Dabar populiaru
Publikuota: 2018 gegužės 15d. 11:39

Vilius Nikitinas: Bendrasis duomenų apsaugos reglamentas. Ką svarbu žinoti ruošiantis?

Vilius Nikitinas 2018 m. gegužės 25 d. bus pradėtas taikyti Bendrasis duomenų apsaugos reglamentas (toliau – Reglamentas) dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo šių duomenų judėjimo. Šis Reglamentas taikomas su ES piliečiais susijusių asmens duomenų tvarkymui, kurį atlieka fizinis asmuo, įmonė ar organizacija, ir netaikomas tik mirusių ar juridinių asmenų asmens duomenų tvarkymui arba netaikomos duomenims, kuriuos asmuo tvarko tik asmeniniais tikslais arba savo namuose vykdomos veiklos tikslais, su sąlyga, kad nėra jokio ryšio su profesine ar komercine veikla.

Reglamentas palengvina įmonių administracinę naštą bei suteikia joms galimybes savarankiškai vertinti su savo veikla susijusias rizikas, tačiau iš kitos pusės – sugriežtina bendrovių pareigas duomenų apsaugos srityje. Numatyti aukšti atskaitomybės standartai, apimantys poveikio vertinimus, duomenų apsaugos pareigūno skyrimą, pranešimą apie duomenų saugumo pažeidimus. Verslui būtina žinoti, kad daugelis ar net dauguma grėsmių duomenų saugumui kyla dėl žmogiškojo faktoriaus ir dėl „minkštųjų“ priemonių nepakankamumo, t.y. neužtikrinimas techninis saugumas arba dar blogiau – jis yra pažeidžiamas.

Kaip rodo praktika, priežastis yra labai paprasta – dėl nepakankamo rizikų supratimo taikomos netinkamos techninės apsaugos priemonės. Šios ir kitos klaidos verslui gali kainuoti itin brangiai – už Reglamento pažeidimus skiriamos administracinės nuobaudos iki 20 000 000 Eur arba iki 4% bendrovės ankstesnių finansinių metų bendros metinės pasaulinės apyvartos.

Vis dėlto, valstybėms narėms yra suteikiama teisė savo viduje nustatyti savo taisykles ir tikrai nėra užkertamas kelias taikyti savo teisę, kurioje nustatomos konkrečios duomenų tvarkymo sąlygos, pavyzdžiui, tiksliau apibrėžiant aplinkybes ir sąlygas, kada asmens duomenų tvarkymas bus pripažįstamas tvarkomu teisėtai ir kada ne. Svarbu pažymėti ir tai, kad Reglamentas nenustato minimalios baudos dydžio, o tai reiškia, kad valstybės narės tai padaryti turės pačios. Atsižvelgus į tai, tikrai negalima teigti, kad reikia visapusiškai laikytis Reglamento nuostatų – labai svarbu įvertinti reikalavimus ir tos šalies, kurioje faktiškai bus tvarkomi asmens duomenys (arba kur faktiškai veikia verslas).

Taigi, svarbūs esminiai pasiruošimo žingsniai:

1. Informavimas.

Kiekviena įmonė, įstaiga ar organizacija privalo įsitikinti, ar darbuotojai, tvarkantys fizinių asmenų duomenis yra informuoti apie pasikeičiantį reglamentavimą, taip pat – ar yra informuoti, kaip būtent šis reglamentavimas keičiasi ir kokių priemonių jie turės imtis po Reglamento įsigaliojimo. Bendrovėse asmenys, atsakingi už asmens duomenų tvarkymą, gali būti ne tik bendrovės administracijos vadovai, personalo vadovai, tačiau šios funkcijos realiai gali būti perduotos ir IT darbuotojams. Dažni atvejai, kad Bendrovės pasitelkia ir išorinius specialistus – konsultantus, teisininkus ar kitas konsultacines firmas. Taigi, keikvienoje Bendrovėje yra labai svarbu atskirti, kas vykdo asmens duomenų tvarkymo funkcijas ir šiuos asmenis informuoti bei apmokyti tinkamai tvarkyti šiuos duomenis.

