BENDRASIS DUOMENŲ APSAUGOS REGLAMENTAS (BDAR)

Bendrasis duomenų apsaugos reglamentas ir keletas svarbiausių pasikeitimų duomenų subjektams – žmonėms, duomenų valdytojams – verslui, įstaigoms, įmonėms, organizacijoms ir kt., profesinėje veikloje tvarkantiems asmens duomenis, nepriklausomai nuo jų svarbos (ypatingumo) ir kiekio. 

1. Bendrasis duomenų apsaugos reglamentas (ES) 2016/679 svarbiausi pakeitimai susiję su trimis asmens duomenų apsaugos reformos tikslais:
– Duomenų subjektų teisių stiprinimas;
– Duomenų tvarkytojų ir duomenų subtvarkytojų atsakomybės nustatymas;
– Reguliavimo skaidrumas ir patikimumas.

2. Įtvirtinamos naujos duomenų subjekto teisės:
– Teisė į duomenų perkeliamumą (teisė pasirinkti, keisti ir persiųsti duomenis kitas duomenų valdytojui);
– Teisė būti pamirštam.

3. Įtvirtinamas duomenų subjektų atstovavimas – duomenų subjektas turi teisę įgalioti ne pelno įstaigą, organizaciją ar asociaciją, kuri tinkamai įsteigta pagal valstybės narės teisę ir kurios įstatais nustatyti tikslai atitinka viešąjį interesą, kuri veikia duomenų subjekto teisių bei laisvių apsaugos srityje, kiek tai susiję su jų asmens duomenų apsauga, jo vardu pateikti skundą ir jo vardu naudotis jam tam tikromis Reglamente numatytomis teisėmis.

4. Sugriežtinami sutikimo reikalavimai – numatoma, kad, kai duomenys tvarkomi gavus duomenų subjekto sutikimą, duomenų valdytojas turi galėti įrodyti, kad duomenų subjektas sutiko su duomenų tvarkymo operacija. Apsaugos priemonėmis turi būti užtikrinama, kad duomenų subjektas suvoktų, kad jis duoda sutikimą ir dėl ko jis jį duoda. Duomenų valdytojo iš anksto suformuluotas sutikimo pareiškimas turi būti pateiktas suprantama ir lengvai prieinama forma, aiškiai ir paprasta kalba, jame neturėtų būti nesąžiningų sąlygų. Sutikimas neturi būti dviprasmiškas.

5. Pirmą kartą Europos Sąjungos teisėje reglamentuojamas nepilnamečio iki 16 m. asmens duomenų tvarkymas. Nustatyta, kad kai vaikas yra jaunesnis negu 16 metų, toks tvarkymas yra teisėtas tik tuo atveju, jeigu tą sutikimą davė arba tvarkyti duomenis leido vaiko tėvų pareigų turėtojas, ir tokiu mastu, kokiu duotas toks sutikimas ar leidimas. Vaikui tapus suaugusiu, jis turi teisę sutikimą atšaukti ir reikalauti duomenis sunaikinti.

6. BDAR yra tiesioginio taikymo teisės aktas, todėl nuo 2018 m. gegužės 25 d. duomenų tvarkymas Lietuvoje turės atitikti Reglamente nustatytą teisinį reguliavimą ir kiekvienas duomenų valdytojas turi pats pasirūpinti, kad būtų atnaujinti reikiami vidiniai asmens duomenų tvarkymo dokumentai, atsižvelgiant į Reglamente nurodytus reikalavimus.

7. Išplėsta teritorinė Reglamento taikymo sritis, t. y. Reglamentas yra taikomas ne tik tuo atveju, kai asmens duomenis tvarko Europos Sąjungoje įsisteigęs duomenų valdytojas arba duomenų tvarkytojas, vykdydamas savo veiklą, bet ir tuo atveju, kai Europos Sąjungoje esančių duomenų subjektų asmens duomenis tvarko Europos Sąjungoje neįsisteigęs duomenų valdytojas arba duomenų tvarkytojas ir duomenų tvarkymo veikla susijusi su prekių arba paslaugų siūlymu duomenų subjektams Europos Sąjungoje arba elgesio, kai jie veikia Europos Sąjungoje, stebėsena.

