Internetinės parduotuvės ir kitu internetiniu svetainių Duomenų apsauga pagal BDAR išdėstyti išsamūs įmonėms ir organizacijoms taikomi asmens duomenų rinkimo, saugojimo ir valdymo reikalavimai.
Reglamentas taikomas Europos organizacijoms, kurios tvarko asmenų asmens duomenis ES, ir už ES ribų veikiančioms organizacijoms, kurių veikla yra orientuota į ES gyventojus.
Kada taikomas internetinės parduotuvės Bendrasis duomenų apsaugos reglamentas (BDAR)?
BDAR taikomas, jeigu:
- jūsų įmonė tvarko asmens duomenis ir yra įsisteigusi ES, nepaisant to, kur faktiškai tvarkomi asmens duomenys;
- jūsų įmonė yra įsisteigusi už ES ribų, tačiau tvarko asmens duomenis siūlydama asmenims prekes ar paslaugas Europos Sąjungoje, arba stebi asmenų elgesį Europos Sąjungoje.
Už ES ribų įsisteigusios įmonės, kurios tvarko ES piliečių duomenis, turi paskirti atstovą Europos Sąjungoje.
Kada netaikomas Bendrasis duomenų apsaugos reglamentas (BDAR)?
BDAR netaikomas, jeigu:
- duomenų subjektas yra miręs;
- duomenų subjektas yra juridinis asmuo;
- duomenis asmuo tvarko tikslais, nesusijusiais su jo vykdoma prekyba, verslu ar profesija.
Kas yra asmens duomenys?
Asmens duomenys – tai bet kokia informacija apie asmenį, kurio tapatybė nustatyta arba gali būti nustatyta; toks asmuo dar vadinamas duomenų subjektu. Asmens duomenys yra, pavyzdžiui, tokia informacija apie duomenų subjektus:
- vardas ir pavardė,
- adresas,
- asmens tapatybės kortelės ar paso numeris,
- pajamos,
- kultūriniai ypatumai,
- interneto protokolo (IP) adresas,
- duomenys, kuriuos turi ligoninė ar gydytojas (pagal kuriuos gydymo tikslais unikaliai identifikuojamas asmuo).
Specialios duomenų kategorijos
Jums neleidžiama tvarkyti asmens duomenų apie kurio nors asmens:
- rasinę arba etninę kilmę,
- lytinę orientaciją,
- politines pažiūras,
- religinius arba filosofinius įsitikinimus,
- narystę profesinėse sąjungose,
- genetinius, biometrinius ar sveikatos duomenis, išskyrus konkrečius atvejus (pvz., jeigu jums buvo duotas aiškus sutikimas arba jeigu asmens duomenis tvarkyti būtina dėl svarbių su viešuoju interesu susijusių priežasčių remiantis ES arba nacionaline teise),
- asmens duomenis, susijusius su apkaltinamaisiais nuosprendžiais ir nusikalstamomis veikomis, išskyrus atvejus, kai tai leidžiama pagal ES ar nacionalinę teisę.
Kas tvarko asmens duomenis?
Tvarkymo metu asmens duomenys gali būti perduodami įvairioms skirtingoms įmonėms ar organizacijoms. Šiame cikle asmens duomenis tvarko du pagrindiniai pareigūnai:
- duomenų valdytojas, kuris priima sprendimą dėl asmens duomenų tvarkymo tikslo ir būdo;
- duomenų tvarkytojas, kuris saugo ir tvarko duomenis duomenų valdytojo vardu.
Kas atlieka asmens duomenų tvarkymo įmonėje stebėseną?
Duomenų apsaugos pareigūnas (DAP), kurį gali paskirti įmonė, privalo stebėti, kaip tvarkomi asmens duomenys, ir informuoti bei konsultuoti asmens duomenis tvarkančius darbuotojus apie jų pareigas. DAP taip pat bendradarbiauja su duomenų apsaugos institucija (DAI), kuri atlieka informacinio punkto funkciją DAI ir asmenų atžvilgiu.
Kada turėtumėte paskirti duomenų apsaugos pareigūną?
Reikalaujama, kad jūsų įmonė paskirtų DAP, kai:
- vykdote reguliarią arba sisteminę asmenų stebėseną arba tvarkote specialių kategorijų duomenis;
- šis tvarkymas yra pagrindinė verslo veikla;
- jūs tvarkote duomenis dideliu mastu.
