Tikrins didžiausią riziką asmens duomenims keliančias įmones
Gegužės 25 dieną įsigaliojo Bendrasis duomenų apsaugos reglamentas (toliau – Reglamentas). Ką verslo įmonėms būtina atlikti ir žinoti, papasakojo šilutiškė, Lietuvos duomenų apsaugos pareigūnų asociacijos narė Astra Rimkuvienė. „Numatyta, kad Valstybinė duomenų apsaugos inspekcija, kaip ir dabar, galės teikti nurodymus dėl pažeidimų ištaisymo, baudas, tačiau galės netgi sustabdyti įmonės veiklą“, - perspėja pašnekovė.
- Šių metų gegužės 25 d. įsigalios naujas Bendrasis asmens duomenų apsaugos reglamentas. Kas tai? Kokie laukia pokyčiai?
- Šių metų gegužės 25 dieną Lietuvoje ir kitose Europos Sąjungos (toliau ES) valstybėse narėse pradėtas taikyti Bendrasis duomenų apsaugos reglamentas. Reformos tikslas yra užtikrinti vienodo ir aukšto lygio fizinių asmenų duomenų apsaugą visoje ES. Tai naujos asmens duomenų apsaugos taisyklės įmonėms, įstaigoms ir kitoms organizacijoms, tvarkančioms asmens duomenis profesinėje veikloje. Įmonėms numatyta daug reikalavimų, kad įrodytų gautų asmens duomenų teisingą naudojimą, o gyventojams suteikiama daugiau teisių. Kas yra asmens duomenys? Tai bet kokia informacija apie fizinį asmenį, pagal kurią galima nustatyti asmens tapatybę. Tai ne tik vardas, pavardė, asmens kodas, bet ir el. pašto adresas, telefono numeris, namų ar darbovietės adresas, vaizdo forma, kt. Tai yra bet kokie duomenys, pagal kuriuos galima identifikuoti asmenį. Ir visų šių duomenų saugumas privalo būti užtikrintas. Šiuo metu daugelis gauname pranešimų, žinučių su prašymu patvirtinti, kad susipažinome apie mūsų asmens duomenų tvarkymą. Mus informuoja, kokius asmens duomenis įmonės tvarko, kokiu tikslu juos renka, kur asmens duomenys bus naudojami, kaip užtikrinamas duomenų saugumas. Praneša naujienas apie suteikiamas naujas teises: nurodo galimybes susipažinti ir žinoti, teisę į duomenų perkėlimą, teisę reikalauti ištrinti duomenis, t. y. būti pamirštam. Visa tai tik įrodo, kad įmonės atsakingai žiūri į reformą.
- Nuo kada prasidės patikrinimai? Kas juos vykdys? Kas bus pirmiausia tikrinami? Kokios laukia nuobaudos pažeidėjams?
- BDAR numatyta ne tik baudos, bet ir kitos sankcijos. Numatyta, kad Valstybinė duomenų apsaugos inspekcija, kaip ir dabar, galės teikti nurodymus dėl pažeidimų ištaisymo, baudas, tačiau galės netgi sustabdyti įmonės veiklą. Kalbant konkrečiai apie baudas, BDAR numatyta, kad, pažeidus reglamento nuostatas, gali būti skiriamos administracinės baudos, kurios kiekvienu konkrečiu atveju turi būti veiksmingos, proporcingos ir atgrasomos. Taigi, bauda gali siekti iki 2–4 proc. ankstesnių finansinių metų bendros metinės pasaulinės apyvartos arba iki 10 000 000–20 000 000 eurų. Įmonių patikrinimai yra atliekami pagal sudarytus planus, tačiau, gavus informaciją ar skundą apie neteisėtai tvarkomus asmens duomenis, Valstybinė duomenų apsaugos inspekcija atliks patikrinimą. Dalyvavau Lietuvos duomenų apsaugos pareigūnų asociacijos organizuotame sustikime su VDAI skundų skyriaus specialiste D. Vyčiniene. Jai buvo užduotas klausimas, kurias įmones planuojama tikrinti pirmiausia. Gavome atsakymą, kad tai bus didžiausią riziką asmens duomenims keliančios įmonės – grožio ir chirurgijos centrai, sveikatos priežiūros įstaigos.
