Bendrojo duomenų apsaugos reglamento (ES) 2016/679 taikymo aspektai
Nuo 2018 m. gegužės 25 d. pradedamas taikyti Bendrasis duomenų apsaugos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinamas Direktyva 95/46/EB (toliau – Reglamentas ).
Atkreiptinas dėmesys į Reglamento pagrindinius aspektus ir rekomenduotinus darbus, siekiant tinkamai taikyti Reglamento nuostatas.
- Rekomenduotinas įmonės veiklos dokumentų susijusių su asmenų duomenimis (sutarčių ar kitų susitarimų) peržiūrėjimas arba auditas. Būtina peržiūrėti, kokie asmens duomenys vykdant veiklą įmonėje yra tvarkomi ir kokia numatyta yra šių duomenų apsauga.
- Nurodyti kokie asmens duomenys įmonėje tvarkomi, kokiu pagrindu jie gauti, kam yra teikiami. Atkreiptinas dėmesys, kad Reglamentas reikalauja duomenų valdytojo įrodyti, kaip yra laikomasi duomenų apsaugos principų, numatytų Reglamento 5 str.
- Reglamentas reikalauja, jog pateikiama minėta informacija būtų lengvai suprantama ir aiški. Todėl rekomenduotina peržiūrėti ir suderinti su Reglamento nuostatomis asmens duomenų tvarkymo taisykles. Asmenims, kurių duomenys tvarkomi turi būti suteikiama informacija, kurioje nurodoma duomenų valdytojo tapatybė ir kontaktiniai duomenys, duomenų tvarkymo tikslai, dėl kurių ketinama tvarkyti asmens duomenis, asmens duomenų gavėjai, jei tokie yra, arba asmens duomenų gavėjų kategorijos ir kita informacija, nurodyta Reglamento 13 straipsnyje. Ši informacija turi būti nurodyta įmonės asmens duomenų tvarkymo taisyklėse, privatumo politikoje ir pan.
- Būtina peržiūrėti visas įmonės vidaus procedūras taikomas duomenų subjekto teisėms įgyvendinti, ir numatyti veiksmus, jeigu duomenų savininkas (subjektas) pareikalaus įgyvendinti jo teisę būti pamirštam. Numatyti galimybę nustatyti ir ištrinti įmonėje tvarkomus tokio asmens duomenis. Numatyti atsakingą asmenį, kuris galės priimti sprendimus dėl tokio asmens duomenų ištrynimo. Todėl akcentuotina į Reglamente numatytą asmens „teisę būti pamirštam“ ir teisę į duomenų perkėlimą įprastu būdu naudojamu ir kompiuterio skaitomu formatu. Reglamente numatytos duomenų subjekto teisės :
- informavimas ir teisė susipažinti su asmens duomenimis,
- teisė reikalauti ištaisyti duomenis,
- teisė reikalauti ištrinti duomenis („teisė būti pamirštam“),
- teisė nesutikti, kad asmens duomenys būtų tvarkomi tiesioginės rinkodaros tikslais, įskaitant profiliavimą, bei kai asmens duomenų tvarkymas vykdomas pagal Reglamento (ES) 2016/679 6 straipsnio 1 dalies e arba f punktus, įskaitant profiliavimą remiantis tomis nuostatomis,
- teisė, kad duomenų subjektui nebūtų taikomas tik automatizuotas duomenų tvarkymas, įskaitant profiliavimą, ir
- teisė į duomenų perkeliamumą.
- Dauguma atvejų Reglamente numatyta vieno mėnesio terminas pateikti atsakymus į duomenų subjekto prašymą. Todėl rekomenduotina atsinaujinti taisykles ir procedūras, reaguojant į duomenų subjektų prašymus. Numatyti pagrindus, kuriais gali būti atsisakoma tenkinti duomenų subjektų prašymus ir kuriais atvejais duomenų tvarkytoja gali pagrįstai imti mokestį (12 str. 5 d.).
- Minėtas priemones bei taisykles numatyti būtina, nes pagal Reglamentą duomenų valdytojas privalės įrodyti, kad asmens prašymas yra akivaizdžiai nepagrįstas arba neproporcingas.
- Reikia peržiūrėti ir įvertinti, kokius asmens duomenis ir kokiais teisiniais pagrindais vadovaujantis tvarkomi asmenų duomenys. Taip pat būtina dokumentuoti ir nurodyti teisinius pagrindus, kuriais vadovaujamasi tvarkant įmonėje asmens duomenis ( Reglamento atskaitomybės principas). Nes, Reglamento 6 str.1 d. numatyta, kad duomenų tvarkymas yra teisėtas tik tuo atveju, jeigu:
- duomenų subjektas davė sutikimą, kad jo asmens duomenys būtų tvarkomi vienu ar keliais konkrečiais tikslais;
- tvarkyti duomenis būtina siekiant įvykdyti sutartį, kurios šalis yra duomenų subjektas, arba siekiant imtis veiksmų duomenų subjekto prašymu prieš sudarant sutartį;
- tvarkyti duomenis būtina, kad būtų įvykdyta duomenų valdytojui taikoma teisinės prievolė ir kt.