Pavyzdžiui, jeigu asmens duomenis tvarkote tikslinės reklamos, pagrįstos žmonių elgesiu internete, rodymo ieškos moduliuose tikslais, reikalaujama, kad turėtumėte DAP. Tačiau jeigu savo klientams reklaminę medžiagą siunčiate tik kartą per metus, jums DAP nebus reikalingas. Panašiai, jeigu esate gydytojas, kuris renka duomenis apie paciento sveikatą, DAP tikriausiai nereikalingas. Tačiau jeigu tvarkote su iš ligoninės gautais duomenimis apie genetiką arba sveikatą, tuomet DAP bus reikalingas.
DAP gali būti jūsų organizacijos narys arba tai gali būti pagal paslaugų teikimo sutartį dirbantis išorės rangovas. DAP gali būti asmuo arba organizacijos padalinys.
Duomenų tvarkymas kitai įmonei
Duomenų valdytojas gali naudotis tik duomenų tvarkytojo, kuris suteikia pakankamas garantijas, paslaugomis; šios garantijos turėtų būti įtrauktos į rašytinę susijusių šalių sutartį. Sutartyje taip pat turi būti nurodytos įvairios privalomos sąlygos, pavyzdžiui, kad duomenų tvarkytojas asmens duomenis tvarkys tik tuomet, kai tai jam nurodys duomenų valdytojas.
Duomenų perdavimas už ES ribų
Jeigu asmens duomenys perduodami už ES ribų, BDAR suteikiama apsauga turėtų „keliauti” kartu su duomenimis. Tai reiškia, kad jeigu eksportuojate duomenis į užsienį, jūsų įmonė privalo užtikrinti, kad būtų laikomasi vienos iš šių priemonių:
- ES nepriklausančios šalies apsaugos priemones ES laiko tinkamomis.
- Jūsų įmonė imasi būtinų priemonių, kad suteiktų tinkamas apsaugos priemones, pavyzdžiui, į sutartį, sudarytą su ne Europos asmens duomenų importuotoju, įtrauktų konkrečias sąlygas.
- Jūsų įmonė remiasi konkrečiais perdavimo (išimties tvarka) pagrindais, pavyzdžiui, asmens sutikimu.
Kada leidžiama tvarkyti duomenis?
ES duomenų apsaugos taisyklės reiškia, kad duomenis turėtumėte tvarkyti sąžiningai ir teisėtai, siekdami konkretaus ir teisėto tikslo, ir tvarkyti tik tuos duomenis, kurie yra būtini šiam tikslui pasiekti. Privalote užtikrinti, kad įvykdėte vieną iš toliau nurodytų asmens duomenų tvarkymo sąlygų; jūs / jums:
- gavote atitinkamo asmens sutikimą;
- asmens duomenų reikia tam, kad galėtumėte įvykdyti sutartinius įsipareigojimus asmens atžvilgiu;
- asmens duomenų reikia tam, kad įvykdytumėte teisinę prievolę;
- asmens duomenų reikia tam, kad galėtumėte apsaugoti asmens gyvybiškai svarbius interesus;
- asmens duomenis tvarkote tam, kad atliktumėte užduotį viešojo intereso labui;
- veikiate atstovaudami savo įmonės teisėtiems interesams, jeigu asmens, kurio duomenys yra tvarkomi, pagrindinėms teisėms ir laisvėms nedaromas didelis poveikis. Jeigu asmens teisės yra viršesnės už jūsų interesus, tvarkyti asmens duomenų negalite.
Pritarimas dėl duomenų tvarkymo – sutikimas
BDAR taikomos griežtos sutikimu pagrįsto duomenų tvarkymo taisyklės. Šių taisyklių paskirtis – užtikrinti, kad asmuo suprastų, dėl ko jis duoda sutikimą. Tai reiškia, kad sutikimas turėtų būti duotas laisvai, būti konkretus, pagrįstas informacija ir vienareikšmiškas, atsižvelgiant į aiškia ir suprantama kalba surašytą prašymą. Sutikimas turėtų būti duodamas pritariamuoju veiksmu, pavyzdžiui, internete pažymint žymimąjį langelį arba pasirašant formą.
