Advokatas Andrius IškauskasVilnius, 2016-09-28

Asmens duomenų apsauga:

NAUJASIS ES REGLAMENTAS

Šiame dokumente esanti informacija negali būti laikoma teisine

konsultacija ir jos pagrindu neturi būti priimami jokie sprendimai.

Šis dokumentas skirtas tik pradiniam susipažinimui su jame

išdėstyta informacija ir jo sudarytojams nekyla atsakomybė už

informacijos išsamumą, pakankamumą, tikslumą ir teisingumą.

• Asmens duomenys

– bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta

arba kurio tapatybę galima nustatyti;

– VISKAS:

• vardas ir pavardė,

• asmens kodas,

• buvimo vietos duomenys,

• interneto identifikatorius,

• vienas ar keli fizinės, fiziologinės, genetinės, psichinės,

ekonominės, kultūrinės ar socialinės tapatybės požymiai,

• kt.

Terminologija

• Duomenų tvarkymas

– bet kokia automatizuotomis arba neautomatizuotomis

priemonėmis su asmens duomenimis atliekama operacija, pvz.:

Terminologija

• rinkimas,

• įrašymas,

• rūšiavimas,

• sisteminimas,

• saugojimas,

• adaptavimas ar keitimas,

• išgava,

• susipažinimas,

• naudojimas,

• atskleidimas persiunčiant,

platinant ar kitu būdu sudarant

galimybę jais naudotis,

• sugretinimas ar sujungimas su

kitais duomenimis,

• apribojimas,

• ištrynimas arba sunaikinimas

Duomenų valdytojas

Asmuo, kuris vienas arba

drauge su kitais nustato

asmens duomenų

tvarkymo tikslus ir

priemones.

Terminologija

Duomenų tvarkytojas

Asmuo, kuris asmens

duomenis tvarko valdytojo

vardu.

Kompanija pasamdo kitą įmonę

tvarkyti pirmosios buhalteriją ir

darbo užmokestį. Buhalteriją

tvarkanti įmonė bus duomenų

tvarkytojas, nes tikslus nustatė

pirmoji kompanija

Savivaldybė drauge su policija

įdiegia stebėjimo kameras ir

drauge jomis naudojasi. Kadangi

abi nusprendžia, kaip bus

tvarkomi duomenys, abi yra

duomenų tvarkytojai

Data protection bydesign

Savęs įsivertinimas (self assesment)

Atskaitomumas(accountability)

Duomenų valdytojas yra atsakingas už tai, kad būtų laikomasi visų kitų principų, ir turi sugebėti įrodyti, kad jų laikomasi

Kiti (seni) principai:

• teisėtumo, sąžiningumo ir skaidrumo principas

• tikslo apribojimo principas

• duomenų kiekio mažinimo principas

• tikslumo principas

• saugojimo trukmės apribojimo principas

• vientisumo ir konfidencialumo principas

Atskaitomybės principas

Atskaitomybės principas apima:

• reikiamos dokumentacijos parengimą,

• poveikio duomenų apsaugai vertinimo atlikimą

• išankstines konsultacijas su VDAI

• duomenų apsaugos pareigūno paskyrimą

• „data protection by design and by default“ principo

įgyvendinimą

Atskaitomybės principas

“Pritaikytoji duomenų apsauga”

• Kurdamas, vystydamas, pasirinkdamas sistemas,

gamintojas ir užsakovas turi atsižvelgti į duomenų

apsaugą, pvz.:

– tvarkymo tikslų apribojimą,

– tvarkomų duomenų minimizavimą,

– pseudonimų suteikimą,

– galimybės duomenų subjektui stebėti tvarkymą suteikimą

– duomenų apsaugą

Data protection by design

• Poveikio duomenų apsaugai vertinimas

• Išankstinės konsultacijos su VDAI

• Elgesio kodeksai

• Sertifikavimas

• Duomenų tvarkymo veiklos įrašai

Atitikties dokumentacija

• Skirtas įvertinti ir sumažinti atitikties spragas

• Daromas, kai „asmenų teisėms bei laisvėms gali kilti

didelis pavojus“, ypač:

