------------------------------------
------------------------------------

Dovanos idėja!!!

190px
------------------------------------

Dalį „Suvalkiečio“ žinių ir naujienų galima skaityti naujienų dalijimosi platformoje etaplius.lt, pasirinkus Marijampolės regioną.

Sudarė sąlygas vienodam duomenų apsaugos įgyvendinimui visoje Europos Sąjungoje (Eksperto komentaras)

*Į mūsų klausimus atsako Daiva TAMULIONIENĖ, Valstybinės duomenų apsaugos inspekcijos Teisės skyriaus vyriausioji specialistė.

– Kam reikėjo atnaujinto Bendrojo asmens duomenų reglamento? Ar iki šiol duomenys buvo pas mus tvarkomi nelabai tinkamai?
– Naujo asmens duomenų teisinio reguliavimo poreikis atsirado dėl naujų asmens duomenų apsaugos sunkumų, susijusių su sparčia technologine plėtra ir globalizacija. Išaugo asmens duomenų rinkimo ir keitimosi jais mastas, todėl buvo būtina pritaikyti teisinį reguliavimą nūdienos iššūkiams. Nors ir senojo reguliavimo principai ir tikslai vis dar buvo pagrįsti, tačiau vienodo teisės akto nebuvimas sudarė sąlygas nevienodam duomenų apsaugos įgyvendinimui visoje Europos Sąjungoje (ES), teisiniam netikrumui ar plačiai paplitusiai viešajai nuomonei, kad fizinių asmenų apsaugai kyla didelių pavojų pirmiausia dėl veiklos internete. Taigi iš esmės naująjį reguliavimą lėmė siekis užtikrinti vienodo ir aukšto lygio fizinių asmenų teisių ir laisvių apsaugą tvarkant jų duomenis ir pašalinti asmens duomenų judėjimo ES kliūtis.
– Kokie esminiai pokyčiai įsigaliojo su naujuoju Reglamentu?
– Reglamento svarbiausi pakeitimai susiję su trimis asmens duomenų apsaugos reformos tikslais: duomenų subjektų teisių stiprinimu; duomenų tvarkytojų ir duomenų subtvarkytojų atsakomybės nustatymu; reguliavimo skaidrumu ir patikimumu.
Įtvirtinamos naujos duomenų subjekto teisės: teisė į duomenų perkeliamumą (duomenų subjektas turės teisę gauti susijusius su juo asmens duomenis, kuriuos jis pateikė duomenų valdytojui susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu, ir persiųsti tuos duomenis kitam duomenų valdytojui); taip pat teisė būti pamirštam.
Įtvirtinamas duomenų subjektų atstovavimas – duomenų subjektas turi teisę įgalioti nepelno įstaigą, organizaciją ar asociaciją jo vardu pateikti skundą ir jo vardu naudotis jam tam tikromis Reglamente numatytomis teisėmis.
Sugriežtinami sutikimo reikalavimai – numatoma, kad kai duomenys tvarkomi gavus duomenų subjekto sutikimą, duomenų valdytojas turi galėti įrodyti, kad duomenų subjektas sutiko su duomenų tvarkymo operacija. Apsaugos priemonėmis turi būti užtikrinama, kad duomenų subjektas suvoktų, jog jis duoda sutikimą ir dėl ko jis jį duoda. Duomenų valdytojo iš anksto suformuluotas sutikimo pareiškimas turi būti pateiktas suprantama ir lengvai prieinama forma, aiškiai ir paprasta kalba, jame neturėtų būti nesąžiningų sąlygų. Sutikimas neturi būti dviprasmiškas.
Pirmą kartą ES teisėje reglamentuojamas nepilnamečio iki 16 m. asmens duomenų tvarkymas. Nustatyta, kad kai vaikas yra jaunesnis negu 16 metų, toks tvarkymas yra teisėtas tik tuo atveju, jeigu tą sutikimą davė arba tvarkyti duomenis leido vaiko tėvų pareigų turėtojas. Vaikui tapus suaugusiu, jis turi teisę sutikimą atšaukti ir reikalauti duomenis sunaikinti.
