Bendrasis duomenų apsaugos reglamentas (BDAR) - pagrindinis teisės aktas, reglamentuojantis su asmens duomenų apsauga susijusius principus Europos Sąjungoje. Jame nustatytos fizinių asmenų teisės tvarkyti, taisyti ar naikinti savo asmens duomenis, siekiant apsaugoti juos nuo neteisėto disponavimo ar perdavimo į trečiąsias šalis.
BDAR Įsigaliojimas ir Taikymas
BDAR reglamentas įsigaliojo nuo 2018 metų gegužės 25 dienos. Iki šio reglamento asmens duomenų apsaugą reguliavo Europos Parlamento ir Tarybos direktyva 95/46/EB nuo 1995 metų. Ši direktyva buvo bendro pobūdžio visoms ES šalims, tačiau ji nenustatė, kiekvienos valstybės viduje galiojančių, asmens duomenų tvarkymo taisyklių.
Siekiant užtikrinti vienodą fizinių asmenų duomenų apsaugą visose ES šalyse 2018 m. įsigaliojo BDAR, kuris taikomas visoms Europos Sąjungos valstybėms. Jis numato naujas teises fiziniams asmenims, pvz., teisę būti informuotam, teisę turėti prieigą, koreguoti ar ištrinti asmens duomenis bei naujas pareigas duomenų valdytojams ir duomenų tvarkytojams.
Reglamentas ES šalyse tapo būtinas vis dažniau susiduriant su technologijomis. Registruojantis internetu asmuo pateikia savo asmeninius duomenis, o sutikimo dėl jų tvarkymo prašoma beveik visose interneto svetainėse. Svarbūs duomenys pateikiami įvairioms valstybinėms institucijoms naudojant prieigą internetu, pvz., „E-sveikata“, „Regitra“, „VMI“, bankas ir kt. O ką jau kalbėti apie privatų sektorių: pildydami įvairias anketas žmonės suteikia savo duomenis nuolaidoms gauti. Spausdami „Sutinku“ elektroninėje parduotuvėje, jie duoda sutikimą dėl savo asmens duomenų rinkimo bei tvarkymo rinkodaros ir kitais tikslais.
Asmens Duomenys ir Informacija
Asmens duomenimis laikoma bet kokia informacija apie asmenį, kurio tapatybė yra nustatyta ar gali būti nustatyta, toks asmuo dar vadinamas duomenų subjektu.
Asmens duomenimis ir informacija yra laikoma:
- vardas, pavardė;
- el. pašto adresas;
- telefono numeris;
- gyvenamosios vietos adresas;
- asmens kodas;
- duomenys apie sveikatą;
- kultūriniai ypatumai;
- religiniai įsitikinimai, politinės pažiūros, lytinė orientacija;
- IP adresas;
BDAR reglamentas taip pat nustato, kas turi valdyti sukauptus duomenis ir teisėtai juos tvarkyti.
BDAR bendrosios nuostatos apibrėžia, kas yra asmens duomenų apsaugos pareigūnas. Tai:
- duomenų valdytojas;
- duomenų tvarkytojas.
Kai įmonė reguliariai stebi asmens duomenis, tvarko juos dideliu mastu arba tai yra pagrindinė veikla, privaloma paskirti duomenų apsaugos pareigūną (DAP).
Duomenų saugumas pažeidžiamas, jei institucija praranda asmens duomenis, jie yra pakeičiami be sutikimo, tampa neprieinami arba atskleidžiami neteisėtoms šalims. Įvairius klausimus dėl neteisėto duomenų apsaugos tvarkymo sprendžia duomenų priežiūros institucijos, į kurias reikia kreiptis per 72 valandas nuo pažeidimo pastebėjimo.
Pagrindiniai BDAR Principai
Nuostatos dėl fizinių asmenų apsaugos, tvarkant asmens duomenis:
- Asmens duomenų rinkimas ir tvarkymas turi būti atliktas teisėtu, sąžiningu ir skaidriu būdu.
- Duomenys renkami tik aiškiai apibrėžtais ir teisėtais tikslais.
- Netikslūs ar neteisingi duomenys turi būti atnaujinami arba ištrinami.
- Duomenys turi būti laikomi tokiu būdu, kad duomenų subjekto tapatybė būtų nustatoma tik tiek, kiek būtina, išskyrus atvejus, kai duomenys saugomi viešojo intereso tikslais.
