Š. m. pavasarį Europos Parlamentui patvirtinus Bendrąjį duomenų apsaugos reglamentą (Reglamentas), kuris tiesiogiai bus taikomas visose ES valstybėse narėse, verslo įmonėms svarbu atkreipti dėmesį, kokiems naujiems reikalavimams privaloma pasirengti siekiant užtikrinti tinkamą bendrovės vykdomą asmens duomenų tvarkymą.
Nepaisant to, jog reglamentas įsigalios tik po poros metų (nuo 2018 m. gegužės 25 d.), įmonėms skiriamas pereinamasis laikotarpis įgyvendinti pasikeitimus atsižvelgiant į jų mastą. Juos ignoruojant, bendrovėms gresia didelės piniginės baudos – iki 20 mln. eurų arba įmonės atveju – iki 4 proc. jos ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė.
Siekiant tinkamai pasirengti Reglamento taikymui, rekomenduojame:
Informacija duomenų apsaugos klausimais turi būti aiški, pateikta suprantama kalba bei lengvai prieinama.
Pasirengti asmens duomenų tvarkymo politiką. Šioje politikoje aptarkite esminius duomenų tvarkymo principus Jūsų bendrovėje bei duomenų subjekto teises. Atkreipkite dėmesį, kad Reglamentas reikalauja, jog informacija duomenų apsaugos klausimais turi būti aiški, pateikta suprantama kalba bei lengvai prieinama.
Supažindinti darbuotojus su naujovėmis. Užtikrinkite, kad darbuotojai būtų tinkamai supažindinti su Jūsų pasikeitusia asmens duomenų valdymo ir tvarkymo politika, naujais duomenų apsaugos reikalavimais bei savo pareigomis. Naujas su asmens duomenų apsauga susijusias darbuotojų pareigas įtvirtinkite darbo tvarkos taisyklėse, darbo sutartyje, pareiginiuose nuostatuose ar kituose vidaus dokumentuose.
Peržiūrėti naudojamus dokumentus, kuriais vadovaudamiesi tvarkote asmens duomenis. Pagal Reglamentą asmens sutikimas turėtų būti duodamas aiškiu aktu patvirtinant, kad yra suteiktas laisva valia. Sutikimas turi būti konkretus ir aiškus, jog duomenų subjektas sutinka su juo susijusių asmens duomenų tvarkymu.
Peržiūrėkite dabar naudojamų sutikimų formas bei įvertinkite, ar jos tinkamos. Įsitikinkite, jog asmuo yra išsamiai informuotas apie duomenų tvarkymą bei duomenų naudojimo apimtį, o asmenų sutikimai suteikti laisva asmenų valia.
Patikrinti, kaip tvarkomi nepilnamečių duomenys. Remiantis naujomis nuostatomis vaiko asmens duomenų tvarkymas yra teisėtas tik tuo atveju, jei asmuo yra sulaukęs 16 metų amžiaus (valstybės narės įstatymu galės numatyti ir jaunesnio amžiaus ribą, toks amžius negalės būti mažesnis nei 13 metų). Kai asmuo yra jaunesnis nei 16 metų, toks tvarkymas yra teisėtas tik tuo atveju, jeigu tą sutikimą davė arba tvarkyti duomenis leido asmens tėvai (teisėti globėjai).
Remiantis naujomis nuostatomis vaiko asmens duomenų tvarkymas yra teisėtas tik tuo atveju, jei asmuo yra sulaukęs 16 metų amžiaus
Saugoti surenkamus sutikimus. Pabrėžtina, jog kilus ginčui dėl duomenų tvarkymo būtent duomenų valdytojas turės pareigą įrodyti, jog gavo tinkamą duomenų subjekto sutikimą tvarkyti duomenis, todėl tokius sutikimus yra būtina saugoti.
Įdiegti asmens duomenų apsaugos priežiūros mechanizmą. Tokio mechanizmo turėjimas visuose procesuose padės užtikrinti asmens duomenų reikalavimų laikymąsi visose įmonės vykdomos veiklos stadijose bei leis išvengti pažeidimų.
Pasirengti teisės į privatumą užtikrinimui. Pagal Reglamentą asmuo galės reikšti savo teisę būti pamirštam, tad įmonės turi būti pasirengusios tai realizuoti. Pavyzdžiui, duomenų subjektas gali reikalauti duomenų valdytojo ištrinti saugomus asmens duomenis, jei asmens duomenys nebėra reikalingi, kad būtų pasiekti tikslai, kuriais jie buvo renkami arba kitaip tvarkomi arba asmens duomenys buvo tvarkomi neteisėtai.
Pagal Reglamentą asmuo galės reikšti savo teisę būti pamirštam, tad įmonės turi būti pasirengusios tai realizuoti.
Kai duomenų valdytojas viešai paskelbė asmens duomenis ir asmens duomenys privalo būti ištrinti, duomenų valdytojas, atsižvelgdamas į turimas technologijas ir įgyvendinimo sąnaudas, imasi pagrįstų veiksmų, įskaitant technines priemones informuojant bei užtikrinant, jog duomenis tvarkantys valdytojai ištrintų visas nuorodas į tuos asmens duomenis arba jų kopijas ar dublikatus. Pagal Reglamentą duomenų subjektui taip pat atsiranda galimybė perkelti savo duomenis tarp skirtingų paslaugų teikėjų. Tai turėtų leisti pakeisti interneto tiekėją, elektroninio pašto tiekėją neprarandant kontaktų ar išsaugotų elektroninių laiškų.
Nustatyti duomenų tvarkymo mastą. Bendrovių grupėms, kurios veikia tarptautiniu mastu, rekomenduojame įtvirtinti vienodas vidines taisykles, kurios reguliuotų duomenų perdavimą.