi su prekių ar paslaugų siūlymu duomenų subjektams ES.
Nors reglamentas liečia kiekvieną įmonę ar įstaigą, kuri tvarko vienokius ar kitokius asmens duomenis, stipriausiai jis paveiks tuos juridinius asmenis, kurie dirba su duomenimis dideliu mastu ir tą daro reguliariai ir nuolat – pavyzdžiui, sveikatos priežiūros įstaigos, skolų išieškojimo įmonės, draudimo bendrovės, telekomunikacijų bendrovės ir pan. Kitaip tariant, tas įmones, kurių pagrindinę vykdomą veiklą be duomenų tvarkymo būtų sunku įsivaizduoti.
Pažeidimų numatoma nemažai, baudos – didžiulės
Reglamento pažeidėjams numatomos tikrai nemažos baudos, kurios gali siekti nuo 10 iki 20 milijonų eurų arba 2-4% ankstesnių juridinio asmens finansinių metų apyvartos. „Sabelija“ teisininko manymu, dažniausi pažeidimai greičiausiai bus fiksuojami dėl įvairių nepageidaujamų laiškų siuntimo ar be sutikimo atliekamų telefoninių skambučių, siūlant konkrečias prekes ar paslaugas.
„Įmonės, vykdančios pardavimus šiais būdais turėtų pasiruošti labai atsakingai. Kai žmogui siunčiami laiškai ar skambinama be jo leidimo ar sutikimo, tokiais atvejais bus labai daug rizikos pažeisti galiosiantį reglamentavimą ir turbūt šioje vietoje galime pamatyti pirmąsias baudas.
Taip pat gali būti nubausti tie juridiniai asmenys, kurie neteisėtai, neinformavę apie tai aplinkinių, atlieka teritorijos ar patalpų vaizdo stebėjimą (filmavimą), pavyzdžiui, sunerimti turėtų tam tikros daugiabučių bendrijos. Joms reikėtų atidžiai susitvarkyti visus vidinius dokumentus ir atitinkamus registrus“, – prognozavo pašnekovas.
Nors dabartinis darbo kodeksas įtvirtina, kad darbuotojų asmens duomenų saugojimo politiką įmonės viduje privalo turėti tik tie juridiniai asmenys, kuriuose yra daugiau kaip 50 darbuotojų, naujuoju reglamentu numatoma, kad asmens duomenų saugojimo politika realiai reikalinga visoms įmonėms ar įstaigoms, nepriklausomai nuo darbuotojų skaičiaus. Tuo tarpu įmonės, turinčios daugiau kaip 250 darbuotojų privalės daryti ir asmens duomenų tvarkymo veiklos įrašus. Taip pat įtvirtinti pagrindai kada juridiniai asmenys privalės tokius įrašus daryti ir turint mažiau darbuotojų.
Svarbiausia – nerinkti perteklinės informacijos
Naujuoju reglamentu duomenų subjektui arba tiesiog – fiziniam asmeniui, suteikiama daugiau teisių, stiprinamos dabar galiojančios teisės. Tais atvejais, kai duomenų valdytojas ar duomenų tvarkytojas, tvarko asmens duomenis duomenų subjekto sutikimu, juridinis asmuo turės galėti įrodyti, kad duomenų subjektas sutiko su duomenų tvarkymo operacija (įrodyti sutikimo faktą). Taip pat apsaugos priemonėmis turi būti užtikrinama, kad duomenų subjektas suvoktų, jog jis duoda sutikimą ir dėl ko jį duoda, o sutikimo pareiškimas turi būti pateiktas suprantama ir lengvai prieinama forma, aiškiai ir paprasta kalba, be nesąžiningų sąlygų.
Asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybę galima nustatyti iš turimų duomenų. Jie skirstomi į tris kategorijas: viešai prieinami duomenys, asmens duomenys ir specialiosios kategorijos duomenys. Ypač verta atkreipti dėmesį į pastarąją kategoriją, vadinamuosius jautrius duomenis.
Jų sąrašas yra baigtinis ir yra numatytas reglamente. Jis, pavyzdžiui, apima tokius duomenis, kaip politines pažiūras, religinius ar filosofinius įsitikinimus, genetinius, biometrinius ir sveikatos duomenis, informaciją apie narystę profesinėse sąjungose ir duomenis apie asmens lytinį gyvenimą ar lytinę orientaciją.
„Sabelija“ teisininkas pabrėžia tai, jog specialiosios kategorijos duomenimis priskiriama ir rasinė bei etninė kilmė. Praktinis to pavyzdys – gyvenimo aprašymai arba pasų kopijos, daromos darbovietėje. Jei juose nurodoma tautybė, tai jau yra etninė kilmė, kas yra specialiosios kategorijos duomuo. „Įsigaliojant reglamentui, reiktų neformuluoti tų klausimų, kad nebūtų surinkta perteklinės informacijos, tai yra, negauti tos informacijos, kurios juridiniam asmeniui nereikia“, – patarė jis.
