Pasiruošimas Bendrojo asmens duomenų apsaugos reglamento taikymui


Neišvengiamai artėjant 2018 m. gegužės 25 d., kai įsigalios ir privalomai turės būti taikomas Bendrasis asmens duomenų apsaugos reglamentas (toliau – Reglamentas), jau privalu pradėti ruoštis naujovėms. Valstybinė duomenų apsaugos inspekcija parengė dvylikos žingsnių rekomendacijas rengiantis naujam teisiniam reguliavimui. Rekomendacijose nurodoma, kad visų pirma įmonė, kuri tvarko asmens duomenis, turėtų atlikti tvarkomų asmens duomenų auditą, t. y. nustatyti, kokius asmens duomenis įmonė tvarko, kokiu būdu asmens duomenys yra gauti, kam asmens duomenys yra teikiami.

Taip pat rekomenduojama peržiūrėti vidinius teisės aktus, kurie nustato duomenų tvarkymo taisykles įmonėje. Juose turėtų būti nurodyta duomenų valdytojo tapatybė ir kontaktiniai duomenys, duomenų tvarkymo tikslai, dėl kurių ketinama tvarkyti asmens duomenis, asmens duomenų gavėjai, jei tokie yra, arba asmens duomenų gavėjų kategorijos ir kita informacija. Minėta informacija turėtų būti pateikta asmens duomenų tvarkymo taisyklėse, privatumo politikoje ir pan. Duomenų subjektams reikės pateikti papildomą informaciją, pavyzdžiui, turėsite paaiškinti asmens duomenų tvarkymo teisinį pagrindą, asmens duomenų saugojimo laikotarpį, jei tai neįmanoma, kriterijus, taikomus tam laikotarpiui nustatyti, ir kad duomenų subjektas turi teisę pateikti skundą VDAI, jeigu mano, jog netinkamai tvarkote jo asmens duomenis. Svarbu atkreipti dėmesį, kad minėta informacija būtų pateikta glaustai, lengvai matomu, suprantamu ir aiškiai įskaitomu būdu.

Dokumente taip pat rekomenduojama peržiūrėti visas procedūras, kurios yra taikomos duomenų subjektų teisėms įgyvendinti, ir nuspręsti, kokių veiksmų bus imtasi, jeigu duomenų subjektas paprašytų įgyvendinti jo teisę būti pamirštam. Ar valdomos sistemos sugebės nustatyti ir ištrinti tvarkomus jo asmens duomenis? Kas galės priimti sprendimus dėl asmens duomenų ištrynimo?

Atlikus asmens duomenų auditą, rekomenduojama įvertinti, kokie asmens duomenys kokiais teisiniais pagrindais yra tvarkomi. Kai kurios duomenų subjektų teisės priklausys nuo to, kokiu teisiniu pagrindu vadovaujantis yra tvarkomi jų asmens duomenys. Pavyzdžiui, Reglamento 17 straipsnis numato duomenų subjekto teisę reikalauti ištrinti duomenis, jeigu jų tvarkymas buvo grindžiamas asmens sutikimu.

Taip pat, rengiantis taikyti naująjį Reglamentą, rekomenduojama peržiūrėti, kokiu būdu yra gaunamas ir užfiksuojamas duomenų subjekto sutikimas ir ar nereikia atlikti kokių nors pakeitimų, susijusių su sutikimo gavimu. Sutikimas turėtų būti duodamas aiškus patvirtinant, kad yra suteiktas laisva valia, konkretus, pagrįstas ir vienareikšmis nurodymas, kad duomenų subjektas sutinka, jog būtų tvarkomi su juo susiję asmens duomenys, pavyzdžiui, raštiškai, įskaitant elektroninėmis priemonėmis, arba žodinis pareiškimas. Tai galėtų būti atliekama pažymint langelį interneto svetainėje, pasirenkant informacinės visuomenės paslaugų techninius parametrus arba kitu pareiškimu arba poelgiu, iš kurio aiškiai matyti tame kontekste, kad duomenų subjektas sutinka su siūlomu jo asmens duomenų tvarkymu. Tyla, iš anksto pažymėti langeliai arba neveikimas neturėtų būti laikomi sutikimu.

Reglamentas visiems įtvirtina vienodą pareigą pranešti apie asmens duomenų saugumo pažeidimus, tačiau tik apie tuos, kuriems atsitikus, fiziniai asmenys gali patirti materialinę ar nematerialinę žalą, pavyzdžiui, prarasti savo asmens duomenų kontrolę, patirti teisių apribojimą, diskriminaciją, gali būti pavogta ar suklastota jo asmens tapatybė, jam padaryta finansinių nuostolių, neleistinai panaikinami pseudonimai, gali būti pakenkta jo reputacijai, prarastas asmens duomenų, kurie laikomi profesine paslaptimi, konfidencialumas arba padaryta kita ekonominė ar socialinė žala atitinkamam fiziniam asmeniui.

Taigi, rekomenduotina peržiūrėti procedūras ir esant reikalui įdiegti naujas procedūras, kurios padės aptikti, pranešti ir ištirti asmens duomenų saugumo pažeidimus. Tai galėtų apimti tvarkomų asmens duomenų kategorijų vertinimą ir sąrašą atvejų, apie kuriuos būtų privaloma pranešti atsitikus asmens duomenų saugumo pažeidimui. Tam tikrais atvejais privalu nedelsiant pranešti duomenų subjektui apie asmens duomenų saugumo pažeidimą, t. y. kai dėl tokio pažeidimo gali kilti didelis pavojus duomenų subjekto teisėms ir laisvėms, pavyzdžiui, gali atsirasti finansinių nuostolių. Nepranešus apie pažeidimą, kai apie tokį pažeidimą privaloma pranešti, galės būti skiriama bauda.

Visą 12 žingsnių rekomendacijų tekstą galite rasti čia.