Nuo 2018 m. gegužės 25 d. pradėtas taikyti Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas), kuris sutrumpintai vadinamas BDAR (angl. GDPR). Jame įtvirtinta daug principų ir taisyklių, kuriomis būtina vadovautis tvarkant asmens duomenis.
Kas yra asmens duomenys?
BDAR numato, jog asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (t. y. toks asmuo laikomas duomenų subjektu). Fizinis asmuo, kurio tapatybę galima nustatyti, yra asmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti, visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius.
Asmens duomenų pavyzdžiai: vardas, pavardė, asmens kodas, telefono numeris, el. pašto adresas, piršto atspaudas, atvaizdas ir kt. Asmens duomenimis gali būti laikoma ir tokia informacija kaip: pseudonimas, identifikavimo kodas, transporto priemonės valstybinis numeris, inicialai, mokėjimų istorija ir kt.
Kada yra taikomas BDAR?
BDAR taikomas visiškai arba iš dalies atliekamam automatizuotomis priemonėmis atliekamam asmens duomenų tvarkymui. Pavyzdžiui, kompiuteriu, telefonu, informacinėse sistemose, duomenų bazėse, interneto svetainėje, naudojant vaizdo stebėjimo kameras ir kt. Taip pat BDAR taikomas asmens duomenų, kurie sudaro susisteminto rinkinio dalį ar yra skirti ją sudaryti, tvarkymui ne automatizuotomis priemonėmis. Pavyzdžiui, klientų duomenys rūšiuojami abėcėlės tvarka, darbuotojų asmens bylos tvarkomos popieriniu būdu ir pan.
Jei įmonė ar fizinis asmuo, kuris verčiasi profesine ar ūkine komercine veikla, atlieka anksčiau minėtus asmens duomenų tvarkymo veiksmus su savo darbuotojų ar klientų ar kitų duomenų subjektų asmens duomenis, tai turi vadovautis BDAR, nes yra duomenų valdytojas. Tokiu atveju reikia turėti BDAR dokumentus.
Kada netaikomas BDAR?
BDAR nebūtų taikomas šiais atvejais:
- Asmens duomenis tvarko fizinis asmuo, užsiimdamas išimtinai asmenine ar namų ūkio veikla. Tokiu atveju neturi būti ryšio su profesine ar komercine veikla. Pavyzdžiui, fizinis asmuo savo privačioje namų teritorijoje vykdo vaizdo stebėjimą kameromis išimtinai namų saugumo tikslu.
- Mirusių asmenų duomenims. Vis dėlto tokiu atveju galioja kiti teisės aktai.
- Juridinių asmenų duomenims. Vis dėlto svarbu paminėti, jog informacijai, kuri leidžia tiesiogiai ar netiesiogiai nustatyti fizinio asmens tapatybę, būtų taikomas BDAR.
- Asmens duomenys tvarkomi vykdant veiklą, kuriai ES teisė netaikoma.
Ar jūsų atveju taikomas BDAR?
Siekdami nustatyti, ar jūsų atveju taikomas BDAR, įsivertinkite tokius dalykus kaip: 1) ar vykdote profesinę ar komercinę veiklą (per įmonę ar individualios veiklos pagrindu); 2) ar savo veikloje naudojate priemones, kuriomis tvarkote bent kokius nors asmens duomenis (pvz., naudojate el. paštą, išrašote sąskaitas faktūras ir pan.); 3) BDAR gali būti taikomas net ir neturint samdomų darbuotojų; 4) BDAR gali būti taikomas net jei dirbate tik vienas ir jūsų veikla smulki.
Pavyzdžiai:
- Kaip fizinis arba juridinis asmuo teikiate buhalterinės apskaitos, projektavimo, marketingo ar kitas paslaugas, ir sudarote sutartį su užsakovais fiziniais ar juridiniais asmenimis, išrašote jiems sąskaitas faktūras, o tokius dokumentus su asmens duomenimis (pvz., vardu, pavarde ir kt.) tvarkote automatizuotomis priemonėmis (kompiuteriu, el. pašto sistema).
- Vykdote internetinę prekybą per elektroninę parduotuvę, kurioje pirkėjas įveda savo vardą, el. pašto adresą, telefono numerį ir kt. duomenis, kurie tvarkomi interneto svetainėje apdorojant užsakymą, įvykdant jį, išrašant sąskaitą faktūrą ir pan.
- Bendrovėje vedate, pildote ir saugote jos darbuotojų popierines dokumentų bylas.
- Siunčiate naujienlaiškius elektroniniu paštu asmenims, kurie juos užsakė interneto svetainėje įvedę savo el. pašto adresą ir davę sutikimą.
Kaip įgyvendinti BDAR reikalavimus?
BDAR įtvirtintas duomenų valdytojo atskaitomybės principas, kuris reiškia, kad turi būti laikomasi BDAR numatytų principų ir taisyklių bei turi būti sugebama įrodyti, kad jų laikomasi.
Siekiant įgyvendinti BDAR reikalavimus ir jame įtvirtintą atskaitomybės principą reikia imtis visų įmanomų ir tinkamų priemonių. Visų pirma, būtina taikyti tinkamas organizacines ir technines priemones, tame tarpe įdiegti reikiamą dokumentaciją, priimti duomenų apsaugos politikas ir jas taikyti, fiksuoti asmens duomenų saugumo pažeidimus. Taip pat rekomenduotina vesti duomenų veiklos įrašus.
Kas bus jeigu nevykdysiu BDAR reikalavimų?
Už BDAR nuostatų pažeidimus skiriamos administracinės baudos, kurios gali siekti iki 2–4 proc. ankstesnių finansinių metų bendros metinės pasaulinės apyvartos arba iki 10 000 000–20 000 000 EUR.
Valstybinė duomenų apsaugos inspekcija atlieka planinius prevencinius tikrinimus, taip pat atlieka tikrinimus gavusi pranešimus bei nagrinėja asmenų skundus. VDAI nustačiusi pažeidimus gali taikyti baudą ar kitas poveikio priemones, kaip nurodymus dėl pažeidimų ištaisymo, įspėjimus ir kt.
Pagal VDAI skelbiamą statistiką, net 81 proc. gyventojų yra svarbus tinkamas jų asmens duomenų tvarkymas. 2020 m. gauta 1081 skundas ir nurodoma, kad skundų skaičius vis auga. Dažniausiai skundžiami yra įvairių paslaugų teikėjai (tiek fiziniai, tiek juridiniai asmenys). 2020 m. didžiausios skirtos baudos 8 ir 15 tūkst. eurų. 2021 m. didžiausios buvo skirtos baudos buvo 20 tūkst. ir 110 tūkst. eurų.