Bendrasis duomenų apsaugos reglamentas. Ką iš tiesų turėtų žinoti kiekviena įmonė/ įstaiga?
Pastaruoju metu tarp verslo subjektų vis dažniau eskaluojama tema – nuo 2018 m. gegužės 25 d. įsigaliojęs - Bendrasis duomenų apsaugos reglamentas (ES) 2016/679 (toliau – „Reglamentas“). Neretais atvejai, baiminamasi dėl milžiniškų baudų (maksimali baudos suma 4 proc. praėjusių metų apyvartos arba 20 mln. €),kurios grės už šio Reglamento reikalavimų nepaisymą. Tačiau atlikus išankstinius pasiruošimo veiksmus galima išvengti nepageidaujamų padarinių netolimoje ateityje.
Kam taikomas šis Reglamentas? ES siekia efektyviau ginti vartotojų teises. Todėl Reglamentas yra sukonstruotas apsaugoti fizinių asmenų duomenis, kurie sudaro sandorius su verslo subjektais. Lietuvoje skaičiuojama apie 70 tūkst. įvairių formų veikiančių verslo subjektų. Vadinasi, visi be išimties verslo vienetai privalės vadovautis Reglamente išdėstytomis taisyklėmis. Pasakytina, kad iki šiol Lietuvoje taipogi galioja asmens duomenų apsaugą užtikrinantys teisės aktai. Tačiau Reglamento pagalba bus išplečiamas apsaugos lygis ir pasiekta efektyvesnė apsauga. Kadangi verslo subjektai neretais atvejais nepaisydavo ar neskirdavo pakankamo dėmesio saugoti vartotojų duomenis.
Pabrėžtina, kad tokie veiksmai kaip: (i) Potencialių kandidatų CV dalijimasis tarp skirtingų įmonės departamentų vadovų/ darbuotojų; (ii) CV saugojimas ilgą laiką net ir nepriėmus kandidato į darbo vietą, ryšium su tuo, jog ateityje prireikus darbuotojo nereikės vykdyti naujos atrankos; (iii) Laisvas priėmimas prie klientų duomenų bazės, kai prieigą turi daugelis įmonės darbuotojų (e.g. vadybininkai ar net administratorės/ sekretorės); (iv) Pernelyg ilgą laiką neaktyvuoto vartotojo profilio saugojimas internetinėje prekybos parduotuvėje. Visi šie ir panašūs veiksmai yra griežtai draudžiami ir negalimi remiantis naujuoju Reglamentu.
Įsidėmėtina, Reglamentas taikomas tiems verslo subjektams, kurie renka duomenis apie vartotoją. Duomenys reiškia bet kokius duomenis (vardas, pavardė, gimimo data/ asmens kodas, gyv. adresas, telefono numeris, el. paštas ar k.t.), kuriais remiantis galima identifikuoti konkretų asmenį. Išimtis (!), manytina, kad vien anketinių duomenų supildymas, pvz. sąskaitoje-faktūroje, vadovaujantis buhalteriniais teisės aktais ir vėliau tokios sąskaitos perdavimas į įmonės archyvą, neperkeliant duomenų į atskirą klientų duomenų bazę (e. g. CRM programa) nėra duomenų rinkimas ir tokiam verslo subjektui nekyla pareigos pagal Reglamentą.
Galėtume išskirti 10 PAGRINDINIŲ ŽINGSNIŲ, kuriuos kiekviena įmonė turi žengti jau DABAR, siekiant tinkamai pasirengti Reglamento taisyklių įgyvendinimui
DARBUOTOJŲ SUPAŽINDINIMAS. Turite įsitikinti, kad Jūsų įmonėje asmenys, priimantys sprendimus, būtų informuoti, jog nuo 2018 m. gegužės 25 d. pradedamas tiesiogiai taikyti Reglamentas ir iš jo išplaukiančios privalomos taisyklės;
VIDAUS DUOMENŲ AUDITAS. Jūs turėtumėte aprašyti asmens duomenų tvarkymo procesus, t. y., kokius asmens duomenis tvarkote, iš kur jie yra gauti ar kam jie yra teikiami. Be kita ko, įgyvendinti „teisė būti pamirštam“ principą, t. y. pernelyg senai aktyvuotų klientų eliminavimą iš sistemų. Be to, apibrėžti, koks asmuo įmonėje atsakingas už duomenų apsaugą.