- Asmens duomenys turi būti tvarkomi taip, kad būtų apsaugoti nuo tyčinio ar netyčinio praradimo ar sugadinimo.
Darbuotojo Sutikimas ir BDAR
Svarbu žinoti, kad Bendrojo duomenų apsaugos reglamento (angl. General Data Protection Regulation (GDPR), toliau - BDAR) kontekste nereikalingi ir net negalimi jokie pakeitimai darbo sutartyse. Skirtingai nuo viešojoje erdvėje sklandančių „rekomendacijų“, darbuotojo sutikimas jo asmens duomenų tvarkymui nei darbo sutartyje, nei atskirai yra ne tik kad nereikalingas, bet ir neteisėtas, t. y. mažų mažiausiai formalus BDAR pažeidimas.
Svarbu žinoti, kad tiek iki BDAR (GDPR) įsigaliojimo, tiek dabar galioja taisyklė, kad darbuotojas, būdamas teisiškai ir ekonomiškai priklausomas nuo darbdavio, negali teisėtai duoti laisvo sutikimo darbdaviui, nebent tas sutikimas būtų toks mažareikšmis, kad niekam nekiltų abejonių dėl darbuotojo laisvos valios jį duodant bei galimybės atšaukti tokį sutikimą be jokių neigiamų pasekmių. Visais likusiais atvejais darbuotojo sutikimas bus neteisėtas.
Be to, net šiais išimtiniais atvejais darbuotojo sutikimas negali būti išreiškiamas sutartyje, nes sutikimas (įskaitant galimą jo atšaukimą darbuotojo nuožiūra) turi būti laisvas, o sutartis yra abi šalis teisiškai įpareigojantis dokumentas.
Siekiant vykdyti darbo sutartį, įskaitant visų darbo sutartyje ar darbo teisės aktuose (Darbo kodekse ir kituose) numatytų teisių ir pareigų įgyvendinimui (BDAR 6 str. 1 d. Siekiant vykdyti teisės aktų numatytas darbdavio pareigas, įskaitant pareigas teikti valstybės institucijoms nustatytos formos deklaracijas ir pranešimus (BDAR 6 str. 1 d. Kai tvarkyti duomenis būtina darbo medicinos tikslais, siekiant įvertinti darbuotojo darbingumą, t. y. pagal darbo saugos ir sveikatos teisės aktų reikalavimus (BDAR 9 str. 2 d.
Toks BDAR reguliavimas reiškia, kad darbdavys iš esmės visais atvejais gali toliau teisėtai tvarkyti duomenis be jokių papildomų aktyvių veiksmų iš darbuotojo pusės. Negali būti tvarkomi nereikalingi duomenys, pavyzdžiui: asmens tapatybės dokumento kopija reikalinga tik į užsienį komandiruojamiems darbuotojams (dėl lėktuvo bilietų užsakymo ir vizų) ir Lietuvoje įsidarbinantiems užsieniečiams.
Pažymėtina, kad visais aukščiau išvardintais atvejais darbuotojo sutikimas neįteisins atitinkamų duomenų tvarkymo, nes visi nurodyti atvejai niekaip negali būti vertinami kaip mažareikšmiai.
Apibendrinant - bendrasis duomenų tvarkymo teisėtumo testas yra klausimas: „Kam Jums reikalingi šie duomenys?“. Jei galite į jį argumentuotai atsakyti, reiškia BDAR kontekste tvarkote duomenis teisėtai. Atsakymai „dėl visa ko“ ir „o jei prireiktų“ Valstybinės duomenų apsaugos inspekcijos neįtikins.
Papildomas, griežtesnis duomenų teisėto tvarkymo testas taikomas sveikatos ir teistumo duomenims.
Duomenų Subjekto Teisės
Duomenų subjektas turi teisę bet kuriuo metu atšaukti savo sutikimą. Duomenų subjektui atšaukus sutikimą, draudžiama tvarkyti asmens duomenis tais tikslais ir atlikti duomenų tvarkymo operacijas (veiksmus), kurios buvo atliekamos tokio sutikimo pagrindu, išskyrus atvejus, kai tokiam duomenų tvarkymui egzistuoja kitas Taisyklėse ar BDAR įtvirtintas asmens duomenų tvarkymo teisinis pagrindas.
