15.05.2017

GDPR: įtaka verslui

1. Kas yra duomenų apsaugos reglamentas (ang. General Data Protection Regulation)?

Po beveik ketverius metus trukusių derybų, Europos Parlamentas ir Europos Taryba susitarė dėl asmens duomenų apsaugos reformos. Reformą sudaro Bendrasis duomenų apsaugos reglamentas (2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo) ir Duomenų apsaugos direktyva, skirta teisėsaugos institucijoms.

Reglamentas taikomas asmens duomenų tvarkymui, visiškai arba iš dalies atliekamam automatizuotomis priemonėmis, ir asmens duomenų, kurie sudaro susisteminto rinkinio dalį ar yra skirti ją sudaryti, tvarkymui ne automatizuotomis priemonėmis.

Reglamento tekstą galite rasti čia:

2. Kada pradės galioti duomenų apsaugos reglamentas?

Reglamentas Lietuvoje, kaip ir kitose Europos Sąjungos valstybėse narėse, bus pradėtas taikyti nuo 2018 m. gegužės 25 d. Reglamentas yra taikomas tiesiogiai. Tai reiškia, kad jo nuostatų perkelti į nacionalinę teisę nereikia ir teisines pasekmes jis sukelia automatiškai, nuo įsigaliojimo momento.

3. Kokioms organizacijoms bus taikomas šis reglamentas?

Reglamentas taikomos asmens duomenų tvarkymo veikla užsiimančioms įmonėms, institucijoms.

Asmens duomenis tvarko duomenų valdytojai ir duomenų tvarkytojai. Pagal reglamente pateiktas sąvokas:

  • duomenų valdytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuris vienas ar drauge su kitais nustato duomenų tvarkymo tikslus ir priemones; kai tokio duomenų tvarkymo tikslai ir priemonės nustatyti Sąjungos arba valstybės narės teisės, duomenų valdytojas arba konkretūs jo skyrimo kriterijai gali būti nustatyti Sąjungos arba valstybės narės teise;
  • duomenų tvarkytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri duomenų valdytojo vardu tvarko asmens duomenis.

Kas yra duomenų tvarkytojas yra pakankamai aišku, tačiau dėl duomenų valdytojo nėra pilno išaiškinimo.

Valstybinė duomenų apsaugos inspekcija nurodo, kad vieni iš asmens duomenų teisėto tvarkymo pagrindų, numatytų Reglamento (ES) 2016/679 6 straipsnio 1 dalies c ir e punktuose – kai asmens duomenis tvarkyti būtina, kad būtų įvykdyta duomenų valdytojui taikoma teisinė prievolė bei, kai asmens duomenis tvarkyti būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas. Reglamento (ES) 2016/679 preambulės 45 punkte numatyta, kad nacionalinėje teisėje turėtų būti nustatyta, ar duomenų valdytojas, atlikdamas užduotį, vykdomą dėl viešojo intereso arba vykdant viešosios valdžios funkcijas, turėtų būti valdžios institucija ar kitas viešosios teisės reglamentuojamas fizinis ar juridinis asmuo arba, kai tai pateisinama viešuoju interesu, privatinės teisės reglamentuojamas asmuo, toks kaip profesinė asociacija.

Reikia atkreipti dėmesį, kad Reglamentas taikomas ES buveines turinčioms įmonėms, tačiau buveinė neapsiriboja tik registracijos adresu, todėl nauji reikalavimai galios ir, pavyzdžiui, pardavimų padalinį ES teritorijoje turinčiai tarptautinei bendrovei. Reglamentas lygiai taip pat bus taikomas ir įmonėms, neturinčiomis buveinės ES, jeigu jos:

– Siūlys prekes ar paslaugas ES subjektams. Ar iš tikrųjų prekės ir paslaugos yra „nukreiptos į“ ES gyventojus gali būti sprendžiama pagal šiuos aspektus: tokias prekes siūlančios svetainės kalbos nustatymus (pvz., JAV svetainė leidžia pasirinkti matyti informaciją vengrų ar bulgarų kalba); apmokėjimo galimybes (pvz., svetainėje galima matyti prekių kainas eurais); siuntimo galimybes į ES; vartotojų segmentą (pvz., didžiausią svetainės vartotojų dalį sudaro ES gyventojai) ir t.t.

