ASMENS DUOMENŲ 
APSAUGA

2018 m. gegužės 25 d. Lietuvoje bus pradėtas taikyti Europos Sąjungos Bendrasis duomenų apsaugos reglamentas (Reglamentas). Pradėkime pasiruošimą jau dabar!

Everylaw komanda rekomenduoja 
įmonėms, tvarkančioms

darbuotojų, klientų ar kitų

asmenų asmens duomenis

pasiruošimą įgyvendinti 
Reglamento nuostatas

atlikti tokiais etapais:

KAS 
TURĖTŲ BŪTI 
PADARYTA

TURITE PADARYTI

ATLIKTAS TEISINIS ASMENS DUOMENŲ TVARKYMO

ĮMONĖJE AUDITAS

Šiuos veiksmus reikalinga atlikti tam, kad būtų nustatyta:

  • kokie asmens duomenys įmonėje yra tvarkomi;

  • iš kur duomenys gaunami ir kam perduodami;

  • kokie asmenys įmonėje gali prieiti prie asmens duomenų; 

  • ar dabartinis asmens duomenų tvarkymas atitinka Reglamento nuostatas;

  • kokios tolimesnės procedūros ir veiksmai turi būti atliekami, kad įmonėje asmens duomenų tvarkymas neprieštarautų 

Reglamento reikalavimams.

Taikoma visoms įmonės, kurios tvarko asmens duomenis

IŠGRYNINTOS KONKREČIOS RIZIKOS IR PARENGTAS VEIKSMŲ PLANAS DUOMENŲ APSAUGAI OPTIMIZUOTI 

Konkretus planas padės sklandžiau ir laiku pasiruošti Reglamente nustatytų reikalavimų įgyvendinimui įmonėje.

Taikoma visoms įmonės, kurios tvarko asmens duomenis

ATLIKTAS ĮMONĖJE PATVIRTINTŲ ASMENS DUOMENŲ TVARKYMO TAISYKLIŲ IR SUTIKIMŲ DĖL DUOMENŲ TVARKYMO TEISINIS ĮVERTINIMAS / KOREGAVIMAS 

Anksčiau parengtas taisykles bei sutikimų formas, įsigaliojus Reglamentui, būtina peržiūrėti ir pakoreguoti pagal Reglamento nuostatas, 
kurios reglamentuoja tokių taisyklių ir sutikimų turinį. 
Tuo atveju, jeigu tokios taisyklės, sutikimų formos įmonėje nėra parengtos ir patvirtintos būtina jas parengti.

Taikoma visoms įmonės, kurios tvarko asmens duomenis

PERŽIŪRĖTAS DUOMENŲ TVARKYTOJŲ SĄRAŠAS IR SUTARTYS SU JAIS 

Reglamentas kelia griežtesnius reikalavimus duomenų tvarkytojams, kurie įmonei teikia paslaugas (pvz. buhalterines, IT), ir kuriems yra 
suteikiamas priėjimas prie įmonėje tvarkomų asmens duomenų.

Taikoma įmonėms, kurių tvarkomus asmens duomenis, turi teisę tvarkyti tretieji asmenis (pvz. paslaugų teikėjai) 

NUSTATYTA POVEIKIO DUOMENŲ APSAUGAI VERTINIMO IR IŠANKSTINIŲ KONSULTACIJŲ SU PRIEŽIŪROS INSTITUCIJA PROCEDŪRA 

Nustačius, kad yra rizika, jog tvarkant asmens duomenis, šiems asmenims gali kilti didelis pavojus, prieš pradedant tvarkymo veiksmus,

turės būti atliekamas poveikio duomenų apsaugai vertinimas. Tam, kad tai būtų atlikta sklandžiai, įmonėje turėtų būti patvirtintos poveikio duomenų apsaugai įvertinimo taisyklės, kuriose be kita ko būtų reglamentuota, kokiais atvejais turėtų būti atliekamas vertinimas, kas turi būti ištiriama, kokioms sąlygoms esant privalo būti  įgyvendinta išankstinio konsultavimosi su duomenų apsaugos priežiūros institucija procedūra.

Taikoma įmonėms, kurios ketina įgyvendinti naujas priemones, galinčias turėti įtakos asmens duomenų tvarkymui

PASKIRTAS DUOMENŲ APSAUGOS PRIEŽIŪROS PAREIGŪNAS 

Reglamentas nustato, jog pareigą paskirti įmonėje duomenų apsaugos priežiūros pareigūną turi tos įmonės, kurių:
1. pagrindinė veikla  yra duomenų tvarkymo operacijos, kurių metu ji reguliariai ir sistemingai dideliu mastu stebi duomenų subjektus;
2. įmonės pagrindinė veikla yra ypatingų kategorijų duomenų (rasė, lytinė orientacija, genetiniai duomenys ir pan.) tvarkymas dideliu mastu.

Taikoma įmonėms, kurios atitinka Reglamente nustatytus reikalavimus: dėl tvarkomų duomenų masto, asmens duomenų tvarkymo sistemingumo, tvarko ypatingus asmens duomenis.

PATVIRTINTA DUOMENŲ SAUGUMO PAŽEIDIMŲ VALDYMO PROCEDŪRA 

Reglamentas numato reikalavimą įmonėms iš anksto pasiruošti potencialiems duomenų apsaugos pažeidimams.

Taikoma visoms įmonės, kurios tvarko asmens duomenis

ATLIKTAS PASIRENGIMAS DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMUI 

Reglamentas nustato duomenų subjektams tokias teises, kaip:

  •    gauti informacija apie tvarkomus asmens duomenis;

  •    perkelti asmens duomenis

  •    būti pamirštam;

  •    ir kt.

kurių sklandų įgyvendinimą įmonė privalo užtikrinti pasitelkdama organizacines ir technines priemones.

Taikoma visoms įmonės, kurios tvarko asmens duomenis

SU NAUJOVĖMIS SUPAŽINDINTI IR APMOKYTI DARBUOTOJAI 

Labai svarbu, kad ne tik įmonės vadovas ar administracija žinotų naujai keliamus reikalavimus, bet ir įmonės darbuotojai, dirbantys su asmens duomenimis,  būtų su jais supažindinti.

Taikoma visoms įmonės, kurios tvarko asmens duomenis

IT SPECIALISTAI TURĖTŲ ĮGYVENDINTI ASMENS DUOMENŲ TVARKYMO TECHNINES IR ORGANIZACINES PRIEMONES 

Reglamentas kelia reikalavimus ne tik turėti tinkamai teisiškai sutvarkytas procedūras, tvarkas ir taisykles, reglamente nustatytų principų ir 
reikalavimų įgyvendinimas, faktiškai nėra įmanomas, bet IT specialistų, kompetentingų: sukurti asmens duomenų tvarkymo sistemas, užšifruoti asmens duomenis, užtikrinti kompiuterinių sistemų, tinklo saugumą ir nuolatinę priežiūrą, pagalbos.

Taikoma visoms įmonės, kurios tvarko asmens duomenis

  • LinkedIn - White Circle
  • Facebook - White Circle