Sutikimui atšaukti yra sudaromos analogiškos sąlygos kaip ir sutikimui duoti, draudžiama apsunkinti ar sudaryti papildomas sąlygas sutikimui atšaukti. Sutikimo atšaukimas negali sukelti duomenų subjektui neigiamų padarinių, įskaitant paslaugos kokybės sumažinimą. Sutikimo atšaukimas nedaro poveikio sutikimu pagrįsto duomenų tvarkymo, atlikto iki sutikimo atšaukimo, teisėtumui.
Duomenų subjektams, pateikusiems prašymą susipažinti su savo asmens duomenimis ir kaip jie tvarkomi TKA, sudaromos sąlygos susipažinti su dokumentais, kuriuose yra jų asmens duomenys, TKA patalpose.
Duomenų Tvarkymo Veiklos Įrašai
Siekiant užtikrinti, kad asmens duomenys TKA būtų saugomi tik nustatytą terminą, visi TKA tvarkomi asmens duomenys yra fiksuojami duomenų tvarkymo veiklos įrašuose kartu nurodant jų saugojimo terminus. Pasibaigus asmens duomenų saugojimo terminui, jis gali būti pratęstas, jeigu TKA nustato, kad saugoti asmens duomenis toliau yra būtina, ypač atsižvelgiant į būtinybę panaudoti asmens duomenis kaip įrodymą ikiteisminiame ar kitokiame tyrime, įskaitant ir Valstybinės duomenų apsaugos inspekcijos (toliau - Inspekcija) vykdomame tyrime, civilinėje, administracinėje ar baudžiamojoje byloje ar kitais teisės aktų nustatytais atvejais.
Duomenų Subjekto Sutikimo Reikalavimai
Duomenų subjekto sutikimai gali būti renkami šiais būdais: raštu, įskaitant gautus elektroninėmis priemonėmis, žodžiu ar veiksmais, jeigu yra galimybė įrodyti, kad toks sutikimas buvo duotas, ir jeigu duomenų subjektas savo veiksmais aiškiai sutinka su siūlomu jo asmens duomenų tvarkymu. Pirmenybė kiekvienu atveju yra teikiama duomenų subjekto sutikimams, gautiems raštu (įskaitant gautus elektroninėmis priemonėmis), o kiti sutikimo būdai gali būti naudojami tik kiekvienu konkrečiu atveju įsitikinus, kad yra įmanoma įrodyti duomenų subjekto sutikimo davimo faktą.
Kai asmens duomenys yra tvarkomi sutikimo pagrindu, tvarkomi tik tie asmens duomenys, tais tikslais, kurie nurodyti sutikime, ir su jais atliekamos tik tos tvarkymo operacijos (veiksmai), kurios nurodytos sutikime.
Sutikimas turi būti:
- duotas laisva duomenų subjekto valia;
- konkretus ir išsamus;
- duomenų subjektas davė tinkamai informuotas;
- nedviprasmiškas duomenų subjekto valios išreiškimas, kad su juo susiję duomenys būtų tvarkomi.
Tam, kad reikalavimas dėl informuotumo būtų įvykdytas, prieš duomenų subjektui pasirašant sutikimą jam turi būti pateikta BDAR 13 straipsnyje nurodyta informacija bei informuojama apie duomenų subjekto teisę bet kuriuo metu atšaukti savo sutikimą.
Baudos už BDAR Pažeidimus
Pažeidus BDAR nuostatas, gali būti skiriamos administracinės baudos, kurios kiekvienu konkrečiu atveju turi būti veiksmingos, proporcingos ir atgrasomos. Tokia bauda gali siekti iki 2-4 proc. ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, arba iki 10 000 000-20 000 000 EUR.
Praktiniai Patarimai
Jeigu duomenų tvarkymo ir valdymo tikslas kelia didelį pavojų asmens teisėms ir laisvėms - duomenų valdytojams ir duomenų tvarkytojams rekomenduojama atlikti duomenų apsaugos poveikio vertinimą. Taip pat rekomenduojama užtikrinti asmens duomenų saugumą ir konfidencialumą.
Fiziniai asmenys turėtų nepamiršti savo teisių, kad visada gali prieiti prie savo asmens duomenų ir koreguoti juos, jei reikia. Asmuo gali prašyti duomenų valdytojo ištrinti jo asmens duomenis, juos pataisyti ar pakeisti, jeigu jie yra netikslūs.
Šaltinis: Darius Šoparas, fintech SaaS'o Sąskaita123 įkūrėjas su daugiau nei 20 metų patirtimi.