Po beveik ketverius metus trukusių derybų, Europos Parlamentas ir Europos Taryba patvirtino asmens duomenų apsaugos reformą, kurią sudaro Bendrasis duomenų apsaugos reglamentas ir Duomenų apsaugos direktyva, skirta teisėsaugos institucijoms. Teisės aktai bus netrukus paskelbti oficialiame ES leidinyje ir bus pradėti taikyti po dvejų metų nuo jų įsigaliojimo dienos. Žemiau apžvelgsime, kaip Bendrajame duomenų apsaugos reglamente įtvirtintos naujovės paveiks vartotojų, besidalinančių savo asmens duomenimis, ir tuos duomenis tvarkančių organizacijų kasdienybę.
Reglamentas ir vartotojai
Naujasis reglamentas siekia pakeisti jėgų pusiausvyrą tarp vartotojų (duomenų subjektų) ir bendrovių bei institucijų valdančių ir tvarkančių jų duomenis (duomenų valdytojai ir tvarkytojai), suteikdamas vartotojams daugiau galimybių kontroliuoti savo duomenis. Naujovės apima:
– Aiškesnį informavimą apie duomenų tvarkymą. Pareigą įrodyti, kad gavo vartotojo sutikimą tvarkyti jo duomenis turės duomenų valdytojas. Kad tokį sutikimą gautų, bendrovės turės pateikti prašymą tvarkyti duomenis atskirai nuo kitų klausimų (pvz. atskirai nuo vartojimo sąlygų), paprasta forma bei aiškia ir suprantama kalba. Asmuo bus informuojamas ne tik kokiu teisiniu pagrindu ir kokiu tikslu jo duomenys yra tvarkomi, bet taip pat ir apie tai, ar šiuos duomenis yra ketinama perduoti už ES ribų, bei kokį laikotarpį duomenys bus saugomi.
– Teisę būti pamirštam. Vartotojai galės reikalauti, kad bendrovės ištrintų ir toliau nebetvarkytų jų asmens duomenų. Tačiau toks asmens reikalavimas nebus tenkinamas, jeigu to reikalauja saviraiškos ar informacijos laisvės interesas, jeigu konkrečiu atveju asmens duomenys tvarkomi vykdant teisinę prievolę, atliekant pavestas viešosios valdžios funkcijas arba dėl viešojo intereso tenkinimo visuomenės sveikatos srityje, taip pat archyvavimo, mokslinių ir istorinių tyrimų bei statistinių tikslų įgyvendinimo, ar teisinių reikalavimų gynimo tikslais.
– Teisę į duomenų perkėlimą. Vartotojai galės lengvai perkelti savo duomenis tarp skirtingų paslaugų teikėjų. Tai reiškia, kad paslaugas teikianti bendrovė turės būti pasirengusi pateikti vartotojo asmens duomenis susistemintu formatu, tinkamu naudojimui kitoje bendrovėje.
– Teisę sužinoti, jei prieigą prie asmens duomenų gavo įsilaužėliai. Bendrovės ir organizacijos turės pranešti vartotojams apie šiurkščius jų duomenų apsaugos pažeidimus, jeigu tokie pažeidimai kels aukštą riziką asmenų teisėms ir laisvėms. Toks pranešimas turės būti atliktas kaip galima greičiau, kad vartotojai galėtų imtis atitinkamų priemonių. Apie įvairaus lygio pažeidimus bendrovės turės pranešti ir nacionalinei priežiūros institucijai (Lietuvoje – Asmens duomenų apsaugos inspekcijai).
– Veiksmingesnę pažeistų teisių gynybą. Jeigu vartotojai manys, kad bendrovės ar institucijos pažeidžia Reglamentą, jie galės kreiptis į nacionalinę priežiūros instituciją savo gyvenamojoje vietoje arba toje valstybėje, kurioje buvo padarytas pažeidimas. Siekiant, kad šios institucijos geriau bendradarbiautų tarpusavyje ir užtikrintų lygiavertę teisių apsaugą visoje ES, įsteigiama Europos duomenų apsaugos valdyba, ir numatomi vieningos praktikos formavimo mechanizmai.
