Asmens duomenų apsauga: dalykai, kuriuos būtina žinoti

Beveik kiekviena įmonė savo veikloje tvarko fizinių asmenų duomenis (darbuotojų, klientų, partnerių ir kitus). Europos Sąjungoje įsigaliojus Bendrajam duomenų apsaugos reglamentui (BDAR), įmonėms sugriežtėjo prievolė apsaugoti šių fizinių asmenų duomenis ir jų privatumą. Tai reiškia, kad kiekvienai Europos Sąjungoje įsteigtai ar tiesiog veikiančiai įmonei privalu imtis veiksmų, kad būtų užtikrintas Reglamento reikalavimų laikymasis, parengti reikiami įmonės BDAR dokumentai. Priešingu atveju gali grėsti didelės finansinės sankcijos. Šiame straipsnyje atkreipsime dėmesį į dalykus, kuriuos privalo žinoti kiekviena įmonė apie asmens duomenų apsaugą.

Kas yra asmens duomenys?

Asmens duomenys gali būti suprantami kaip bet kokia informacija, susijusi su fiziniu asmeniu. Asmens duomenys gali būti tiek objektyvi, tiek subjektyvi informacija. Tai ne tik tokia informacija kaip vardas, pavardė, asmens kodas, adresas, pirštų antspaudai, nuotraukos, telefono numeris ar elektroninio pašto adresas, tačiau ir informacija, apibūdinanti asmenį fiziologiškai, psichologiškai, ekonomiškai, kultūriškai, nusakanti asmens socialinę padėtį.

Asmens duomenys, kurių anonimiškumas yra tinkamai užtikrintas ir pagal kuriuos asmens tapatybė negali būti nustatyta, nelaikomi asmens duomenimis.

Tvarkomų asmens duomenų inventorizacija

Įmonėje BDAR dokumentai negali būti parengti iš karto. Pirmiausia privalu atlikti asmens duomenų inventorizaciją (auditą). Jį gali atlikti patyrę teisės specialistai. Duomenų inventorizacijos metu nustatoma:

• kokius asmens duomenis tvarko įmonė,
• kokiais tikslais renkami šie duomenys,
• iš kur duomenys gaunami,
• kokie asmenys atsakingi už jų tvarkymą,
• ar pasitelkiami privatūs asmenys ar įmonė, kurie pagal pasirašytą paslaugų sutartį padeda tvarkyti šiuos duomenis,
• kiek laiko ir kaip šie duomenys saugomi,
• ar duomenys perduodami trečiajai šaliai.

Asmens duomenų inventorizacija leidžia ne tik nustatyti konkrečius įmonės tvarkomus asmens duomenis, atliekamas operacijas su jais, tačiau leidžia identifikuoti galimas rizikas bei suformuoti rekomendacijas asmens duomenų apsaugos gerinimui įmonėje.

Asmens duomenų tvarkymo taisyklių rengimas

Atlikus asmens duomenų inventorizaciją, įmonės turėtų pasirengti reikiamas taisykles ir tvarkas – protokolus. Šiame etape verta kreiptis į asmens duomenų apsaugos specialistus, kurie, žinodami susiformavusią praktiką bei inventorizacijos rezultatus, šiuos dokumentus parengs ne tik greitai, bet ir kokybiškai, o jums padės išvengti streso.

Atkreipiame dėmesį, kad vadovaujantis galiojančiais teisės aktais, įmonės turėtų pasirengti ne tik asmens duomenų tvarkymo taisykles. Pagal poreikį gali būti rengiamos šios tvarkos, formos:

• kliento sutikimo forma tvarkyti asmens duomenis,
• darbuotojo sutikimo forma tvarkyti asmens duomenis,
• tvarka, reglamentuojanti informacijos saugumą,
• slapukų naudojimo ir privatumo tvarka interneto svetainei (jei įmonė turi interneto svetainę).

Duomenų tvarkymo protokolai turi būti parengti atsakingai, kruopščiai, vadovaujantis galiojančių teisės aktų reikalavimais. Su šiomis tvarkomis turi būti supažindinti darbuotojai ir asmenys, kurie atsakingi už jų vykdymą.

Duomenų subjekto teisės

Kiekvienai įmonei, tvarkančiai fizinių asmenų duomenis, verta nepamiršti, kad šie asmenys turi tokias teises:

• žinoti ir būti informuoti apie jo asmeninių duomenų tvarkymą;
• susipažinti su tvarkomais savo asmeniniais duomenimis;
• „būti pamirštam“, tiksliau, teisė reikalauti, kad jo asmeniniai duomenys būtų ištrinti, tokį reikalavimą pagrindžiant;
• nesutikti su asmens duomenų tvarkymu;
• į duomenų perkeliamumą;
• apriboti duomenų tvarkymą;
• prašyti ištaisyti, papildyti netikslius ir neišsamius asmens duomenis.

Sankcijos už BDAR pažeidimus

Įmonėms asmens duomenų apsaugos sritį reiktų vertinti ypač atsakingai, nes sankcijos už BDAR pažeidimus yra grėsmingos. Įmonei, pažeidusiai BDAR reikalavimus, gali grėsti baudos net iki 2–4 procentų nuo praėjusių finansinių metų bendros metinės apyvartos. Dažnai įmonei bauda skiriama atsižvelgiant į pažeidimo pobūdį, sunkumą ir jo trukmę.

Svarbu atkreipti dėmesį, kad dažnai įmonių, pažeidusių BDAR nuostatas, reputacija nukenčia, o visuomenės pasitikėjimas sumažėja.

Atsakingas įmonės požiūris į BDAR leidžia užtikrinti asmens duomenų apsaugą, taip pat padeda išvengti sankcijų. Kita vertus, įmonėms, susidūrusioms su BDAR, dažnai kyla daug klausimų: pradedant tuo, kaip turėtų būti įgyvendinamos vienos ar kitos nuostatos ar parengti konkretūs dokumentai, baigiant tuo, kaip šiuos dokumentus taikyti praktiškai ir juos tinkamai įgyvendinti. Šiose situacijose rekomenduojama kreiptis į kvalifikuotus teisės specialistus, kurie padės jums rasti tinkamus problemų sprendimus.