Kai asmuo sutinka, kad būtų tvarkomi jo asmens duomenys, jūs duomenis galite tvarkyti tik tais tikslais, dėl kurių buvo duotas sutikimas. Taip pat privalote suteikti jiems galimybę atšaukti savo sutikimą.
Skaidrios informacijos pateikimas
Privalote aiškiai pateikti asmenims informaciją apie tai, kas ir kodėl tvarko jų asmens duomenis. Reikėtų nurodyti bent jau šią informaciją:
- kas esate,
- kodėl tvarkote asmens duomenis,
- teisinį pagrindą,
- kas gaus duomenis (jei taikoma).
Tam tikrais atvejais jūsų pateiktoje informacijoje taip pat turi būti nurodyta:
- duomenų apsaugos pareigūno (DAP) kontaktinė informacija, kai taikytina,
- koks yra teisėtas įmonės siekiamas tikslas tais atvejais, kai jūs remiatės šiuo teisiniu duomenų tvarkymo pagrindu,
- priemonės, kurios taikomos perduodant duomenis į ES nepriklausančią šalį,
- kiek laiko bus saugomi duomenys,
- asmens duomenų apsaugos teisės (t. y. teisė susipažinti su duomenimis, juos ištaisyti, ištrinti, apriboti jų tvarkymą, prieštarauti dėl duomenų tvarkymo, teisė į duomenų perkeliamumą ir pan.),
- kaip galima atšaukti sutikimą (kai sutikimas yra teisinis duomenų tvarkymo pagrindas),
- ar yra įstatyme arba sutartyje nustatyta pareiga teikti duomenis,
- jeigu taikomas automatizuotas sprendimų priėmimas, turi būti pateikiama informacija apie sprendimo loginį pagrindą, svarbą ir pasekmes.
Šią informaciją turėtumėte pateikti aiškia ir suprantama kalba.
Konkrečios vaikams taikomos taisyklės
Jeigu, remdamiesi sutikimu, renkate asmens duomenis iš vaiko, pavyzdžiui, naudodami socialinio tinklo paskyrą arba atsisiunčiamąją paskyrą, pirmiausia privalote gauti tėvų sutikimą, pavyzdžiui, tėvui (motinai) arba globėjui (-ai) nusiųsdami pranešimą. Amžius, iki kurio asmuo laikomas vaiku, priklauso nuo to, kur vaikas gyvena, tačiau šis amžius yra iki 13–16 metų.
Teisė susipažinti su duomenimis ir teisė į duomenų perkeliamumą
Privalote užtikrinti, kad asmenys turėtų teisę susipažinti su savo asmens duomenimis nemokamai. Jeigu gaunate tokį prašymą, turite:
- pranešti asmeniui, ar tvarkote jo asmens duomenis,
- pranešti asmeniui apie duomenų tvarkymą (duomenų tvarkymo tikslą, atitinkamų asmens duomenų kategorijas, jo duomenų gavėjus ir pan.),
- pateikti jam tvarkomų asmens duomenų kopiją (prieinamu formatu).
Tais atvejais, kai asmens duomenų tvarkymas yra pagrįstas sutikimu arba sutartimi, asmuo taip pat gali prašyti duomenų tvarkytojų grąžinti jam jo asmens duomenis arba perduoti juos kitai įmonei. Tai vadinama teise į duomenų perkeliamumą. Duomenis turėtumėte pateikti bendrai naudojamu ir automatizuotai nuskaitomu formatu.
Teisė ištaisyti duomenis ir teisė prieštarauti
Jeigu asmuo mano, kad jo asmens duomenys yra neteisingi, neišsamūs arba netikslūs, jis turi teisę reikalauti, kad jie būtų nedelsiant ištaisyti arba papildyti.
Tokiu atveju turėtumėte pranešti visiems duomenų gavėjams, ar kokie nors asmens duomenys, kuriais jūs su jais pasidalijote, buvo pakeisti arba ištrinti. Jeigu kokie nors asmens duomenys, kuriais pasidalijote, buvo neteisingi, jums taip pat gali prireikti kiekvieną asmenį, kuris juos matė, informuoti, kad tokie duomenys buvo neteisingi (išskyrus atvejus, kai manoma, kad tam prireiktų neproporcingų pastangų).
