Bendrasis duomenų apsaugos reglamentas (BDAR) yra teisinė sistema, nustatanti duomenų Europos Sąjungoje (ES) asmens duomenų rinkimo ir tvarkymo gaires. Reglamentas buvo priimtas 2016 m. balandžio mėnesį ir papildo ES bendrąją piliečių duomenų apsaugos politiką. BDAR nustato duomenų tvarkymo ir asmens teisių principus, taip pat numato atsakomybę už BDAR pažeidimus. Bendrasis duomenų apsaugos reglamentas yra svarbus visiems subjektams renkantiems ES piliečių duomenis. BDAR įsigaliojo visoje ES 2018 m. gegužės 25 d.
Pagal BDAR nuostatas, asmens duomenis renkantys ir tvarkantys subjektai turės užtikrinti asmens duomenų rinkimo teisėtumą, apsaugą, asmenų, kurių duomenys yra renkami, teises. Priešingu atveju, duomenų tvarkytojams ir duomenų valdytojams gali būti taikomos sankcijos.
DUOMENYS, KURIE LAIKOMI ASMENINIAIS
BDAR išplečia iki šiol suformuotą asmens duomenų apibrėžimą ir nustato, kad fizinis asmuo, kurio tapatybę galima nustatyti, yra asmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti, visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius.
NAUJOS TAISYKLĖS
BDAR nuostatos įpareigoja subjektus, renkančius duomenis, gauti aiškų vartotojų sutikimą, pranešti apie pažeidimus, susijusius su asmens duomenų apsauga, paskirti specialius duomenų apsaugos pareigūnus ir daug daugiau. Naujos taisyklės taip pat skatina įmones pseudonizuoti asmeniškai identifikuojamą informaciją prieš ją apdirbant, siekiant, kad duomenys nebūtų atsekami iki tam tikro asmens.
Taisyklės taikomos žmogiškųjų išteklių įrašams ir net internetu besinaudojančių asmenų IP adresams. BDAR remiasi asmens duomenų teisėmis, kurias ES siekia įgyvendinti, pavyzdžiui, asmens teisę būti pamirštam internete ir teisę į duomenų perkėlimą.
DUOMENŲ RINKIMU IR TVARKYMU UŽSIIMANTYS SUBJEKTAI
BDAR numato kas gali rinkti ir tvarkyti duomenis, bei išskiria šias pozicijas: duomenų valdytojas ir duomenų tvarkytojas.
Duomenų valdytojas apibrėžia duomenų apdorojimo terminus – kaip ir kodėl tvarkomi duomenys, bet nebūtinai duomenų tvarkymu užsiima pats. Tai reiškia, kad duomenų valdytojas gali sudaryti sutartį su trečiąja šalimi dėl duomenų rinkimo ir apdorojimo, nurodydamas, kaip tai padaryti ir kokiu tikslu.
Duomenų tvarkytojas yra trečioji šalis, vykdanti faktinį duomenų rinkimą ir apdorojimą.
Duomenų valdytojas privalo užtikrinti, kad duomenų tvarkytojas laikytųsi asmens duomenų apsaugos įstatymų, o tvarkytojas privalo išsaugoti savo duomenų tvarkymo veiklos įrašus, kad įrodytų, jog tinkamai jų laikosi. Jei įvyksta pažeidimas, tvarkytojas privalo nedelsiant pranešti apie tai valdytojui, tačiau, duomenų valdytojas vis tiek bus atsakingas duomenų apsaugos pažeidimus, jei jų tvarkytojas pažeidžia taikytinus įstatymus.
KĄ PRIVALOMA ATLIKTI NEDELSIANT
Siekiant pasiruošti BDAR taikymui, įmonėms svarbu atlikti šiuos veiksmus:
- Visų pirma, reikia atlikti įmonėje tvarkomų duomenų auditą, t.y. nustatyti, kokie duomenys yra tvarkomi ir kokiu būdu jie tvarkomi; kas yra atsakingas už šių duomenų tvarkymą įmonėje; kaip yra saugomi įmonės darbuotojų ir klientų asmens duomenys.
- Įvertinti, ar įmonės vidinės taisyklės, procedūros, susijusios su asmens duomenų tvarkymu, atitinka BDAR reikalavimus.
- Atradus neatitikimų, pakeisti įmonės vidines taisykles, procedūras atitinkančiomis BDAR.
- Įvertinti, kokios numatytos procedūros asmens duomenų saugumo pažeidimo atvejais.
- Įvertinti, ar visi įmonės darbuotojai, dirbantys su asmens duomenimis, yra susipažinę su BDAR reikalavimais.
Įmonės, kurios dar nepasiruošė BDAR taikymui, turėtų suskubti tai padaryti nedelsiant. Aukščiau nurodyti veiksmai yra bendro pobūdžio, juos rekomenduojame atlikti visoms įmonėms, dirbančioms su asmens duomenimis.