BDAR atitikties užtikrinimo gairės tradicinėms smulkaus ir vidutinio verslo įmonėms (SME) pateiktos viešosioms konsultacijoms
Tradicinės smulkaus ir vidutinio verslo įmonės yra bene daugiausiai skirtingų verslo įmonių apimanti grupė. Priešingai negu didžiosios verslo įmonės, smulkaus ir vidutinio verslo įmonės neturi tiek daug finansinių ir žmogiškųjų išteklių, todėl joms gali tapti sudėtingiau įgyvendinti duomenų apsaugos reikalavimus. Tam, kad tradicinės smulkaus ir vidutinio verslo įmonės gebėtų paprasčiau užtikrinti atitiktį Bendrajam duomenų apsaugos reglamentui (toliau - BDAR), 2021 m. vasario mėnesio pradžioje viešosioms konsultacijoms buvo perduotas Europos standartizacijos komiteto darbinio seminaro susitarimas, kuriame yra parengtos BDAR užtikrinimo gairės tradicinėms smulkaus ir vidutinio verslo įmonėms (SME) (toliau - Gairės). Su gairių paskirtimi bei BDAR reikalavimais smulkioms ir vidutinėms įmonėms supažindina Įmonės teisininkas Allaw.
Kam gali būti taikomos šios gairės?
Gairės gali būti taikomos tradicinėms mikro įmonėms - tradicinėms smulkaus ir vidutinio verslo įmonėms (SME). Tai nėra privalomojo pobūdžio gairės, t. y. jų taikyti nėra privaloma, tačiau jų taikymas padėtų užtikrinti BDAR atitikį SME.
Smulkaus verslo įmonėmis yra laikomos tokios įmonės, kuriose dirba mažiau nei 10 darbuotojų ir jų metinė apyvarta yra mažesnė nei 2 milijonai eurų.
Tradicinėmis smulkaus ir vidutinio verslo įmonėmis laikomos tokio įmonės, kurios atitinka minėtą darbuotojų bei apyvartos reikalavimą, bei atitinka šias sąlygas:
jų verslas yra orientuotas į fizines paslaugas bei gyvą aptarnavimą;
jų buvimas internete yra ribotas (pagrinde interneto svetainė ir socialiniai tinklai) arba išvis nėra internete;
jeigu yra internete, internetu teikiamos paslaugos yra ribotos, daugiausiai per standartizuotas trečiųjų šalių paslaugas, pagrinde palaikančios gyvų paslaugų teikimą (pvz., registracijai atlikti, įvertinti paslaugas, lojalumo kortelės / programėlės, paprastos internetinės parduotuvės ir pan.);
jie organizuojami paprastomis technologinėmis priemonės ir nereikalauja daug duomenų. Jie daugiausiai tvarko savo klientų, tiekėjų ir riboto skaičiaus darbuotojų asmens duomenis. Jautrių asmens duomenų tvarkymas yra ribotas;
jie galimai naudoja savo klientų asmens duomenis skaitmeninės rinkodaros tikslais (pvz., el. paštu siunčiamiems pasiūlymams, paieškos sistemų ar socialinių tinklų reklamoms, tačiau nenaudoja profiliavimo ar kitų pažangesnių internetinių rinkodaros priemonių);
darbuotojų skaičius daugiau ar mažiau stabilus.
Pasitikrinti, ar taikote rizikos lygį atitinkančias duomenų saugumo priemones.
Pasitikrinti, ar užtikrinate BDAR 5 straipsnyje nustatytų tikslų įgyvendinimą
Pasitikrinti, ar Jūsų darbuotojai apmokyti nustatyti duomenų saugumo pažeidimus bei apie juos pranešti
Pasitikrinti, ar Jūsų BDAR mokymų temos apima duomenų saugumo pažeidimų valdymą
Atitikties BDAR užtikrinimui itin svarbu yra parengti tinkamą dokumentaciją bei ją tinkamai įgyvendinti praktikoje.
You will need to contact your administrator.
