Dešimt punktų, kurie padės pasirengti BDAR

Dešimt punktų, kurie padės pasirengti BDAR

Pasirenkite ES bendrojo duomenų apsaugos reglamento (BDAR) įsigaliojimui jau dabar. Pateikiame dešimt punktų, kurie padės pradėti juo vadovautis.

ES bendrasis duomenų apsaugos reglamentas turės įtakos daugybei Europos įmonių. Ar esate pasirengę pokyčiams?

2016 m. gegužę ES priėmė Bendrąjį duomenų apsaugos reglamentą. Kaip jau žinome, naujasis teisės aktas įsigalios 2018 m. gegužę, po dvejų metų pereinamojo laikotarpio, ir apims naujų reikalavimų dėl asmens duomenis tvarkančių įmonių veiklos.
Kadangi sąvoka „asmens duomenys“ labai plati, šis teisės aktas bus taikomas beveik visoms įmonėms. Likus vos daugiau nei 300 dienų iki Duomenų apsaugos reglamento įsigaliojimo, paruošėme dešimt punktų, kurie padės Jums pradėti reglamentu vadovautis jau šiandien.

  1. Rodykite, kad laikotės teisės aktų

Pagal naująjį reglamentą reikalaujama, kad asmuo, kuris tvarko asmeninės informacijos registrą, galėtų įrodyti, jog asmens duomenis tvarko taip, kaip reikalaujama.

Tai reiškia, kad privalote pildyti duomenų tvarkymo operacijų, už kurias atsakote, žurnalą, kad įrodytumėte, jog šios operacijos atliktos laikantis teisės aktų.

  1. Įsitikinkite, kad gavote sutikimą

Jeigu asmens duomenys tvarkomi gavus asmens sutikimą, privalote gebėti įrodyti, kaip šis sutikimas buvo duotas.

Be to, ateityje sutikimui bus keliami griežtesni reikalavimai:

sutikimas turi būti aiškiai pareikštas rašytine, elektronine ar žodine forma;sutikimas turi parodyti, kad asmuo savanoriškai, asmeniškai, sąmoningai ir aiškiai išreiškė norą ir sutikimą dėl savo asmens duomenų tvarkymo. Paprastai tai daroma spustelėjant žymimąjį langelį, kad atsirastų varnelė, rodanti sutikimą.

  1. Teisės būti pamirštam įgyvendinimas

Naujas dalykas, kurio bus reikalaujama pagal reglamentą – užregistruoto asmens teisė būti pamirštam. Tai reiškia teisę reikalauti, kad asmens duomenys būtų pašalinti iš Jūsų duomenų bazių.

Tokia situacija gali susidaryti, kai asmuo atsiima Jums duotą sutikimą dėl savo asmens duomenų tvarkymo. Vis dėlto jeigu asmens duomenys naudojami kitu teisiniu pagrindu, duomenų pašalinti neprivaloma.

Jeigu turite pareigą pašalinti duomenis, privalote informuoti visus subjektus, kurie gavo ar paskelbė šiuos duomenis. Taip siekiama užtikrinti, kad būtų pašalintos visos nuorodos, dublikatai ir medžiagos kopijos.

  1. Teisės perkelti duomenis įgyvendinimas

Šiuo metu kiekvienas asmuo turi teisę gauti savo duomenis elektroniniu formatu ir perkelti juos kitam registruotam valdytojui.

Ši teisė taikoma asmens duomenims, kuriuos asmuo Jums pateikė pagal sutikimą ar susitarimą. Tačiau tuo Jūs neįpareigojami patvirtinti ar turėti techniškai suderinamų duomenų tvarkymo sistemų.

  1. Jums gali įtakos turėti draudimas profiliuoti

Kiekvienas asmuo turi teisę reikalauti, kad jo atžvilgiu nebūtų priimtas sprendimas, pagrįstas automatinio duomenų tvarkymo rezultatu, kuris turėtų jam teisinį ar kitokį svarbų poveikį. Kitaip tariant, tai reiškia, kad Jūs negalite priimti svarbių sprendimų, kurie turi įtakos asmeniui, remdamiesi automatiniu duomenų tvarkymu.

