Partnerių įrašas

Advokatų kontora Jurkonis ir Partneriai LINDEN

ES Bendrasis duomenų apsaugos reglamentas (BDAR, angl. - GDPR) teisę į privataus gyvenimo apsaugą pakėlė į kitą lygį. Su GDPR įsigaliojimu atsirado nemažas pluoštas naujovių – griežtesni reikalavimai asmens sutikimui, daugiau teisių ir informacijos asmenims, reikalavimas daliai įmonių paskirti duomenų apsaugos pareigūną ir išaugusios baudos už pažeidimus, kurios verčia domėtis ne tik naujovėmis, bet ir iki tol buvusiais, tačiau praktikoje mažai įgyvendintais duomenų apsaugos reikalavimais.

Siekiant padėti klientams atitikti GDPR reikalavimus, rekomenduojame duomenų apsaugą matyti susidedančią iš trijų blokų – teisinės dokumentacijos, procesų ir technologijų:

  • Teisinė dokumentacija reiškia, kad įmonės turi parengti sutikimo formas, informacinius pranešimus, sutartis su duomenų tvarkytojais, patvirtinti asmens duomenų politiką, nustatyti asmenų teisių įgyvendinimo procedūrą, duomenų saugumo pažeidimų valdymo procedūrą  ir kt.;

  • Technologijos reiškia techninių (įskaitant ir IT sprendimus) ir organizacinių saugumo priemonių sukūrimą ir palaikymą.

Pereinant prie konkrečių patarimų, pasirengimą GDPR reikėtų pradėti nuo tvarkomų duomenų inventorizavimo tai yra kokie duomenys tvarkomi, kokiu tikslu tvarkomi, kokie konkretūs veiksmai atliekami su duomenimis, kokie duomenų saugojimo terminai, kam duomenys perduodami ir daug kitų.

Šiame etape išsiaiškinama, ar įmonė įgyvendina pagrindinius GDPR reikalavimus – ar įmonė tvarko duomenis turėdama konkretų teisėtą tikslą (ar tik dėl „visa ko“), ar įmonė duomenų tvarkymui turi teisinį pagrindą, ar nepažeidžiamas proporcingumo reikalavimas (ar duomenų tvarkymo tikslai, tvarkomų duomenų kiekis, saugojimo terminai proporcingi).

Išskirtinio dėmesio aptarimui reikalauja GDPR įtvirtinta pareiga turėti teisinį pagrindą duomenų tvarkymui. Tam, patogumo dėlei, suskirstykime tvarkomus duomenis į tris situacijas:

  • Duomenys tvarkomi, nes tai lemia įsipareigojimai (sutartiniai ar kylantys iš įstatymo) – kai neturint reikiamų duomenų dėl organizacinių ar teisinių priežasčių neįmanoma suteikti klientams paslaugų, parduoti prekių, jų pristatyti ar pan. arba ženkliai pablogėtų paslaugos kokybė ar padidėtų kaštai. Pvz.: be adreso nepristatysi prekių, o be kontaktinio telefono pristatęs prekes vežėjas gali nerasti kam atiduoti prekes; be asmens kodo sutartyje klientui neapmokėjus sąskaitos gali nepavykti vienareikšmiškai nustatyti kliento tapatybės ir atitinkamai prisiteisti skolos ir t.t. Šioje situacijoje asmens sutikimas nereikalingas.

  • Antra situacija, kai duomenys tvarkomi dėl to, kad tai naudinga verslui – kuri reiškia, kad duomenys tvarkomi ne dėl to, kad tai reikalinga paslaugų ar prekių tiekimui, o dėl to, kad toks tvarkymas nepažeisdamas teisės aktų sukuria pridėtinę vertę įmonei. Pavyzdžiui, gautų (pozityvių) klientų atsiliepimų talpinimas įmonės interneto svetainėje tikrai nėra reikalingas paslaugoms ar prekėms tiekti, tačiau akivaizdžiai naudingas įmonei. Tokiu atveju reikia gauti asmens sutikimą.

  • Trečia situacija, kai duomenys tvarkomi tam, kad įgyvendinti prašymą, pavyzdžiui, darbuotojas prašo darbdavio perduoti bankui jo duomenis tam, kad bankas suteiktų paskolą darbuotojui. Tokiu atveju reikia gauti asmens prašymą (perduoti jo duomenis trečiajam asmeniui ar pan.).

Apibendrinant galima sakyti, kad GDPR tikrai nesiekia uždrausti tvarkyti kokius nors asmens duomenis, kai tai tikrai yra reikalinga, tačiau reikalauja bent jau sau pačiam atsakyti į kontrolinį klausimą – „kodėl aš noriu tvarkyti vienokius ar kitokius duomenis?“.

Jei galite logiškai atsakyti į šį klausimą ir atsakymas nėra „dėl visa ko“, tai dažniausiai jūs turite ir teisę tvarkyti tuos duomenis. Be to, dažniausiai tokiam tvarkymui nėra reikalingas asmens sutikimas.

Nors GDPR reikalavimai tipiškai nesukuria jokių problemų dėl duomenų tvarkymo teisėtumo savaime, GDPR sukuria papildomą reikalavimą įmonėms – nepakanka teisėtai tvarkyti duomenis, reikia dar ir tinkamai tą tvarkymą dokumentuoti.

Tai reiškia, kad atsakomybė už GDPR pažeidimus gali būti taikoma ne tik dėl to, kad jūs neteisėtai tvarkysite kažkokius asmens duomenis, bet ir dėl to, kad jūs netinkamai dokumentuosite duomenų tvarkymą net jei pats tvarkymas yra absoliučiai teisėtas. Būtent šis naujas GDPR reikalavimas sukuria įmonėms tikrąją administracinę naštą.

Atkreiptinas dėmesys, kad pasirengimą sunkina keletas faktorių – sąvokų sudėtingumas (asmens duomenys, duomenų tvarkytojas ir pan.), GDPR numatyti reikalavimai informavimui ar sutikimo pagrindui, atskirų reguliavimo sričių kaip stebėjimo ir įrašymo priemonės ar marketingas niuansai ir t.t. Dalį jų aptariame mūsų GDPR seminaruose, kuriuos nemokamai galite pasiekti www.dat.lt svetainėje.

Jeigu norėtumėte gauti mūsų rekomenduojamą GDPR atitikties pasirengimo darbų ir dokumentų sąrašą Jūsų bendrovei, prašytume užpildyti trumpą mūsų parengtą GDPR atitikties vertinimo apklausą.

Duomenų Apsaugos Tarnyba prekinis ženklas yra valdomas Advokatų profesinės  bendrijos LINDEN.