2. Vidinis bendrovės auditas.

Kiekviena įmonė, įstaiga ar organizacija savo bendrovės viduje privalo išsikelti ir atsakyti į pagrindinius klausimus, padėsiančius lengviau pasiruošti Reglamento įgyvendinimui. Taigi, kiekviena bendrovė turi aiškiai žinoti, kokius asmens duomenis bendrovė tvarko ir kodėl šie duomenys yra tvarkomi (nustatyti tvarkomų duomenų tikslą ir apimtį), taip pat nusistatyti duomenų gavimo šaltinį – ar duomenys gaunami iš pačio subjekto ar iš trečiojo asmens, apsibrėžti duomenų naudojimo paskirtį – ar duomenys naudojami bendrovės viduje, ar siekiant suteikti konkrečią paslaugą, taip pat – duomenų saugojimo vieta ir terminas bei nusistatyti kitas svarbias aplinkybes.

3.Vidinių taisyklių parengimas

Apsibrėžus 2 punkte nurodytas duomenų tvarkymo sąlygas ir kitas reikšmingas aplinkybes, kiekviena bendrovė privalo aiškiai reglamentuoti taisykles, kokiomis sąlygomis ir tvarka turėtų būti tvarkomi asmens duomenys. Pagrindinis ir privalomas bendrovės dokumentas – Asmens duomenų tvarkymo taisyklės, įvardijant visus kriterijus dėl teisėto duomenų tvarkymo, susipažinimo su duomenims tvarka ir kitomis teisėmis bei pareigomis. Šias Asmens duomenų tvarkymo taisykles būtinai reikia turėti kiekvienoje bendrovėje, tačiau, atsižvelgus į tvarkomų asmens duomenų tikslus, bendrovėje turi būti parengti ir kiti dokumentai.

Kitas ypatingai svarbus dokumentas – Duomenų saugumo pažeidimo tvarkos taisyklės, nustatančios, kas bus atsakingas už informavimą Valstybinei duomenų apsaugos inspekcijai dėl asmens duomenų apsaugos pažeidimų nustatymų, kokie duomenys ir kokia tvarka yra teikiami Valstybinei duomenų apsaugos inspekcijai, taip pat nustatančios ir kitas svarbias aplinkybes.

Jeigu bendrovėje yra vykdomas ir vaizdo stebėjimas, bendrovėje taip pat turi būti parengtas atskiras rašytinis dokumentas ir dėl bendrovėje vykdomo vaizdo stebėjimo, o tiksliau – vaizdo stebėjimo taisyklės, kuriose būtų aprašyta vaizdo stebėjimo trajektorija, nusistatyta vaizdo stebėjimo duomenų naudojimo politika ar kiti aspektai, susiję su teisėtai vykdomu asmens stebėjimu. Svarbu atkreipti dėmesį į tai, kad vaizdo stebėjimas ir garso įrašymas darbo vietoje gali būti vykdomas, kai dėl darbo specifikos būtina užtikrinti asmenų, turto ar visuomenės saugumą ir kitais atvejais, kai kiti būdai ar priemonės yra nepakankami ir (arba) netinkami siekiant išvardytų tikslų, išskyrus atvejus, kai tiesiogiai siekiama kontroliuoti darbo kokybę ir mastą. Apie vaizdo stebėjimą ir garso įrašymą konkrečioje darbovietės vietoje informuojama vaizdiniu žymeniu matomoje vietoje (Lietuvos Respublikos darbo kodekso 27 straipsnio 5 dalis).

Atskiras dokumentas t.y. privatumo politikos taisyklės turi būti parengtos ir turint internetinę bendrovės svetainę. Šiame dokumente privalote nurodyti, kokią informaciją apie internetinės svetainės naudotojus jūs renkate, kaip šie naudotojai gali susipažinti su surinkta informacija, taip pat – nusistatyti ir tokią tvarką, kokioje laikmenoje surinkti duomenys bus saugomi ir, jei bus duomenų subjekto prašymas, kokia tvarka surinktus duomenis perkelsite (perduosite) šiam duomenų subjektui (teisės į duomenų perkeliamumą įgyvendinimas).

Svarbu atkreipti dėmesį ir į Lietuvos Respublikos darbo kodekso 27 straipsnio 3 dalyje nustatytu reikalavimu supažindinti darbuotojus su informacinių ir komunikacinių technologijų naudojimo bei darbuotojų stebėsenos ir kontrolės darbo vietoje tvarka (toliau – Tvarka). Šioje Tvarkoje turi būti nustatytos informacinių ir komunikacinių technologijų naudojimo darbo vietoje darbo metu taisyklės, taip pat darbuotojų stebėsenos ir kontrolės darbo vietoje taisyklės ir mastas. Pavyzdžiui, gali būti nurodytas informacinių ir komunikacinių technologijų naudojimas – kas suteikia informacines ir komunikacines technologijas (toliau – Technologijos) ir kam jos priklauso, kokios būtent Technologijos yra suteikiamos, kas gali jomis naudotis, taip pat galima apibrėžti, kokie darbuotojo veiksmai, naudojantis Technologijomis bus pripažįstami draudžiamais ir kitas reikšmingas aplinkybes.

