Atgal į naujienas

Ką turėtumėte žinoti apie Bendrojo Duomenų Apsaugos Reglamento (GDPR) pasikeitimus?

2017 rugpjūčio 9
columbus lietuva duomenu apsauga
GDPR nuostatos bus privalomos visoms ES valstybėms narėms nuo 2018 m. gegužės 25 d.

Trumpa svarbiausių GDPR pasikeitimų apžvalga, ir pagrindiniai skirtumai nuo ankstesnės versijos

Bendrojo Duomenų Apsaugos Reglamento (toliau GDPR) tikslas - apsaugoti visus ES piliečius nuo privatumo ir duomenų apsaugos pažeidimų, vis labiau į duomenų rinką orientuotame pasaulyje, kuris labai pasikeitė nuo 1995 m., kuomet ir buvo priimta pirminė šio reglamento versija. Nors pagrindiniai duomenų privatumo principai vis dar atitinka ankstesnę direktyvą, dauguma pakeitimų buvo siūlomi reguliavimo politikoje. Toliau pateikiami pagrindiniai GDPR aspektai ir informacija apie jų poveikį verslui.


Pasikeitusi teisinė forma

Europos Parlamentas ir Taryba, siekdami suvienodinti asmens duomenų tvarkymo taisykles visose Europos Sąjungos valstybėse narėse, priėmė tiesioginio taikymo teisės aktą – Reglamentą. Tad, skirtingai nei Direktyvos atveju (kuri galiojo iki šiol), nebus poreikio perkelti Reglamento nuostatų į nacionalinės teisės aktus, ir jo nuostatos bus privalomos visoms valstybėms narėms nuo 2018 m. gegužės 25 d. Taigi, duomenų tvarkymas Lietuvoje turės atitikti Reglamente nustatytą teisinį reguliavimą ir kiekvienas duomenų valdytojas turi pats pasirūpinti, kad būtų atnaujinti reikiami vidiniai asmens duomenų tvarkymo dokumentai, atsižvelgiant į Reglamente nurodytus reikalavimus.

 

Padidėjusi teritorinė taikymo sritis

Vienas didžiausių pokyčių duomenų privatumo reguliavimo srityje yra išplėsta galiojimo teritorija, nes šie reikalavimai bus taikomi visoms bendrovėms, tvarkančioms ES gyvenančių duomenų subjektų asmens duomenis, nepriklausomai nuo bendrovės veiklos vykdymo vietovės. Anksčiau teritorinis direktyvos taikymas buvo dviprasmiškas, ir nukreiptas į duomenų tvarkymą bendrovės kontekste. Ne ES veiklą vykdantys verslo subjektai, tvarkantys ES piliečių asmeninius duomenis taip pat turės paskirti savo atstovą ES.

 

Baudos
Įsigaliojus naujam reglamentui, organizacijos už jo pažeidimus gali būti patrauktos atsakomybėn, o baudų dydis gali siekti €20 000 000, arba 4% nuo įmonės metinės apyvartos (taikoma ta suma, kuri yra didesnė). Tai yra maksimali galima bauda, kuri būtų taikoma pačių šiurkščiausių pažeidimų atvejais (pvz. neturint kliento sutikimo tvarkyti jo duomenis, ar pažeidus esminius privatumo užtikrinimo principus). Baudos gali būti kelių lygių – pvz. įmonė gali būti nubausta 2
% metinės apyvartos dydžio bauda už netinkamą duomenų laikymą (28 straipsnis), nepranešimą atsakingoms institucijoms ir duomenų subjektui apie įsilaužimą/duomenų nutekėjimą ir neatliekant žalos įvertinimo. Svarbu pastebėti, kad šios taisyklės galioja ir duomenų valdytojui ir tvarkytojui – tai reiškia, kad debesijos paslaugų teikėjams jos taip pat galios.


Sutikimas leisti tvarkyti asmeninius duomenis

Sąlygos sutikimui buvo sugriežtintos, ir kompanijos nebegalės naudoti nesąžiningų sutarties sąlygų, pilnų įvairių teisinių sąvokų, nes nuo reglamento įsigaliojimo sutikimas bus suteikiamas tik per suprantamą ir lengvai prieinamą formą, kurioje bus nurodoma, jog duomenų subjektas sutinka kad jo duomenys būtų tvarkomi. Taip pat turi būti sudarytos sąlygos nesunkiai nutraukti sutikimo galiojimą.


Duomenų subjekto teisės


Pranešimas apie pažeidimą

Pagal GDPR, pranešimas apie pažeidimą taps privalomu visose šalyse narėse, kuriose pažeidimas gali kelti grėsmių individų teisėms ir laisvėms. Tai turi būti padaryta per 72 valandas nuo pažeidimo pastebėjimo. Duomenų tvarkytojai taip pat privalės neatidėliotinai pranešti apie nustatytą pažeidimą klientams ir duomenų valdytojams.

