BDAR: Kas tai yra ir kodėl tai svarbu kiekvienam?

Standartai

Pastaraisiais metais terminas BDAR tapo kone kasdieniu reiškiniu verslo pasaulyje, o jo aidas pasiekė ir daugelį fizinių asmenų. Bet kas iš tiesų slypi už šių keturių raidžių? BDAR, arba Bendrasis duomenų apsaugos reglamentas (angl. General Data Protection Regulation, GDPR), yra Europos Sąjungos teisės aktas, įsigaliojęs 2018 m. gegužės 25 d. Jo pagrindinis tikslas – suvienodinti ir sustiprinti visų Europos Sąjungos piliečių asmens duomenų apsaugą, suteikiant jiems daugiau kontrolės ir teisių tvarkant jų asmeninę informaciją.

Šis reglamentas pakeitė anksčiau galiojusią Duomenų apsaugos direktyvą ir nustatė naujus, griežtesnius reikalavimus visoms organizacijoms, kurios tvarko ES gyventojų asmens duomenis, nepriklausomai nuo to, kurioje pasaulio vietoje tos organizacijos yra įsisteigusios. Tai reiškia, kad BDAR aktualus ne tik Europos įmonėms, bet ir bet kuriai pasaulinei kompanijai, turinčiai klientų ar darbuotojų Europos Sąjungoje.

Kodėl BDAR atsirado?

BDAR: Kas tai yra ir kodėl tai svarbu kiekvienam?

Ankstesnė duomenų apsaugos sistema, pagrįsta 1995 m. direktyva, nebeatitiko skaitmeninio amžiaus realijų. Technologijų pažanga, socialinių tinklų išpopuliarėjimas, didžiųjų duomenų (angl. Big Data) analizės galimybės ir vis dažnėjantys duomenų saugumo pažeidimai sukėlė poreikį modernizuoti teisės aktus. Buvo akivaizdu, kad žmonėms reikia daugiau skaidrumo ir kontrolės, kaip naudojama jų asmeninė informacija, o verslui – aiškesnių ir vienodesnių taisyklių visoje ES.

BDAR siekia sukurti pasitikėjimu grįstą skaitmeninę aplinką, kurioje asmenys jaustųsi saugūs dėl savo duomenų, o įmonės galėtų atsakingai naudotis duomenimis inovacijoms ir augimui skatinti. Reglamentas įtvirtina principą, kad asmens duomenys priklauso pačiam asmeniui, o ne juos renkančiai ar tvarkančiai organizacijai.

Pagrindiniai BDAR principai

Reglamento esmę sudaro keli pamatiniai principai, kuriais privalo vadovautis visos asmens duomenis tvarkančios organizacijos:

  • Teisėtumas, sąžiningumas ir skaidrumas: Duomenys turi būti tvarkomi teisėtai, sąžiningai ir skaidriai duomenų subjekto (asmens, kurio duomenys tvarkomi) atžvilgiu. Asmuo turi būti aiškiai informuotas apie tai, kokie jo duomenys, kokiais tikslais ir kokiu teisiniu pagrindu yra tvarkomi.
  • Tikslo apribojimas: Duomenys gali būti renkami tik konkrečiais, aiškiai apibrėžtais ir teisėtais tikslais ir negali būti toliau tvarkomi su šiais tikslais nesuderinamu būdu.
  • Duomenų kiekio mažinimas: Turi būti tvarkomi tik tie duomenys, kurie yra adekvatūs, tinkami ir reikalingi tikslams, dėl kurių jie tvarkomi, pasiekti. Negalima rinkti perteklinių duomenų „atsargai“.
  • Tikslumas: Duomenys turi būti tikslūs ir prireikus atnaujinami. Netikslūs duomenys turi būti nedelsiant ištrinami arba ištaisomi.
  • Saugojimo trukmės apribojimas: Duomenys turi būti saugomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai yra būtina tikslams, dėl kurių duomenys buvo surinkti.
  • vientisumas ir konfidencialumas (saugumas): Duomenys turi būti tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas jų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo.
  • Atskaitomybė: Duomenų valdytojas (organizacija, kuri nustato duomenų tvarkymo tikslus ir priemones) yra atsakingas už tai, kad būtų laikomasi aukščiau išvardytų principų, ir turi sugebėti įrodyti, kad jų laikomasi.