Smulkaus ir vidutinio verslo įmonės (SME) turi atitikti BDAR keliamus reikalavimus, kaip ir visi kiti duomenų tvarkytojai bei duomenų valdytojai. Tam, kad šios įmonės užtikrintų keliamus reikalavimus, Gairėse yra numatyti konkretesni reikalavimai bei patarimai, kaip juos užtikrinti. Gairėse yra išskiriami šie reikalavimai:
Turi būti numatytas duomenų tvarkymo tikslas.
Gairėse yra pateikiamas lentelė, kurioje numatyti dažniausiai pasitaikančios tvarkomų asmens duomenų subjektų kategorijos bei šių asmens duomenų subjektų kategorijų tvarkymo tikslai.
Užtikrinti BDAR 5 straipsnyje nustatytų tikslų įgyvendinimą.
Teisėtumo, sąžiningumo ir skaidrumo užtikrinimas:
Teisėtumas. Asmens duomenys turi būti tvarkomi, esant bent vienam BDAR 6 straipsnyje nustatytam duomenų tvarkymo pagrindui, t. y.:
Sutikimui, kuris turi būti duodamas laisva valia. Taip pat Gairėse yra nustatyta rekomendacija numatyti ir sutikimo galiojimo terminą. Taip pat gairėse yra nustatytas kontrolinis sąrašas, padedantis nustatyti, ar gautas sutikimas yra tinkamas;
Sutarties įgyvendinimas. Tam, kad būtų įgyvendinama sutartis ar ikisutartiniai santykiai, galima tvarkyti asmens duomenis. Tokio duomenų tvarkymo pagrindo pavyzdžiu gali būti atvejis, kai klientas įsigyja prekę ir pageidauja ją pristatyti į namus - bus tvarkomi su prekės pristatymu susiję asmens duomenys;
Tvarkyti asmens duomenis būtina tam, kad būtų įvykdyta teisinė prievolė, pavyzdžiui, tvarkyti darbuotojų asmens duomenis, kad galėtų įgyvendinti mokestines prievoles;
Asmens duomenys tvarkomi siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų, pvz., darbuotojų saugumo užtikrinimo, IT apsaugos ir pan.
Tvarkyti duomenis būtina siekiant apsaugoti gyvybinius duomenų subjekto ar kito fizinio asmens interesus;
Tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui
pavestas viešosios valdžios funkcijas;
Sąžiningumas. Reikalaujama, kad būtų tvarkomi tik tokie asmens duomenys, kurių tvarkymo duomenų subjektai gali pagrįstai tikėtis. Faktiškai tvarkomi asmens duomenys turi sutapti su informacija, kurioje skelbiama, kokie asmens duomenys yra tvarkomi;
Skaidrumas. Skaidrumas yra stipriai susijęs su sąžiningumu. Duomenų valdytojas turi būti atviras apie tvarkomus asmens duomenis, turi duomenų subjektą informuoti apie galinčias kilti rizikas.
- Asmens duomenys yra renkami aiškiai nustatytais tikslais ir tvarkomi tik tiek, kiek yra būtina tikslo įgyvendinimui. Negalima tvarkyti asmens duomenų kitais tikslais, negu tuo, kuriam šie asmens duomenys yra surinkti.
- Duomenų mažinimas. Įmonės turėtų įsitikinti, kad renkami ir tvarkomi asmens duomenys yra tikrai būtini atitinkamam tikslui pasiekti. Kiekvienu atveju, kiek ir kokių duomenų reikia tvarkyti priklauso nuo paties tikslo. Tačiau yra svarbu, kad nebūtų tvarkoma daugiau duomenų, negu yra būtina tikslo įgyvendinimui. Gairėse pateikiamas pavyzdys dėl asmens duomenų tvarkymo, kai SME tvarko kandidatų įsidarbinti asmens duomenis. Šiame pavyzdyje yra nurodoma, kad akivaizdu, jog įdarbinant kandidatą yra svarbu žinoti jo vardą, pavardę, kontaktinius duomenis, akademinę ir profesinę informaciją (CV), tačiau atrenkant kandidatą nėra poreikio žinoti jo banko duomenis, informaciją, apie tai, ar kandidatas šiuo metu dirba ir ar dalyvauja kitose atrankose, šeiminę padėtį.
