Naujasis Bendrasis duomenų apsaugos reglamentas kelią daug klausimų duomenų valdytojams ir tvarkytojams? Ką reikės keisti? Kokius naujus dokumentus suskubti rengti? Kokia atsakomybė už pažeidimus?
Šioje prezentacijoje - svarbiausios naujienos.
2. Šiame dokumente esanti informacija negali būti laikoma teisine
konsultacija ir jos pagrindu neturi būti priimami jokie sprendimai.
Šis dokumentas skirtas tik pradiniam susipažinimui su jame
išdėstyta informacija ir jo sudarytojams nekyla atsakomybė už
informacijos išsamumą, pakankamumą, tikslumą ir teisingumą.
3. • Asmens duomenys
– bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta
arba kurio tapatybę galima nustatyti;
– VISKAS:
• vardas ir pavardė,
• asmens kodas,
• buvimo vietos duomenys,
• interneto identifikatorius,
• vienas ar keli fizinės, fiziologinės, genetinės, psichinės,
ekonominės, kultūrinės ar socialinės tapatybės požymiai,
• kt.
Terminologija
4. • Duomenų tvarkymas
– bet kokia automatizuotomis arba neautomatizuotomis
priemonėmis su asmens duomenimis atliekama operacija, pvz.:
Terminologija
• rinkimas,
• įrašymas,
• rūšiavimas,
• sisteminimas,
• saugojimas,
• adaptavimas ar keitimas,
• išgava,
• susipažinimas,
• naudojimas,
• atskleidimas persiunčiant,
platinant ar kitu būdu sudarant
galimybę jais naudotis,
• sugretinimas ar sujungimas su
kitais duomenimis,
• apribojimas,
• ištrynimas arba sunaikinimas
5. Duomenų valdytojas
Asmuo, kuris vienas arba
drauge su kitais nustato
asmens duomenų
tvarkymo tikslus ir
priemones.
Terminologija
Duomenų tvarkytojas
Asmuo, kuris asmens
duomenis tvarko valdytojo
vardu.
Kompanija pasamdo kitą įmonę
tvarkyti pirmosios buhalteriją ir
darbo užmokestį. Buhalteriją
tvarkanti įmonė bus duomenų
tvarkytojas, nes tikslus nustatė
pirmoji kompanija
Savivaldybė drauge su policija
įdiegia stebėjimo kameras ir
drauge jomis naudojasi. Kadangi
abi nusprendžia, kaip bus
tvarkomi duomenys, abi yra
duomenų tvarkytojai
7. Duomenų valdytojas yra atsakingas už tai, kad būtų
laikomasi visų kitų principų, ir turi sugebėti įrodyti, kad jų
laikomasi
Kiti (seni) principai:
• teisėtumo, sąžiningumo ir skaidrumo principas
• tikslo apribojimo principas
• duomenų kiekio mažinimo principas
• tikslumo principas
• saugojimo trukmės apribojimo principas
• vientisumo ir konfidencialumo principas
Atskaitomybės principas
8. Atskaitomybės principas apima:
• reikiamos dokumentacijos parengimą,
• poveikio duomenų apsaugai vertinimo atlikimą
• išankstines konsultacijas su VDAI
• duomenų apsaugos pareigūno paskyrimą
• „data protection by design and by default“ principo
įgyvendinimą
Atskaitomybės principas
9. “Pritaikytoji duomenų apsauga”
• Kurdamas, vystydamas, pasirinkdamas sistemas,
gamintojas ir užsakovas turi atsižvelgti į duomenų
apsaugą, pvz.:
– tvarkymo tikslų apribojimą,
– tvarkomų duomenų minimizavimą,
– pseudonimų suteikimą,
– galimybės duomenų subjektui stebėti tvarkymą suteikimą
– duomenų apsaugą
Data protection by design
10. • Poveikio duomenų apsaugai vertinimas
• Išankstinės konsultacijos su VDAI
• Elgesio kodeksai
• Sertifikavimas
• Duomenų tvarkymo veiklos įrašai
Atitikties dokumentacija
11. • Skirtas įvertinti ir sumažinti atitikties spragas
• Daromas, kai „asmenų teisėms bei laisvėms gali kilti
didelis pavojus“, ypač:
– kai naudojamos naujos technologijos,
– atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir
tikslus
– Kai priimami sprendimai, darantys teisinį poveikį duomenų
subjektui
– Tvarkomi specialūs duomenys
– Sistemingai ir stambu mastu stebima vieša vieta
Poveikio vertinimas
12. • Reikia iš anksto, prieš pradedant tvarkyti duomenis,
konsultuotis su VDAI, jei padarius poveikio vertinimą
nustatoma, kad tvarkant duomenis kiltų didelis pavojus,
jei duomenų valdytojas nesiimtų priemonių pavojui
sumažinti.
