Asmens duomenų apsauga - Kreditorius.com

Asmens duomenų apsauga

asmens duomenu apsaugaLietuvoje 2018 m. gegužės 25 d. įsigaliojus Bendrajam duomenų apsaugos reglamentui (toliau – BDAR), asmens duomenų apsauga tapo itin aktuali sritis įmonėms bei visoms organizacijoms, tvarkančioms savo klientų asmens duomenis. Mat įsigaliojus BDAR (dėl didelio duomenų apsaugos teisių pažeidimų), ekonominės sankcijos už duomenų apsaugos pažeidimus tapo itin didelės. Valstybinė duomenų apsaugos inspekcija yra atsakinga už tai, kaip yra taikomas BDAR bei Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas (toliau – ADTAĮ). Dėl šios priežasties, užfiksavusi BDAR numatytus asmens duomenų teisių pažeidimus, Valstybinė duomenų apsaugos inspekcija gali teisėtai skirti baudą iki 40 mln. eurų arba 4 % ankstesnių finansinių metų bendros metinės apyvartos (priklausomai nuo to, kuri suma yra didesnė).

Tačiau ne tik dėl milžiniškų baudų, tačiau ir dėl didėjančio visuomenės susidomėjimo asmens duomenų apsauga kiekviena įmonė ir organizacija, besirūpinanti savo reputacija, turėtų užtikrinti savo vykdomos veiklos atitiktį asmens duomenų apsaugos reikalavimams. Juk kiekviena įmonė rūpinasi savo klientų gerove ir teisine apsauga!

Kodėl verta rinktis mus?

Reguliavimą atitinkanti asmens duomenų apsauga reikalauja praktinės patirties ir profesinio atidumo. Mūsų komandą sudaro teisininkai, turintys itin didelę patirtį ir kvalifikaciją asmens duomenų apsaugos srityje, kurią nuolat tobulina. Todėl mūsų teisininkų komanda gali padėti užtikrinti, jog Jūsų įmonėje ar organizacijoje tvarkomi asmens duomenys atitiks BDAR ir ADTAĮ keliamus reikalavimus. Esame suinteresuoti nuolat domėtis užsienio šalių patirtimi bei Valstybinės duomenų apsaugos inspekcijos reikalavimais-rekomendacijomis, todėl siekiame, jog mūsų paslaugos būtų teikiamos pagal aukščiausius kokybės priežiūros institucijų reikalavimų standartus.


Jeigu Jums asmens duomenų apsauga yra aktuali – kreipkitės. Mes pasiūlysime itin konkurencingas paslaugų kainas bei patogius atsiskaitymo planus, pritaikytus kiekvieno kliento unikaliems poreikiams ir galimybėms.

MŪSŲ PASLAUGOS

BDAR dokumentų paketo rengimas

Įmonės veiklos reglamentavimas pagal BDAR reikalavimus. Atlikus įmonės veiklos analizę, parengsime būtinąjį dokumentų formų paketą, Bendrojo duomenų apsaugos reglamento reikalavimų įgyvendinimui.

BDAR auditas

Nustatysime įmonės veiklas ir operacijas, susijusias su asmens duomenų tvarkymu. Identifikuosime tvarkomų duomenų kategorijas, teisėtumo pagrindus duomenų tvarkymui. Išsamiai įvertinsime įmonės veiksmus, kuriais gaunami bei įgyvendinami duomenų tvarkymo teisėtumo reikalavimai, nustatysime trūkumus ir pasiūlysime, kaip šiuos trūkumus paversti privalumais!

BDAR Mokymai

Mūsų komanda veda seminarus ir pristatymus įmonėms bei būsimiems duomenų apsaugos pareigūnams. Jų metu dalyviai yra supažindinami su asmens duomenų apsaugos reikalavimais, principais ir pagrindinėmis taisyklėmis. Vyksta atviros konsultacijos, programos gali būti sudaromos pagal Jūsų specialius poreikius. Po kursų išduodami sertifikatai.

Duomenų apsaugos pareigūnas

Duomenų apsaugos pareigūnas (DAP) - tai specialistas, kuris stebi ir vertina Jūsų įmonės ar įstaigos asmens duomenų tvarkymo operacijas bei jų atitikimą įstatymų reikalavimams. Pasirinkę mūsų teikiamas paslaugas, galime užtikrinti, jog Jūsų tvarkomi asmens duomenys atitiks BDAR reikalavimus.