- Asmens duomenų tikslumas. Asmens duomenų valdytojas/tvarkytojas turi imtis visų priemonių, kad tvarkomi asmens duomenys būtų tikslūs ir atnaujinami tam, kad, pavyzdžiui, įsigytos prekės klientams būtų išsiunčiamos tinkamu adresu. Kita vertus, jeigu asmens duomenys yra tvarkomi rinkodaros tikslais, nereikia nuolat susisiekti su duomenų subjektais, kad šie nuolat atnaujintų savo naudojamą el. paštą ar kitus kontaktinius duomenis. Šiuo atveju pakanka, kad patys duomenų subjektai turėtų teisę patys pateikti naujus kontaktinius duomenis rinkodaros tikslais, kai to nori.
- Asmens duomenų saugojimo apribojimai. Asmens duomenys turi būti laikomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi. Įgyvendinus tikslą, kuriuo asmens duomenys buvo tvarkyti, šie duomenys turi būti sunaikinami.
- Sąžiningumas ir konfidencialumas. Tai reiškia, kad SME kaip ir bet kokia kita įmonė turi imtis tinkamų techninių ir organizacinių priemonių, skirtų informacijos konfidencialumo užtikrinimui, pavyzdžiui, neleisi su asmens duomenimis susipažinti visiems įmonės darbuotojams.
- Atskaitomybė. Atskaitomybė yra dvejopa, o tai reiškia, kad duomenų valdytojai privalo ir atsakyti už atitikties užtikrinimą, ir sugebėti įrodyti, kad laikomasi reikalavimų.
Užtikrinti duomenų subjekto teisių įgyvendinimą
Visos organizacijos, tvarkančios duomenų subjektų asmens duomenis, turi užtikrinti BDAR numatytas duomenų subjektų teises:
- Būti informuotam. Duomenų valdytojas turi informuoti duomenų subjektą apie atliekamą asmens duomenų tvarkymą. Ši informacija turi būti pateikiama asmens duomenų rinkimo metu. Kalbant apie pateikiamos informacijos turinį, BDAR išskiria atvejus, kai asmens duomenys yra renkami tiesiogiai iš duomenų subjekto, ir atvejus, kai duomenys yra gaunami iš kito šaltinio (netiesiogiai):
- Kai asmens duomenys yra gaunami iš duomenų subjekto:
- Duomenų valdytojo nurodymas ir jo kontaktinė informacija;
- Duomenų apsaugos pareigūno kontaktinė informacija. Šis reikalavimas yra taikomas tik tuo atveju, jeigu duomenų valdytojui yra numatyta prievolė turėti paskirtą asmens duomenų pareigūną. Tradicinėms SME paprastai šis reikalavimas nėra taikomas, tačiau to negalima absoliutinti, kadangi viskas priklausys nuo konkrečios įmonės. Tuo atveju, jeigu yra paskirtas duomenų apsaugos pareigūnas, turi būti nurodomas bent vienas būdas, kaip su juo būtų galima susisiekti. Tais atvejais, kai duomenų apsaugos pareigūnas nėra paskirtas, rekomenduojama nurodyti kontaktinę informaciją asmens, kuris duomenų subjektui galėtų suteikti daugiau informacijos asmens duomenų tvarkymo klausimais;
- Duomenų tvarkymo tikslai. Nors BDAR reikalauja, kad būtų nurodyti konkretūs asmens duomenų tvarkymo tikslai, detalumo lygis, kurį turi nurodyti tradicinė SME, priklauso nuo asmens duomenų tvarkymo operacijų sudėtingumo. Atsižvelgiant į tai, kad dauguma tradicinių SME nevykdo sudėtingo asmens duomenų apdorojimo (nedidelio masto, nenaudoja algoritmų ir neatlieka profiliavimo), gali pakakti riboto tikslų aprašymo, pvz., "Mes tvarkome Jūsų el. pašto duomenis, kad galėtume jį naudoti pasiūlymų apie mūsų produkciją siuntimui";
- Teisėti duomenų tvarkymo pagrindai. Privatumo politikoje turėtų būti nurodoma, kuriuo konkrečiu BDAR 6 straipsnio pagrindu SME tvarko asmens duomenis. Tuo atveju, jei asmens duomenys yra tvarkomi sutikimo pagrindu, privatumo politikoje turi būti nurodomi ir sutikimo atšaukimui atliekami veiksmai. Jei asmens duomenys yra tvarkomi teisėto intereso pagrindu, privatumo politikoje turėtų būti nurodoma, kokie yra tie teisėti interesai.