TAISYKLIŲ PARUOŠIMAS. Turėtumėte peržiūrėti savo organizacijos asmens duomenų tvarkymo taisykles (ar privatumo politiką) ir susiplanuoti reikiamus pakeitimus, susijusius su Reglamento taikymu. Neturint taisyklių privalu jas paruošti.
DUOMENŲ SUBJEKTŲ TEISĖS. Turėtumėte peržiūrėti, kaip įgyvendinate duomenų subjekto teises bei įsitikinti, kad jos visos bus įgyvendintos, įskaitant duomenų subjekto teisę reikalauti ištrinti duomenis („teisė būti pamirštam“)ar teisę į duomenų perkeliamumą įprastai naudojamu ir kompiuterio skaitomu formatu.
DUOMENŲ SUBJEKTO TEISĖ GAUTI INFORMACIJĄ. Turėtumėte atsinaujinti taisykles ir procedūras, atsižvelgiant į Reglamente įtvirtintus terminus duomenų subjekto prašymams įgyvendinti.
ASMENS DUOMENŲ TVARKYMO TEISINIS PAGRINDAS. Turėtumėte peržiūrėti ir įvertinti, kokius asmens duomenis ir kokiais teisiniais pagrindais vadovaudamiesi tvarkote. Galioja proporcingumo principas, t. y. rinkti tik tokius duomenis, kurie reikalingi sandoriui įvykdyti. Vadinasi reikalinga vengti prašyti gyvenamosios vietos adreso ar asmens kodo, jeigu vartotojas už prekes atsiskaito pilną sumą iš karto.
SUTIKIMAS. Turėtumėte peržiūrėti, kaip prašote, gaunate ir užfiksuojate duomenų subjekto sutikimą ir ar Jums nereikia atlikti kokių nors pakeitimų, susijusių su sutikimo gavimu. Jeigu planuojate siųsti reklaminius pranešimus telefonu, el. laišku ar registruotaja siunta kiekvienam iš būdų reikės gauti atskirą sutikimą, nebepakaks vienos pažymėtos varnelės.
VAIKAI. Turėtumėte pagalvoti apie sistemų, kurios galėtų patikrinti asmenų amžių, įdiegimą bei apie tai, kaip galėtų būti gaunamas tėvų arba teisėtų atstovų sutikimas dėl vaikų asmens duomenų tvarkymo.
ASMENS DUOMENŲ SAUGUMO PAŽEIDIMAI. Turite įsitikinti, kad esate nustatę tinkamas procedūras, kaip aptikti, pranešti ir ištirti asmens duomenų saugumo pažeidimus. Jeigu buvo neteisėtai užvaldyti asmenų duomenys, privalote vartotojams apie tai nedelsiant pranešti.
DUOMENŲ APSAUGOS PAREIGŪNAS. Turėtumėte paskirti duomenų apsaugos pareigūną savo organizacijoje, jeigu tokio reikia, ar kitą asmenį iš išorės, kuris būtų atsakingas už asmens duomenų apsaugos reikalavimų laikymąsi, ir įvertinti šios pareigybės padėtį organizacijoje.
Esame pasirengę kvalifikuotai padėti paruošti dokumentaciją tinkamam Reglamento taisyklių įtvirtinimui įmonėje/ įstaigoje. Galite susisiekti su mūsų įmonės atstovais dėl pirminės konsultacijos el. p. info@teiseslabirintai.lt, kuri yra NEMOKAMA.