D.U.K

Asmens duomenimis yra laikoma bet kokios formos, išraiškos ir rūšies informacija, iš kurios tiesiogiai ar netiesiogiai įmanoma nustatyti fizinio asmens (duomenų subjekto) tapatybę. Asmens duomenimis laikomi ne tik fizinio asmens vardas, pavardė ar asmens kodas, tačiau ir elektroninio pašto ar gyvenamosios vietos adresai, interneto protokolo (IP) adresas, asmens vaizdo ar garso įrašų duomenys ir kt. Įstatymai nenumato baigtinio sąrašo asmens duomenų apibrėžime. Todėl, tvarkant duomenis, yra privalu kaskart atidžiai vertinti, ar tvarkomi duomenys nėra laikytini asmens duomenimis, kadangi tai lemia tvarkomiems duomenims taikomų reikalavimų griežtumo lygį.


Nustačius, jog duomenys yra laikytini asmens duomenimis, yra būtina jų tvarkymui taikyti Bendrojo duomenų apsaugos reglamento reikalavimus.


Jei nesate tikri dėl to, ar Jūsų tvarkomi duomenys patenka į asmens duomenų apibrėžtį, šiuo klausimu kreipkitės į UAB Kreditorius teisininkus konsultacijos. Maloniai atsakysime į visus Jums kylančius klausimus.

Ne visi asmens duomenys yra vienodai griežtai saugomi Bendrojo duomenų apsaugos reglamento (toliau – BDAR). Yra specialiosios kategorijos asmens duomenų, apibrėžtos BDAR 9 straipsnio 1 dalyje, kurių tvarkymo teisėtumas yra leidžiamas tik išimtiniais atvejais. Šios duomenų kategorijos apima asmens duomenis apie seksualinę orientaciją, rasinę kilmę, politines pažiūras ar religinius, filosofinius įsitikinimus, narystę profesinėse sąjungose, genetinius, sveikatos duomenis, duomenis apie asmens atliktus nusikaltimus ir kt. Tampa akivaizdu, jog šios duomenų kategorijos yra gana abstrakčios (pvz., filosofiniai įsitikinimai), todėl jos gali apimti daugybę įvairių šaltinių, kuriuose gali būti fiksuojami specialiųjų kategorijų asmens duomenys. Tvarkant tokių kategorijų duomenis, yra privalu įsitikinti duomenų tvarkymo teisėtumu, kad jų tvarkymas BDAR 9 straipsnio 1 dalimi yra draudžiamas, o galimos draudimo išimtys pateiktos to paties straipsnio 2 dalyje. Keletas tokių išimčių: aiškus asmens sutikimas, svarbios su viešuoju interesu susijusios priežastys nurodytos įstatymuose ir pan.


Kylant abejonėms dėl to, ar Jūsų tvarkomi asmens duomenys nėra priskiriami specialiųjų kategorijų asmens duomenims, yra patartina pasikonsultuoti su Valstybine duomenų apsaugos inspekcija.


Dėl teisėto specialiųjų ir nespecialiųjų kategorijų asmens duomenų tvarkymo galite kreiptis į UAB Kreditoriaus asmens duomenų teisės specialistus. Pakonsultuosime ir atliksime išsamų Jūsų duomenų ir įmonės veiklos auditą, kurio metu bus išsamiai įvertintos galimos duomenų tvarkymo rizikos ir reikalingi veiksmai joms pašalinti.

Kalbant apie „paprastuosius“, ne specialių kategorijų asmens duomenis, BDAR pateikia baigtinį sąrašą pagrindų, kuriais remiantis yra teisėta tvarkyti asmens duomenis. 

Pakanka bet kurio vieno iš sekančių pagrindų: 

1) asmens sutikimas; 

2) būtinybė vykdyti sutartį su tuo asmeniu; 

3) būtinybė vykdyti įstatymo normą; 

4) gyvybinių asmens interesų apsauga; 

5) viešasis interesas.


Pavyzdžiui, asmeniui davus aiškiai išreikštą sutikimą tvarkyti jo asmens duomenis, tokie duomenų tvarkymo veiksmai yra laikomi teisėtais. Svarbu: pareiga įrodyti, jog asmuo davė sutikimą tvarkyti jo asmens duomenis, tenka duomenų tvarkytojui (asmeniui, tvarkančiam fizinio asmens duomenis). Todėl duomenų tvarkytojas visais atvejais privalo rinkti ir saugoti turimus įrodymus apie vienokią ar kitokią teisėto duomenų tvarkymo sąlygą.