Šio „profiliavimo draudimo“ išimtis taikoma tada, kai sprendimą būtina priimti, kad būtų įvykdyta asmens ir Jūsų įmonės sutartis. Privalote užtikrinti, kad Jūsų profiliavimo ir sprendimų priėmimo modeliai atitiktų įstatymus ir kad būtų padaryti visi reikiami pakeitimai.

Įprastas draudimo profiliuoti pavyzdys yra kredito sprendimų priėmimas. Dažnai šie sprendimai grindžiami automatinėmis klasifikavimo sistemomis ir sprendimų rekomendacijomis.

  1. Informuokite apie savo duomenų saugumo pažeidimus

Ateityje privalėsite informuoti valdžios institucijas ir užregistruotus žmones apie bet kokius duomenų saugumo pažeidimus. Tai apima situacijas, kai pažeidžiamos asmens teisės ir laisvės. Susidarius tokioms situacijoms, būtina atlikti du veiksmus:

privalote per 72 valandas informuoti apie pažeidimą valdžios institucijas; jei pažeidimas gali kelti didelę riziką susijusių asmenų teisėms ir laisvėms, privalote nedelsdami informuoti apie pažeidimą ir juos.

Kad įvykdytumėte šias pareigas, svarbu parengti vidaus instrukcijas ir procedūras, kurios užtikrintų veiksmingą ir tinkamą procesą.

  1. Informuokite apie duomenų tvarkymą

Šiais laikais viso pasaulio įmonės surenka kur kas daugiau asmens duomenų nei anksčiau. Siekdami ateityje laikytis ES teisės aktų reikalavimų, privalote pateikti daugiau informacijos apie duomenų tvarkymą, nei buvo reikalaujama anksčiau.

Tai reiškia, kad turite nurodyti, kiek laiko asmens duomenys bus saugomi. Arba, jei tai neįmanoma, turite informuoti apie kriterijus, pagal kuriuos nustatomas saugojimo laikas.

Pavyzdžiui, reikės atnaujinti registrą ir duomenų saugumo dokumentus, taip pat pagalvoti apie tai, kaip praktiškai informuoti užsiregistravusius žmones.

  1. Naujojo asmens duomenų pareigūno vaidmuo

Padidėjus dėmesiui duomenų apsaugai, Jums gali tekti paskirti duomenų apsaugos pareigūną, kuris tvarkys asmens duomenis. Pavyzdžiui, asmens duomenų pareigūnas turės būti organizacijose, kurios plačiai, reguliariai ir sistemingai stebi žmones arba ši stebėsena yra jų pagrindinė veikla. Todėl rekomenduojame įvertinti, ar Jums taikomas duomenų apsaugos pareigūno reikalavimas.

  1. Norėdami įsigyti užsakomąsias asmens duomenų paslaugas, turėsite imtis apsauginių priemonių

Jeigu įsigijote užsakomąsias bet kurios asmens duomenų tvarkymo dalies paslaugas iš kito subjekto, turite išspręsti porą klausimų:

privalote užtikrinti tinkamas technines ir organizacines apsaugos priemones, kurios atitinka teisės aktų reikalavimus; taip pat privalote užtikrinti, kad būtų saugomos užsiregistravusių žmonių teisės.

Tai reiškia, kad turite nustatyti situacijas, kuriose galima naudoti užsakomąsias paslaugas, ir užtikrinti, kad sutartys būtų sudaromos tinkamai. Pavyzdžiui, duomenų saugojimas naudojantis debesijos paslaugomis laikomas užsakomosiomis paslaugomis, nors paslaugos teikėjas ir neatlieka aktyvių duomenų tvarkymo veiksmų.

  1. Už pažeidimus gali būti skirta nemaža bauda

Taip pat svarbu, kad, be įspėjimo, galite gauti nemažą baudą už Duomenų apsaugos reglamento pažeidimą. Bauda gali siekti 20 milijonų eurų arba 4 procentus bendros Jūsų įmonės apyvartos.