Asmuo bet kuriuo metu taip pat gali prieštarauti dėl savo asmens duomenų tvarkymo konkrečiu tikslu, jeigu jūsų įmonė šiuos duomenis tvarko remdamasi jūsų teisėtu interesu arba siekdama įvykdyti užduotį viešojo intereso labui. Išskyrus atvejus, kai turite teisėtą interesą, kuris yra svarbesnis už asmens interesą, privalote liautis tvarkę asmens duomenis.
Asmuo taip pat gali prašyti, kad jo asmens duomenų tvarkymas būtų ribojamas, kol bus nustatyta, ar jūsų teisėtas interesas yra viršesnis už jo interesą, ar ne. Tačiau tiesioginės rinkodaros atveju jūs visada privalote liautis tvarkę asmens duomenis, jei to prašo asmuo.
Teisė reikalauti ištrinti duomenis („teisė būti pamirštam”)
Tam tikromis aplinkybėmis asmuo gali prašyti, kad duomenų valdytojas ištrintų jo asmens duomenis, pavyzdžiui, jeigu duomenys nebereikalingi duomenų tvarkymo tikslui pasiekti. Tačiau jūsų įmonė neprivalo to daryti, jeigu:
- duomenis tvarkyti būtina siekiant gerbti žodžio ir informacijos laisvę,
- turite laikyti asmens duomenis, kad nepažeistumėte teisinio įsipareigojimo,
- yra kitų su viešuoju interesu susijusių priežasčių saugoti asmens duomenis, pavyzdžiui, visuomenės sveikata arba mokslinių ir istorinių tyrimų tikslai,
- turite saugoti asmens duomenis, kad pagrįstumėte teisinį reikalavimą.
Automatizuotas sprendimų priėmimas ir profiliavimas
Asmenys turi teisę reikalauti, kad dėl jų nebūtų priimtas sprendimas, kuris yra pagrįstas vien automatizuotu duomenų tvarkymu. Vis dėlto galioja tam tikros šios taisyklės išimtys, pavyzdžiui, kai asmenys duoda savo aiškų sutikimą, kad dėl jų būtų priimamas automatizuotas sprendimas. Išskyrus atvejus, kai automatizuotas sprendimas yra pagrįstas įstatymu, jūsų įmonė privalo:
- informuoti asmenį apie automatizuotą sprendimų priėmimą,
- suteikti asmeniui teisę reikalauti, kad automatizuotą sprendimą peržiūrėtų asmuo,
- suteikti asmeniui galimybę ginčyti automatizuotą sprendimą.
Pavyzdžiui, jeigu bankas automatizuotai priima sprendimą dėl paskolos suteikimo tam tikram asmeniui, tas asmuo turėtų būti informuojamas apie automatizuotą sprendimą ir jam turėtų būti suteikta galimybė ginčyti sprendimą ir prašyti, kad jį priimant įsikištų žmogus.
Duomenų saugumo pažeidimai – tinkamo pranešimo pateikimas
Duomenų saugumas pažeidžiamas tuomet, kai asmens duomenys, už kuriuos jūs atsakote, atsitiktinai arba neteisėtai atskleidžiami neteisėtiems gavėjams arba tokie duomenys tampa laikinai neprieinami arba pakeičiami.
Jeigu įvyksta duomenų saugumo pažeidimas, kuris kelia pavojų asmens teisėms ir laisvėms, turėtumėte per 72 valandas nuo to momento, kai sužinojote apie pažeidimą, informuoti duomenų apsaugos instituciją.
Priklausomai nuo to, ar duomenų saugumo pažeidimas kelia didelį pavojų nuo jo nukentėjusiems asmenims, iš jūsų įmonės taip pat gali būti reikalaujama informuoti visus nukentėjusius asmenis.
Atsakymai į prašymus
Jeigu jūsų įmonė gauna prašymą iš asmens, kuris nori įgyvendinti savo teises, turėtumėte be reikalo nedelsdami atsakyti į šį prašymą ir bet kuriuo atveju padaryti tai per 1 mėnesį nuo prašymo gavimo. Šis atsakymo terminas gali būti pratęsiamas 2 mėnesiais sudėtingų arba sudėtinių prašymų atveju, jeigu asmuo informuojamas apie pratęsimą. Prašymai turėtų būti nagrinėjami nemokamai.
Jeigu prašymas atmetamas, tuomet privalote informuoti asmenį apie tokio atmetimo priežastis ir apie jo teisę paduoti skundą duomenų apsaugos institucijai.