– Arba stebės ES veikiančių subjektų elgesį, t. y. fiziniams asmenims suteikinės profilius, turėdamos tikslą priimti su tais asmenimis susijusius sprendimus arba išnagrinėti ar prognozuoti jų asmeninius pomėgius, elgesį ir požiūrius (pvz., programėlės, kurios nustato asmens vietos pokyčius; asmens judėjimo per skirtingas svetaines stebėsenos įrankiai).

4. Ar “mano” organizacijai reikia atitikti GDPR reikalavimus?

Įmonė turi įvertinti, ar ji atitinka anksčiau išvardintus duomenų valytojo ar duomenų tvarkytojo požymius. Naujojo duomenų apsaugos reglamento tikslas saugesni asmens duomenys, todėl rekomenduotina visoms įmonėms pasirūpinti šiais 5 aspektai jau dabar:

• Kiekvienas verslo subjektas turėtų peržiūrėti ir atnaujinti tiek savo vidinius asmens duomenų tvarkymo dokumentus, tiek informaciją, kuri yra pateikiama duomenų subjektams.

• Įdiegti tokias priemones, kuriomis būtų galima duomenų subjektui pateikti duomenis pagal naujuosius reikalavimus.

• Įsteigti duomenų apsaugos pareigūno pareigybę, jei tai tokia yra reikalinga pagal naująjį reglamentavimą (taikoma valdžios institucijoms bei įstaigoms, įmonėms, kuriose yra 250 arba daugiau darbuotojų, ir kitoms įmonėms, kurių pagrindinė veikla yra duomenų tvarkymo operacijos, dėl kurių pobūdžio, aprėpties ir (arba) tikslų būtina reguliariai ir sistemingai stebėti duomenų subjektus).

• Atsižvelgus į naująsias taisykles, gauti tinkamą duomenų subjektų sutikimą dėl jų profiliavimo ir įgyvendinti vidinius naujajam reguliavimui neprieštaraujančius profiliavimo procesus.

• Įgyvendinti vidinius procesus, susijusius su asmens teise būti pamirštam.

5. Kokios numatytos atsakomybės, sankcijos nesilaikantiems duomenų apsaugos reglamento?

Reglamente numatytas baudų dydis priverčia suklusti esamus ir būsimus duomenų valdytojus ir pažvelgti asmens duomenų apsaugą labai atsakingai. Duomenų valdytojui ir duomenų tvarkytojui, pažeidusiam Reglamento nuostatas, gali būti skiriamos administracinės baudos, kurios kiekvienu konkrečiu atveju turi būti veiksmingos, proporcingos ir atgrasomos. Priklausomai nuo Reglamento pažeidimo pobūdžio bauda gali siekti nuo 2 iki 4 proc. ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, arba nuo 10 000 000 iki 20 000 000 EUR.
Šias administracines sankcijas skirs nacionalinės duomenų apsaugos institucijos. Nors baudų didinimas praktikoje tikėtinai bus įgyvendinamas laipsniškai, tačiau per kelis metus jis turės artėti prie ES sankcijų vidurkių ir, lyginant su šiuo metu Lietuvoje taikoma atsakomybe už asmens duomenų tvarkymo taisyklių pažeidimus, tai bus labai dramatiškas atsakomybės padidinimas.

6. Ar skiriasi reikalavimai ir atsakomybės komercinio ar viešojo sektoriaus įmonėms?

Reglamento reikalavimai tiek komercinio tiek viešojo sektoriaus įmonėms yra vienodi.