Bendrasis duomenų apsaugos reglamentas ir ką būtina atlikti?



Bendrasis duomenų apsaugos reglamentas Lietuvoje, kaip ir kitose Europos Sąjungos valstybėse, bus pradėtas taikyti 2018 m gegužės 25 d. Remiantis Valstybinės duomenų apsaugos inspekcijos rekomendacijomis, EveryLaw komanda patiekia 12 pagrindinių pasiruošimo žingsnių:

  1. Tvarkomų asmens duomenų inventorizacija. Įmonės privalo apsirašyti asmens duomenų tvarkymo procesus. Tai reiškia, kad reikia aiškiai įvardinti, kokius asmens duomenis tvarko, iš kur jie yra gauti, kam jie yra teikiami. Įmonėms ar organizacijoms gali prireikti atlikti tvarkomų asmens duomenų auditą.

  2. Asmens duomenų tvarkymo taisyklės. Bet kuri įmonė, tvarkanti asmens duomenis, privalo turėti asmens duomenų tvarkymo taisykles. Įsigaliojus reglamentui, šios taisyklės (ar privatumo politika) turi būti peržiūrima ir pakoreguota pagal reglamento nuostatas.

  3. Informacijos apie privatumą pateikimas. Įsigaliojus reglamentui, internetinių svetainių ar mobiliųjų aplikacijų lankytojai ir visi kiti duomenų subjektai turės daugiau teisių. Reglamentas įtvirtina tokias teises kaip teisė būti pamirštam ar teisė į duomenų perkeliamumą. Šių teisių turinys ir galimybė jomis pasinaudoti taip pat turi būti aptarta įmonės privatumo politikoje.

  4. Asmens duomenų tvarkymo teisinis pagrindas. Įmonės turi peržiūrėti ir įvertinti, kokius asmens duomenis ir kokiais teisiniais pagrindais vadovaudamasi tvarko.

  5. Sutikimas kiekvienu tvarkymo tikslu. Reglamente nustatomas papildomas reikalavimas, kad, kai duomenys yra tvarkomi ne vienu tikslu, sutikimas turi būti duotas dėl visų duomenų tvarkymo tikslų. Reikalinga peržiūrėti, kaip prašomas, gaunamas ir užfiksuojamas duomenų subjekto sutikimas ir ar nereikia atlikti kokių nors pakeitimų susijusių su sutikimo gavimu.

  6. Vaikų asmens duomenų apsauga. Reglamente išskiriama ypatingai jautrių asmens duomenų subjektų grupė – vaikai. Ypatinga apsauga turėtų būti taikoma vaikų asmens duomenų naudojimui rinkodaros, virtualios asmenybės ar vartotojo profilio sukūrimo tikslais. Reiktų pagalvoti apie sistemų, kurios galėtų patikrinti asmens amžių, įdiegimą bei apie tai, kaip galėtų būti gaunamas tėvų arba teisėtų atstovų sutikimas dėl vaikų asmens duomenų tvarkymo.

  7. Asmens duomenų saugumo pažeidimai. Atsiranda nauja pareiga informuoti apie grėsmę asmens duomenų saugumui. Turite įsitikinti, kad esate nustatę tinkamas procedūras kaip aptikti, pranešti ir ištrinti asmens duomenų saugumo pažeidimus. Didesnės organizacijos turės sukurti taisykles ir procedūras, kaip turės būti valdomi asmens duomenų saugumo pažeidimai.

  8. Pritaikytoji duomenų apsauga ir poveikio duomenų apsaugai vertinimas. Gera praktika pripažįstamas pritaikytosios duomenų apsaugos požiūrio laikymasis, o poveikio duomenų apsaugai vertinimas laikytinas jos dalimi. Iki įsigaliojant reglamentui Valstybinė duomenų apsaugos inspekcija patvirtins sąrašą duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą. Taigi, turite pasitikrinti, ar Jūsų verslas nepatenka tarp subjektų, kuriems toks poveikio vertinimas yra privalomas.

  9. Duomenų apsaugos pareigūnas. Turėtumėte paskirti duomenų apsaugos pareigūną savo organizacijoje, jeigu tokio reikia, ar kitą asmenį iš išorės, kuris būtų atsakingas už asmens duomenų apsaugos reikalavimų laikymąsi, ir įvertinti šios pareigybės padėtį organizacijoje.

  10. Tarptautinis elementas. Jeigu Jūsų organizacija veikia tarptautiniu mastu, Jūs turėtumėte nuspręsti, su kuria duomenų apsaugos priežiūros institucija bendradarbiausite.

  11. Reikalavimai duomenų tvarkytojui. Reglamente yra numatyta, kad atsakomybę pagal susitarimą turės dalytis tiek duomenų tvarkytojas, tiek valdytojas, todėl svarbu turėti profesionaliai parengtas asmens duomenų tvarkymo sutartis, kuriomis nustatomi duomenų tvarkytojo įsipareigojimai duomenų valdytojui, duomenų tvarkymo dalykas bei trukmė, duomenų tvarkymo pobūdis ir tikslai, asmens duomenų rūšis ir duomenų subjektų kategorijos ir pan.

  12. Informavimas. Turite įsitikinti, kad asmenys, Jūsų organizacijoje priimantys sprendimus, būtų informuoti, jog nuo 2018 metų gegužės 25 d. pradedamas tiesiogiai taikyti Bendrasis duomenų apsaugos reglamentas (ES) 2016/679.


EveryLaw atkreipia dėmesį, kad reglamentas bus taikomas visiems duomenų valdytojams ir tvarkytojams: valstybės institucijoms, mažoms įmonėms, didelėms korporacijoms, nevyriausybinėms organizacijoms. Taigi, kiekvienai organizacijai yra svarbu kokybiškai atlikti privatumo rizikų vertinimą viduje, susistyguoti duomenų tvarkymo procesus bei efektyviai įgyvendinti vartotojų, klientų ar paslaugų gavėjų teises duomenų apsaugos srityje.


EveryLaw komanda gali padėti Jums pasiruošti reglamento taikymui. Siūlome atlikti Jūsų verslo asmens duomenų apsaugos atitikties Bendrajam duomenų apsaugos reglamentui įvertinimą ir pateikti aiškų priemonių ir veiksmų planą, kuriuo remiantis Jūsų įmonė žinos, kokių konkrečių veiksmų imtis.


Daugiau informacijos www.everylaw.lt arba telefonu +37069154115 arba el. paštu sigita@everylaw.lt.