Bendrasis duomenų apsaugos reglamentas (toliau – BDAR) – tai 2018 metų gegužės 25 d. Lietuvoje įsigaliojęs Europos Parlamento ir Tarybos reglamentas (ES) 2016/679), kuriuo visoje Europos Sąjungoje buvo nustatyti ir visiems asmenims vienodai sureguliuoti asmens duomenų apsaugos reikalavimai bei atsakomybė už jų pažeidimus. Dėl savo išsamumo ir apimties, BDAR tapo asmens duomenų apsaugos „konstitucija“ ir pagrindiniu šią sritį reguliuojančiu teisės aktu Lietuvoje, Europoje ir visame pasaulyje.

BDAR taikomas juridiniams bei fiziniams asmenims, kurie vykdo ūkinę veiklą bei atlieka vaizdo stebėjimą viešose ar bendro naudojimo erdvėse. Šie taikymo atvejai yra ganėtinai sudėtingi, todėl pateiksime keletą pavyzdžių, iliustruojančių tipinius BDAR taikymo ir netaikymo atvejus:

 

  • BDAR taikomas įmonei X, jeigu jos darbuotojas, vykdydamas darbines funkcijas, vienaip ar kitaip tvarkė kitų asmenų asmens duomenis (pvz., rinko klientų el. pašto adresus, vardus ir pavardes, įrašinėjo pokalbius ar kitais įmanomais būdais rinko asmenų asmens duomenis). Šiuo atveju BDAR bus netaikomas, jeigu toks įmonės X darbuotojas rinks asmenų duomenis savo asmeniniais, ne įmonės veiklos tikslais. Nustačius, jog darbuotojas veikė kaip fizinis asmuo savo asmeniniais interesais, įmonei X atsakomybė dėl BDAR taikymo nekils ir BDAR nebus taikomas.
  • BDAR bus taikomas fiziniam asmeniui, vykdančiam nuolatinį vaizdo stebėjimą viešoje ar bendro naudojimo erdvėje (pvz., asmeniui įrengus vaizdo stebėjimo kamerą daugiabučio laiptinėje, kieme ir pan.). Tokiu atveju BDAR taikomas nepriklausomai nuo to, ar asmuo vykdo vaizdo stebėjimą asmeniniais ar įmonės X tikslais.
  • Tačiau BDAR nebus taikomas, jeigu fizinis asmuo vykdo vaizdo stebėjimą sau priklausančioje, asmeninėje teritorijoje (pvz., savo namuose, namų kieme ir pan.). Šiuo atveju svarbu, kad kameros stebėjimo laukas neapimtų viešo naudojimo ar bendro naudojimo erdvės (viešųjų kelių, šaligatvių, koridorių ir pan.).
  • BDAR taikomas ne tik įmonėms, tačiau ir ūkinę veiklą vykdantiems asmenims (bei jų interesais veikiantiems asmenims ar darbuotojams). Šiuo atveju svarbu atskirti fizinio asmens asmeninę ir ūkinę veiklą, kadangi nuo to priklauso BDAR taikymo arba netaikymo faktas. LR Konkurencijos įstatymo 3 straipsnio 21 punkte apibrėžta, jog ūkinė veikla apima bet kokią gamybinę, komercinę, finansinę ar profesinę veiklą, išreikštą paslaugų ar prekių pirkimu ar pardavimu. Tačiau ūkinė veikla nėra laikoma veikla, kuomet prekių ar paslaugų asmuo įgyja asmeniniams poreikiams tenkinti. Taigi, jei asmens veikla patenka į ūkinės veiklos apibrėžimą, tokiai veiklai (kaip ir įmonės veiklai), bus taikomi BDAR numatyti asmens duomenų apsaugos reikalavimai.
  • BDAR visais atvejais netaikomas tvarkant mirusio asmens duomenis bei tvarkant juridinio asmens duomenis (kurie net nėra laikomi asmens duomenimis.). Asmens duomenų sąvoką galite rasti Bendrojo duomenų apsaugos reglamento 4 straipsnyje. Jame nurodyta, jog asmens duomenys yra bet kokia informacija apie fizinį asmenį, iš kurios galima nustatyti to asmens tapatybę.

Norėdami pasikonsultuoti apie savo vykdomą veiklą ir jai taikomus ar netaikomus BDAR reikalavimus, kreipkitės į UAB Kreditoriaus specialistus.

Taip, BDAR taikomas naujai įsisteigusioms įmonėms lygiai tokia pačia apimtimi kaip ir senoms įmonėms. BDAR taikymui išimties nedaro įmonės steigimo data. Jis vienodai galioja visoms įmonėms, tiek įsteigtoms iki BDAR įsigaliojimo Lietuvoje (2018-05-25), tiek ir po jo įsigaliojimo.