8. Pagal naują reglamentavimą atsakomybė už asmens duomenų tvarkymą tenka duomenų valdytojams, Reglamentas išplečia pareigų duomenų tvarkytojams ratą. Anksčiau už asmens duomenis buvo atsakingas duomenų valdytojas, o Reglamente numatyta, kad atsakomybę turės pagal susitarimą dalytis tiek duomenų valdytojas, tiek duomenų tvarkytojas.

9. Nustatomas „vieno langelio“ principas, t. y. duomenų valdytojo arba duomenų tvarkytojo pagrindinės buveinės arba vienintelės buveinės priežiūros institucija turi kompetenciją veikti kaip vadovaujanti priežiūros institucija, kai tas duomenų valdytojas arba duomenų tvarkytojas vykdo tarpvalstybinį duomenų tvarkymą. Vadovaujanti priežiūros institucija yra vienintelė institucija, su kuria duomenų valdytojas arba duomenų tvarkytojas palaiko ryšius, kai jie vykdo tarpvalstybinį duomenų tvarkymą.

10. Stiprinamas priežiūros institucijų bendradarbiavimas. Visais atvejais, kai bus atliekamas tarpvalstybinis duomenų tvarkymas, t. y. kai asmens duomenų tvarkymas lies kelių valstybių narių gyventojus, skirtingų šalių priežiūros institucijos bus kompetentingos spręsti dėl asmens duomenų tvarkymo atitikimo Reglamentui. Siekiant užtikrinti vienodą praktiką, vadovaujanti priežiūros institucija bendradarbiaus su atitinkamų valstybių narių priežiūros institucijomis atliekant bendrus tyrimus, priimant bendrą sprendimą bei taikant sankcijas. Nustatoma pareiga vadovaujančiai priežiūros institucijai pateikti sprendimo projektą kitoms susijusioms priežiūros institucijoms, kad jos pateiktų savo nuomonę. Susijusios priežiūros institucijos per keturias savaites turės pareikšti tinkamą ir pagrįstą prieštaravimą dėl sprendimo projekto arba jam pritarti. Jeigu į prieštaravimą nėra atsižvelgiama, klausimas toliau sprendžiamas Europos duomenų apsaugos valdyboje. Europos duomenų apsaugos valdybos sprendimas vadovaujančiai priežiūros institucijai yra privalomas. Nepriklausomai nuo to, ar buvo kreiptasi į Europos duomenų apsaugos valdybą ar ne, vadovaujančios priežiūros institucijos priimtas sprendimas, apie kurį informuojamos susijusios valstybių narių priežiūros institucijos, gali būti skundžiamas teismui.

11. Reglamentas remiasi atitikties logika, kuri grindžiama duomenų valdytojų ir duomenų tvarkytojų skaidrumu ir atskaitomybe (kitaip negu Direktyvoje 95/46/EB, kuri numatė atitiktis asmens duomenų tvarkymo teisiniam reguliavimui grindžiama tam tikrais išankstiniais formalumais (pranešimais, leidimais).
– Naujasis reguliavimas numato, kad duomenų valdytojas, prieš pradėdamas tvarkyti duomenis, atlieka numatytų duomenų tvarkymo operacijų poveikio asmens duomenų apsaugai vertinimą (ypač tais atvejais, kai numatoma tvarkyti jautrius duomenis ar atlikti profiliavimą).
– Numatyta pareiga pranešti duomenų subjektui apie asmens duomenų saugumo pažeidimą.
– Tiek duomenų valdytojui, tiek duomenų tvarkytojui numatoma pareiga paskirti duomenų apsaugos pareigūną.
– Reglamentas taip pat numato tokius naujus atitikties vertinimo kriterijus kaip elgesio kodeksų laikymasis bei sertifikavimą.
– Reglamente numatomos išankstinės konsultacijos tais atvejais, kai duomenų valdytojas, atlikęs poveikio duomenų apsaugai vertinimą, nustato, kad tvarkant duomenis kiltų didelis pavojus, jei duomenų valdytojas nesiimtų priemonių pavojui sumažinti.