Reglamentas ir bendrovės bei institucijos
Naujasis reglamentas iš duomenų valdytojų ir tvarkytojų pareikalaus ne tik dar didesnės veiklos atskaitomybės ir įpareigos nuosekliau vertinti duomenų tvarkymo pažeidimų riziką, bet tam tikrais atvejais sumažins administracinę naštą. Visa tai bus įgyvendinta šiais būdais:
– Vadovaujamasi vienu teisės aktu visoje Europoje ir taikomas „vieno langelio“ principas. Europoje veiklą vykdantys duomenų valdytojai ir tvarkytojai vadovausis vienu teisės aktu, nustatančiu vienodas taisykles visoje ES ir panaikinančiu iki šiol buvusias skirtingas nuostatas 28 valstybėse. Pagal „vieno langelio“ principą, jų priežiūrą atliks vadovaujanti priežiūros institucija, kuri glaudžiai bendradarbiaus su kitų šalių asmens duomenų priežiūros institucijomis. Tokiu būdu, pažeidimų atvejais bus atliekamas vienas tyrimas ir bendrovės tyrimui reikalingus duomenis teiks tik vienai institucijai.
– Nebeliks pareigos pranešti apie duomenų tvarkymą įgaliotai institucijai. Įmonės ir organizacijos, ketindamos vykdyti visiškai ar iš dalies automatinį duomenų tvarkymą, nebeprivalės apie tai iš anksto pranešti asmens duomenų priežiūros institucijai.
– Bus skiriamas duomenų apsaugos pareigūnas ir atliekamas poveikio duomenų apsaugai vertinimas. Bendrovės, kurių pagrindinė veikla yra duomenų tvarkymo operacijos, bei institucijos, tvarkančios asmens duomenis apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas, privalės savo įstaigoje paskirti duomenų apsaugos pareigūną, kuris prižiūrės asmens duomenų apsaugos reikalavimų laikymąsi. Tais atvejais, kai dėl duomenų tvarkymo rūšies, pobūdžio, apimties, konteksto ir tikslų galės kilti didelis pavojus asmenų teisėms ir laisvėms, bendrovės, prieš pradėdamos tvarkyti duomenis, turės atlikti duomenų tvarkymo operacijų poveikio asmens duomenų apsaugai vertinimą. Asmens duomenų priežiūros institucija sudarys ir viešai paskelbs operacijų, kurioms bus taikomas šis reikalavimas, sąrašą.
– Griežtesnė administracinė atsakomybė už padarytus pažeidimus. Bendrovės ir institucijos turės imtis visų įmanomų priemonių, užtikrinančių tinkamą asmens duomenų apsaugos reikalavimų laikymąsi. Priešingu atveju grės didžiulės sankcijos: piniginės baudos iki 20 mln. eurų arba iki 4 proc. ankstesnių finansinių metų bendros metinės pasaulinės apyvartos.
Akivaizdu, kad reglamentas atneš esminių pokyčių asmens duomenų tvarkymo srityje. Svarbu nepamiršti, kad jis bus taikomas visiems duomenų valdytojams ir tvarkytojams: valstybės institucijoms, mažoms įmonėms, didelėms korporacijoms, nevyriausybinėms organizacijoms. Pagrindinis klausimas yra, kaip kiekviena iš jų yra pasirengusi kokybiškai atlikti privatumo rizikų vertinimą viduje, susistyguoti duomenų tvarkymo procesus bei efektyviai įgyvendinti vartotojų, klientų ar paslaugų gavėjų teises duomenų apsaugos srityje.
Pavyzdžiui, 2016 m. pristatyto „Blancco Technology Group“ tyrimo duomenimis, nors tarptautinių bendrovių IT specialistų suvokimas apie Bendrąjį duomenų apsaugos reglamentą siekia 48 proc., jų pasirengimo lygis yra kur kas mažesnis. 40 proc. respondentų pripažino esantys ne visiškai pasirengę, 16 proc. dar reikia surasti tinkamą duomenų trynimo programinę įrangą, 9 proc. nežino nuo ko pradėti, o 15 proc. nežino, ar yra pasiruošę.
This article has been originally published on 2016/03/09 at http://manoteises.lt/straipsnis/pokyciai-kuriuos-atnes-europos-sajungos-asmens-duomenu-apsaugos-reforma/ in cooperation with the Human Rights Monitoring Institute, a Lithuanian NGO defending human rights.
Share on Twitter Share on Facebook
Comments
There are currently no comments
New Comment