Artėja terminas, kuomet visos įmonės, kaupiančios ir tvarkančios žmonių asmens duomenis –vardus ir pavardes, gyvenamosios vietos, elektroninio pašto adresus, telefono numerius ir pan. – privalės užtikrinti vienodą visoje Europos Sąjungoje (toliau- ES) asmens duomenų tvarkymo teisinį reguliavimą, nors, Europos Komisijos duomenimis, tik apie 15 proc. žmonių žino, kokie jų duomenys ir kaip yra tvarkomi. Tačiau ar Lietuva ir Lietuvos verslas spės pasirengti kokybiškai atlikti privatumo rizikų vertinimą viduje, susistyguoti duomenų tvarkymo procesus bei efektyviai įgyvendinti vartotojų, klientų ar paslaugų gavėjų teises duomenų apsaugos srityje ?
2018 m. gegužės 25 d. asmens duomenų tvarkymą ES pradės reglamentuoti iš esmės nekeičiantis asmens duomenų apsaugos principų, bet gerokai griežtesnius asmens duomenų tvarkymo reikalavimus numatantis Bendrasis duomenų apsaugos reglamentas (toliau – Reglamentas). Jam įsigaliojus, duomenų apsauga iš periferinės, mažai rizikingos srities, turėtų virsti svarbia bendrovių veiklos dalimi, nuo kurios priklausys organizacijos sėkmė. Naujasis Reglamentas siekia pakeisti jėgų pusiausvyrą tarp duomenų subjektų ir bendrovių bei institucijų, valdančių ir tvarkančių jų duomenis, suteikdamas duomenų subjektams daugiau galimybių kontroliuoti savo duomenis.
Praėjusių metų rudenį JAV programinės įrangos gamintojo SYMANTEC atlikta studija parodė, kad daugelis Jungtinės Karalystės, Vokietijos ir Prancūzijos bendrovių ne tik kad dar nėra pasirengę, bet ir neturi reikiamo supratimo, kaip šis Reglamentas paveiks organizacijų veiklą.
Kaip teigia advokatų kontoros ECOVIS ProventusLaw advokatė Loreta Andziulytė, iš esmės naujuoju Reglamentu siekiama tvirtos ir geriau suderintos duomenų apsaugos sistemos, paremtos griežtu vykdymo užtikrinimu, nes svarbu sukurti pasitikėjimą, kuris sudarys sąlygas ekonomikai vystytis vidaus rinkose, taip pat siekiama užtikrinti vienodo ir aukšto lygio asmenų apsaugą ir pašalinti asmens duomenų judėjimo ES kliūtis, garantuoti lygiavertę asmenų teisių ir laisvių apsaugą, tvarkant asmens duomenis. „Naujajame teisės akte dar aiškiau, nei dabar galiojančiuose, įtvirtinama, kad asmens duomenis bus galima tvarkyti gavus duomenų subjekto sutikimą, bei aiškiau ir detaliau apibrėžiama pati „duomenų subjekto sutikimo“ sąvoka. Reglamentas nustato, kad turi būti užtikrinama, kad duomenų subjektas aiškiai ir nedviprasmiškai suvoktų, kad jis duoda sutikimą ir dėl ko jis jį duoda, sutikimas turi būti duodamas aiškiu aktu patvirtinant, kad yra suteiktas laisva valia, konkretus, informacija pagrįstas ir vienareikšmis nurodymas, kad duomenų subjektas sutinka, kad būtų tvarkomi su juo susiję asmens duomenys “, – tikina L. Andziulytė.
Naujajame teisės akte dar aiškiau, nei dabar galiojančiuose, įtvirtinama, kad asmens duomenis bus galima tvarkyti gavus duomenų subjekto sutikimą, bei aiškiau ir detaliau apibrėžiama pati „duomenų subjekto sutikimo“ sąvoka
Bet kuris asmuo, patyręs žalą dėl Reglamento pažeidimo, turės teisę iš duomenų valdytojo arba tvarkytojo gauti kompensaciją už patirtą žalą: valdytojas atsakys už žalą, padarytą dėl vykdyto duomenų tvarkymo pažeidžiant Reglamentą, o tvarkytojas- tuo atveju, jei jis nesilaikys Reglamente tvarkytojams nustatytų prievolių arba veiks nepaisydamas teisėtų duomenų valdytojų nurodymų arba juos pažeisdamas.
Įsigaliojus Reglamentui, nebeliks pareigos pranešti apie duomenų tvarkymą įgaliotai institucijai: įmonės ir organizacijos, ketindamos vykdyti visiškai ar iš dalies automatinį duomenų tvarkymą, nebeprivalės apie tai pranešti iš anksto asmens duomenų priežiūros institucijai.
Nauja ir tai, kad duomenų valdytojai ir duomenų tvarkytojai galės perduoti asmens duomenis į trečiąją valstybę tik tuo atveju, jeigu duomenų valdytojas arba duomenų tvarkytojas yra nustatęs tinkamas apsaugos priemones, su sąlyga, kad suteikiama galimybė naudotis vykdytinomis duomenų subjektų teisėmis ir veiksmingomis duomenų subjektų teisių gynimo priemonėmis.
