Asmens duomenų tvarkymas

2018 m. gegužės 25 d. Lietuvoje buvo pradėtas taikyti 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (toliau – Reglamentas). Reglamento 5 straipsnio 1 dalyje nurodoma, kad asmens duomenys turi būti tvarkomi teisėtai, sąžiningai, renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir netvarkomi su tais tikslais nesuderinamu būdu. Asmens duomenys turi būti laikomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi. Be to, asmens duomenys turi būti tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas. Reglamentas nurodo tik bendrus principus, kuriais turi būti vadovaujamasi tvarkant asmens duomenis. Duomenų valdytojas turi pasirinkti tinkamus būdus asmens duomenims tvarkyti, nes jam tenka pareigą įrodyti, kad laikomasi Reglamento reikalavimų (atskaitomybės principas).

Duomenų valdytoju gali būti bet kuri įmonė, nepriklausomai nuo jos dydžio, pajamų, veiklos pobūdžio. Pakanka nustatyti, kad įmonė sprendžia, kokiais tikslais ir kokiu būdu tvarkomi asmens duomenys (Reglamento 4 str. 1 d. 7 p.). Pažymėtina, kad asmens duomenų tvarkymas – tai bet kokia su asmens duomenimis atliekama operacija, kaip antai rinkimas, rūšiavimas, sisteminimas, saugojimas, naudojimas. Duomenų valdytojas su tos pačios kategorijos asmens duomenimis gali atlikti net kelias skirtingas asmens duomenų tvarkymo operacijas. Pavyzdžiui, įmonė (duomenų valdytojas) tvarkydama darbuotojų asmens duomenis apie darbo užmokestį gali tiek juos rinkti, tiek saugoti, tiek persiųsti atitinkamoms valstybės institucijoms, tačiau kartu turi užtikrinti, kad visos duomenų tvarkymo operacijos būtų atliekamos tinkamai (užtikrinant atitiktį Reglamentui).

Tinkamas asmens duomenų tvarkymas – tai ne vienkartinio, o tęstinio pobūdžio procesas, susidedantis iš įvairių procedūrų parengimo ir įgyvendinimo. Visų pirma, įmonėje turi būti atliktas asmens duomenų auditas, kuris padės nusistatyti asmens duomenų tvarkymo tikslus, duomenų subjektų kategorijas, asmens duomenų kategorijas, duomenų gavėjų kategorijas. Be to, auditas padės įsivertinti rizikas ir pavojus, tvarkant asmens duomenis. Antra, įmonė turi įvertinti, ar asmens duomenys tvarkomi teisėtu pagrindu (Reglamente nurodomi teisėti pagrindai: sutikimas, sutarties su asmeniu sudarymas ar vykdymas, teisinė prievolė, viešasis interesas, teisėtas interesas). Trečia, įmonė turi gebėti įrodyti Valstybinei duomenų apsaugos inspekcijai (toliau – Inspekcija), jog įmonė laikosi Reglamento nuostatų (atskaitomybės principas). Paprasčiausias būdas tai padaryti – asmens duomenų pareigūno paskyrimas, poveikio duomenų apsaugai vertinimo atlikimas, tinkama asmens duomenų dokumentacija (pavyzdžiui, nuoseklus duomenų tvarkymo veiklos žurnalo pildymas). Ketvirta, įmonė turi užtikrinti, kad duomenų subjektai Reglamento nustatyta tvarka galėtų įgyvendinti savo teises, tarkim, susipažinti su tvarkomais jų asmens duomenimis, reikalauti ištaisyti jų asmens duomenis. Penkta, įmonė turi parengti tinkamas technines ir organizacines priemones (pavyzdžiui, informacinių sistemų ir duomenų bazių vartotojų teisių ribojimas ir kontrolė) siekdama užtikrinti tinkamą asmens duomenų saugumą. Šešta, įmonė turi parengti asmens duomenų saugumo pažeidimų nustatymo, tyrimo, pranešimo apie juos tvarką. Septinta, įmonė turi įvertinti, ar asmens duomenys perduodami į trečiąsias valstybes, kadangi tokiam asmens duomenų perdavimui dažnu atveju turi būti gautas Inspekcijos leidimas.