Taip. Tvarkantys ar siekiantys tvarkyti vaikų asmens duomenis asmenys privalo, visų pirma, identifikuoti pagrindą, kuriuo remdamiesi atlieka duomenų tvarkymą. Nustačius, jog duomenys tvarkomi (ar ketinami tvarkyti) remiantis nepilnamečių sutikimu, būtina gauti ir vaiko įstatyminio atstovo (tėvo, motinos ar globėjo) sutikimą. Pvz., siekiant rinkti vaiko asmens duomenis, kompiuterinio žaidimo pagalba, būtina tam turėti išankstinį rašytinį (pvz., el .paštu) vaiko įstatyminių atstovų sutikimą. Priešingu atveju, vien vaiko sutikimas, remiantis BDAR, nebus laikomas pakankamu ir teisėtu. Vaikų amžius skiriasi kiekvienoje ES valstybėje nuo 13 iki 16 metų. Minėtas apribojimas netaikomas nepilnamečiams, vyresniems nei 16 metų.

Iš esmės BDAR reguliuoja visus veiksmus, kuriuos įmonės (ir ūkinę veiklą vykdantys asmenys) gali atlikti su fizinių asmenų asmens duomenimis. Kaip apibrėžta BDAR 4 straipsnyje, duomenų tvarkymas, tai bet kokie su asmens duomenimis atliekami veiksmai. Pvz.: rinkti, perduoti, rūšiuoti, įrašyti, saugoti, susipažinti, bet kaip naudoti, atskleisti, platinti ir kt.


Tai nereiškia, jog BDAR reguliuoja, kokiomis priemonėmis reikia rinkti asmens duomenis, kaip juos surinkus naudoti, kaip ir kiek juos saugoti ar pan. Iš esmės Bendrasis duomenų apsaugos reglamentas užtikrina teisinę apsaugą tų fizinių asmenų, kurių duomenis įmonės ar ūkinę veiklą vykdantys asmenys tvarko (renka, rūšiuoja ir pan.). Kad minėti tikslai būtų pasiekti, BDAR numato eilę veiksmų ir teisinių užtikrinimo priemonių, kurias privalo įgyvendinti asmenų duomenis tvarkančios įmonės ir ūkinę veiklą vykdantys asmenys.


Norėdami įvertinti savo įmonės interneto svetainės, dokumentacijos ar atliekamų veiksmų atitikimą BDAR reikalavimams, kreipkitės į mus ir teiraukitės dėl BDAR audito paslaugos.

Lietuvoje asmens duomenų apsaugos priežiūros institucija yra paskirta Valstybinė duomenų apsaugos inspekcija. Ši įstaiga turi įgaliojimus tikrinti, kaip įmonės laikosi BDAR reikalavimų. Vienas pagrindinių šios institucijos veiklos tikslų – nagrinėti skundus dėl BDAR pažeidimų. 

Tai reiškia, jog kiekvienas fizinis asmuo gali kreiptis su skundu į šią įstaigą, jeigu mano, jog buvo pažeistos jo teisės, numatytos BDAR. Taigi Valstybinė duomenų apsaugos inspekcija užtikrina BDAR priežiūrą nagrinėdama asmenų skundus, atlikdama tikrinimus ir konsultuodama piliečius su BDAR susijusiais klausimais. Nustačiusi pažeidimus, Inspekcija dažnai teikia įvairaus pobūdžio nurodymus, susijusius su BDAR įgyvendinimu.

Norėdami pateikti Valstybinei duomenų apsaugos inspekcijai skundą ar dėl kitų priežasčių būdami priversti bendrauti su šia įstaiga, galite kreiptis į UAB Kreditoriaus teisininkus. Suteiksime išsamią konsultaciją bei padėsime parengti visus dokumentus, susijusius su BDAR ar Valstybinės duomenų apsaugos inspekcijos nurodymų įgyvendinimu.

DAP funkcija yra įtvirtinta BDAR. Šis asmuo padeda įmonei vykdyti veiklą pagal BDAR reikalavimus. BDAR 39 straipsnyje yra nurodytos duomenų apsaugos pareigūno funkcijos: konsultuoti įmonę, stebėti jos vykdomus veiksmus, tarpininkauti su fiziniais asmenimis ir priežiūros institucija ir kt. Iš esmės duomenų apsaugos pareigūnas skirtas įmonėms, tvarkančioms didelį kiekį arba ypatingus asmens duomenis. Dėl šios priežasties, BDAR 37 straipsnyje yra įvardinti kriterijai įmonėms, kurioms DAP yra privalomas. Pvz., DAP yra privalomas visoms valstybinėms įstaigoms, kadangi laikoma, jog jos aptarnauja didelius srautus klientų bei tvarko didelį kiekį asmens duomenų.