- Duomenų saugojimo terminas ir kriterijai. SME visais atvejais turi nurodyti konkretų terminą, kiek laiko yra saugomi surinkti asmens duomenys. Jei duomenų subjektas kreiptųsi klausdamas, kiek laiko yra saugomi jo asmens duomenys, SME turi būti pasirengusi šią informaciją suteikti;
Informacija apie duomenų subjektų teises ir jų įgyvendinimą. Svarbu atkreipti dėmesį, kad duomenų subjekto teisės priklauso nuo to, kokiu teisėtu pagrindu yra tvarkomi asmens duomenys. Gairėse yra pateikiama lentelė, padedanti nustatyti, kokio teisės yra taikomos pagal kiekvieną duomenų tvarkymo pagrindą:
Teisė Sutikimo pagrindu Sutarties įvykdymo ar sudarymo pagrindu Teisėto intereso pagrindu Atšaukti sutikimą + Susipažinti su duomenimis + + Reikalauti ištaisyti duomenis + + + Reikalauti ištrinti duomenis + + + Apriboti duomenų tvarkymą + + + Teisė į duomenų perkeliamumą + + Teisė nesutikti Netaikoma, išskyrus atvejus, susijusius su tiesioginio marketingo tikslais Netaikoma, išskyrus atvejus, susijusius su tiesioginio marketingo tikslais + - Informacija apie tai, kaip pateikti skundą. Turėtų būti nurodoma duomenų subjekto teisė kreiptis į kompetentingą priežiūros instituciją ir pateikti skundą. Lietuvoje turėtų būti nurodoma teisė kreiptis į Valstybinę duomenų apsaugos inspekciją;
- Informacija apie tai, ar naudojamas automatizuotas sprendimų priėmimas. Tradicinės SME automatizuotą sprendimų priėmimą taiko itin retai;
- Informacija apie duomenų gavėjus. Jeigu SME surinktus asmens duomenis ketina perduoti kokiai nors kitai organizacijai, tai privalo būti nurodyta privatumo politikoje. Atkreiptinas dėmesys, kad gali būti nurodomos tik duomenų gavėjų kategorijos, nėra būtina vardyti visų konkrečių gavėjų;
- Informacija apie asmens duomenų perdavimą į trečiąsias valstybes ir tarptautines organizacijas. Jei ketinama perduoti asmens duomenis į trečiąsias valstybes ar tarptautines organizacijas, turi būti nurodoma, kokių saugumo priemonių imamasi.
- Papildoma informacija, kuri turi būti nurodoma, kai asmens duomenys yra gaunami ne iš duomenų subjekto:
- Visa informacija, nurodyta a punkte;
- Asmens duomenų kategorijos. Reikia nurodyti, kokias asmens duomenų kategorijas tvarko SME, pvz., kontaktinė informacija, pirkimų istorija, techninė informacija (IP adresai, prisijungimo informacija, naršyklės tipas) ir pan.;
- Informacija apie asmens duomenų gavimo šaltinį.
- Kai asmens duomenys yra gaunami iš duomenų subjekto:
- Teisė susipažinti su duomenimis. Praktikoje ši teisė įgyvendinama paklausiant organizacijos (1) ar organizacija saugo kokius nors asmens duomenis, susijusius su konkrečiu asmeniu, ir (2) prašoma pateikti turimų asmens duomenų kopiją. Teisė susipažinti yra platesnė nei bendros informacijos pateikimas. Duomenų subjektas turi turėti teisę gauti prieigą prie asmens duomenų bei BDAR 15 str. 1 dalyje pateiktą informaciją.