Reglamentas numato, jog už netinkamą asmens duomenų tvarkymą įmonei (duomenų valdytojui) gali būti taikomos įvairios sankcijos. Visų pirma, bet kuris asmuo, patyręs materialinę ar nematerialinę žalą, turi teisę iš duomenų valdytojo gauti kompensaciją. Norėdama išvengti civilinės atsakomybės įmonė turi įrodyti, kad nėra atsakinga už įvykį, dėl kurio patirta žala. Antra, už Reglamento pažeidimą Inspekcija turi teisę įmonei skirti administracinę baudą. Reglamentas numato, jog už netinkamą asmens duomenų tvarkymą gali grėsti bauda iki 4 procentų ankstesnių finansinių metų bendros metinės pasaulinės apyvartos arba 20.000.000,00 EUR. Be abejo, ne už kiekvieną Reglamento pažeidimą įmonei (duomenų valdytojui) grės maksimali bauda. Spręsdama dėl baudos dydžio Inspekcija atsižvelgs į įvairias aplinkybes, tarkim, pažeidimo pobūdį, sunkumą ir trukmę, aprėptį ar tikslą, taip pat į nukentėjusių duomenų subjektų skaičių ir jų patirtos žalos dydį. Trečia, esant netinkamam asmens duomenų tvarkymui Inspekcija gali imtis taisomųjų veiksmų: įspėti duomenų valdytoją, pareikšti papeikimus duomenų valdytojui, nurodyti duomenų valdytojui patenkinti duomenų subjekto prašymus, nurodyti duomenų valdytojui suderinti duomenų tvarkymo operacijas su šio reglamento nuostatomis, nurodyti duomenų valdytojui pranešti duomenų subjektui apie asmens duomenų saugumo pažeidimą, nurodyti ištaisyti arba ištrinti asmens duomenis, nurodyti nustatyti laikiną arba galutinį duomenų tvarkymo apribojimą, įskaitant tvarkymo draudimą, atšaukti sertifikatą arba nurodyti sertifikavimo įstaigai atšaukti išduotą sertifikatą, nurodyti sustabdyti duomenų srautus duomenų gavėjui trečiojoje valstybėje arba tarptautinei organizacijai.

Taigi tinkamas asmens duomenų tvarkymo procedūrų parengimas ir įgyvendinimas gali ne tik apsaugoti įmonę (duomenų valdytoją) nuo galimo asmens duomenų saugumo pažeidimo atsiradimo (o jam įvykus – atsiradusios žalos sumažinimo), bet ir padėti išvengti civilinės ir administracinės atsakomybės taikymo.

Žymos: , ,

ESTT brėžia gaires, jog vairuotojų privalomas civilinės atsakomybės draudimas galioja ir dėl eisme faktiškai nedalyvaujančiais automobiliais padarytos žalos

ESTT pateikė prejudicinį išaiškinimą, jog Direktyvos 3 straipsnio pirmosios pastraipos nuostatoje numatyta sąvoka transporto priemonių [eismas] apima situaciją, kai pastato privačiame garaže pastatyta transporto priemonė, kuri naudojama pagal savo, kaip transporto priemonės, funkciją, užsidegė, taip sukeldama gaisrą, kurio priežastis – šios transporto priemonės elektros sistema, o dėl jo buvo padaryta žala pastatui, nors minėta transporto priemonė nebuvo pajudinta iš vietos daugiau nei 24 valandas iki gaisro.

Plačiau

Multimodalinis krovinių pervežimas – vežėjas vienas, atsakomybės skirtingos

Pasaulinėje krovinių gabenimo praktikoje, kai krovinio pervežimui yra pasitelkiamos kelios transporto rūšys, tokiam procesui apibūdinti yra vartojama skirtinga terminologija – „multimodalinis pervežimas“, „intermodalinis pervežimas“ ar „kombinuotasis pervežimas“.

Plačiau

Vežėjų civilinės atsakomybės (CMR) draudimas – skirtinga didelio neatsargumo samprata vežimo ir draudimo santykiuose

Konstatuodami didelį vežėjo neatsargumą ir pripažindami įvykius nedraudžiamaisiais draudikai dažnai nepagrįstai remiasi didelio neatsargumo samprata, suformuota taikant CMR konvenciją, t.y. sprendžiant ginčus tarp krovinių vežėjų ir siuntėjų.

Plačiau
Žemėlapis