apie BDAR

2018 m. gegužės 25 d. įsigaliojo Bendrasis duomenų apsaugos reglamentas, kuris taikomas visiems verslo subjektams, todėl aptarsime kelis pagrindinius aspektus.

BDAR paskirtis

sureguliuoti asmens duomenų surinkimo ir tvarkymo principus ir užtikrinti juridiniams asmenims perduodamų asmens duomenų saugumą.

BDAR pažeidimo pasekmės:

Juridiniams asmenims gali būti skiriama bauda iki 20 mln. eurų arba iki 4 % metinės apyvartos.

BDAR apima:

  • fizinių asmenų (darbuotojų, klientų, tiekėjų ir kt.) asmens duomenų teisėto tvarkymo sąlygas ir principus;
  • Duomenų subjekto teises ir jų taikymo ribas (išimtis)
  • Duomenų apsaugos pareigūno skyrimo atvejus (privalomas ne visiems) ir jo kompetenciją
  • Duomenų valdytojo pareigas (užtikrinti tinkamas apsaugos priemones, įvertinti duomenų tvarkytojų patikimumą, dokumentuoti veiklos procesus, pranešti apie duomenų saugumo pažeidimus ir t.t.)
  • Priežiūros institucijos įgaliojimus ir galimas skirtis poveikio priemones

Kas yra asmens duomenys?

* Reglamento 4 str. 1 p.

Tai duomenys, kurių pagrindu galima tiesiogiai ar netiesiogiai nustatyti asmens tapatybę pagal

identifikatorių >>

  • vardas ir pavardė
  • gimimo data, asmens kodas
  • buvimo vietos duomenys (GPS, adresas, kt.)
  • interneto identifikatorius (IP adresas)
  • ir t.t.

! Nors asmens duomenų sąvokas atrodo siaura ir aiški, tačiau vis dėl to, ji yra itin plati ir negali būti suformuota baigtiniu sąrašu. Taigi, asmens duomenis laikoma ir tokia informacija kaip: pirkimo istorija, automobilio valstybinis numeris ar kėbulo numeris, sutarties tarp verslo subjekto ir fizinio asmens numeris, sutarties turinys ir jos sudarymo faktas, įpročiai, parašas, ligos istorijos numeris, tyrimų rezultatai, sunaudojamo vandens kiekiai, nuobaudų istorija (įskaitant jų turėjimo ar neturėjimo faktą), priklausymo profesinėms sąjungos, politinėms organizacijoms faktas, nuotrauka, darbo užmokestis, naudojimosi atostogomis faktas, susirašinėjimas ir t. t.

Duomenų valdytojo pareigos

  • Tvarkyti tik tiek asmens duomenų, kiek minimaliai būtina konkrečiam tikslui pasiekti
  • Aiškiai informuoti fizinius asmenis apie jų asmens duomenų tvarkymą Jūsų veikloje (pateikiant BDAR 13 - 14 str. informaciją)
  • Užtikrinti duomenų subjektų teisių įgyvendinimą (žr. BDAR 15 - 22 str.)
  • Užtikrinti tinkamas technines priemones (programinė įranga, apsaugos sistemos, kt.) ir organizacines (darbuotojų, turinčių prieigą prie asmens duomenų, rato nustatymas; slaptažodžių sudarymo ir keitimo tvarkos nustatymas, darbuotojų instruktavimas apie asmens duomenų paslapties saugojimo pareigą, asmens duomenų tvarkymo Jūsų veikloje reikalavimus, taikomas saugumo priemones ir kaip jomis naudotis, kt.)
  • Renkantis duomenų tvarkytojus įvertinti jų patikimumą, taikomas saugumo priemones ir pasirašyti duomenų tvarkymo sutartis
  • Laiku atnaujinti taikomas technines ir organizacines priemones, bei asmens duomenų tvarkymo taisykles
  • [kai taikoma] turėti veiklos įrašus ar atlikti poveikio duomenų apsaugai vertinimą
  • [kai taikoma] paskirti duomenų apsaugos pareigūną
  • dokumentuoti asmens duomenų saugumo pažeidimus (pvz. ne tam adresatui išsiųstas el. laiškas) ir, kai taikoma, apie juos pranešti Valstybinei duomenų apsaugos inspekcijai ir (ar) fiziniam asmeniui
  • ir t.t.

Pagrindinės taisyklės prašant pateikti duomenis

  1. Kokiu tikslu Jums reikalingi asmens duomenys;
  2. Kokie konkrečiai asmens duomenys yra reikalingi šiuo tikslu?
  3. Ar visi asmens duomenys yra būtini šiam tikslui (pvz. kandidatų į darbo vietą CV asmens kodas, nuotrauka, gyvenamosios vietos adresas neturėtų būti nurodomas, išskyrus, jei tai reikalaujama pagal teisės aktus)?
  4. Kokiu pagrindu tvarkysite asmens duomenis (žr. BDAR 6 ar 9 straipsnį)?
  5. Ar pasirengėte privatumo pranešimą ir galėsite jį pateikti asmeniui, kurio asmens duomenų prašysite (žr. BDAR 13 - 14 str.)?

Valstybinė duomenų apsaugos inspekcija yra paskelbusi naudingos informacijos, kuri gali būti Jums naudinga, siekiant atititkti BDAR reikalavimus:


Turimų resursų ir naudojamų dokumentų vertinimas


> Patikrinti ir įvertinti Jūsų naudojamus IT resursus ir jų apsaugos sprendimus, pateikti rekomendacijas dėl jų patikimumo, efektyvumo.

> Įvertinti Jūsų vidinius dokumentus: ar nerenkami pertekliniai duomenys, ar nustatomos konfidencialumo pareigos, kt.

Galime Jums pasiūlyti:

Duomenų apsaugos taisyklių, Privatumo politikos parengimas ir kitų dokumentų

> Aprašyti duomenų rinkimo / tvarkymo procedūras, taikomas duomenų apsaugos priemones ir kitą aktualią informaciją.

> Užtikrinti Duomenų subjektų informavimą apie jų duomenų rinkimą ir tolesnį tvarkymą, saugojimo terminus ir kt.


Duomenų inventorizacija ir konfidencialumo susitarimas


> Padėti inventorizuoti asmens duomenis, kurie renkami / tvarkomi Jūsų įmonėje: kaip renkami, kokias pagrindais, kur ir kiek ilgai saugomi, ir kt.

> užtikrinti darbuotojų pareigą neatskleisti įmonės komercinių paslapčių ir asmens duomenų, su kuriais susiduria darbe.

2020-05-01