2018 m. gegužės 25 d. įsigalios Bendrasis Duomenų Apsaugos Reglamentas (Reglamentas, BDAR), įtvirtinantis vienodas duomenų teisinės apsaugos taisykles ir vienodus duomenų apsaugos standartus visose Europos Sąjungos valstybėse, tarp jų ir Baltijos šalyse. Iki šio Reglamento taikymo yra likę mažiau nei metai, todėl įmonės jau dabar privalo pradėti ruoštis šio Reglamento tinkamam įgyvendinimui ir įmonės duomenų apsaugos standartų suderinamumui su reglamento teisinėmis nuostatomis.

Reglamentas sustiprina duomenų subjektų asmens duomenų teisinę apsaugą, atitinkamai kartu numatydamas daugiau pareigų įmonei, kaip duomenų valdytojui.

Į ką turime atkreipti dėmesį?

Pirma, įmonės – duomenų valdytojai, siekdami tinkamai pasirengti, privalo atlikti „vidinį auditą“ – peržiūrėti visus dokumentus, susijusius su duomenų tvarkymu bei turimas vidines įmones taisykles, politikas, susijusias su privatumu, duomenų tvarkymu ir duomenų subjektų teisių įgyvendinimu asmens duomenų apsaugos srityje. Peržiūrėdamas šiuos dokumentus, valdytojas privalo patikrinti ir įvertinti tai, kokiu pagrindu, kokie asmens duomenys yra renkami. Taip pat reikia patikrinti kokiu tikslu, iš kur šie duomenys yra gaunami ir kur šie duomenys yra teikiami, kiek laiko šie duomenys yra saugomi. Valdytojas taip pat privalo atkreipti dėmesį į tai, kokios techninės apsaugos priemonės ir kontrolės mechanizmai yra įdiegti, siekiant apsaugoti duomenų subjektų teises.

Antra, išanalizavus turimus dokumentus, valdytojas privalo atkreipti dėmesį į tai, kokie pakeitimai yra reikalingi, siekiant visiškai atitikti reglamento reguliavimą.

Duomenų valdytojas taip pat turi atsižvelgti į tai, kad:

  1. Reglamentas griežtina „sutikimo“ gavimo ir jo užfiksavimo teisinius reikalavimus. Tai reiškia, kad valdytojas, atlikdamas įmonės turimų dokumentų „auditą“, privalo atkreipti dėmesį, kur dokumentuose yra užfiksuotas prašymas dėl sutikimo tvarkyti duomenis, kaip jis išreikštas ir kokia forma jis gautas, jeigu duomenų subjektų duomenų tvarkymas yra grindžiamas būtent sutikimu.

Reglamentas nustato, kad sutikimas privalo būti išreikštas aiškiame atskirame akte, vienareikšmiškai, aktyviais veiksmais, laisva valia. Sutikimas, be kita ko, turi apimti visą duomenų tvarkymo veiklą, vykdomą tais pačiais tikslais. Jeigu asmens duomenys tvarkomi ne vienu tikslu, sutikimai turėtų būti duodami dėl visų duomenų tvarkymo tikslų atskirai.

Pažymėtina, kad valdytojas, prieš prašant sutikimo dėl duomenų tvarkymo, privalo nustatyti, kad duomenų subjektas turi teisę bet kada atšaukti savo duotą sutikimą. Teisė atšaukti sutikimą privalo būti įgyvendinta taip pat lengvai, aiškiai, kaip ir sutikimo davimas.

  1. Atsiranda pareiga informuoti valstybinę duomenų apsaugos instituciją apie asmens duomenų saugumo pažeidimus. Pagal naująjį Reglamentą valdytojas, nepagrįstai nedelsdamas ir, jei įmanoma, praėjus ne daugiau kaip per 72 valandoms nuo tada, kai jis sužino apie asmens duomenų saugumo pažeidimą, privalo praneši šiai institucijai, nebent asmens duomenų saugumo pažeidimas nekeltų pavojaus fizinių asmenų teisėms ir laisvėms.

Tai reiškia, kad valdytojas privalo nusistatyti būtinas vidines procedūras ir taisykles, kaip nustatyti galimą duomenų saugomo pažeidimą ir kaip apie šį pažeidimą pranešti institucijai. Kartu valdytojas turėtų nusistatyti atsakingą darbuotoją, vykdantį šias pareigas.

  • Atsiranda naujos duomenų subjektų teisės: teisė reikalauti ištrinti duomenis („teisė būti pamirštam“) ir teisė į duomenų perkeliamumą.

Pagal naująjį Reglamentą, esant tam tikroms sąlygoms, pavyzdžiui, kai duomenų subjekto duomenys yra tvarkomi jo duoto sutikimo pagrindu, duomenų subjektas turi teisę gauti su juo susijusius asmens duomenis, kuriuos jis pateikė duomenų valdytojui susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu, ir turi teisę persiųsti tuos duomenis kitam duomenų valdytojui, o duomenų valdytojas, kuriam asmens duomenys buvo pateikti, turi nesudaryti tam kliūčių.

Duomenų subjektas, esant tam tikroms sąlygoms, taip pat turi teisę reikalauti, kad duomenų valdytojas nepagrįstai nedelsdamas ištrintų su juo susijusius asmens duomenis, o duomenų valdytojas yra įpareigotas nepagrįstai nedelsdamas ištrinti asmens duomenis.

Be abejo, reikia nepamiršti, kad duomenų valdytojas privalo užtikrinti ir kitas pagrindines duomenų subjektų teises, tokias kaip duomenų subjekto informavimas ir teisė susipažinti su asmens duomenimis, teisė reikalauti ištaisyti duomenis, teisė nesutikti, kad asmens duomenys būtų tvarkomi tiesioginės rinkodaros tikslais, teisė, kad duomenų subjektui nebūtų taikomas tik automatizuotas duomenų tvarkymas, įskaitant ir profiliavimą.

Ką tai reiškia duomenų valdytojui? Tai reiškia, kad valdytojas privalo nusistatyti aiškias procedūras, reagavimo etapus ir taisyklėse bei atsakingus asmenis, siekiant įgyvendinti minėtas duomenų subjektų teises.

Intelektinė nuosavybė