12. Reglamentas numato pareigą rengiantiems pasiūlymus dėl teisėkūros priemonių, kurias priima nacionalinis parlamentas, arba tokia teisėkūros priemone grindžiamos reguliavimo priemonės, susijusios su asmens duomenų tvarkymu, konsultuotis su priežiūros institucija.

13. Duomenų valdytojai ir duomenų tvarkytojai gali perduoti asmens duomenis į trečiąją valstybę tik tuo atveju, jeigu duomenų valdytojas arba duomenų tvarkytojas yra nustatęs tinkamas apsaugos priemones, su sąlyga, kad suteikiama galimybė naudotis vykdytinomis duomenų subjekto teisėmis ir veiksmingomis duomenų subjektų teisių gynimo priemonėmis, t. y. Reglamento nuostatos bus taikomos ne tik asmens duomenų perdavimui, bet ir vėlesniam asmens duomenų tvarkymui.

14. Kaip ir anksčiau, duomenų apsaugos priežiūros institucijai (Lietuvoje ši institucija yra Valstybinė duomenų apsaugos inspekcija (VDAI)) suteikta teisė tikrinti duomenų valdytojus dėl galimų asmens duomenų apsaugos pažeidimų, tiek savo iniciatyva, tiek pagal galimai nukentėjusiųjų skundus.

15. Reglamente numatytas baudų dydis priverčia susimąstyti esamus ir būsimus duomenų valdytojus ir pažvelgti asmens duomenų apsaugą labai atsakingai. Duomenų valdytojui ir duomenų tvarkytojui, pažeidusiam Reglamento nuostatas, gali būti skiriamos administracinės baudos, kurios kiekvienu konkrečiu atveju turi būti veiksmingos, proporcingos ir atgrasomos. Priklausomai nuo Reglamento pažeidimo pobūdžio bauda gali siekti nuo 2 iki 4 proc. ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, arba nuo 10 000 000 iki 20 000 000 EUR.

[sm_hr]

Novus Nexus asmens duomenų apsaugos paslaugos:

• Išankstinė bendrovių, įstaigų ar organizacijų patikra, duomenų tvarkymo tikslų analizė, dokumentacijos, duomenų tvarkymo tvarkų auditas;
• Duomenų tvarkymo dokumentacijos rengimas bendrovėms, įstaigoms ar organizacijoms, vadovaujantis Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (ADTAĮ), Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 (BDAR), Lietuvos Respublikos elektroninių ryšių įstatymu, Lietuvos Respublikos vyriausybės nutarimu patvirtintu bendrųjų elektroninės informacijos saugos reikalavimų aprašu, saugos dokumentų turinio gairių aprašu ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašu, Lietuvos Respublikos kibernetinio saugumo įstatymu ir kitais Lietuvos Respublikos bei tarptautiniais teisės aktais bei standartais reglamentuojančiais asmens duomenų tvarkymą ir informacijos (duomenų) saugumą;
• Duomenų apsaugos pareigūno paslaugos. Nuolatinė duomenų tvarkymo priežiūra ir kontrolė bendrovėse, įstaigose ar organizacijose;
• Atstovavimas valstybinėje duomenų apsaugos inspekcijoje;
• Nuolatinė bendrovių, įstaigų ar organizacijų duomenų apsaugos techninė ir juridinė priežiūra, konsultacijos, mokymai;
• Konsultacijos dėl organizacinių ir techninių duomenų apsaugos priemonių įgyvendinimo. Techninių priemonių poreikis vertinamas atlikus bendrovių, įstaigų ar organizacijų IT ūkio auditą.

Paslaugų kainos ir darbų įvykdymo terminai vertinami individualiai pagal faktinius poreikius ir numatomų darbų apimtis.