Kokybės ir informacijos telefonas8 700 77017

REFORMOS DUOMENŲ APSAUGOS SRITYJE

Nuo 2018 m. gegužės 25 d. visoje Europos Sąjungoje, taigi ir Lietuvoje, įsigalioja Bendrasis duomenų apsaugos reglamentas (toliau – Reglamentas), įtvirtinantis itin griežtas asmens duomenų reguliavimo taisykles bei už pažeidimus numatantis milijonines baudas juridiniams asmenims. Reglamentas yra tiesiogiai taikomas dokumentas, pagal kurį visos įmonės ir įstaigos Lietuvoje turės naudoti ir tvarkyti asmens duomenis. Asmens duomenų apsaugos reglamentavimui iki šiol nebuvo skiriamas didelis dėmesys, todėl dabartinis griežtas reglamentavimas ir pokyčiai nuo gegužės mėnesio pabaigos skatina į asmens duomenų apsaugą pažiūrėti atsakingiau. Reglamente yra įtvirtinamos naujos fizinių asmenų teisės, nustatomi nauji reikalavimai duomenų tvarkymo operacijoms, pabrėžiamas juridinio asmens atskaitomybės principas – tokiu būdu įtvirtinamos reformos duomenų apsaugos srityje.
 

Kas yra asmens duomenys?

Kiekviena įmonė ar organizacija saugo bei kaupia daugiau asmens duomenų nei galėtų pagalvoti to nė neįtardami, todėl labai svarbu išsiaiškinti kas yra „Asmens duomenys“. Reglamento 4 (1) straipsnyje asmens duomenys yra apibrėžiami kaip „bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti,“ ir pabrėžiama, kad tapatybės nustatymas gali būti tiesioginis arba Reglamente įvardinta, jog tapatybės nustatymas gali būti vykdamas „visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius“. Šis asmens duomenų sąvokos apibrėžimas beveik nesiskiria nuo Direktyvoje pateikiamo apibrėžimo ir išlieka toks pat platus siekiant apimti visą su asmeniu susijusią informaciją. Tačiau toks platus apibrėžimas kelia daug klausimų ir potencialių problemų – ar identifikavimo numeris apima, pavyzdžiui, IP adresą ar slapukus. Atsakymas- taip apima.
 
Jau anksčiau 29-o straipsnio duomenų apsaugos darbo grupė (anlg. 29 Article Working Party) išleido išsamų vadovą apie asmens duomenų sąvoką, kuriame nurodyta, jog Direktyva buvo siekiama asmens duomenų apibrėžimą palikti labai platų. Palikus asmens duomenų apibrėžimą Reglamente beveik tapatų Direktyvoje pateikiamam apibrėžimui, jį interpretuos ir tikslias apibrėžimo ribas nustatys teismai.
Pagrindinis ES duomenų apsaugos įstatymas taip pat užtikrina ypatingą apsaugą specialių kategorijų asmens duomenims, kurie pagal savo pobūdį yra neskelbtini. Šie duomenys yra apibūdinami kaip atskleidžiantys rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus ar narystę profesinėse sąjungose, kategorijai taip pat priskiriami genetiniai duomenys, biometriniais duomenys (kai jais naudojantis siekiama nustatyti fizinio asmens tapatybę), sveikatos duomenys arba duomenys apie fizinio asmens lytinį gyvenimą ir lytinę orientaciją. Asmens duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas taip pat reikalauja specialios apsaugos. Bendrovėms, kurios tvarko genetinius arba biometrinius duomenis, yra ypač svarbu atkreipti dėmesį, kad Reglamentas šiuos duomenis įtraukia į specialią kategoriją, kuriai bus taikomi papildomi apribojimai.
 
