ECOVIS ProventusLaw kviečia skaityti naujausią BDAR apžvalgą – mėnesinį šaltinį BDAR naujienoms ir ekspertų patarimams. Čia apžvelgiame svarbiausias BDAR aktualijas, svarbius verslo duomenų analizės metodus ir ekspertų išmintį.
1. VDAI atliktas patikrinimas, kaip trumpalaikės transporto priemonių nuomos paslaugas teikiančios įmonės laikosi duomenų apsaugos reikalavimų.
Baltijos šalių duomenų apsaugos priežiūros institucijos vykdė bendrą prevencinį patikrinimą, siekdamos įvertinti, kaip trumpalaikės transporto priemonių nuomos sektorius laikosi Bendrojo duomenų apsaugos reglamento (BDAR) reikalavimų. Patikrinimo tikslas buvo nustatyti ir sumažinti su asmens duomenų tvarkymu susijusias rizikas sparčiai augančioje šioje srityje.
Patikrinimo metu aptikta duomenų apsaugos reikalavimų laikymosi trūkumų.
Svarbiausi trūkumai:
- nepakankamas skaidrumo užtikrinimas;
- reikšmingos informacijos duomenų subjektams nesuteikimas ir netinkamas teisinių pagrindų pasirinkimas.
Kai kurios įmonės rėmėsi netinkamais teisiniais pagrindais arba negalėjo tokių pagrindų pagrįsti. Dažnai privatumo pranešimuose pateikiama su teisiniu pagrindu ir duomenų tvarkymo apimtimi susijusi informacija neatitikdavo priežiūros institucijoms pateikiamuose atsakymuose nurodomos informacijos. Kai kuriais atvejais tas pats teisinis pagrindas buvo naudojamas visai duomenų tvarkymo veiklai, nepriklausomai nuo tokio pagrindo tinkamumo konkrečiam duomenų tvarkymui. Kartu buvo pateiktos reikšmingos rekomendacijos:
Dėl skaidrumo pagrindo
Skaidrumo principas yra paremtas reikalavimu, kad visa su asmens duomenų tvarkymu susijusi informacija ir susirašinėjimas būtų lengvai prieinamas ir suprantamas. Tam būtina informaciją teikti aiškia ir suprantama, paprasta kalba.
Duomenų valdytojas privalo atlikti šiuos veiksmus:
- Informacija apie asmens duomenų tvarkymą turi būti lengvai prieinama ir suprantama. Ji vartotojui turi būti pateikiama aiškia ir paprasta kalba.
- Privatumo pranešime nurodyta informacija privalo atitikti faktinį duomenų valdytojo tvarkomų asmens duomenų kiekį, tikslus ir teisinius pagrindus.
Privatumo pranešime būtina nurodyti tokią informaciją, iš kurios duomenų subjektas aiškiai suprastų, kas yra duomenų valdytojas, kokie duomenys yra tvarkomi, kokie yra duomenų tvarkymo tikslai ir teisinis pagrindas, bei kokiu būdu duomenų subjektas gali pasinaudoti savo teisėmis.
Dėl tinkamo teisinio pagrindo
BDAR 6 str. 1 d. b p. (sutarties vykdymas) turėtų būti taikomas siauriau. Pastebėtina, kad jis neturėtų būti taikomas tais atvejais, kai asmens duomenų tvarkymas nebūtinas sutarčiai įvykdyti, tačiau jį įmonė vienašališkai nustato savo interesams įgyvendinti.
Vien tai, kad asmens duomenų tvarkymas numatytas sutartyje, dar nereiškia, kad toks tvarkymas yra būtinas sutarties vykdymui. Pavyzdžiui, BDAR 6 str. 1 d. b p. nėra tinkamas teisinis pagrindas klientams profiliuoti arba komerciniams pasiūlymams siųsti. Net jeigu tokia tvarkymo veikla konkrečiai nurodyta sutartyje, tai dar nereiškia, kad duomenų tvarkymas yra „būtinas“ sutarčiai vykdyti.
Tais atvejais, kai duomenis tvarkyti nėra būtina siekiant vykdyti sutartį ir paslaugas galima teikti netvarkant konkrečių duomenų, būtina nustatyti kitą teisinį pagrindą. Įmonės, įvertinusios kiekvieno duomenų tvarkymo pobūdį, gali naudotis kitais BDAR nustatytais teisiniais pagrindais, pavyzdžiui, teisėtais interesais (BDAR 6 str. 1 d. f p.) arba sutikimu (BDAR 6 str. 1 d. a p.), jeigu tenkinamos minėtų teisinių pagrindų taikymui keliamos sąlygos.
