201705.10
0

Straipsnio autorės: Agnė Bilotaitė ir Viktorija Aponavičiūtė

Grožio klinikos pacientų asmens duomenų vagystės bei paviešinimo istorija privertė rimtai suklusti bendroves, kurios tvarkydamos didelius kiekius savo klientų asmens duomenų, duomenų saugumo nelaikė prioritetu. Susirūpinti iš tiesų yra dėl ko – nuo 2018 m. gegužės 25 d. asmens duomenys turės būti tvarkomi laikantis naujų Bendrajame duomenų apsaugos reglamente įtvirtintų taisyklių. Duomenų tvarkytojai ir valdytojai, nespėję tinkamai pasiruošti ir nevykdantys reikalavimų, susidurs su gerokai rimtesnėmis pasekmėmis – gali tekti pakloti milijonines baudų sumas.

Simbolines sankcijas keičia griežtesnės

Pagal šiuo metu galiojantį Administracinių nusižengimų kodeksą už asmens duomenų tvarkymo pažeidimą gali būti paskirta ne didesnė kaip 1 150 Eur, už pakartotinai padarytą tokį patį pažeidimą – ne didesnė kaip 3 000 Eur bauda. Tuo tarpu Bendrajame duomenų apsaugos reglamente nustatyta maksimali baudos riba yra tūkstančius kartų didesnė – didžiausia bauda sieks net 20 mln. Eur arba 4 proc. metinės apyvartos.

Iki 20 mln. Eur arba 4 proc. metinės apyvartos bauda (priklausomai nuo to, kuri suma yra didesnė) galės būti skiriama už šiurkščiausius asmens duomenų tvarkymo pažeidimus – asmens duomenų tvarkymą be teisėto tikslo, neturint duomenų subjekto sutikimo, pažeidus pagrindines duomenų subjekto teises ir pan. Pavyzdžiui, sutarties sudarymo metu neinformuojant duomenų subjekto apie tolimesnį jo asmens duomenų tvarkymą ir teisę susipažinti su savo asmens duomenimis, neinformuojant apie vykdomą vaizdo stebėjimą, socialiniame tinkle paviešinus asmens duomenis (pavyzdžiui, nuotraukas) be asmens sutikimo.

Už švelnesnius asmens duomenų tvarkymo pažeidimus nustatytas dvigubai mažesnis maksimalus baudos dydis – iki 10 mln. Eur arba 2 proc. metinės apyvartos (priklausomai nuo to, kuri suma yra didesnė). Švelnesniais pagal reglamentą laikomi techninio pobūdžio pažeidimai, pavyzdžiui, nedarant asmens duomenų tvarkymo įrašų, nepranešant priežiūros institucijai ir duomenų subjektui apie asmens duomenų saugumo pažeidimus ir pan. Duomenų tvarkytojo pareigų nesilaikymas visais atvejais priskiriamas švelnesniems pažeidimams, jam taikoma mažesnė atsakomybė.

Smulkaus ar vidutinio verslo atstovams, nevaldantiems didelės apimties jautrių asmens duomenų, baimintis, kad už neatsargų reglamento pažeidimą jiems bus taikoma milžiniška finansinė sankcija, nevertėtų. Baudos dydis kiekvienu atveju turės būti proporcingas, ne didesnis nei reikia veiksmingam atgrasymui nuo pakartotinių pažeidimų. Be to, prieš priimdama sprendimą dėl baudos skyrimo, priežiūros institucija privalės įvertinti pažeidimo pobūdį, sunkumą, trukmę, pažeidėjo kaltę, jo bendradarbiavimą su priežiūros institucija ir kitas aplinkybes. Nedidelio pažeidimo atveju ar, jei skiriama bauda sudarytų neproporcingą naštą, gali būti pareikštas papeikimas.

Solidari pareiga atlyginti žalą

Reglamento reikalavimus pažeidusiems duomenų valdytojams ir tvarkytojams taip pat gali tekti atlyginti ir duomenų subjekto dėl pažeidimo patirtą turtinę bei neturtinę žalą. Didesnė rizika ir šiuo atveju tenka duomenų valdytojui, kuris nuo pareigos atlyginti žalą galės apsiginti tik įrodęs, kad jokiu būdu nėra atsakingas už įvykį, dėl kurio patirta žala. Tuo tarpu duomenų tvarkytojui atsakomybė kils tik pažeidus reglamente konkrečiai jam įtvirtintas pareigas (užtikrinti konfidencialumą, pranešti apie asmens duomenų saugumo pažeidimus, pabaigus teikti paslaugas ištrinti visus tvarkytus duomenis ir pan.) arba veikus priešingai teisėtiems duomenų valdytojo nurodymams.