Jeigu Jums yra reikalingas ar rekomenduojamas duomenų apsaugos pareigūnas, kviečiame kreiptis į mus. Teikiame profesionalias duomenų apsaugos pareigūno paslaugas siūlydami lanksčius atsiskaitymo būdus. Plačiau apie teikiamas paslaugas teiraukitės skiltyje „Asmens duomenų apsauga“ arba kreipkitės konsultacijai. Maloniai atsakysime į visus Jums rūpimus klausimus.

Bendra baudų, skiriamų už BDAR pažeidimus, tendencija yra ženkliai didėjanti. Kiekvienais metais pasaulyje skiriamos vis didesnės baudos už duomenų apsaugos pažeidimus. Bauda už BDAR pažeidimus siekia iki 40 mln. eurų arba iki 4 % įmonės ankstesnių finansinių metų bendros metinės pasaulinės apyvartos – atsižvelgiant į tai, kuri baudos suma yra didesnė. 2018 metais UBER buvo skirta 150 mln. $ bauda, 2019 metais viešbučių tinklui „Marriot“ skirta 124 mln. $ bauda (vėliau sumažinta), tais pačiais metais Equifax buvo skirta 575 mln. $ bauda. Lietuvoje iki šiol didžiausia bauda už BDAR pažeidimus buvo skirta 2019 metais UAB „MisterTango“, kuri siekė 61.500 Eur. Sprendimas dėl pastarosios baudos skyrimo buvo apskųstas teismui.

Siūlome nerizikuoti griežtomis baudomis už BDAR pažeidimus ir skirti dėmesį savo įmonės dokumentų ir tinklapio atitikimui BDAR iki įvykstant pažeidimui. UAB Kreditoriaus teikiamas BDAR auditas įvertins Jūsų įmonės veiklos, dokumentacijos ir tinklapio atitiktį BDAR bei nustatys esamus ar galimus BDAR pažeidimus. Atlikę mūsų teikiamą BDAR auditą būsite kokybiškai informuoti apie įmonės „silpnas vietas“ ir veiksmus, kurių reikia imtis siekiant įgyvendinti BDAR nustatytus reikalavimus Jūsų įmonei.

Jeigu, dėl bet kokių priežasčių, be Jūsų (duomenų tvarkytojo) leidimo buvo atskleisti, prarasti ar kitaip panaudoti Jūsų tvarkyti asmens duomenys, toks įvykis (duomenų tvarkymas) yra laikomas duomenų saugumo pažeidimu.


BDAR numato, jog nutikus duomenų saugumo pažeidimui, keliančiam pavojų asmenų teisėms ir laisvėms, duomenų tvarkytojas privalo apie tai (duomenų saugumo pažeidimą) pranešti Valstybinei duomenų apsaugos inspekcijai per 72 valandas nuo sužinojimo apie įvykusį pažeidimą. To neatlikus laiku, Valstybinė duomenų apsaugos inspekcija taiko BDAR numatytas sankcijas.


Siekiant išvengti galimų duomenų saugumo pažeidimų bei Valstybinės duomenų apsaugos inspekcijos sankcijų, kreipkitės į UAB Kreditoriaus teisininkus konsultacijos ar pagalbos duomenų saugos srityje. UAB Kreditoriaus specialistai taip pat parengs duomenų saugumo pranešimą, o prireikus atstovaus Jūsų įmonę Valstybinėje duomenų apsaugos inspekcijoje.

Poveikio duomenų apsaugai vertinimas yra specialus tyrimas, kurį atlieka Valstybinė duomenų apsaugos inspekcija. Remiantis BDAR, toks poveikio aplinkai vertinimas iš anksto privalo būti atliekamas tuomet, kai duomenų tvarkytojas ketina vykdyti duomenų tvarkymo veiksmus, kurie gali sukelti didelį pavojų asmenų teisėms ir laisvėms. BDAR numato sąrašą atvejų, kuomet poveikio duomenų apsaugai vertinimas yra privalomas. Pvz., ketinant tvarkyti ar tvarkant specialiųjų kategorijų asmens duomenis dideliu mastu; ketinant atlikti ar atliekant sistemingą viešosios erdvės stebėjimą dideliu mastu ir kt.

Įspėjimas. Jeigu įtariate, jog Jūsų įmonei yra privaloma atlikti išankstinį poveikio duomenų apsaugai vertinimą, šiuo klausimu kviečiame pasikonsultuoti su UAB kreditoriaus teisininkais. Mūsų specialistai taip pat padės kokybiškai atlikti šį vertinimą, atstovaujant Jūsų įmonę Valstybinėje duomenų apsaugos inspekcijoje.