Dėl biometrinių duomenų
Tvarkydamas specialių kategorijų asmens duomenis (veido atvaizdo duomenis), duomenų valdytojas privalo ne tik vadovautis BDAR 6 straipsnyje bent vienu nurodytu teisiniu pagrindu, bet taip pat ir BDAR 9 straipsnyje nustatytomis draudimo tvarkyti specialios kategorijos duomenis išimtimis. Jei tvarkydamas specialių kategorijų asmens duomenis (veido atvaizdo duomenis), duomenų valdytojas remiasi duomenų subjekto sutikimu, jis privalo užtikrinti, kad sutikimas būtų duotas savanoriškai ir egzistuotų reali alternatyva tais atvejais, kai duomenų subjektas nenori duoti sutikimo arba atšaukė savo sutikimą.
2. ENISA rengiamos gairės kibernetinio saugumo rizikos valdymo reikalavimams įgyvendinti pagal ES reglamentą 2024/2690.
Europos Sąjungos kibernetinio saugumo agentūra (ENISA) rengia įgyvendinimo gaires, kuriomis siekiama padėti ES valstybėms narėms ir kibernetinio saugumo subjektams įgyvendinti 2024 m. spalio 17 d. Europos Komisijos įgyvendinimo reglamente (ES) 2024/2690 nustatytus kibernetinio saugumo rizikos valdymo priemonių techninius ir metodinius reikalavimus. Šiose gairėse bus siekiama pateikti:
- papildomus patarimus ir rekomendacijas, į ką atsižvelgti įgyvendinant vieną ar kitą reikalavimą, ir išsamesnius paaiškinimus apie teisės akto tekste vartojamas sąvokas ir terminus;
- rodymų, kuriais remiantis galima bus įvertinti, ar reikalavimas įvykdytas, pavyzdžius;
- lenteles, kuriose Europos Komisijos įgyvendinimo reglamente nustatyti reikalavimai bus susieti su Europos ir tarptautiniais standartais bei nacionaliniais teisės aktais.
ENISA parengtas Įgyvendinimo gairių projektas jau pateiktas konsultacijoms su pramonės atstovais šioje nuorodoje: TIS 2 saugumo priemonių įgyvendinimo gairės – ENISA . Kiek vėliau Įgyvendinimo gairių projektas bus pateiktas konsultacijoms su viešojo sektoriaus atstovais.
3. Atnaujintas kibernetinio saugumo įstatymas.
Krašto apsaugos ministerija pristato naują išsamią brošiūrą apie atnaujintą Kibernetinio saugumo įstatymą. Brošiūra skirta įvairių sričių specialistams – informacijos apsaugos, fizinės saugos, kibernetinių incidentų reagavimo, saugos įgaliotiniams, būsimiems kibernetinio saugumo vadovams, teisininkams ir kitiems, kuriems organizacijų vadovai skirs užduotį įgyvendinti šio įstatymo nuostatas.
4. Akreditavimas pagal BDAR. Kokie reikalavimai taikomi siekiant teikti sertifikavimo paslaugas pagal BDAR?
Valstybinė duomenų apsaugos inspekcija, patvirtino fizinių ir juridinių asmenų, siekiančių teikti sertifikavimo paslaugas, akreditavimo procedūrą.
Sertifikavimo įstaigų akreditavimas ir jų ateityje numatomas vykdyti sertifikavimas yra savanoriška priemonė, kurios gali imtis duomenų valdytojai ir (ar) duomenų tvarkytojai, norėdami pagrįsti, kad jų veikla (jos dalis) atitinka asmens duomenų apsaugos reikalavimus ir padidinti pasitikėjimą savo teikiamomis paslaugomis.
Sertifikuotis naudinga gali būti naudinga organizacijoms ar tam tikras asmens duomenų tvarkymo paslaugas teikiantiems fiziniams asmenims. Sertifikatus galės išduoti tik VDAI akredituotos sertifikavimo įstaigos, kurios teiks sertifikavimo paslaugas pagal sertifikavimo kriterijus, kurie pagal BDAR įtvirtintą nuoseklumo užtikrinimo procedūrą turės būti įvertinti visų asmens duomenų apsaugos priežiūros institucijų ir dėl kurių Europos duomenų apsaugos valdyba (toliau – EDAV) bus priėmusi nuomonę. Tai reiškia, kad sertifikatus pagal BDAR turintys asmenys galės jais naudotis siekiant jų paslaugų gavėjams papildomai pagrįsti, kad tam tikra jų atliekama asmens duomenų tvarkymo veikla atitinka BDAR reikalavimus.