- Ką turėtų kiekviena įmonė kuo greičiau padaryti?
- Atsižvelgdamos į atliekamą asmens duomenų tvarkymą, įmonės turėtų įsivertinti, ar turės įgyvendinti tam tikras naujas pareigas, pavyzdžiui, įsivertinti, kokius asmenų duomenis kaupia, ar neturi perteklinės informacijos. Peržiūrėti, ar turi duomenų subjektų sutikimus, juos atnaujinti, sudaryti atitinkančias reglamento reikalavimus veiklos sutartis, pasiruošti tvarkas ir taisykles, tvarkyti asmens duomenų tvarkymo veiklos įrašus, atlikti poveikio duomenų apsaugai vertinimą, kreiptis išankstinių konsultacijų, paskirti duomenų apsaugos pareigūną. Svarbu atkreipti dėmesį į naują pareigą – įvykus asmens duomenų saugumo pažeidimui, apie tai bus privalu pranešti Valstybinei duomenų apsaugos inspekcijai.
- Kas gali padėti sutvarkyti visus formalumus? Ar tą gali daryti bet kuris įmonės darbuotojas?
- Kiekvienoje įmonėje turi būti asmuo, atsakingas už duomenų apsaugos taisyklių atnaujinimą, įgyvendinimą ir priežiūrą. Juo gali būti bendrovės darbuotojas arba išorinis konsultantas. Smulkesnėms įmonėms, kurios kaupia tik darbuotojų ir klientų duomenis, pasirengti reglamentui itin sunku, nes joms trūksta elementarių žinių apie duomenų apsaugą. Lietuvoje asmens duomenų apsaugos priežiūros institucija, kai asmens duomenys tvarkomi su profesija susijusiais tikslais, yra Valstybinė duomenų apsaugos inspekcija. Kaip ir iki šiol, pradėjus taikyti BDAR, į ją bus galima kreiptis pasikonsultuoti asmens duomenų tvarkymo klausimais. Viena didžiausių BDAR naujovių yra pareiga paskirti duomenų apsaugos pareigūną, tačiau ji nėra privaloma visiems duomenų valdytojams. Jis privalo būti paskirtas valdžios institucijose arba įstaigose ir kai duomenis tvarko įmonės, kurių pagrindinė veikla – asmens duomenų tvarkymas, kai vykdomas reguliarus ir sistemingas duomenų subjekto stebėjimas, kai duomenų subjektų stebėjimas vykdomas dideliu mastu. Duomenų apsaugos pareigūnas – ekspertas, stebintis ir analizuojantis, kaip duomenų valdytojas ir duomenų tvarkytojas laikosi asmens duomenų tvarkymui keliamų reikalavimų, konsultuojantis vadovus ir darbuotojus asmens duomenų tvarkymo klausimais bei veikiantis kaip tarpininkas tarp duomenų valdytojo (tvarkytojo) ir priežiūros institucijos. BDAR leidžia organizacijoms pasirinkti, ar duomenų apsaugos pareigūno funkcijas atliks darbuotojas, ar pagal paslaugų teikimo sutartį veikiantis fizinis ar juridinis asmuo iš išorės. Svarbu tai, kad duomenų valdytojai ir tvarkytojai užtikrintų ir nesukeltų interesų konflikto.
- Jūsų patarimai gyventojams.
- Svarbu saugoti savo asmens duomenis, neatskleisti be pagrindo, įsitinkinti kam juos teikiate ir ar jie bus naudojami saugiai.
Asmens duomenų apsauga https://novusnexus.lt/asmens-duomenu-apsauga-ir-asmens-duomenys/