- Teisė reikalauti ištaisyti duomenis. Tai vienas iš asmens duomenų tikslumo principo įgyvendinimo būdų. Duomenų subjektas gali kreiptis pats, kad būtų patikslinti ir ištaisomi jo asmens duomenys taip, jog duomenų valdytojas tvarkytų tikslius jo asmens duomenis.
- Teisė reikalauti ištrinti duomenis. Gairės nurodo, kad asmens duomenys turi būti ištrinami BDAR 17 str. 1 dalyje nurodytais atvejais.
- Teisė apriboti asmens duomenų tvarkymą. Pavyzdžiui, SME gali būti paprašyta laikinai apriboti asmens duomenų tvarkymą, jeigu duomenų subjektas užginčyti duomenų tikslumą, prieštarauti (neteisėtam) asmens duomenų tvarkymui ar pateikti skundą duomenų apsaugos pareigūnui. Taip pat SME gali būti paprašyta laikinai apriboti asmens duomenų tvarkymą dėl to, kad duomenų subjektai nori, jog SME saugotų asmens duomenis, kad jie galėtų parengti, pareikšti ir apginti savo teisėtus interesus.
- Teisė į duomenų perkeliamumą. Duomenų perkeliamumas leidžia duomenų subjektui iš vieno duomenų tvarkytojo asmens duomenis perduoti kitam duomenų tvarkytojui. Duomenų perkėlimas gali tapti iššūkių SME dėl techninių priemonių, tačiau 29 straipsnio duomenų apsaugos darbo grupės gairėse dėl duomenų perkeliamumo yra nurodyta, duomenų valdytojai turėtų ištirti ir įvertinti du skirtingus ir vienas kitą papildančius būdus, leidžiančius duomenis perkelti: tiesioginį visų perkeliamų asmens duomenų rinkinio (arba kelių visuotinio duomenų rinkinio ištraukų) perdavimą ir automatizuotą įrankį, leidžiantį išgauti svarbius duomenis.
- Teisė nesutikti. Kai duomenų subjektas pasinaudoja šia teise, duomenų valdytojas turi nustoti tvarkyti prašomus asmens duomenis tikslu, dėl kurio pateiktas prašymas. Tuo atveju, jeigu organizacija siekia netenkinti tokio duomenų subjekto prašymo, duomenų valdytojas turi įtikinti, kad asmens duomenys yra tvarkomi dėl įtikinamų teisėtų priežasčių, kurios yra viršesnės už duomenų subjekto interesus, teises ir laisves, arba siekiant pareikšti, vykdyti ar apginti teisinius reikalavimus. Kitokia situacija yra, kai asmens duomenys tvarkomi tiesioginės rinkodaros tikslais, duomenų subjektas turi teisę bet kuriuo metu nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi tokios rinkodaros tikslais, įskaitant profiliavimą, kiek jis
susijęs su tokia tiesiogine rinkodara. - Teisė nebūti subjektu, dėl kurio yra priimami automatizuoti sprendimai, įskaitant profiliavimą. Paprastai tradicinės SME nevykdo automatizuoto sprendimų priėmimo, tačiau yra tikėtina situacija, kad tiesioginės rinkodaros tikslais, pavyzdžiui, socialiniuose tinkluose, gali būti naudojamas profiliavimas tam, kad būtų nustatyta tikslinė potencialių klientų auditorija. Tokiu atveju duomenų valdytojais, kurie turėtų įgyvendinti šią duomenų subjektų teisę, būtų laikomi tiek SME, tiek platforma, tiek pati platforma, pvz., socialinis tinklas.
Turi būti įgyvendinamos duomenų valdytojo pareigos.
