Asmens duomenų tvarkymas

2018 m. gegužės 25 d. Lietuvoje buvo pradėtas taikyti 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (toliau – Reglamentas). Reglamento 5 straipsnio 1 dalyje nurodoma, kad asmens duomenys turi būti tvarkomi teisėtai, sąžiningai, renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir netvarkomi su tais tikslais nesuderinamu būdu. Asmens duomenys turi būti laikomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi. Be to, asmens duomenys turi būti tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas. Reglamentas nurodo tik bendrus principus, kuriais turi būti vadovaujamasi tvarkant asmens duomenis. Duomenų valdytojas turi pasirinkti tinkamus būdus asmens duomenims tvarkyti, nes jam tenka pareigą įrodyti, kad laikomasi Reglamento reikalavimų (atskaitomybės principas).

Duomenų valdytoju gali būti bet kuri įmonė, nepriklausomai nuo jos dydžio, pajamų, veiklos pobūdžio. Pakanka nustatyti, kad įmonė sprendžia, kokiais tikslais ir kokiu būdu tvarkomi asmens duomenys (Reglamento 4 str. 1 d. 7 p.). Pažymėtina, kad asmens duomenų tvarkymas – tai bet kokia su asmens duomenimis atliekama operacija, kaip antai rinkimas, rūšiavimas, sisteminimas, saugojimas, naudojimas. Duomenų valdytojas su tos pačios kategorijos asmens duomenimis gali atlikti net kelias skirtingas asmens duomenų tvarkymo operacijas. Pavyzdžiui, įmonė (duomenų valdytojas) tvarkydama darbuotojų asmens duomenis apie darbo užmokestį gali tiek juos rinkti, tiek saugoti, tiek persiųsti atitinkamoms valstybės institucijoms, tačiau kartu turi užtikrinti, kad visos duomenų tvarkymo operacijos būtų atliekamos tinkamai (užtikrinant atitiktį Reglamentui).

Tinkamas asmens duomenų tvarkymas – tai ne vienkartinio, o tęstinio pobūdžio procesas, susidedantis iš įvairių procedūrų parengimo ir įgyvendinimo. Visų pirma, įmonėje turi būti atliktas asmens duomenų auditas, kuris padės nusistatyti asmens duomenų tvarkymo tikslus, duomenų subjektų kategorijas, asmens duomenų kategorijas, duomenų gavėjų kategorijas. Be to, auditas padės įsivertinti rizikas ir pavojus, tvarkant asmens duomenis. Antra, įmonė turi įvertinti, ar asmens duomenys tvarkomi teisėtu pagrindu (Reglamente nurodomi teisėti pagrindai: sutikimas, sutarties su asmeniu sudarymas ar vykdymas, teisinė prievolė, viešasis interesas, teisėtas interesas). Trečia, įmonė turi gebėti įrodyti Valstybinei duomenų apsaugos inspekcijai (toliau – Inspekcija), jog įmonė laikosi Reglamento nuostatų (atskaitomybės principas). Paprasčiausias būdas tai padaryti – asmens duomenų pareigūno paskyrimas, poveikio duomenų apsaugai vertinimo atlikimas, tinkama asmens duomenų dokumentacija (pavyzdžiui, nuoseklus duomenų tvarkymo veiklos žurnalo pildymas). Ketvirta, įmonė turi užtikrinti, kad duomenų subjektai Reglamento nustatyta tvarka galėtų įgyvendinti savo teises, tarkim, susipažinti su tvarkomais jų asmens duomenimis, reikalauti ištaisyti jų asmens duomenis. Penkta, įmonė turi parengti tinkamas technines ir organizacines priemones (pavyzdžiui, informacinių sistemų ir duomenų bazių vartotojų teisių ribojimas ir kontrolė) siekdama užtikrinti tinkamą asmens duomenų saugumą. Šešta, įmonė turi parengti asmens duomenų saugumo pažeidimų nustatymo, tyrimo, pranešimo apie juos tvarką. Septinta, įmonė turi įvertinti, ar asmens duomenys perduodami į trečiąsias valstybes, kadangi tokiam asmens duomenų perdavimui dažnu atveju turi būti gautas Inspekcijos leidimas.

