Aktualijos

Pokyčiai, kuriuos atneš Europos Sąjungos asmens duomenų apsaugos reforma (skaitmeninės teisės)

Po beveik ketverius metus trukusių derybų, Europos Parlamentas ir Europos Taryba neoficialiai susitarė dėl asmens duomenų apsaugos reformos. Reformą sudaro Bendrasis duomenų apsaugos reglamentas ir Duomenų apsaugos direktyva, skirta teisėsaugos institucijoms. Teisės aktai bus galutinai patvirtinti šiais metais ir pradėti taikyti po dvejų metų nuo jų įsigaliojimo dienos. Žemiau apžvelgsime kaip Bendrajame duomenų apsaugos reglamente įtvirtintos naujovės paveiks vartotojų, besidalinančių savo asmens duomenimis ir tuos duomenis tvarkančių organizacijų, kasdienybę.

Žmogaus teisių stebėjimo instituto parengta iliustracija.

Reglamentas iš vartotojo perspektyvos

Naujasis reglamentas siekia pakeisti jėgų pusiausvyrą tarp vartotojų (duomenų subjektų) ir bendrovių bei institucijų valdančių ir tvarkančių jų duomenis (duomenų valdytojai ir tvarkytojai), suteikdamas vartotojams daugiau galimybių kontroliuoti savo duomenis. Naujovės apima:

–          Aiškesnį informavimą apie duomenų tvarkymą. Pareigą įrodyti, kad gavo vartotojo sutikimą tvarkyti jo duomenis turės duomenų valdytojas. Kad tokį sutikimą gautų, bendrovės turės pateikti prašymą tvarkyti duomenis atskirai nuo kitų klausimų (pvz. atskirai nuo vartojimo sąlygų), paprasta forma bei aiškia ir suprantama kalba. Asmuo bus informuojamas ne tik kokiu teisiniu pagrindu ir kokiu tikslu jo duomenys yra tvarkomi, bet taip pat ir apie tai ar šiuos duomenis yra ketinama perduoti už ES ribų, bei kokį laikotarpį duomenys bus saugomi.

–          Teisę būti pamirštam. Vartotojai galės reikalauti, kad bendrovės ištrintų ir toliau nebetvarkytų jų asmens duomenų. Tačiau toks asmens reikalavimas nebus tenkinamas, jeigu to reikalauja saviraiškos ar informacijos laisvės interesas, jeigu konkrečiu atveju asmens duomenys tvarkomi vykdant teisinę prievolę, atliekant pavestas viešosios valdžios funkcijas arba dėl viešojo intereso tenkinimo visuomenės sveikatos srityje, taip pat archyvavimo, mokslinių ir istorinių tyrimų bei statistinių tikslų įgyvendinimo, ar teisinių reikalavimų gynimo tikslais.

–          Teisę į duomenų perkėlimą. Vartotojai galės lengvai perkelti savo duomenis tarp skirtingų paslaugų teikėjų. Tai reiškia, paslaugas teikianti bendrovės turės būti pasirengusi pateikti vartotojo asmens duomenis susistemintu formatu, tinkamu naudojimui kitoje bendrovėje.

–          Teisę sužinoti, jei prieigą prie jūsų asmens duomenų gavo įsilaužėliai. Bendrovės ir organizacijos turi pranešti vartotojams apie šiurkščius jų duomenų apsaugos pažeidimus, jeigu tokie pažeidimai galėtų kelti aukštą riziką asmenų teisėms ir laisvėms. Toks pranešimas turės būti padarytas kaip galima greičiau, kad vartotojai galėtų imtis atitinkamų priemonių. Apie įvairaus lygio pažeidimus bendrovės turės pranešti ir nacionalinei priežiūros institucijai (Lietuvoje – Duomenų apsaugos inspekcijai).

–          Veiksmingesnę pažeistų teisių gynybą. Jeigu vartotojai manys, kad bendrovės ar institucijos pažeidžia Reglamentą, jie galės kreiptis į nacionalinę priežiūros instituciją arba savo gyvenamojoje vietoje, ar toje valstybėje, kur buvo padarytas pažeidimas. Siekiant, kad šios institucijos geriau bendradarbiautų tarpusavyje ir užtikrintų lygiavertę teisių apsaugą visoje ES, įsteigiama Europos duomenų apsaugos valdyba, ir numatomi vieningos praktikos formavimo mechanizmai.

Reglamentas iš bendrovių ir institucijų perspektyvos

2_2

Žmogaus teisių stebėjimo instituto parengta iliustracija.