Reglamentas yra tiesioginio taikymo teisės aktas, todėl nuo 2018 m. gegužės 25 d. duomenų tvarkymas Lietuvoje turi atitikti Reglamente nustatytą teisinį reguliavimą ir kiekvienas duomenų valdytojas turi pats pasirūpinti, kad būtų atnaujinti reikiami vidiniai asmens duomenų tvarkymo dokumentai, atsižvelgiant į Reglamente nurodytus reikalavimus.
Išplėsta teritorinė Reglamento taikymo sritis, t. y. Reglamentas yra taikomas ne tik tuo atveju, kai asmens duomenis tvarko ES įsisteigęs duomenų valdytojas arba duomenų tvarkytojas, bet ir tuo atveju, kai ES esančių duomenų subjektų asmens duomenis tvarko ES neįsisteigęs duomenų valdytojas arba duomenų tvarkytojas ir duomenų tvarkymo veikla susijusi su prekių arba paslaugų siūlymu duomenų subjektams Europos Sąjungoje arba elgesio, kai jie veikia Europos Sąjungoje, stebėsena.
Pagal naują reglamentavimą atsakomybė už asmens duomenų tvarkymą tenka duomenų valdytojams. Reglamentas išplečia pareigas duomenų tvarkytojams. Anksčiau už asmens duomenis buvo atsakingas duomenų valdytojas, o Reglamente numatyta, kad atsakomybę turės pagal susitarimą dalytis tiek duomenų valdytojas, tiek duomenų tvarkytojas.
Nustatomas „vieno langelio“ principas, t. y. duomenų valdytojo arba duomenų tvarkytojo pagrindinės buveinės arba vienintelės buveinės priežiūros institucija turi kompetenciją veikti kaip vadovaujanti priežiūros institucija, kai tas duomenų valdytojas arba duomenų tvarkytojas vykdo tarp-valstybinį duomenų tvarkymą. Vadovaujanti priežiūros institucija yra vienintelė institucija, su kuria duomenų valdytojas arba duomenų tvarkytojas palaiko ryšius, kai jie vykdo tarpvalstybinį duomenų tvarkymą.
Stiprinamas priežiūros institucijų bendradarbiavimas. Visais atvejais, kai bus atliekamas tarpvalstybinis duomenų tvarkymas, t. y. kai asmens duomenų tvarkymas lies kelių valstybių narių gyventojus, skirtingų šalių priežiūros institucijos bus kompetentingos spręsti dėl asmens duomenų tvarkymo atitikimo Reglamentui. Siekiant užtikrinti vienodą praktiką, vadovaujanti priežiūros institucija bendradarbiaus su atitinkamų valstybių narių priežiūros institucijomis atliekant bendrus tyrimus, priimant bendrą sprendimą ir taikant sankcijas.
Reglamentas remiasi atitikties logika, kuri grindžiama duomenų valdytojų ir duomenų tvarkytojų skaidrumu ir atskaitomybe.
– Naujasis reguliavimas numato, kad duomenų valdytojas, prieš pradėdamas tvarkyti duomenis, atlieka numatytų duomenų tvarkymo operacijų poveikio asmens duomenų apsaugai vertinimą.
– Numatyta pareiga pranešti duomenų subjektui apie asmens duomenų saugumo pažeidimą.
– Ir duomenų valdytojui, ir duomenų tvarkytojui numatoma pareiga paskirti duomenų apsaugos pareigūną.
– Reglamentas taip pat numato tokius naujus atitikties vertinimo kriterijus kaip elgesio kodeksų laikymasis ir sertifikavimas.
– Reglamente numatomos išankstinės konsultacijos tais atvejais, kai duomenų valdytojas, atlikęs poveikio duomenų apsaugai vertinimą, nustato, kad tvarkant duomenis kiltų didelis pavojus, jei duomenų valdytojas nesiimtų priemonių pavojui sumažinti.
Reglamentas numato pareigą rengiantiems pasiūlymus dėl teisėkūros priemonių, kurias priima nacionalinis parlamentas, arba tokia teisėkūros priemone grindžiamos reguliavimo priemonės, susijusios su asmens duomenų tvarkymu, konsultuotis su priežiūros institucija.