Reglamentas numato, jog už netinkamą asmens duomenų tvarkymą įmonei (duomenų valdytojui) gali būti taikomos įvairios sankcijos. Visų pirma, bet kuris asmuo, patyręs materialinę ar nematerialinę žalą, turi teisę iš duomenų valdytojo gauti kompensaciją. Norėdama išvengti civilinės atsakomybės įmonė turi įrodyti, kad nėra atsakinga už įvykį, dėl kurio patirta žala. Antra, už Reglamento pažeidimą Inspekcija turi teisę įmonei skirti administracinę baudą. Reglamentas numato, jog už netinkamą asmens duomenų tvarkymą gali grėsti bauda iki 4 procentų ankstesnių finansinių metų bendros metinės pasaulinės apyvartos arba 20.000.000,00 EUR. Be abejo, ne už kiekvieną Reglamento pažeidimą įmonei (duomenų valdytojui) grės maksimali bauda. Spręsdama dėl baudos dydžio Inspekcija atsižvelgs į įvairias aplinkybes, tarkim, pažeidimo pobūdį, sunkumą ir trukmę, aprėptį ar tikslą, taip pat į nukentėjusių duomenų subjektų skaičių ir jų patirtos žalos dydį. Trečia, esant netinkamam asmens duomenų tvarkymui Inspekcija gali imtis taisomųjų veiksmų: įspėti duomenų valdytoją, pareikšti papeikimus duomenų valdytojui, nurodyti duomenų valdytojui patenkinti duomenų subjekto prašymus, nurodyti duomenų valdytojui suderinti duomenų tvarkymo operacijas su šio reglamento nuostatomis, nurodyti duomenų valdytojui pranešti duomenų subjektui apie asmens duomenų saugumo pažeidimą, nurodyti ištaisyti arba ištrinti asmens duomenis, nurodyti nustatyti laikiną arba galutinį duomenų tvarkymo apribojimą, įskaitant tvarkymo draudimą, atšaukti sertifikatą arba nurodyti sertifikavimo įstaigai atšaukti išduotą sertifikatą, nurodyti sustabdyti duomenų srautus duomenų gavėjui trečiojoje valstybėje arba tarptautinei organizacijai.

Taigi tinkamas asmens duomenų tvarkymo procedūrų parengimas ir įgyvendinimas gali ne tik apsaugoti įmonę (duomenų valdytoją) nuo galimo asmens duomenų saugumo pažeidimo atsiradimo (o jam įvykus – atsiradusios žalos sumažinimo), bet ir padėti išvengti civilinės ir administracinės atsakomybės taikymo.

Žymos: , ,

Šeimos ir sutuoktinio paveldėjimo teisė

Šeimos ir paveldėjimo teisė apima vedybų, skyrybų, santuokoje įgyto turto padalijimo ir santuokos nutraukimo teisinių pasekmių sutartis bei klausimus dėl mirusio asmens palikto turto paveldėjimo. Mes padedame paruošti, sudaryti ir įregistruoti tokias sutartis. Konsultuojame savo klientus visais šeimos ir paveldėjimo teisės klausimais. Kokiais šeimos ir sutuoktinio paveldėjimo teisės klausimais suteiksime jums konsultacijas? Planuojant sudaryti santuoką […]

Plačiau

Ne laiku išduotos tachografo kortelės – ar galima gauti kompensaciją?

Advokatas Mindaugas Šimkūnas su žurnalistu Vadim Volovoj kalbėjosi apie situaciją, kai 2023 m. dėl Lietuvos transporto saugos administracijos uždelsimo išduoti naujos kartos tachografo korteles Lietuvos vežėjai galėjo patirti nuostolių, kas tokius nuostolius galėtų sudaryti, kaip juos apskaičiuoti, taip pat kam ir kokiu būdu būtų galima pareikšti reikalavimus dėl tokių nuostolių atlyginimo. Kviečiame susipažinti su Lietuvos vežėjų sąjungos inetnetinėje svetainėje https://vezejas.eu patalpintu straipsniu šia tema.

Plačiau

Nupirkote naudotą transporto priemonę ir pastebėjote, kad ji turi defektų? Sužinokite, ko galite reikalauti iš pardavėjo

Ar privaloma pirkėjui prieš įsigyjant naudotą transporto priemonę patikrinti jos techninę būklę (kokybę)? Yra situacijų, kai pardavęs netinkamos kokybės transporto priemonę, pardavėjas nėra atsakingas už jos defektus. Pardavėjas atleidžiamas nuo atsakomybės už pareigą perduoti tinkamą prekę nevykdymo, jeigu įrodo, kad sutarties sudarymo metu pirkėjas žinojo arba negalėjo nežinoti apie tai, jog daiktai neatitinka sutarties ar įprastų reikalavimų.

Plačiau
Žemėlapis