– kai naudojamos naujos technologijos,

– atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir

tikslus

– Kai priimami sprendimai, darantys teisinį poveikį duomenų

subjektui

– Tvarkomi specialūs duomenys

– Sistemingai ir stambu mastu stebima vieša vieta

Poveikio vertinimas

• Reikia iš anksto, prieš pradedant tvarkyti duomenis,

konsultuotis su VDAI, jei padarius poveikio vertinimą

nustatoma, kad tvarkant duomenis kiltų didelis pavojus,

jei duomenų valdytojas nesiimtų priemonių pavojui

sumažinti.

• Konsultuodamasis duomenų valdytojas VDAI nurodo:

– Tikslai ir priemonės

– Apsaugos priemonės

– Poveikio vertinimą

• VDAI gali pateikti rekomendacijas

Išankstinės konsultacijos

VDAI Duomenų subjektui

• Per 72 val. nuo sužinojimo*

• Nurodo:

• pažeidimo pobūdį,

• apytikslį skaičių,

• pasekmes,

• priemones, kurių ėmėsi

• Dokumentuoja visus pažeidimus ir

priemones, kurių ėmėsi

• Duomenų subjektui praneša, kai

„gali kilti didelis pavojus duomenų

fizinių asmenų teisėms ir laisvėms “

• Nurodo „aiškia ir paprasta kalba“ :

• pažeidimo pobūdį

• pasekmes,

• priemones, kurių ėmėsi

• Pranešimo nereikia, jei:

• užtikrino, kad nekiltų pavojus

(pvz. duomenys buvo užšifruoti)

• tai pareikalautų neproporcingų

pastangų

Pranešimas apie pažeidimą

• Valdytojas turi paskirti duomenų apsaugos pareigūną

(DAP ), jei:

– duomenis tvarko valdžios institucija arba įstaiga;

– pagrindinė veikla yra duomenų tvarkymas, dėl kurio reguliariai ir sistemingai dideliu mastu stebimi duomenų subjektai;

– pagrindinė veikla yra specialių kategorijų duomenų tvarkymas dideliu mastu.

• DAP turi turėti žinių

• DAP gali būti vidinis arba išorinis

• Įmonių grupės gali turėti bendrą DAP

Duomenų apsaugos pareigūnas

Įvertinkite esamą situaciją

Ar esate duomenų valdytojas, ar

tvarkytojas

Kokius asmens duomenis valdote

Kokiais tikslais valdote asmens

duomenis

Kokiais pagrindais valdote asmens

duomenis

Ar perduodate į kitas valstybes

Ar pateikiate informaciją

• Parenkite vidines tvarkas ir procedūras:

– Pažeidimų prevencijai

– Informavimui apie pažeidimus

– Pažeidimų pasekmių šalinimui

Pasirenkite pažeidimams

• Kurdami, vystydami ir įsigydami IT sistemas kelkite jiems

asmens duomenų apsaugos reikalavimus

• Nustatykite papildomas sąlygas IT sistemų pirkimui

• Sukurkite IT sistemų naudojimo taisykles

Siekite PbD

• Parenkite asmens duomenų tvarkymo taisykles

• Apmokykite personalą

• Atlikite poveikio vertinimą

• Konsultuokitės su VDAI

• Paskirkite DAP

• Parenkite / prisijunkite prie elgesio kodeksų

• Sertifikuokitės

Pasirenkite atskaitomybei

Advokatas Andrius Iškauskas

AAA LAWJ. Jasinskio g. 16 A, LT-01112, Vilnius

Tel. (8 5) 252 6676, faks. (8 5) 252 6670

el. paštas: a.iskauskas@AAALaw.EU

Ačiū