Poveikio vertinimai
Poveikio duomenų apsaugai vertinimą (PDAV) būtina atlikti visais atvejais, kai numatomas duomenų tvarkymo tikslas galėtų kelti didelį pavojų asmenų teisėms ir laisvėms, pavyzdžiui, kai naudojamos naujos technologijos.
Toks didelis pavojus yra tais atvejais, kai:
- automatizuoto duomenų tvarkymo ir profiliavimo mechanizmai naudojami asmenų vertinimo tikslais,
- didele apimtimi stebima viešai prieinama teritorija (pvz., AVSS),
- didele apimtimi tvarkomos specialios duomenų kategorijos arba asmens duomenys, susiję su apkaltinamaisiais nuosprendžiais ir nusikalstamomis veikomis (pvz., asmens sveikatos duomenys).
Pastaba. Duomenų apsaugos institucijos keliančiu didelį pavojų gali laikyti ir kitų kategorijų duomenų tvarkymą.
Jeigu DAPV nurodytos priemonės nepadeda pašalinti visų nustatytų didelės rizikos veiksnių, prieš pradedant numatomą duomenų tvarkymą privaloma konsultuotis su duomenų apsaugos institucija.
Registravimas
Turite sugebėti įrodyti, kad jūsų įmonė veikia laikydamasi BDAR ir įgyvendina visas taikytinas pareigas, visų pirma paprašius arba patikrinus duomenų apsaugos institucijai.
Vienas iš būdų tai padaryti – išsamiai registruoti tokius dalykus kaip:
- duomenis tvarkančios jūsų įmonės pavadinimas ir kontaktinė informacija,
- asmens duomenų tvarkymo priežastis (-ys),
- asmens duomenis teikiančių asmenų kategorijų aprašymas,
- asmens duomenis gaunančių organizacijų kategorijos,
- asmens duomenų perdavimas kitai šaliai arba organizacijai,
- asmens duomenų saugojimo laikotarpis,
- saugumo priemonių, naudojamų tvarkant asmens duomenis, aprašymas.
Jūsų įmonė taip pat turėtų turėti – ir reguliariai atnaujinti – rašytines procedūras ir rekomendacijas ir su jomis supažindinti savo darbuotojus.
Įspėjimas
Jeigu jūsų įmonė yra MVĮ arba mažesnė įmonė, jūs neprivalote registruoti savo duomenų tvarkymo veiklos, jeigu ši veikla:
- nėra vykdoma reguliariai,
- ji neturi poveikio susijusių asmenų teisėms ir laisvėms,
- ji nėra susijusi su slaptais duomenimis arba informacija apie teistumą.
Pritaikytoji duomenų apsauga ir standartizuotoji duomenų apsauga
Pritaikytoji duomenų apsauga reiškia, kad jūsų įmonė, planuodama nauju būdu tvarkyti asmens duomenis, į duomenų apsaugą turėtų atsižvelgti pradiniuose tokio planavimo etapuose. Atsižvelgdamas į šį tikslą, duomenų valdytojas privalo imtis visų būtinų techninių ir organizacinių veiksmų, kad įgyvendintų duomenų apsaugos principus ir apsaugotų asmenų teises. Šie veiksmai galėtų būti, pavyzdžiui, pseudonimų suteikimas.
Standartizuotoji duomenų apsauga reiškia, kad jūsų įmonė, nustatydama standartizuotuosius parametrus, visada turėtų užtikrinti, kad tokie parametrai padėtų užtikrinti kuo didesnę privatumo apsaugą. Pavyzdžiui, jeigu galima nustatyti du privatumo parametrus, o dėl vieno iš šių parametrų su asmens duomenimis negali susipažinti kiti asmenys, tokius parametrus reikėtų naudoti kaip standartizuotuosius parametrus.
Taisyklių pažeidimai ir sankcijos
Nesilaikant BDAR gali būti skiriamos didelės baudos, kurios už tam tikrus pažeidimus siekia iki 20 mln. EUR arba sudaro 4 proc. jūsų įmonės pasaulinės apyvartos. Duomenų apsaugos institucija gali imtis papildomų privalomų taisomųjų veiksmų, pavyzdžiui, nurodyti jums nustoti tvarkyti asmens duomenis.