• Konsultuodamasis duomenų valdytojas VDAI nurodo:
– Tikslai ir priemonės
– Apsaugos priemonės
– Poveikio vertinimą
• VDAI gali pateikti rekomendacijas
Išankstinės konsultacijos
13. VDAI Duomenų subjektui
• Per 72 val. nuo sužinojimo*
• Nurodo:
• pažeidimo pobūdį,
• apytikslį skaičių,
• pasekmes,
• priemones, kurių ėmėsi
• Dokumentuoja visus pažeidimus ir
priemones, kurių ėmėsi
• Duomenų subjektui praneša, kai
„gali kilti didelis pavojus duomenų
fizinių asmenų teisėms ir laisvėms “
• Nurodo „aiškia ir paprasta kalba“ :
• pažeidimo pobūdį
• pasekmes,
• priemones, kurių ėmėsi
• Pranešimo nereikia, jei:
• užtikrino, kad nekiltų pavojus
(pvz. duomenys buvo užšifruoti)
• tai pareikalautų neproporcingų
pastangų
Pranešimas apie pažeidimą
14. • Valdytojas turi paskirti duomenų apsaugos pareigūną
(DAP ), jei:
– duomenis tvarko valdžios institucija arba įstaiga;
– pagrindinė veikla yra duomenų tvarkymas, dėl kurio reguliariai ir
sistemingai dideliu mastu stebimi duomenų subjektai;
– pagrindinė veikla yra specialių kategorijų duomenų tvarkymas dideliu
mastu.
• DAP turi turėti žinių
• DAP gali būti vidinis arba išorinis
• Įmonių grupės gali turėti bendrą DAP
Duomenų apsaugos pareigūnas
15. Įvertinkite esamą situaciją
Ar esate duomenų
valdytojas, ar
tvarkytojas
Kokius asmens
duomenis valdote
Kokiais tikslais
valdote asmens
duomenis
Kokiais pagrindais
valdote asmens
duomenis
Ar perduodate į
kitas valstybes
Ar pateikiate
informaciją
16. • Parenkite vidines tvarkas ir procedūras:
– Pažeidimų prevencijai
– Informavimui apie pažeidimus
– Pažeidimų pasekmių šalinimui
Pasirenkite pažeidimams
17. • Kurdami, vystydami ir įsigydami IT sistemas kelkite jiems
asmens duomenų apsaugos reikalavimus
• Nustatykite papildomas sąlygas IT sistemų pirkimui
• Sukurkite IT sistemų naudojimo taisykles
Siekite PbD
18. • Parenkite asmens duomenų tvarkymo taisykles
• Apmokykite personalą
• Atlikite poveikio vertinimą
• Konsultuokitės su VDAI
• Paskirkite DAP
• Parenkite / prisijunkite prie elgesio kodeksų
• Sertifikuokitės
Pasirenkite atskaitomybei
19. Advokatas Andrius Iškauskas
AAA LAW
J. Jasinskio g. 16 A, LT-01112, Vilnius
Tel. (8 5) 252 6676, faks. (8 5) 252 6670
el. paštas: a.iskauskas@AAALaw.EU
Ačiū