- Atkreiptinas dėmesys į asmenų sutikimą. Rekomenduotina peržiūrėti, kaip prašomas, gaunamas ir fiksuojamas asmens duomenų sutikimas.
- Sutikimas turėtų būti duodamas aiškiu aktu patvirtinant, kad jį asmuo suteikė laisva valia ir sutinka, jog būtų tvarkomi su juo susiję asmens duomenys (raštu, įskaitant elektroninėmis priemonėmis).
- Atkreiptinas dėmesys, kad Europos Sąjungos teisėje pirmą kartą reglamentuojamas nepilnamečio iki 16 m. asmens duomenų tvarkymas, ypač kai tai susiję su informacinės visuomenės paslaugų tiesioginiu siūlymu vaikui.
- Reglamento 8 str. nustatyta, kad esant vaikui jaunesniam kaip 16 metų, duomenų tvarkymas yra teisėtas tik tuo atveju, jeigu tą sutikimą davė arba tvarkyti duomenis leido vaiko tėvų pareigų turėtojas, ir tokiu mastu, kokiu duotas toks sutikimas ar leidimas. Todėl įgyvendinant Reglamento reikalavimus būtina patikrinti asmenų, kurių duomenys tvarkomi amžių ir gauti tėvų arba teisėtų atstovų sutikimą dėl vaikų asmens duomenų tvarkymo.
- Sutikimas turi atitikti Reglamento 7 str. numatytas sąlygas, kurios numato, kad, kai duomenys tvarkomi remiantis sutikimu, duomenų valdytojas turi galėti įrodyti, kad duomenų subjektas davė sutikimą, kad būtų tvarkomi jo asmens duomenys. Nes kilus ginčui, duomenų tvarkytojas turės įrodyti, kad asmuo sutikimą tvarkyti jo asmens duomenis davė. Tam tikrais atvejais bus privalu nedelsdami pranešti duomenų subjektui apie asmens duomenų saugumo pažeidimą, pvz.: gali kilti didelis pavojus duomenų subjekto teisėms ir laisvėms, ar atsirasti finansinių nuostolių. Todėl rekomenduotina sukurti taisykles ir numatyti procedūras, kaip turės būti valdomi asmens duomenų saugumo pažeidimai, nes nepranešus apie pažeidimą, kai buvo privaloma pranešti Valstybinei duomenų apsaugos inspekcijai, galės būti skiriama bauda.
- Privaloma pranešti apie tokius pažeidimus, kai fiziniai asmenys:
- gali patirti materialinę ar nematerialinę žalą,
- prarasti savo asmens duomenų kontrolę,
- patirti teisių apribojimą, diskriminaciją,
- gali būti pavogta ar suklastota asmens tapatybė,
- gali būti padaryta asmeniui finansinių nuostolių,
- neleistinai panaikinami pseudonimai,
- gali būti pakenkta asmens reputacijai,
- prarastas asmens duomenų, kurie laikomi profesine paslaptimi, konfidencialumas arba padaryta kita ekonominė ar socialinė žala atitinkamam fiziniam asmeniui.
- Atkreiptinas dėmesys į Reglamento 37 str., kuriame numatyta, kad tam tikroms organizacijoms prievolė paskirti duomenų apsaugos pareigūną, pavyzdžiui, valdžios institucijos ar įstaigos, išskyrus teismus, kai jie vykdo savo teismines funkcijas, arba duomenų valdytojo arba duomenų tvarkytojo pagrindinė veikla yra duomenų tvarkymo operacijos, dėl kurių pobūdžio, aprėpties ir (arba) tikslų būtina reguliariai ir sistemingai dideliu mastu stebėti duomenų subjektus.Taigi, reikės užtikrinti, kad būtų paskirtas įstaigos atsakingas iš išorės, turintis duomenų apsaugos teisės praktinių ir ekspertinių žinių, kuris bus atsakingas už duomenų apsaugai taikomų reikalavimų įgyvendinimą.
- Būtina tinkamai numatyti procedūras, kaip aptikti, pranešti ir ištirti asmens duomenų saugumo pažeidimus. Nes tam tikrais atvejais bus privaloma pranešti atsitikus asmens duomenų saugumo pažeidimui. Nepranešus apie pažeidimą, kai apie tokį pažeidimą privaloma pranešti, gali būti skiriama bauda.