- Duomenų tvarkymo veiklos įrašų darymas. Duomenų valdytojas turi dokumentuoti, kokie asmens duomenys yra tvarkomi, kokius asmens duomenis jis saugo bei kokie asmens duomenų tvarkymo veiksmai yra atliekami. Tai yra svarbu, siekiant užtikrinti duomenų saugumą ir įgyvendinant duomenų subjektų teises. Visi įrašai turėtų būti saugomi rašytine forma, įskaitant ir elektroninę formą. Šie duomenys turėtų būti reguliariai atnaujinami. Kadangi įrašų tvarkymas gali būti daug laiko ir lėšų reikalaujantis bei potencialiai brangus procesas SME, turinčioms nedidelius žmogiškuosius ir finansinius išteklius, BDAR numato išimtį organizacijai, kurioje dirba mažiau kaip 250 darbuotojų. Tačiau mažai tikėtina, kad išimtis bus taikoma, kadangi bet kuri SME vis tiek veda įrašus šiais atvejais:
- Kai duomenų tvarkymas nėra reguliarus. Tvarkymas laikomas nereguliariu, kai jis atliekamas tik vieną kartą arba trumpą laiką ir yra tik pagalbinė priemonė organizacijos veikloje. Net ir mažos SME tvarko darbuotojų ir klientų asmens duomenis, todėl kiekvienu atveju reikia vertinti, ar toks tvarkymas yra laikomas reguliariu, ar ne;
- Dėl vykdomo duomenų tvarkymo gali kilti pavojus duomenų subjektų teisėms ir laisvėms;
- Duomenų tvarkymas apima specialių kategorijų duomenis.
Informacija, kuri turi būti nurodoma veiklos įrašuose priklauso nuo to, ar SME yra duomenų valdytojas, ar duomenų tvarkytojas:
Informacija, nurodoma veiklos įrašuose Duomenų valdytojas (BDAR 30 str. 1 d.) Duomenų tvarkytojas (BDAR 30 str. 2 d.) Organizacijos pavadinimas, duomenų valdytojo (tvarkytojo) atstovo vardas, pavardė, duomenų apsaugos pareigūno vardas ir pavardė ir jų kontaktiniai duomenys + + Duomenų tvarkymo tikslai + Kiekvieno duomenų valdytojo vardu atliekamo duomenų tvarkymo kategorijos + Duomenų subjektų kategorijų ir asmens duomenų kategorijų aprašymas + Duomenų gavėjų, kuriems buvo arba bus atskleisti asmens duomenys, įskaitant duomenų gavėjus trečiosiose
valstybėse ar tarptautines organizacijas, kategorijos+ Asmens duomenų perdavimai į trečiąją valstybę arba tarptautinei organizacijai ir taikomos saugumo priemonės + + Įvairių kategorijų duomenų ištrynimo terminai + Techninių ir organizacinių saugumo priemonių aprašymas + +
- Duomenų tvarkymo saugumo užtikrinimas. Visos organizacijos, tvarkančios asmens duomenis, turi užtikrinti tinkamas technines ir organizacines saugumo priemones, kurios užtikrinamos pagal kylančias rizikas. Kadangi užtikrinamos konkrečios saugumo priemonės turi priklausyti nuo galimų kilti rizikų, Gairės pateikia rekomendacijas dėl galimų taikyti organizacinių ir techninių saugumo priemonių.
- Pranešimas apie duomenų saugumo pažeidimus.
- BDAR nustato pareigą visiems duomenų valdytojams informuoti kompetentingą priežiūros instituciją apie įvykusį duomenų saugumo pažeidimą. Kaip ir visos organizacijos, SME turi būti pasirengusios greitai atpažinti ir pranešti apie kilusį duomenų saugumo pažeidimą. Pasiruošimas reiškia, kad SME darbuotojai visų pirma turi būti apmokomi atpažinti duomenų saugumo pažeidimus. Taip pat yra rekomenduojama parengti planą, kaip turi būti pranešama apie duomenų saugumo pažeidimą.
- BDAR numato pareigą informuoti duomenų subjektus apie įvykusį duomenų saugumo pažeidimą.