Asmenų (duomenų subjektų) teisės pagal BDAR

Vienas svarbiausių BDAR aspektų – sustiprintos fizinių asmenų teisės. Kiekvienas ES gyventojas turi šias teises, susijusias su jo asmens duomenimis:

  • Teisė būti informuotam: Gauti aiškią, suprantamą informaciją apie savo duomenų tvarkymą.
  • Teisė susipažinti su duomenimis: Gauti patvirtinimą, ar jo duomenys yra tvarkomi, ir jei taip – susipažinti su tvarkomais duomenimis bei gauti jų kopiją.
  • Teisė reikalauti ištaisyti duomenis: Prašyti ištaisyti netikslius ar papildyti neišsamius savo asmens duomenis.
  • Teisė reikalauti ištrinti duomenis („teisė būti pamirštam“): Tam tikromis aplinkybėmis (pvz., duomenys nebereikalingi tikslams, kuriais buvo surinkti, atšauktas sutikimas, duomenys tvarkomi neteisėtai) reikalauti, kad jo duomenys būtų ištrinti.
  • Teisė apriboti duomenų tvarkymą: Tam tikrais atvejais (pvz., ginčijamas duomenų tikslumas, tvarkymas neteisėtas, bet asmuo nesutinka, kad duomenys būtų ištrinti) reikalauti apriboti duomenų tvarkymą.
  • Teisė į duomenų perkeliamumą: Gauti savo asmens duomenis, kuriuos jis pateikė duomenų valdytojui, susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu, ir persiųsti tuos duomenis kitam valdytojui, jei tvarkymas grindžiamas sutikimu ar sutartimi ir atliekamas automatizuotomis priemonėmis.
  • Teisė nesutikti su duomenų tvarkymu: Nesutikti, kad jo duomenys būtų tvarkomi tam tikrais tikslais, pavyzdžiui, tiesioginės rinkodaros.
  • Teisės, susijusios su automatizuotu sprendimų priėmimu ir profiliavimu: Teisė nebūti vertinamam remiantis vien automatizuotu duomenų tvarkymu, įskaitant profiliavimą, jei tai sukelia teisines pasekmes ar daro didelį poveikį.

Norėdamas pasinaudoti šiomis teisėmis, asmuo turėtų kreiptis į jo duomenis tvarkančią organizaciją.

Organizacijų pareigos pagal BDAR

BDAR užkrauna nemažai pareigų įmonėms ir organizacijoms. Svarbiausios iš jų:

  • Nustatyti teisėtą duomenų tvarkymo pagrindą: Kiekvienam duomenų tvarkymo veiksmui būtina turėti aiškų teisinį pagrindą (pvz., sutikimas, sutarties vykdymas, teisinis įpareigojimas, teisėtas interesas).
  • Gauti tinkamą sutikimą: Jei duomenys tvarkomi sutikimo pagrindu, jis turi būti duotas laisva valia, konkretus, informacija pagrįstas ir nedviprasmiškas. Tylėjimas ar iš anksto pažymėti langeliai nelaikomi sutikimu. Asmuo turi turėti galimybę lengvai atšaukti sutikimą.
  • Atlikti poveikio duomenų apsaugai vertinimą (PDAV): Jei planuojamas duomenų tvarkymas gali kelti didelį pavojų asmenų teisėms ir laisvėms (pvz., naudojant naujas technologijas, vykdant plataus masto stebėjimą), privaloma atlikti PDAV.
  • Paskirti duomenų apsaugos pareigūną (DAP): Tam tikroms organizacijoms (pvz., valdžios institucijoms, įmonėms, kurių pagrindinė veikla susijusi su reguliariu ir sistemingu didelio masto duomenų subjektų stebėjimu arba didelio masto specialių kategorijų duomenų tvarkymu) privaloma paskirti DAP.
  • Pranešti apie duomenų saugumo pažeidimus: Nustačius asmens duomenų saugumo pažeidimą, apie jį privaloma per 72 valandas pranešti priežiūros institucijai (Lietuvoje – Valstybinei duomenų apsaugos inspekcijai, VDAI), o tam tikrais atvejais – ir patiems duomenų subjektams.
  • Tvarkyti duomenų tvarkymo veiklos įrašus: Dauguma organizacijų privalo dokumentuoti savo vykdomą duomenų tvarkymo veiklą.
  • Užtikrinti duomenų saugumą: Įdiegti tinkamas technines ir organizacines priemones (pvz., pseudonimų suteikimas, šifravimas, prieigos kontrolė), kad būtų užtikrintas duomenų saugumo lygis, atitinkantis keliamą riziką.
  • Sudaryti duomenų tvarkymo sutartis: Jei duomenų tvarkymui pasitelkiami paslaugų teikėjai (duomenų tvarkytojai), su jais būtina sudaryti sutartis, atitinkančias BDAR reikalavimus.

Duomenų perdavimas už ES/EEE ribų

BDAR nustato griežtas taisykles dėl asmens duomenų perdavimo į trečiąsias šalis (valstybes, nepriklausančias Europos Sąjungai ar Europos ekonominei erdvei). Toks perdavimas galimas tik tada, kai užtikrinamas adekvatus duomenų apsaugos lygis. Tai gali būti pasiekta Europos Komisijos sprendimu dėl tinkamumo, taikant standartines sutarčių sąlygas, privalomąsias įmonės taisykles ar kitas BDAR numatytas priemones.

