

ASMENS DUOMENŲ
APSAUGA
2018 m. gegužės 25 d. Lietuvoje bus pradėtas taikyti Europos Sąjungos Bendrasis duomenų apsaugos reglamentas (Reglamentas). Pradėkime pasiruošimą jau dabar!
Everylaw komanda rekomenduoja
įmonėms, tvarkančioms
darbuotojų, klientų ar kitų
asmenų asmens duomenis
pasiruošimą įgyvendinti
Reglamento nuostatas
atlikti tokiais etapais:
KAS
TURĖTŲ BŪTI
PADARYTA
KĄ
TURITE PADARYTI
ATLIKTAS TEISINIS ASMENS DUOMENŲ TVARKYMO
ĮMONĖJE AUDITAS
Šiuos veiksmus reikalinga atlikti tam, kad būtų nustatyta:
-
kokie asmens duomenys įmonėje yra tvarkomi;
-
iš kur duomenys gaunami ir kam perduodami;
-
kokie asmenys įmonėje gali prieiti prie asmens duomenų;
-
ar dabartinis asmens duomenų tvarkymas atitinka Reglamento nuostatas;
-
kokios tolimesnės procedūros ir veiksmai turi būti atliekami, kad įmonėje asmens duomenų tvarkymas neprieštarautų
Reglamento reikalavimams.
Taikoma visoms įmonės, kurios tvarko asmens duomenis
IŠGRYNINTOS KONKREČIOS RIZIKOS IR PARENGTAS VEIKSMŲ PLANAS DUOMENŲ APSAUGAI OPTIMIZUOTI
Konkretus planas padės sklandžiau ir laiku pasiruošti Reglamente nustatytų reikalavimų įgyvendinimui įmonėje.
Taikoma visoms įmonės, kurios tvarko asmens duomenis
ATLIKTAS ĮMONĖJE PATVIRTINTŲ ASMENS DUOMENŲ TVARKYMO TAISYKLIŲ IR SUTIKIMŲ DĖL DUOMENŲ TVARKYMO TEISINIS ĮVERTINIMAS / KOREGAVIMAS
Anksčiau parengtas taisykles bei sutikimų formas, įsigaliojus Reglamentui, būtina peržiūrėti ir pakoreguoti pagal Reglamento nuostatas,
kurios reglamentuoja tokių taisyklių ir sutikimų turinį.
Tuo atveju, jeigu tokios taisyklės, sutikimų formos įmonėje nėra parengtos ir patvirtintos būtina jas parengti.
Taikoma visoms įmonės, kurios tvarko asmens duomenis
PERŽIŪRĖTAS DUOMENŲ TVARKYTOJŲ SĄRAŠAS IR SUTARTYS SU JAIS
Reglamentas kelia griežtesnius reikalavimus duomenų tvarkytojams, kurie įmonei teikia paslaugas (pvz. buhalterines, IT), ir kuriems yra
suteikiamas priėjimas prie įmonėje tvarkomų asmens duomenų.
Taikoma įmonėms, kurių tvarkomus asmens duomenis, turi teisę tvarkyti tretieji asmenis (pvz. paslaugų teikėjai)
NUSTATYTA POVEIKIO DUOMENŲ APSAUGAI VERTINIMO IR IŠANKSTINIŲ KONSULTACIJŲ SU PRIEŽIŪROS INSTITUCIJA PROCEDŪRA
Nustačius, kad yra rizika, jog tvarkant asmens duomenis, šiems asmenims gali kilti didelis pavojus, prieš pradedant tvarkymo veiksmus,
turės būti atliekamas poveikio duomenų apsaugai vertinimas. Tam, kad tai būtų atlikta sklandžiai, įmonėje turėtų būti patvirtintos poveikio duomenų apsaugai įvertinimo taisyklės, kuriose be kita ko būtų reglamentuota, kokiais atvejais turėtų būti atliekamas vertinimas, kas turi būti ištiriama, kokioms sąlygoms esant privalo būti įgyvendinta išankstinio konsultavimosi su duomenų apsaugos priežiūros institucija procedūra.
Taikoma įmonėms, kurios ketina įgyvendinti naujas priemones, galinčias turėti įtakos asmens duomenų tvarkymui
PASKIRTAS DUOMENŲ APSAUGOS PRIEŽIŪROS PAREIGŪNAS
Reglamentas nustato, jog pareigą paskirti įmonėje duomenų apsaugos priežiūros pareigūną turi tos įmonės, kurių:
1. pagrindinė veikla yra duomenų tvarkymo operacijos, kurių metu ji reguliariai ir sistemingai dideliu mastu stebi duomenų subjektus;
2. įmonės pagrindinė veikla yra ypatingų kategorijų duomenų (rasė, lytinė orientacija, genetiniai duomenys ir pan.) tvarkymas dideliu mastu.
Taikoma įmonėms, kurios atitinka Reglamente nustatytus reikalavimus: dėl tvarkomų duomenų masto, asmens duomenų tvarkymo sistemingumo, tvarko ypatingus asmens duomenis.
PATVIRTINTA DUOMENŲ SAUGUMO PAŽEIDIMŲ VALDYMO PROCEDŪRA
Reglamentas numato reikalavimą įmonėms iš anksto pasiruošti potencialiems duomenų apsaugos pažeidimams.
Taikoma visoms įmonės, kurios tvarko asmens duomenis
ATLIKTAS PASIRENGIMAS DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMUI
Reglamentas nustato duomenų subjektams tokias teises, kaip:
-
gauti informacija apie tvarkomus asmens duomenis;
-
perkelti asmens duomenis
-
būti pamirštam;
-
ir kt.
kurių sklandų įgyvendinimą įmonė privalo užtikrinti pasitelkdama organizacines ir technines priemones.
Taikoma visoms įmonės, kurios tvarko asmens duomenis
SU NAUJOVĖMIS SUPAŽINDINTI IR APMOKYTI DARBUOTOJAI
Labai svarbu, kad ne tik įmonės vadovas ar administracija žinotų naujai keliamus reikalavimus, bet ir įmonės darbuotojai, dirbantys su asmens duomenimis, būtų su jais supažindinti.
Taikoma visoms įmonės, kurios tvarko asmens duomenis
IT SPECIALISTAI TURĖTŲ ĮGYVENDINTI ASMENS DUOMENŲ TVARKYMO TECHNINES IR ORGANIZACINES PRIEMONES
Reglamentas kelia reikalavimus ne tik turėti tinkamai teisiškai sutvarkytas procedūras, tvarkas ir taisykles, reglamente nustatytų principų ir
reikalavimų įgyvendinimas, faktiškai nėra įmanomas, bet IT specialistų, kompetentingų: sukurti asmens duomenų tvarkymo sistemas, užšifruoti asmens duomenis, užtikrinti kompiuterinių sistemų, tinklo saugumą ir nuolatinę priežiūrą, pagalbos.
Taikoma visoms įmonės, kurios tvarko asmens duomenis