Be to, bus būtina nepagrįstai nedelsiant informuoti duomenų subjektus apie asmens duomenų saugumo pažeidimą, jei dėl to gali likti didelis pavojus asmenų teisėms ir laisvėms. Pirmą kartą ES teisėje reglamentuojamas ir nepilnamečio iki 16 m. asmens duomenų tvarkymas. Nustatyta, kad vaikų iki 16 metų asmens duomenų tvarkymas yra teisėtas tik tuo atveju, jeigu tą sutikimą davė arba tvarkyti duomenis leido vaiko tėvų pareigų turėtojas, ir tokiu mastu, kokiu duotas toks sutikimas ar leidimas.
Duomenų valdytojai ir duomenų tvarkytojai galės perduoti asmens duomenis į trečiąją valstybę tik tuo atveju, jeigu duomenų valdytojas arba duomenų tvarkytojas yra nustatęs tinkamas apsaugos priemones.
Siekiant valstybes skatinti verslą ir prisiimti atsakomybę už tai, kad duomenis verslas naudos taip, kad negalėtų pakenkti asmenims, kurių tie duomenys yra, Reglamente numatoma duomenų apsaugos pareigūno organizacijoje pozicija (privaloma tik Reglamente numatytais atvejais). Duomenų apsaugos pareigūnas turėtų tapti tarpininku tarp bendrovės darbuotojų padalinių, asmenų, kurių duomenys renkami (klientų, vartotojų, partnerių) ir priežiūros institucijų.Tai leis užtikrinti pasitikėjimą ir sklandų bendradarbiavimą tarp paminėtų subjektų, valdyti baudų riziką. Reglamentas leidžia organizacijoms pasirinkti, ar duomenų apsaugos pareigūno funkcijas atliks darbuotojas, ar pagal paslaugų teikimo sutartį veikiantis asmuo iš išorės.
Įmonės, kaupiančios ir tvarkančios vienokius ar kitokius savo klientų duomenis, naujojo Reglamento įsigaliojimui turėtų ruoštis jau dabar. Advokatė L. Andziulytė pirmiausia pataria įmonėms pradėti kalbėti suprantamai. „Prašydami duomenų pasakykite, kas esate, kodėl tvarkote asmens duomenis, kiek ilgai jie bus saugomi, kas juos gaus. Lieskite žmonėms susipažinti su jų duomenimis, ištrinkite jų asmens duomenis, jei jie to prašo“, – pataria ECOVIS ProventusLaw advokatė. Be to, ji pataria nepamiršti naudoti papildomų apsaugos priemonių informacijai apie sveikatą, rasę, lytinę orientaciją, religiją ir politines pažiūras, suteikti žmonėms teisę atsisakyti tiesioginės rinkodaros, kurios tikslais naudojami jų duomenys, bei pasirūpinti teisiniais susitarimais, perduodant duomenis šalims, kurios nėra patvirtintos ES institucijų.
„Prašydami duomenų pasakykite, kas esate, kodėl tvarkote asmens duomenis, kiek ilgai jie bus saugomi, kas juos gaus. Lieskite žmonėms susipažinti su jų duomenimis, ištrinkite jų asmens duomenis, jei jie to prašo“, – pataria ECOVIS ProventusLaw advokatė.
Naujajame Reglamente numatytas baudų dydis turėtų rimtai priversti suklusti esamus ir būsimus duomenų valdytojus ir pažvelgti į asmens duomenų apsaugą labai atsakingai. Duomenų valdytojams ir tvarkytojams, pažeidusiems Reglamento nuostatas, galės būti skiriamos administracinės baudos, kurios kiekvienu konkrečiu atveju turės būti veiksmingos, proporcingos ir atgrasančios: priklausomai nuo Reglamento pažeidimo pobūdžio, bauda galės siekti nuo 2 iki 4 proc. ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, arba nuo 10 000 000 iki 20 000 000 EUR, atsižvelgiant į tai, kuri suma didesnė. Į didžiausias baudas pretenduoja duomenų rinkimas be asmens sutikimo ar kito teisėto pagrindo, perteklinių duomenų, kurie nėra būtini bendrovei, rinkimas arba atsisakymas asmenį supažindinti su apie jį kaupiama informacija.
Lietuvoje dabartinis naujai įsigaliojęs Administracinių nusižengimų kodeksas numato daug mažesnes baudas už neatsakingą požiūrį į duomenų apsaugą- iki 3000 EUR- ir tai vienos mažiausių baudų Europoje. Vis dėlto organizacijos turėtų koncentruotis ne į baudas, o suprasti, kodėl ir ko iš jų pareikalaus reguliavimas.
Skaičiuojama, kad naujoji duomenų apsaugos sistema padės sumažinti 130 mln. EUR išlaidų, informuojant 28 skirtingas verslo duomenų apsaugos institucijas ES pagal seną sistemą, o taip pat numatoma 2,3 mlrd. EUR ekonominė nauda, turint vieną teisės aktą. Naujos taisyklės turėtų padidinti vartotojų pasitikėjimą ir, savo ruožtu, skatinti verslą.