Stebėsenos ir kontrolės darbo vietoje skyriuje svarbu apibrėžti stebėsenos ir kontrolės tikslus ir principus, kuriais remiantis bus vykdoma stebėsena ir kontrolė darbo vietoje, taip pat nusistatyti tvarką, kokia būtent stebėsena ir kontrolė bus vykdoma t.y. ar bendrovė vykdys tik Technologijų stebėseną ir kontrolę ar (ir) bus bendrovėje atliekamas ir vaizdo-garso stebėjimas, taip pat nusistatyti, kam ši Tvarka yra taikoma. Šie išvardyti aspektai yra tik vieni iš daugelio aspektų, kuriuos bendrovė gali nusistatyti Tvarkoje.

Ne mažiau svarbus yra ir Lietuvos Respublikos darbo kodekso 27 straipsnio 7 dalies reikalavimas, nustatantis, jog „darbdavys, kurio vidutinis darbuotojų skaičius yra daugiau kaip penkiasdešimt, privalo priimti ir įprastais darbovietėje būdais paskelbti darbuotojų asmens duomenų saugojimo politiką ir jos įgyvendinimo priemones“. Šios Darbuotojų asmens duomenų saugojimo politikos ir jos įgyvendinimo priemonių tvarkos aprašas (toliau – Aprašas) turėtų nustatyti darbuotojų asmens duomenų rinkimo, naudojimo ir saugojimo principus, nustatyti darbuotojų asmens duomenų tvarkymo tikslus ir priemones, nustatyti, kas ir kokiais tikslais gali susipažinti su darbuotojų asmens duomenimis ir juos tvarkyti.

Pažymėtina, kad šiame skyriuje nurodytų dokumentų sąrašas nėra baigtinis, kiekvienu konkrečiu atveju bendrovė privalo atsižvelgti į tvarkomų asmens duomenų tikslus ir parengti šiai bendrovei privalomus dokumentus.

4. Supažindinimas

Akivaizdu, kad kiekviena įmonė, įstaiga ar organizacija privalo su 3 punkte nurodytomis taisyklėmis supažindinti visus asmens duomenų subjektus t.y. tiek darbuotojus, tiek klientus, tiek ir trečiuosius asmenis (asmenys, kurių duomenis tvarkote).

5. Duomenų apsaugos pareigūnų paskyrimas.

Bendrovė gali įsivertinti, ar jai reikia skirti duomenų apsaugos pareigūną, kuris stebėtų, kaip yra laikomasi Reglamento reikalavimų, bendradarbiautų su Valstybine duomenų apsaugos inspekcija ir būtų kontaktiniu asmeniu.

Primenu, kad verslas turi suskubti ir įsivertinti tvarkomų asmens duomenų operacijas ir jų atitiktį galiojančių teisės aktų reikalavimams arba patikėti tai specialistams, nusimanantiems šios ypatingai jautrios srities specifiką. Mažais, bet užtikrintais žingsniais mes galime padėti Jums įteisinti ir padėti teisėtai tvarkyti asmens duomenis, parengiant ne tik visus privalomus turėti dokumentus, bet patariant dėl tinkamų priemonių, siekiant apsaugoti duomenis, bei, padedant suprasti reglamente numatytus pakeitimus ir patariant dėl Reglamento reikalavimų įgyvendinimo.

Dr. Vilius Nikitinas yra kontoros „BITA LAW“ advokatas.

Pranešti klaidą

Sėkmingai išsiųsta

Dėkojame už praneštą klaidą

Naujienos

15min tema Verslas

Krematoriumo dar nėra, bet Daržininkų gyventojai jau buriasi į kovą prieš statybas

Aktualu

Seimo komiteto garso įrašas atskleidžia, ką apie Mindaugą Siaurį kalbėjo Povilas Urbšys

Aktualu

Skripalių apnuodijimą tiriantis rusų žurnalistas slapstosi Baltijos šalyse: manau, man liko pusė metų

24sek

Donatas Motiejūnas pasiekė naują karjeros rezultatyvumo rekordą

Aktualu

Dėl galimai neskaidriai organizuotų viešųjų pirkimų nušalinamas UPC direktorius

Aktualu

STT dėl galimo piktnaudžiavimo tarnyba sulaikė Šilutės merą V.Laurinaitį

Aktualu

Per didelės vaikų grupės Vilniaus darželiuose prieštarauja higienos normai, bet neišnyko