Sertifikavimo paslaugas galės teikti tik tokios sertifikavimo įstaigos, kurios (taikomos visos sąlygos):
- Turi teisę naudotis sertifikavimo kriterijais, t. y. yra gavę šių kriterijų savininko sutikimą sertifikavimo kriterijus naudoti, arba yra tokių sertifikavimo kriterijų savininkės (dėl tokių sertifikavimo kriterijų EDAV nuomonė taip pat turi būti gauta, žr. Sertifikavimo kriterijų patvirtinimo tvarkos aprašą.
- Kurias akreditavo VDAI Sertifikavimo įstaigų akreditavimo tvarkos aprašą.
Viešosios konsultacijos dėl BDAR 48 straipsnio gairių duomenų perdavimui trečiosioms šalims.
Europos duomenų apsaugos valdyba (EDAV) paskelbė BDAR 48 straipsnio gaires dėl duomenų perdavimo trečiųjų šalių institucijoms ir patvirtino naują Europos duomenų apsaugos ženklą viešajai konsultacijai.
Trečiųjų šalių institucijų sprendimai negali būti automatiškai pripažįstami ar vykdomi Europoje. Jei organizacija atsako į trečiosios šalies institucijos prašymą pateikti asmens duomenis, šis duomenų srautas laikomas perdavimu ir taikomas BDAR. Tarptautiniame susitarime gali būti numatytas ir teisinis pagrindas, ir perdavimo pagrindas. Jei nėra tarptautinio susitarimo arba jei susitarime nenumatytas tinkamas teisinis pagrindas ar apsaugos priemonės, išskirtinėmis aplinkybėmis ir kiekvienu konkrečiu atveju būtų galima apsvarstyti kitus teisinius pagrindus ar kitas perdavimo priežastis.
Dėl gairių iki 2025 m. sausio 27 d. vyks viešos konsultacijos.
6. Skaitmeninės veiklos atsparumo aktas (angl. Digital Operational Resilience Act, DORA) reglamento taikymas ir įgyvendinimas.
2025 m. sausio 17 d. pradedama taikyti DORA .
Kompetentingos institucijos Europos priežiūros institucijoms turi iki 2025 m. balandžio 30 d. pateikti informaciją apie finansų subjektų susitarimų su IRT trečiųjų šalių paslaugų teikėjais registrus, šią informaciją kompetentingos institucijos surinks iš finansų rinkos dalyvių.
2024 m. lapkričio 29 dieną buvo priimtas Komisijos įgyvendinimo reglamentas (eES) 2024/2956, kuriuo nustatomi Europos parlamento ir tarybos reglamento (es) 2022/2554 taikymo techniniai įgyvendinimo standartai, susiję su standartiniais informacijos registro šablonais.
EPI taip pat paskelbė ir tikrinimo taisyklių (angl. validation rules), kurios bus naudojamos analizuojant pateiktus registrus, sąrašą ir naudojamą duomenų modelį. Šios taisyklės bus įtrauktos į atnaujintą ataskaitų teikimo techninį paketą (įskaitant atnaujintą duomenų taškų modelį, taksonomiją ir tvirtinimo taisykles), jis turėtų būti paskelbtas 2024 m. gruodžio mėn
7. Europos dirbtinio intelekto biuras pradėjo konsultacijas dėl DI sistemų apibrėžimo ir draudžiamų praktikų.
Europos dirbtinio intelekto biuras pradėjo konsultacijų procesą, kuriuo siekiama apibrėžti, kas yra DI sistema, ir nustatyti DI akte numatytas draudžiamas DI praktikas.
Be teisėsaugos naudojamo realaus laiko nuotolinio biometrinio identifikavimo, konsultacijų tikslas – detaliau išanalizuoti tokias DI praktikas kaip:
- netikslinis interneto ar vaizdo stebėjimo kamerų medžiagos rinkimą veidų atpažinimo duomenų bazėms;
- emocijų atpažinimas darbo vietoje ar švietimo srityje;
- biometrinės klasifikavimo programos, naudojamos jautrioms asmenų kategorijoms nustatyti.
Kiti svarstomi DI naudojimo atvejai apima:
- žalingų pasąmoninių, manipuliuojančių ir klaidinančių metodų naudojimą;
- nepriimtiną socialinį vertinimą;
- individualios nusikalstamumo rizikos vertinimą ir prognozavimą.
Europos Komisijos gairės nacionalinėms institucijoms, DI teikėjams ir naudotojams, bus paskelbtos 2025 m. pradžioje.
Naujienlaiškio prenumerata
Susisiekti