Reglamente pateikiamą „asmens duomenų“ apibrėžimą sudaro keturi pagrindiniai elementai:
1.„Bet kokia informacija“: dėl plataus apibrėžimo bet kokia informacija – net ir lengvai gaunama ir neesminė, bet susijusi su fiziniu asmeniu – patenka į šį apibrėžimą. „Informacija“ apima garso, vaizdo, genetinius duomenis.
·       Telefoninė bankininkystė: jeigu į garsajuostę yra įrašomas kliento, teikiančio bankui informaciją, balsas, toks įrašas yra laikomas asmens duomenimis.
·       Sekimas vaizdo kameromis: sekimo vaizdo kamerų užfiksuoti asmenų atvaizdai, jeigu juose galima atpažinti asmenis, yra laikomi asmens duomenimis.
2.„Su asmeniu susijusi informacija“: neatsižvelgiant į tai, ar informacija yra tiesiogiai susijusi su asmeniu ar ne, visi duomenys siejami su konkrečiu asmeniu patenka į šį apibrėžimą.
·       Namo vertė yra siejama su objektu ir duomenų apsaugos taisyklės nereguliuos situacijų, kai informacija apie vertę bus naudojama nurodant kainų lygį tam tikrame regione. Kita vertus, jei informacija apie namo vertę bus naudojama nustatyti asmens įsipareigojimą mokėti mokesčius ir vertinant savininko turtą, šią informaciją reikia laikyti asmens duomenimis.
·       Automobilių remonto dirbtuvių įrašuose esanti informacija apie konkretų automobilį – nuvažiuotą atstumą, automobilio patikros datas, technines problemas, bendrą jo būklę – yra siejama su automobilio registracijos numeriu, kurį galima susieti su savininku. Jeigu darbuotojai nustato ryšį tarp transporto priemonės ir jos savininko išrašydami sąskaitą, ši informacija yra laikoma asmens duomenimis.
3.„Fizinis asmuo“: Reglamentas kaip duomenų subjektus apsaugo tik fizinius asmenis. Nors pagal Reglamentą juridinių asmenų duomenys nėra saugomi, informacija apie juridinį asmenį gali būti susieta su fiziniu asmeniu, taip sudarant pagrindą asmens duomenų apsaugos užtikrinimui. Fiziniu asmeniu yra laikomas tik gyvas asmuo, todėl mirusio asmens Reglamento nuostatos neapsaugo.
·       Įmonės mokumas: informacija apie asmeniui priklausančios įmonės mokumą apima ir informaciją apie jos savininko finansinę situaciją, todėl yra laikoma asmens duomenimis.
·       Mirusio asmens informacija: genetinė mirusio žmogaus informacija, kuri taip pat yra mirusiojo giminių genetinė informacija, yra laikoma asmens duomenimis.
4.„Kurio tapatybė yra arba gali būti nustatyta“: nustatyti asmens tapatybę galima tiesiogiai arba netiesiogiai. Asmens tapatybė gali būti nustatyta pagal asmens pavardę, kodą, nuotrauką, genetinį kodą arba kelių svarbių kriterijų ir veiksnių grupę (adresą, gimimo datą, profesiją ir pan.). Net jei asmeniui suteikiamas slapyvardis ar jo informacija yra užkoduojama, gali būti situacijų, kai asmens tapatybę yra įmanoma nustatyti – pavyzdžiui, duomenų valdytojui žinant „kodą“, kuris susieja slapyvardį su duomenų subjektu.
·       Spaudoje pateikiama nauja informacija apie seną bylą, kuri patraukė visuomenės dėmesį praeityje. Naujoje informacijoje nėra pateikta žymenų, naudojamų tapatybei nustatyti – nėra asmens vardo, pavardės, gimimo datos. Kita vertus, ankstesnėse su byla susijusiose publikacijose galima rasti papildomos informacijos ir identifikuoti asmens tapatybę. Dėl egzistuojančios galimybės nesunkiai išaiškinti žymenis, nustatančius tapatybę, ši informacija yra laikoma asmens duomenimis.
·       Duomenų valdytojai dažnai teigia, jog asmens tapatybę iš vaizdo kamerų įrašų galima nustatyti tik retais atvejais, todėl iki faktiško tapatybės nustatymo asmens duomenys nėra tvarkomi. Kita vertus, atsižvelgiant į vaizdo kamerų veikimo tikslą, kuris yra nustatyti vaizdo įrašuose asmenų tapatybę, sistemos taikymas turi būti laikomas duomenų apie asmenis, kurių tapatybę galima nustatyti, tvarkymu. Ši nuostata galioja net ir atvejais, kai vaizdo įrašuose asmenų tapatybės nustatyti praktiškai neįmanoma.
 

Ką daryti susidūrus su pažeidimu?

Pagal nuo gegužės 25 d. įsigaliosiantį asmens duomenų apsaugos reglamentavimą įmonės ir įstaigos turės apie incidentus ar pažeidimus, kai asmenų duomenys buvo pažeisti, atskleisti, nutekinti, pavogti, pakeisti, sunaikinti ir pan., pranešti Valstybinei duomenų apsaugos inspekcijai. Pranešti apie tai reikės staigiai – per 72 valandas. Maža to, juridiniams asmenims paliekama teisė įvertinti pažeidimo mąstą, pobūdį ir nuspręsti kokiais atvejais jie apie įvykusius incidentus ar pažeidimus papildomai turės pranešti ir patiems asmenims, kurių duomenys buvo paveikti.
 

Kokios sankcijos už pažeidimus?

