Apie BDAR

2018 m. gegužės 25 d. įsigaliojo Bendrasis duomenų apsaugos reglamentas, kuris taikomas visiems verslo subjektams, todėl aptarsime kelis pagrindinius aspektus.

BDAR paskirtis

sureguliuoti asmens duomenų surinkimo ir tvarkymo principus ir užtikrinti juridiniams asmenims perduodamų asmens duomenų saugumą.

BDAR pažeidimo pasekmės:

Juridiniams asmenims gali būti skiriama bauda iki 20 mln. eurų arba iki 4 % metinės apyvartos.

BDAR apima:

fizinių asmenų (darbuotojų, klientų, tiekėjų ir kt.) asmens duomenų teisėto tvarkymo sąlygas ir principus;
Duomenų subjekto teises ir jų taikymo ribas (išimtis)
Duomenų apsaugos pareigūno skyrimo atvejus (privalomas ne visiems) ir jo kompetenciją
Duomenų valdytojo pareigas (užtikrinti tinkamas apsaugos priemones, įvertinti duomenų tvarkytojų patikimumą, dokumentuoti veiklos procesus, pranešti apie duomenų saugumo pažeidimus ir t.t.)
Priežiūros institucijos įgaliojimus ir galimas skirtis poveikio priemones

Kas yra asmens duomenys?

* Reglamento 4 str. 1 p.

Tai duomenys, kurių pagrindu galima tiesiogiai ar netiesiogiai nustatyti asmens tapatybę pagal

identifikatorių >>

vardas ir pavardė
gimimo data, asmens kodas
buvimo vietos duomenys (GPS, adresas, kt.)
interneto identifikatorius (IP adresas)
telefono numeris, parašas, įpročiai, sveikatos būklė, rūkymo faktas ir t.t.

! Nors asmens duomenų sąvoka atrodo siaura ir aiški, vis dėlto ji yra itin plati ir negali būti suformuota baigtiniu sąrašu. Taigi, asmens duomenis laikoma ir tokia informacija kaip: pirkimo istorija, automobilio valstybinis numeris ar kėbulo numeris, sutarties tarp verslo subjekto ir fizinio asmens numeris ir jos sudarymo faktas, ligos istorijos numeris, tyrimų rezultatai, sunaudojamo vandens kiekiai, nuobaudų istorija (įskaitant jų turėjimo ar neturėjimo faktą), priklausymo profesinėms sąjungoms, politinėms organizacijoms faktas, nuotrauka, darbo užmokestis, naudojimosi atostogomis faktas, susirašinėjimas ir t. t.

Duomenų valdytojo pareigos

Tvarkyti tik tiek asmens duomenų, kiek minimaliai būtina konkrečiam tikslui pasiekti, ir saugoti juos minimaliai būtiną laikotarpį
Aiškiai informuoti fizinius asmenis apie jų asmens duomenų tvarkymą Jūsų veikloje (pateikiant BDAR 13 ar 14 str. informaciją)
Užtikrinti duomenų subjektų teisių įgyvendinimą (žr. BDAR 15 - 22 str.)
Užtikrinti tinkamas technines priemones (programinė įranga, apsaugos sistemos, kt.) ir organizacines (darbuotojų, turinčių prieigą prie asmens duomenų, rato nustatymas; slaptažodžių sudarymo ir keitimo tvarkos nustatymas, darbuotojų instruktavimas apie asmens duomenų paslapties saugojimo pareigą, asmens duomenų tvarkymo Jūsų veikloje reikalavimus, taikomas saugumo priemones ir kaip jomis naudotis, kt.)
Renkantis duomenų tvarkytojus įvertinti jų patikimumą, taikomas saugumo priemones ir pasirašyti duomenų tvarkymo sutartis
Laiku atnaujinti taikomas technines ir organizacines priemones, bei asmens duomenų tvarkymo taisykles
[kiek taikoma] turėti veiklos įrašus ar atlikti poveikio duomenų apsaugai vertinimą
[kai taikoma] paskirti duomenų apsaugos pareigūną
dokumentuoti asmens duomenų saugumo pažeidimus (pvz. ne tam adresatui išsiųstas el. laiškas) ir, kai taikoma, apie juos pranešti Valstybinei duomenų apsaugos inspekcijai ir (ar) fiziniam asmeniui
ir t.t.

Pagrindinės taisyklės prašant pateikti duomenis

Kokiu tikslu Jums reikalingi asmens duomenys?
Kokie konkrečiai asmens duomenys yra reikalingi šiuo tikslu?
Ar visi asmens duomenys yra būtini šiam tikslui (pvz. kandidatų į darbo vietą CV asmens kodas, nuotrauka, gyvenamosios vietos adresas paprastai neturėtų būti nurodomas)?
Kokiu pagrindu tvarkysite asmens duomenis (žr. BDAR 6, 9 ir 10 straipsnius)?
Ar pasirengėte privatumo pranešimą ir galėsite jį pateikti asmeniui, kurio asmens duomenų prašysite (žr. BDAR 13 - 14 str.)?