Duomenų valdytojai ir duomenų tvarkytojai gali perduoti asmens duomenis į trečiąją valstybę tik tuo atveju, jeigu duomenų valdytojas arba duomenų tvarkytojas yra nustatęs tinkamas apsaugos priemones, su sąlyga, kad suteikiama galimybė naudotis vykdytinomis duomenų subjekto teisėmis ir veiksmingomis duomenų subjektų teisių gynimo priemonėmis, t. y. Reglamento nuostatos bus taikomos ne tik asmens duomenų perdavimui, bet ir vėlesniam asmens duomenų tvarkymui.
Kaip ir anksčiau, duomenų apsaugos priežiūros institucijai (Lietuvoje ši institucija yra Valstybinė duomenų apsaugos inspekcija) suteikta teisė tikrinti duomenų valdytojus dėl galimų asmens duomenų apsaugos pažeidimų, tiek savo iniciatyva, tiek pagal galimai nukentėjusiųjų skundus.
Reglamente numatytas baudų dydis priverčia suklusti esamus ir būsimus duomenų valdytojus ir pažvelgti į asmens duomenų apsaugą labai atsakingai. Duomenų valdytojui ir duomenų tvarkytojui, pažeidusiam Reglamento nuostatas, gali būti skiriamos administracinės baudos, kurios kiekvienu konkrečiu atveju turi būti veiksmingos, proporcingos ir atgrasančios. Bauda gali siekti nuo 2 iki 4 proc. ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, arba nuo 10 mln. iki 20 mln. Eur.
– Įmonės duomenų saugotojos ir tvarkytojos tam pasiruošė, o ką reikėjo pasiruošti gyventojams? Kokios jų teisės ir pareigos?
– Bendrasis duomenų apsaugos reglamentas nenumato pareigų duomenų subjektams, tačiau suteikia jiems daugiau teisių, apie kurias minėjome. Nepaisant to, kad duomenų subjektams pareigų nėra numatyta, asmenys, kam nors teikdami asmens duomenis, turi būti rūpestingi ir atidūs. Jeigu nėra tikri, kam ir kuriems tikslams teikia duomenis, turėtų jų neteikti.
– Ar verta visiems prašantiems duoti? Kaip atsisakyti, jeigu davei sutikimą tvarkyti savo duomenis ir persigalvojai?
– Tik pats asmuo gali nuspręsti, ar duoti sutikimą tvarkyti asmens duomenis, ar ne, tačiau bet kuriuo atveju, net jei ir asmuo davė sutikimą tvarkyti asmens duomenis, jis turi teisę jį bet kada atšaukti. Įmonės, organizacijos, kurios tvarko sutikimo pagrindu asmens duomenis, turėtų neapsunkinti asmeniui galimybės pasinaudoti teise atšaukti sutikimą. Bendrasis duomenų apsaugos reglamentas numato, kad atšaukti sutikimą turėtų būti taip pat lengva, kaip jį duoti.
Be kita ko, sutikimas negali būti suabsoliutintas. Sutikimas nėra vienintelis galimas asmens duomenų tvarkymo pagrindas. Neretai asmens duomenų tvarkymas grindžiamas teisės aktuose nurodytais reikalavimais, taip pat sutartimis tarp įmonės ir asmens.
– Kaip atskirti, kada dėl duomenų kreipiasi tikros įmonės ar asmenys, o kada sukčiai?
– Iš tiesų Bendrasis duomenų apsaugos reglamentas numato teisę asmenims gauti daug informacijos apie jų numatomą asmens duomenų tvarkymą, įskaitant ir informaciją apie duomenų valdytoją. Duomenų subjektas turi teisę gauti informaciją apie duomenų valdytojo tapatybę ir kontaktinius duomenis. Žmonėms visais atvejais reikėtų išlikti budriems, jeigu gauta informacija kelia tam tikrų įtarimų, galima ją pasitikrinti naudojantis viešais šaltiniais, pavyzdžiui, internete. Pavyzdžiui, VĮ Registrų centro interneto svetainėje galima pasitikrinti, ar įmonė, organizacija yra registruota juridinių asmenų registre.
– Ačiū už išsamius atsakymus.

Dalį „Suvalkiečio“ žinių ir naujienų galima skaityti naujienų dalijimosi platformoje etaplius.lt, pasirinkus Marijampolės regioną.