Dėl šios priežasties, sudarydami sutartis su duomenų tvarkytojais, duomenų valdytojai turėtų būti itin atidūs: sutartyse konkrečiai ir aiškiai įtvirtinti reikalavimus duomenų tvarkymui, detalizuoti reglamente įtvirtintas duomenų tvarkytojų pareigas. Tais atvejais, kai su tuo pačiu duomenų tvarkymo atveju yra susiję keli duomenų valdytojai ir (ar) tvarkytojai, reglamentas numato solidarią visų jų atsakomybę, t.y. duomenų subjekto teisę visos žalos atlyginimo reikalauti tiek iš duomenų valdytojo, tiek iš duomenų tvarkytojo.

Siekiant išvengti už reglamento pažeidimus numatytų baudų ir duomenų subjektų ieškinių dėl žalos atlyginimo, patartina kuo anksčiau atlikti asmens duomenų tvarkymo atitikties reglamentui analizę, identifikuoti neatitikimus ir imtis techninių, organizacinių bei teisinių priemonių jiems pašalinti, t.y. peržiūrėti asmens duomenų tvarkymo taisykles, sutikimo tvarkyti asmens duomenis formas, sutartis su duomenų tvarkytojais, parengti asmenų pretenzijų ir paklausimų nagrinėjimo, reagavimo į pažeidimus tvarkas, apmokyti darbuotojus. Visų šių priemonių įgyvendinimas gali užtrukti iki kelių mėnesių, todėl jiems ruoštis reikia pradėti jau dabar.

Susijusios naujienos

10Geg

Atsakomybė pagal Bendrąjį duomenų apsaugos reglamentą arba kodėl reglamento taikymui ruoštis reikia jau dabar

by jurex  Comments (0)
Grožio klinikos pacientų asmens duomenų vagystės bei paviešinimo istorija privertė rimtai suklusti bendroves, kurios tvarkydamos didelius kiekius savo klientų asmens duomenų, duomenų saugumo nelaikė prioritetu. Susirūpinti iš tiesų yra dėl ko – nuo 2018 m. gegužės 25 d. asmens duomenys turės būti tvarkomi laikantis naujų Bendrajame duomenų apsaugos reglamente įtvirtintų taisyklių. Duomenų tvarkytojai ir valdytojai, nespėję tinkamai pasiruošti ir nevykdantys reikalavimų, susidurs su gerokai rimtesnėmis pasekmėmis – gali tekti pakloti milijonines baudų sumas.
20Bal

Stiprūs prekės ženklai – kokie jie? Advokatės Agnės Bilotaitės įžvalgos LiMA seminare

by jurex  Comments (0)
Kaip prekės ženklams spėti paskui vartotoją? Kiek dėmesio pirkimo procese tenka pakuotei ir kaip sukurti ją tobulą? Kaip įdarbinti lojalumą, kad jis generuotų papildomus pardavimus? Lietuvos marketingo asociacijos (LiMA) seminare „Iššūkis – FMCG!“, vyksiančiame balandžio 25 d. Kaune, įžvalgomis ir patirtimi pasidalins ir advokatų kontoros JUREX partnerė Agnė Bilotaitė.
8Kov

Kuriant prekės ženklą ir planuojant dideles investicijas žinomumui, būtina ieškoti originalių sprendimų

by jurex  Comments (0)
Po keletą metų trukusių ginčų Vilniaus apygardos teismas lietuvių valdomam kavinių tinklui uždraudė naudoti „Coffee Inn“ užrašą oranžiniame rombe, kuris yra labai panašus į estišką „Coffee in“. Advokatų kontoros JUREX partnerė, advokatė Agnė Bilotaitė „Verslo žinioms“ pasakojo apie prekės ženklų apsaugą Lietuvos ir Europos Sąjungos teritorijoje bei dažniausiai kylančias rizikas.
30Sau

Kaip apginti intelektinės nuosavybės teises? 5 patarimai verslui

by jurex  Comments (0)
Europos Sąjungos intelektinės nuosavybės tarnybos duomenimis, praėjusiais metais net 30 proc. smulkių ir vidutinių bendrovių intelektinės nuosavybės teisės buvo pažeistos, tačiau šios savo teisių teisme negynė, o 12 proc. nukentėjusių bendrovių apskritai nesiėmė jokių pažeistų savo teisių gynybos veiksmų. Taigi kas lemia tokią situaciją ir kokiais būdais verslas gali apsaugoti savo intelektinės nuosavybės teises?
18Lie

JUREX laimėjo bylą dėl šmeižto

by jurex  Comments (0)
Advokatų profesinė bendrija Judickienė ir partneriai JUREX laimėjo bylą dėl šmeižto, kurioje tikrovės neatitinkančius duomenis apie kandidatą į savivaldybės tarybos narius paskelbęs asmuo buvo pripažintas kaltu, tyčia paskleidęs žinomai melagingą, galinčią paniekinti ir pažeminti informaciją...

Daugiau naujienų