Bene pagrindinis šurmulys dėl naujojo Reglamento kilo dėl jame nustatytų sankcijų (baudų) už pažeidimus asmens duomenų srityje. Jeigu anksčiau juridiniams asmenims baudų dydžiai už aplaidų asmens duomenų tvarkymą galėjo pasiekti iki tūkstančio eurų, tai po gegužės 25 d., priklausomai nuo pažeidimo mąsto ir pobūdžio, juridiniams asmenims galės būti skiriamos baudos nuo 2 iki 4 proc. ankstesnių finansinių metų apyvartos, arba nuo 10 milijonų iki 20 milijonų eurų. Skiriamos baudos turės būti veiksmingos, proporcingos ir atgrasomos – tam, kad juridiniai asmenys rimtai ir atsakingai pažvelgtų į asmens duomenų apsaugą.
Kam yra taikomas Reglamentas?
Reglamentas yra taikomas visiems juridiniams ir fiziniams asmenims, savo profesinėje veikloje tvarkantiems asmens duomenis. Asmens duomenimis yra įvardijami visi duomenys, iš kurių galima identifikuoti fizinį asmenį, pavyzdžiui, vardas, pavardė, gimimo data, telefonas, sveikatos duomenys, politinės pažiūros, IP adresas, nuotrauka ir kt. Asmens duomenų tvarkymas gali pasireikšti įvairiai – duomenų gavimu, naudojimu, saugojimu, perdavimu ir kt. Pažymėtina, kad Reglamentas netaikomas asmens duomenų tvarkymui, kai duomenis tvarko fizinis asmuo, užsiimdamas tik asmenine ar namų ūkio veikla (ne profesine ir ne komercine veikla). Pavyzdžiui, įmonėms ar įstaigoms, kurios tvarko duomenis elektroninėje erdvėje (pavyzdžiui, per internetinį puslapį), turėtų atitinkamai pasirūpinti techninėmis ir organizacinėms priemonėmis, skirtomis duomenų apsaugai. Kitas pavyzdys – gyvenimo aprašymų (CV) gavimas ir naudojimas: darbdaviai turėtų gautus kandidatų duomenis tvarkyti išimtinai atrankos tikslu, nekaupiant ir nesaugant kandidatų CV, jeigu tam atitinkamai nėra sutikimų. Taigi, atsakant į klausimą, kam yra taikomas Reglamentas, reikėtų atsakyti į šiuos klausimus: ar tvarkote darbuotojų duomenis? Ar atliekate naujų darbuotojų paiešką, atranką? Ar tvarkote klientų – fizinių asmenų, duomenis? Ar vykdote teritorijos ar patalpų vaizdo stebėjimą? Ar vykdote tiesioginę rinkodarą? Ar tvarkote bet kokių fizinių asmenų duomenis? Jeigu bent į vieną klausimą atsakėte teigiamai – Reglamentas jums yra tiesiogiai taikomas.
 

Ką daryti?

Nauji reikalavimai ir numatyti baudų dydžiai paskatino verslo subjektus rimčiau ir atsakingiau pažvelgti ir skirti dėmesį asmens duomenų apsaugai. Taigi, įmonės ir įstaigos turėtų susivokti, kokie procesai, susiję su asmens duomenų naudojimu ir tvarkymu, vyksta jų viduje bei imtis reikalingų veiksmų, kad atitikti Reglamento reikalavimus. Kiekviena įmonė ir įstaiga tvarko bent jau savo darbuotojų asmens duomenis, todėl, pirmiausia, reikėtų atlikti tvarkomų asmens duomenų inventorizaciją ir išsiaiškinti kokius duomenis, kokiais pagrindais ir kas tvarko. Išsiryškinus šias pozicijas, įmonė ir įstaiga turėtų imtis techninių ir organizacinių priemonių šiems duomenims apsaugoti: parengti asmens duomenų tvarkymo taisykles, privatumo politiką, kitus reikalingus dokumentus Reglamento atitikčiai, apmokyti šiais klausimais personalą ir asmenis, kurie turi priėjimą prie asmens duomenų, esant pagrindui – paskirti Duomenų apsaugos pareigūną, užtikrinti duomenų saugumą IT srityje ir pan.
 
 
Visus norinčius sužinoti daugiau apie pasikeitimus, kviečiame dalyvauti verslo pusryčiuose / pietuose didžiuosiuose Lietuvos miestuose!
 
Verslo pusryčiai su teisininku balandžio 16 dieną Klaipėdoje;
Verslo pietūs su teisininku balandžio 16 dieną Šiauliuose;
Verslo pusryčiai su teisininku balandžio 27 dieną Kaune;
Verslo pietūs su teisininku balandžio 27 dieną Vilniuje.
 
Vykdoma išankskstinė registracija! Dėl išsamesnės informacijos ir išansktinės registracijos susisiekite nurodytais padalinių kontaktais.
 
 

KONTAKTAI


Registracijos adresas: Rūtų g. 4/Alyvų g.2,
Klaipėda LT-91208
Telefonas (8-46) 382 000
Juridinio asmens kodas 240887380
PVM mokėtojo kodas LT408873811

VILNIAUS SKYRIUS


Laisvės pr. 77b, LT-06122 Vilnius
Telefonas (8-5) 275 8866
El. paštas vilnius@sabelija.lt

KLAIPĖDOS SKYRIUS


Rūtų g. 4, LT-91208 Klaipėda
Telefonas (8-46) 382 000
El. paštas klaipeda@sabelija.lt

KAUNO SKYRIUS


Uosio 10, LT-50133 Kaunas
Telefonas (8-37) 310 410
El. paštas kaunas@sabelija.lt

ŠIAULIŲ SKYRIUS


Pramonės g. 12A, 304 kabinetas, LT-78150 Šiauliai
Telefonas (8-41) 435 399
El. paštas siauliai@sabelija.lt