- Pareigos, kai pasitelkiamas duomenų tvarkytojas. Visais atvejais, kai duomenų valdytojas pasitelkia duomenų tvarkytoją, tarp jų privalo būti sudaromas rašytinis susitarimas. Susitarimas turi apimti BDAR 28 straipsnyje numatytą informaciją;
- duomenų subjektas aiškiai sutiko, kad tokie asmens duomenys būtų tvarkomi vienu ar keliais nurodytais tikslais (BDAR 9 str. 2 d. a) punktas);
- tvarkyti duomenis būtina, kad duomenų valdytojas arba duomenų subjektas galėtų įvykdyti prievoles ir naudotis
specialiomis teisėmis darbo ir socialinės apsaugos teisės srityje (BDAR 9 str. 2 d. b) punktas); - tvarkyti duomenis būtina siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus arba tuo atveju, kai teismai
vykdo savo teisminius įgaliojimus (BDAR 9 str. 2 d. f) punktas); - tvarkyti duomenis būtina profilaktinės arba darbo medicinos tikslais, siekiant įvertinti darbuotojo darbingumą,
nustatyti medicininę diagnozę, teikti sveikatos priežiūros arba socialinės rūpybos paslaugas ar gydymą arba valdyti
sveikatos priežiūros ar socialinės rūpybos sistemas ir paslaugas (BDAR 9 str. 2 d. h) punktas).
Praktinio reikalavimo pavadinimas | Veiksmai, kurie turi būti atliekami |
---|---|
Klientai ir interneto svetainė | |
a) Privatumo politika | Privatumo politikoje turi būti pateikiama ši informacija:
|
b) Slapukų politika, slapukų pranešimas ir slapukų pasirinkimo centras | SME turi gauti sutikimą slapukų ir kitų sekimo technologijų interneto svetainėje naudojimui. Interneto svetainės lankytojai turi būti informuojami apie naudojamus slapukus bei turėti teisę duoti sutikimą naudoti slapukus arba sutikimo neduoti dar prieš slapukams tampant aktyviais. Tam, kad teisingai naudotų slapukus SME turi įgyvendinti:
Geroji praktika yra grupuoti slapukus pagal jų naudojimo paskirtį, pvz., slapukai, kurie būtini interneto svetainės veikimui, vartotojo pasirinkimus išsaugantys slapukai ir pan. Tokiu atveju interneto svetainės naudotojas galėtų pasirinkti tik tą kategoriją slapukų, su kurių naudojimu jis sutinka. Slapukų politika turėtų prasidėti trumpu apibendrinimu ir apimti šią informaciją:
|
c) Duomenų subjekto prašymas dėl susipažinimo su duomenimis | SME turėtų dokumentuoti visą procedūrą, kaip yra atsakoma į duomenų subjekto, siekiančio įgyvendinti savo teises, prašymą. SME turėtų gebėti kiekvienam asmeniui, kurio duomenis ji tvarko, pateikti tvarkomų asmens šio duomenų subjekto duomenų kopiją:
Svarbu, kad įgyvendinant šią teisę nebūtų pažeidžiamas kitų duomenų subjektų asmens duomenų konfidencialumas. SME gali prašyti duomenų subjekto, kad šis patvirtintų savo tapatybę, tačiau negali imtis veiksmų, kuriais apsunkintų duomenų subjekto teisės įgyvendinimą arba pailgintų jo procesą, pvz., reikalauti prašymą pateikti tik registruotu paštu. |
d) Vaikų asmens duomenų tvarkymas | Tvarkant vaikų asmens duomenis, turi būti taikomos priemonės. Nepilnamečio asmens duomenų tvarkymui rekomenduojama imtis šių priemonių:
|
