Duomenų apsauga: ką turi žinoti kiekviena MVĮ

Likus 3 savaitėms iki Bendrojo duomenų apsaugos reglamento (BDAR) įsigaliojimo, primename apie įsipareigojimus įmonėms. BDAR išdėstyti išsamūs įmonėms ir organizacijoms taikomi asmens duomenų rinkimo, saugojimo ir valdymo reikalavimai. Reglamentas taikomas Europos organizacijoms, kurios tvarko asmenų asmens duomenis ES, ir už ES ribų veikiančioms organizacijoms, kurių veikla yra orientuota į ES gyventojus.

BDAR taikomas, jeigu:

  • jūsų įmonė tvarko asmens duomenis ir yra įsisteigusi ES, nepaisant to, kur faktiškai tvarkomi asmens duomenys;
  • jūsų įmonė yra įsisteigusi už ES ribų, tačiau tvarko asmens duomenis siūlydama asmenims prekes ar paslaugas Europos Sąjungoje, arba stebi asmenų elgesį Europos Sąjungoje.

Už ES ribų įsisteigusios įmonės, kurios tvarko ES piliečių duomenis, turi paskirti atstovą Europos Sąjungoje.

BDAR netaikomas, jeigu:

  • duomenų subjektas yra miręs;
  • duomenų subjektas yra juridinis asmuo;
  • duomenis asmuo tvarko tikslais, nesusijusiais su jo vykdoma prekyba, verslu ar profesija.

Kas yra asmens duomenys?

Asmens duomenys – tai bet kokia informacija apie asmenį, kurio tapatybė nustatyta arba gali būti nustatyta; toks asmuo dar vadinamas duomenų subjektu. Asmens duomenys yra, pavyzdžiui, tokia informacija apie duomenų subjektus:

  • vardas ir pavardė,
  • adresas,
  • asmens tapatybės kortelės ar paso numeris,
  • pajamos,
  • kultūriniai ypatumai,
  • interneto protokolo (IP) kodas,
  • duomenys, kuriuos turi ligoninė ar gydytojas (pagal kuriuos gydymo tikslais unikaliai identifikuojamas asmuo).

Kada leidžiama tvarkyti duomenis?

ES duomenų apsaugos taisyklės reiškia, kad duomenis turėtumėte tvarkyti sąžiningai ir teisėtai, siekdami konkretaus ir teisėto tikslo, ir tvarkyti tik tuos duomenis, kurie yra būtini šiam tikslui pasiekti. Privalote užtikrinti, kad įvykdėte vieną iš toliau nurodytų asmens duomenų tvarkymo sąlygų; jūs/jums:

  • gavote atitinkamo asmens sutikimą;
  • asmens duomenų reikia tam, kad galėtumėte įvykdyti sutartinius įsipareigojimus asmens atžvilgiu;
  • asmens duomenų reikia tam, kad įvykdytumėte teisinę prievolę;
  • asmens duomenų reikia tam, kad galėtumėte apsaugoti asmens gyvybiškai svarbius interesus;
  • asmens duomenis tvarkote tam, kad atliktumėte užduotį viešojo intereso labui;
  • veikiate atstovaudami savo įmonės teisėtiems interesams, jeigu asmens, kurio duomenys yra tvarkomi, pagrindinėms teisėms ir laisvėms nedaromas didelis poveikis. Jeigu asmens teisės yra viršesnės už jūsų interesus, tvarkyti asmens duomenų negalite.

Pritarimas dėl duomenų tvarkymo – sutikimas

BDAR taikomos griežtos sutikimu pagrįsto duomenų tvarkymo taisyklės. Šių taisyklių paskirtis– užtikrinti, kad asmuo suprastų, dėl ko jis duoda sutikimą. Tai reiškia, kad sutikimas turėtų būti duotas laisvai, būti konkretus, pagrįstas informacija ir vienareikšmiškas, atsižvelgiant į aiškia ir suprantama kalba surašytą prašymą. Sutikimas turėtų būti duodamas pritariamuoju veiksmu, pavyzdžiui, internete pažymint žymimąjį langelį arba pasirašant formą.

Kai asmuo sutinka, kad būtų tvarkomi jo asmens duomenys, jūs duomenis galite tvarkyti tik tais tikslais, dėl kurių buvo duotas sutikimas. Taip pat privalote suteikti jiems galimybę atšaukti savo sutikimą.

Skaidrios informacijos pateikimas

Privalote aiškiai pateikti asmenims informaciją apie tai, kas ir kodėl tvarko jų asmens duomenis. Reikėtų nurodyti bent jau šią informaciją:

  • kas esate,
  • kodėl tvarkote asmens duomenis,
  • teisinį pagrindą,
  • kas gaus duomenis (jei taikoma).
  • Tam tikrais atvejais jūsų pateiktoje informacijoje taip pat turi būti nurodyta:
  • duomenų apsaugos pareigūno (DAP) kontaktinė informacija, kai taikytina,
  • koks yra teisėtas įmonės siekiamas tikslas tais atvejais, kai jūs remiatės šiuo teisiniu duomenų tvarkymo pagrindu,
  • priemonės, kurios taikomos perduodant duomenis į ES nepriklausančią šalį,
  • kiek laiko bus saugomi duomenys,
  • asmens duomenų apsaugos teisės (t. y. teisė susipažinti su duomenimis, juos ištaisyti, ištrinti, apriboti jų tvarkymą, prieštarauti dėl duomenų tvarkymo, teisė į duomenų perkeliamumą ir pan.),
  • kaip galima atšaukti sutikimą (kai sutikimas yra teisinis duomenų tvarkymo pagrindas),
  • ar yra įstatyme arba sutartyje nustatyta pareiga teikti duomenis,
  • jeigu taikomas automatizuotas sprendimų priėmimas, turi būti pateikiama informacija apie sprendimo loginį pagrindą, svarbą ir pasekmes.

Šią informaciją turėtumėte pateikti aiškia ir suprantama kalba.

 

Plačiau apie BDAR reikalavimus: 

https://bit.ly/2HH1OMY

https://bit.ly/2jmC8qr