24sek

D.Maskoliūnas apie Šaro sutramdymą: „Aš jo nepakeisiu“

Aktualu

Panevėžyje per trijų automobilių avariją sužeista „Škoda“ vairuotoja

Sportas

Ch.Nurmagomedovas planuoja kovą su F.Mayweatheriu – Maskvoje ir su pasaulio rekordu

Vardai

Tragedija Čikagoje: žuvo „Porsche“ vairavęs atlikėjas A.Augustaitis, neišgyveno ir kita vairuotoja

24sek

LKL užkariavo galingas Dominique Suttono dėjimas

Aktualu

Atimtų vaikų drama: svarstoma sūnų ir dukrą atiduoti tik tėvui – motinai gali tekti gyventi atskirai

Vardai

Princą Harry ir Meghan Markle Fidžyje pasitiko didžiulis vėjas: skraidė net raudonas kilimas

Aktualu

Popiežiaus vizito statistika: pinigai, dalyviai, savanoriai ir obuoliai jiems

Maistas

Ką nuveikti su moliūgų sėklomis? 5 išradingi pasiūlymai ir receptai

Vardai

Manekenės D.Didžiūnaitytės nužudymu įtariamo R.Piniko vaizdo įrašas atsidūrė melo ekspertų rankose

Gyvenimas

Parengtos rekomendacijos, kaip medikai turi bendrauti su vėžiu sergančiais pacientais: kaip iššifruoti PALiMo

Maistas

Daržovių ragu ruginėje duonoje

Aktualu

S.Urbanavičius: daugiau duomenų žiniasklaidai – po politinių sprendimų

Naujienos

Verslas

„Small Planet Airlines“ pradeda restruktūrizaciją ir Lietuvoje, žada atsiskaityti su kreditoriais

15min tema Verslas

Krematoriumo dar nėra, bet Daržininkų gyventojai jau buriasi į kovą prieš statybas

Vardai

Po žinios apie M.Kuzminsko skyrybas prabilo E.Andreikaitės draugė: „Santuoka griuvo dėl neištikimybės“

Aktualu

Ugniagesiai įspėja dėl labai stipraus vėjo

Kultūra

Gail Honeyman: kaip Eleonora Olifant pakeitė rašytojos gyvenimą ir sukėlė audrą leidybos pasaulyje

Aktualu

Skripalių apnuodijimą tiriantis rusų žurnalistas slapstosi Baltijos šalyse: manau, man liko pusė metų

24sek

Donatas Motiejūnas pasiekė naują karjeros rezultatyvumo rekordą

Gazas

Europos čempionas Rokas Baciuška: „Varžybos pasibaigė, dabar rimtai kibsiu į mokslus“

Aktualu

Seimo komiteto garso įrašas atskleidžia, ką apie Mindaugą Siaurį kalbėjo Povilas Urbšys

Aktualu

Dėl galimai neskaidriai organizuotų viešųjų pirkimų nušalinamas UPC direktorius

Aktualu

STT dėl galimo piktnaudžiavimo tarnyba sulaikė Šilutės merą V.Laurinaitį

24sek

D.Maskoliūnas apie Šaro sutramdymą: „Aš jo nepakeisiu“

Sportas

Ch.Nurmagomedovas planuoja kovą su F.Mayweatheriu – Maskvoje ir su pasaulio rekordu

Vardai

Tragedija Čikagoje: žuvo „Porsche“ vairavęs atlikėjas A.Augustaitis, neišgyveno ir kita vairuotoja

24sek

LKL užkariavo galingas Dominique Suttono dėjimas

Vardai

Princą Harry ir Meghan Markle Fidžyje pasitiko didžiulis vėjas: skraidė net raudonas kilimas

Vardai

Manekenės D.Didžiūnaitytės nužudymu įtariamo R.Piniko vaizdo įrašas atsidūrė melo ekspertų rankose

Aktualu

Donaldas Trumpas ir Xi Jinpingas lapkritį susitiks G-20 viršūnių susitikime

Aktualu

Pirmininkavimą ES perimsianti Rumunija raginama laikytis pamatinių demokratijos principų

Aktualu

Saudo Arabijos karalius ir sosto įpėdinis priėmė nužudyto žurnalisto šeimos narius

Gera keliauti kartu

BALTIJOS MAISTO IR GĖRIMŲ PARODA „BAF“ 2018

Įkvėpk daugiau gyvenimo

Nacionalinis sveikatos egzaminas 2018

Parašykite atsiliepimą apie 15min