Priežiūra ir sankcijos

Kiekvienoje ES valstybėje narėje veikia nepriklausoma priežiūros institucija, atsakinga už BDAR taikymo stebėseną ir užtikrinimą. Lietuvoje tai yra Valstybinė duomenų apsaugos inspekcija (VDAI). Šios institucijos turi plačius įgaliojimus: atlikti tyrimus, auditus, reikalauti pateikti informaciją, skirti įspėjimus, papeikimus ir, žinoma, baudas.

BDAR numato itin griežtas finansines sankcijas už pažeidimus. Baudos gali siekti iki 20 milijonų eurų arba iki 4% ankstesnių finansinių metų bendros metinės pasaulinės apyvartos (priklausomai nuo to, kuri suma didesnė). Tokios didelės baudos rodo, kokią svarbą ES teikia asmens duomenų apsaugai.

Praktiniai patarimai verslui

BDAR laikymasis yra ne vienkartinis projektas, o nuolatinis procesas. Ką turėtų daryti įmonės?

  • Atlikti auditą: Išsiaiškinti, kokius asmens duomenis, kokiais tikslais ir kokiu pagrindu tvarko, kur jie saugomi, kas turi prieigą.
  • Atnaujinti privatumo politiką: Ji turi būti aiški, suprantama ir lengvai prieinama, joje turi būti visa BDAR reikalaujama informacija.
  • Peržiūrėti sutikimo gavimo mechanizmus: Įsitikinti, kad gaunamas sutikimas atitinka BDAR reikalavimus.
  • Įdiegti procesus teisėms įgyvendinti: Sukurti aiškią tvarką, kaip reaguoti į asmenų prašymus įgyvendinti jų teises (pvz., susipažinti su duomenimis, juos ištrinti).
  • Užtikrinti saugumą: Įvertinti rizikas ir įdiegti tinkamas technines bei organizacines saugumo priemones.
  • Mokyti darbuotojus: Visi darbuotojai, dirbantys su asmens duomenimis, turi būti supažindinti su BDAR reikalavimais ir savo pareigomis.
  • Pasirinkti patikimus partnerius: Jei naudojatės išorinių tiekėjų (duomenų tvarkytojų) paslaugomis, įsitikinkite, kad jie taip pat laikosi BDAR.
  • Paskirti atsakingą asmenį: Net jei DAP paskyrimas neprivalomas, verta turėti asmenį ar komandą, atsakingą už duomenų apsaugos klausimus.

BDAR poveikis ir iššūkiai

BDAR įsigaliojimas neabejotinai turėjo didelį poveikį. Viena vertus, padidėjo visuomenės sąmoningumas apie duomenų apsaugą, žmonės ėmė aktyviau domėtis savo teisėmis. Kita vertus, verslui tai tapo nemažu iššūkiu, reikalaujančiu investicijų į procesų peržiūrą, technologijas ir darbuotojų mokymus. Ypač mažoms ir vidutinėms įmonėms prisitaikyti prie naujų reikalavimų galėjo būti sudėtinga.

Vis dėlto, ilgalaikėje perspektyvoje BDAR laikymasis gali tapti konkurenciniu pranašumu. Įmonės, kurios demonstruoja pagarbą klientų privatumui ir atsakingai tvarko jų duomenis, stiprina pasitikėjimą, gerina savo reputaciją ir kuria tvaresnius santykius su klientais.

Duomenų apsaugos ateitis

Skaitmeninis pasaulis nuolat keičiasi, atsiranda naujos technologijos (dirbtinis intelektas, daiktų internetas), kurios kelia naujus iššūkius duomenų apsaugai. Tikėtina, kad BDAR ir kiti duomenų apsaugos teisės aktai ateityje bus toliau tobulinami ir adaptuojami prie besikeičiančios aplinkos. Duomenų apsauga išlieka ir išliks itin aktualia tema tiek verslui, tiek kiekvienam individui.

Apibendrinimas

Bendrasis duomenų apsaugos reglamentas (BDAR) yra kertinis Europos Sąjungos teisės aktas, transformavęs požiūrį į asmens duomenų tvarkymą. Jis suteikia asmenims daugiau kontrolės ir teisių, o organizacijoms nustato aiškias ir griežtas taisykles bei pareigas. Nors prisitaikymas prie BDAR reikalavimų pareikalavo pastangų, ilgainiui tai skatina didesnį skaidrumą, saugumą ir pasitikėjimą skaitmeninėje erdvėje. Suprasti BDAR principus ir reikalavimus yra svarbu ne tik verslui, bet ir kiekvienam iš mūsų, siekiant apsaugoti savo privatumą nuolat besivystančiame technologijų pasaulyje.

Parašykite komentarą

El. pašto adresas nebus skelbiamas. Būtini laukeliai pažymėti *