201711.24
0

Gerbiami skaitytojai,

rytoj – lapkričio 25 d. – iki Bendrojo duomenų apsaugos reglamento taikymo pradžios lieka lygiai 6 mėnesiai. Laiko pasirengti ne tiek ir daug, tačiau, imantis veiksmų nedelsiant, suspėti ir jaustis ramiems dėl tinkamo reglamento įgyvendinimo įmonėje tikrai įmanoma.

Jums gali kilti klausimas, ar reglamento įgyvendinimas tikrai aktualus mano įmonei. Atsakymas yra taip, jei atitinkate bent vieną iš šių sąlygų:

  • turite klientų fizinių asmenų,
  • tvarkote darbuotojų asmens duomenis,
  • vykdote tiesioginę rinkodarą,
  • vykdote vaizdo stebėjimą.

Apie reglamentą kalbėta ir rašyta daug, ypač apie gresiančias milijonines baudas už jo reikalavimų nevykdymą. Mes norime suteikti Jums konstruktyvią pagalbą, pateikdami  konkrečius patarimus, kaip praktiškai pasirengti reglamento taikymui.

Iš viso esame parengę 12 praktinių patarimų, kuriais dalinsimės su Jumis kartą per dvi savaites ir kuriais vadovaujantis bus galima lengviau pasirengti pokyčiams.

1-AS PATARIMAS: ATLIKITE TVARKOMŲ ASMENS DUOMENŲ AUDITĄ

  1. Nustatykite, kokius ir kieno asmens duomenis tvarkote

Asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti pagal identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, socialinės, kultūrinės ir pan. tapatybės požymius.

Taigi, asmens duomenys nėra tik asmens vardas, pavardė ar gimimo data. Tai gali būti biometriniai duomenys (veido atvaizdai, pirštų atspaudai), IP adresas, lankomi interneto tinklalapiai, automobilio valstybinis numeris, elektroniniai laiškai, telefono pokalbių įrašai, informacija, susijusi su asmens religiniais įsitikinimais, sveikata, genetinėmis savybėmis ir pan.

Duomenų subjektai gali būti bendrovės klientai, darbuotojai, siekiantys įsidarbinti asmenys, į bendrovės vaizdo kamerų stebėjimo lauką patenkantys asmenys, skambinantieji telefonu (jeigu pokalbiai įrašomi) ir t.t.

(!) Tvarkomų duomenų sąrašas turi būti ne preliminarus, bet duomenų kategorijos turi būti konkrečiai apibrėžtos.

(!) Jūsų bendrovės darbuotojai geriausiai gali žinoti, kokių asmenų kokius duomenis bendrovė tvarko.

  1. Apibrėžkite, koks yra duomenų tvarkymo tikslas ir teisinis pagrindas 

Duomenų tvarkymas – plati sąvoka, apimanti visus įmanomus veiksmus su asmens duomenimis, tokius kaip jų rinkimas, užrašymas, kaupimas, saugojimas, klasifikavimas, grupavimas, jungimas, keitimas, teikimas, paskelbimas, naudojimas, loginės arba aritmetinės operacijos, paieška, skleidimas, naikinimas ir kitos operacijos.

Asmens duomenys turi būti tvarkomi teisėtu, sąžiningu ir skaidriu būdu. Tai reiškia, jog turi būti iš anksto nustatyti asmens duomenų tvarkymo tikslai ir egzistuoti jų tvarkymo teisinis pagrindas (teisėto tvarkymo sąlyga), o duomenų subjektai turi būti informuoti apie jų asmens duomenų tvarkymą.

Taigi, bendrovė privalo aiškiai apibrėžti, kokiais tikslais renka asmens duomenis ir atitinkamai asmens duomenų netvarkyti su tais tikslais nesuderinamu būdu. Pavyzdžiui, renkant duomenis asmens tinkamumo dirbti tam tikrą darbą įvertinimo tikslu, tokių duomenų nebus galima naudoti tiesioginės rinkodaros pranešimų siuntimui.

(!) Nustačius duomenų tvarkymo tikslus, svarbu įvertinti, ar kiekvienu konkrečiu tikslu nėra tvarkomi pertekliniai asmens duomenys. Jeigu atitinkami duomenys nėra būtini nustatytiems tikslams pasiekti, jie ir neturi būti renkami, o surinkti duomenys – ištrinami. Pavyzdžiui, sudarant sutartį elektroninėje parduotuvėje bendrovei nėra būtina žinoti pirkėjo asmens kodą.

Duomenų tvarkymas yra teisėtas tik tuo atveju, jei:

  • duomenų subjektas davė sutikimą, kad jo asmens duomenys būtų tvarkomi konkrečiais tikslais;
  • tai būtina siekiant įvykdyti sutartį (pvz. sudarant sutartį dėl prekių pardavimo);
  • tai būtina, kad būtų įvykdytos teisinės prievolės (pvz. mokesčių sumokėjimas);
  • tai būtina siekiant apsaugoti duomenų subjekto ar kito asmens gyvybinius interesus;
  • tai būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas;
  • tai būtina siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų (pavyzdžiui, siekiant išvengti žalos dėl bendrovės turto praradimo yra vykdomas vaizdo stebėjimas bendrovės teritorijoje).

(!) Svarbu įvertinti, ar kiekvienu atveju duomenų tvarkymas yra atliekamas, esant kuriai nors iš šių sąlygų. Priešingu atveju, toks duomenų tvarkymas neturėtų būti vykdomas.

  1. Įvardinkite, iš kur asmens duomenys yra gauti ir/ar kam teikiami

Aiškiai nustatykite, kokiais būdais gaunate asmens duomenis: iš paties duomenų subjekto ar ir iš kitų šaltinių, pavyzdžiui, jungtinių skolininkų duomenų rinkmenų. Taip pat nustatykite,  kokiems tretiesiems asmenims jie yra arba gali būti perduodami, pavyzdžiui Valstybinei mokesčių inspekcijai.

  1. Nustatykite asmens duomenų saugojimo trukmę

Asmens duomenys gali būti saugomi ne ilgiau, nei tai yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi. Pagrįstas saugojimo terminas, priklausomai nuo duomenų tvarkymo tikslo ir duomenų pobūdžio, konkrečiu atveju gali būti labai skirtingas. Pavyzdžiui, vaizdo duomenis gali būti tikslinga saugoti kelias savaites, o sutarties vykdymo tikslu renkamus duomenis – keletą metų.  Duomenų saugojimo terminus tam tikrais atvejais gali nustatyti teisės aktai.

(!) Suėjus nustatytiems terminams asmens duomenys privalo būti sunaikinti. Todėl svarbu bendrovėje įdiegti procedūras, kurios užtikrintų, kad duomenys, pasibaigus jų saugojimo terminui, toliau nebebūtų tvarkomi.