 

Teisė susipažinti su tvarkomais duomenimis

Viena iš GDPR išplėstų duomenų subjekto teisių – teisė sužinoti, ar duomenų valdytojas tvarko su juo susijusius duomenis, ir jei taip, kokiu tikslu. Taip pat duomenų valdytojas turės elektronine forma pateikti turimus duomenis apie duomenų subjektą. Šis pakeitimas yra labai reikšmingas, ir reikalaujantis didelių pokyčių, tačiau tuo pačiu metu suteikiantis skaidrumo ir aiškumo.

Iš Reglamento turinio galima daryti išvadą, kad pirmosios duomenų kopijos pateikimas privalės būti nemokamas, tačiau už  bet kurias kitas duomenų subjekto prašomas kopijas duomenų valdytojas galės imti pagrįstą mokestį, kuris bus nustatomas pagal duomenų valdytojo faktiškai patirtas administracines išlaidas.


Teisė būti pamirštam

Dar žinoma kaip duomenų ištrynimas, teisė būti pamirštam suteikia duomenų subjektui teisę reikalauti, kad duomenų valdytojas ištrintų subjekto asmeninius duomenis, nutrauktų jų platinimą ir galimai sustabdytų trečiąsias šalis nuo tolimesnio duomenų naudojimo. Ištrynimo aplinkybės (aprašomos 17-ame straipsnyje) apima ir duomenis, kurie daugiau nebenaudojami pradiniam tikslui, kuriam ir buvo duotas sutikimas, arba jei duomenų subjektas atsiima savo sutikimą dėl jų tvarkymo. Taip pat reikėtų pažymėti, kad ši teisė reikalauja, kad kontrolieriai, vertindami tokius prašymus, palygintų duomenų subjekto teises su visuomenės teise turėti prieigą prie duomenų.


Teisė į duomenų perkeliamumą

GDPR reglamente pristatomas duomenų perkeliamumas – duomenų subjekto teisė gauti su juo susijusius asmeninius duomenis patogiu ir įrenginių apdorojamu formatu, ir perduoti juos kitam duomenų valdytojui.


Privatumo užtikrinimas projektuojant

Privatumo užtikrinimo projektuojant principas jau egzistuoja daugelį metų, tačiau dabar jis tampa oficialaus dokumento reikalavimu. Iš esmės šis principas reikalauja, kad duomenų apsaugos priemonės būtų naudojamos nuo pat projektavimo pradžios, o ne pridedant vėliau. Apibūdinant tiksliau – „Duomenų valdytojas efektyviai įdiegs tinkamas technines ir organizacines priemones, siekiant laikytis šio reglamento reikalavimų, ir apsaugoti duomenų subjektų teises.“ 23 straipsnis skatina duomenų valdytojus laikyti ir tvarkyti tik tuos duomenis, kurie yra neišvengiamai būtini vykdant jų pareigas (mažinti duomenų kiekį), bei maksimaliai apriboti prieigą prie asmeninių duomenų.

 
Duomenų apsaugos pareigūnai

Pagal šiuo metu galiojančius reikalavimus, duomenų valdytojai turi pranešti apie duomenų tvarkymo veiklą vietinei duomenų apsaugos institucijai. Tarptautinėms kompanijoms tai gali būti itin sudėtinga, nes daugumoje ES šalių, pranešimo reikalavimai yra skirtingi. Įsigaliojus GDPR nebereikės atskirai pranešti kiekvienai duomenų apsaugos institucijai apie duomenų tvarkymą ar jų perkėlimą. Vietoje to, bus taikomi reikalavimai įrašų laikymui įmonės viduje, o atskiras pranešimas bus reikalingas tik tiems duomenų valdytojams ir tvarkytojams, kurių pagrindinė veikla susijusi su didelio kiekio asmeninių duomenų valdymu ir stebėjimu, ar išskirtinių asmeninių duomenų valdymu, ar duomenų, susijusių su nusikalstama veikla, valdymu.

 

 

Šaltinis: Bendrasis Duomenų Apsaugos Reglamentas (General Data Protection Regulation (GDPR))

Kategorijos Skaitmeninė transformacija, Skaitmenizavimas

Columbus vienu žvilgsniu

bottle icon
27 metai

VVS versle

people icon
1'200

darbuotojų

Globe Icon
45

šalys, kuriose įmonės naudojasi mūsų programine įranga

5X

Microsoft Global Partner of the Year

ERP Icon
8'000

VVS diegimų

Clock Icon
11%

pajamų augimas praėjusiais metais

50+

VVS sprendimų

3,600+

klientų visame pasaulyje