Naujasis reglamentas iš duomenų valdytojų ir tvarkytojų pareikalaus ne tik dar didesnės veiklos atskaitomybės ir įpareigos nuosekliau vertinti duomenų tvarkymo pažeidimų riziką, bet tam tikrais atvejais ir sumažins administracinę naštą. Visa tai bus įgyvendinta šiais būdais:

–          Vadovaujamasi vienu teisės aktu visoje Europoje ir taikomas „vieno langelio“ principas. Europoje veiklą vykdantys duomenų valdytojai ir tvarkytojai vadovausis vienu teisės aktu, nustatančiu vienodas taisykles visoje ES ir panaikinančiu iki šiol buvusias skirtingas nuostatas 28 valstybėse. Pagal „vieno langelio“ principą, jų priežiūrą atliks vadovaujanti priežiūros institucija, kuri glaudžiai bendradarbiaus su kitų šalių asmens duomenų priežiūros institucijomis. Tokiu būdu, pažeidimų atvejais bus atliekamas vienas tyrimas ir bendrovės bendradarbiaus tik su viena institucija.

–          Nebeliks pareigos pranešti apie duomenų tvarkymą įgaliotai institucijai. Įmonės ir organizacijos, ketindamos vykdyti visiškai ar iš dalies automatinį duomenų tvarkymą, nebeprivalės apie tai pranešti iš anksto pranešti asmens duomenų priežiūros institucijai.

–          Bus skiriamas duomenų apsaugos pareigūnas ir atliekamas poveikio duomenų apsaugai vertinimas. Bendrovės, kurių pagrindinė veikla yra duomenų tvarkymo operacijos, bei institucijos, tvarkančios asmens duomenis apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas, privalės savo įstaigoje paskirti duomenų apsaugos pareigūną, kuris prižiūrės asmens duomenų apsaugos reikalavimų laikymąsi. Tais atvejais, kai dėl duomenų tvarkymo rūšies, pobūdžio, apimties, konteksto ir tikslų galės kilti didelis pavojus asmenų teisėms ir laisvėms, bendrovės, prieš pradėdamos tvarkyti duomenis, turės atlikti duomenų tvarkymo operacijų poveikio asmens duomenų apsaugai vertinimą. Asmens duomenų priežiūros institucija sudarys ir viešai paskelbs operacijų, kurioms bus taikomas šis reikalavimas, sąrašą.

–          Griežtesnė administracinė atsakomybė už padarytus pažeidimus. Bendrovės ir institucijos turės imtis visų įmanomų priemonių, užtikrinančių tinkamą asmens duomenų apsaugos reikalavimų laikymąsi. Priešingu atveju grės didžiulės sankcijos: piniginės baudos iki 20 mln. eurų arba iki 4 proc. ankstesnių finansinių metų bendros metinės pasaulinės apyvartos.

333

Žmogaus teisių stebėjimo instituto parengta iliustracija.

Akivaizdu, kad reglamentas atneš esminių pokyčių duomenų tvarkymo srityje. Svarbu nepamiršti, kad jis bus taikomas visiems duomenų valdytojams ir tvarkytojams: valstybės institucijoms, mažoms įmonėms, didelėms korporacijoms, nevyriausybinėms organizacijoms. Pagrindinis klausimas yra, kaip kiekviena iš jų yra pasirengusi kokybiškai atlikti privatumo rizikų vertinimą viduje, susistyguoti duomenų tvarkymo procesus bei efektyviai įgyvendinti vartotojų, klientų ar paslaugų gavėjų teises duomenų apsaugos srityje.

Pavyzdžiui, 2016 m. pristatyto „Blancco Technology Group“ tyrimo duomenimis, nors tarptautinių bendrovių IT specialistų suvokimas apie Bendrąjį duomenų apsaugos reglamentą siekia 48 proc., jų pasirengimo lygis yra kur kas mažesnis. 40 proc. respondentų pripažino esantys ne visiškai pasirengę, 16 proc. dar reikia surasti tinkamą duomenų trynimo programinę įrangą, 9 proc. nežino nuo ko pradėti, o 15 proc. nežino, ar yra pasiruošę.
Nors tikėtina, kad Duomenų apsaugos reglamentas įsigalios tik 2018 m., pasiruošimą jo įgyvendinimui vertėtų pradėti jau dabar.

 

Straipsnį parengė Raminta Šulskutė. Šis straipsnis yra Žmogaus teisių stebėjimo instituto rengiamos straipsnių serijos „Skaitmeninės teisės“ dalis. Prie šios straipsnių serijos galite prisidėti ir jūs, atsiųsdami savo pageidavimus ar klausimus dėl naujų jus dominančių temų el. paštu skaitmeninesteises@gmail.com.

 

Komentarai (0)
Susiję straipsniai