e) Duomenų saugumo pažeidimų registras bei Duomenų saugumo pažeidimų politika | Apie duomenų saugumo pažeidimą atsakingai priežiūros institucijai (Valstybinei duomenų apsaugos inspekcijai) turi būti pranešama per 72 valandas nuo tada, kai buvo sužinota arba turėjo būti sužinota apie duomenų saugumo pažeidimą. Taip pat turi būti informuojami ir duomenų subjektai, kurių teisės gali kilti rizika. SME turėtų dokumentuoti visus duomenų saugumo pažeidimus, įskaitant susijusius faktus, poveikį bei priemones, kurių buvo imtasi. Duomenų saugumo pažeidimų politikoje SME turėtų reglamentuoti, kaip jos darbuotojai turi reaguoti į duomenų saugumo pažeidimą, ką informuoti bei visą tolimesnę veiksmų seką, kurią kiekvienas atsakingas darbuotojas turi atlikti. Darbuotojus reikia supažindinti su šia politika. Tradicinė SME turėtų imtis šių veiksmų:
|
Naujienlaiškis | |
f) Naujienlaiškio prenumeravimo informacija | Kai koks nors asmuo užsiregistruoja siekdamas gauti naujienlaiškį, SME turi gauti šio asmens sutikimą asmens duomenų tvarkymui. SME turi:
Jokie laukeliai neturėtų būti automatiškai užpildomi pažymint sutikimą. Duomenų subjektui turi būti suteikiama galimybė bet kada atšaukti naujienlaiškio prenumeratą. Taip pat turėtų būti pateikiama nuoroda į Privatumo politiką |
g) Naujinelaiškio prenumeratą patvirtinantis el. laiškas | Siekiant patvirtinti, kad sutikimas buvo tinkamai gautas, SME turėtų išsiųsti el. laišką, patvirtinantį naujienlaiškio prenumeratą. Šiuo el. laišku turėtų būti prašoma patvirtinti el. pašto adresą bei patvirtinti sutikimą gauti naujienlaiškius, kuris gali būti patvirtinamas paspaudžiant specialų patvirtinimo mygtuką. Tokiu būdu SME žino, kad sutikimas tikrai yra gautas laisva valia bei pateiktas el. pašto adresas yra teisingas. |
h) Naujienlaiškio prenumeratos atšaukimas | Kai kas nors prenumeruoja naujienlaiškį, asmeniui turi būti suteikiama teisė bet kada šią prenumeratą atšaukti. Prenumeratos atšaukimas turi būti lengvas ir paprastas. Jis turi būti toks pats lengvas, kaip ir naujienlaiškio užprenumeravimas. Gaunant kiekvieną el. laišką, kuriuo siunčiamas naujienlaiškis, jo gavėjui turi būti suteikiama teisė atsisakyti naujienlaiškio prenumeratos. Taip pat yra rekomenduojama siunčiant el. laiškus pridėti nuorodą, kurioje laiško gavėjas galėtų koreguoti savo pasirinkimus, t. y. pasirinkti, kokią informaciją jis nori gauti. Pavyzdžiui, jis gali pažymėti, kad nepageidauja gauti kas savaitę siunčiamo naujienlaiškio, tačiau pasirenka gauti pranešimus apie vykstančius renginius, nuolaidas ir pan. |
Tiekėjai | |
i) Privatumo sąlygos sutartyse ir sąlygose | Bendradarbiaujant su klientu, rangovu, partneriu ir pan. abi pusės ribotai tvarko asmens duomenis, net jei faktinis užsakymas nėra susijęs su asmens duomenimis. Tokiam ribotam asmens duomenų tvarkymui nereikia sudaryti atskiro susitarimo dėl asmens duomenų tvarkymo, privatumo įsipareigojimus ir sąlygas užtenka reglamentuoti pagrindinėse sutartyse. SME gali, pavyzdžiui, į savo sutartis (bendrąsias sąlygas, pirkimo sąlygas ir pan.) įtraukti sąlygas, kuriose nurodytų partnerius, kaip SME tvarko asmens duomenis. |
j) Susitarimas dėl asmens duomenų tvarkymo | Kai SME veikia kaip duomenų valdytojas ir pasitelkia duomenų tvarkytoją, jie sudaro susitarimą dėl asmens duomenų tvarkymo, kuriame turi būti numatyti BDAR 28 str. reikalavimai. Kai SME veikia kaip paslaugų teikėjas, ji gali tvarkyti savo užsakovo valdomus asmens duomenis, pavyzdžiui:
Tuo atveju, jei SME veiks kaip duomenų tvarkytojas ir duomenis tvarkys duomenų valdytojo pavedimu, susitarime su duomenų valdytoju jai turi būti nurodoma, ką gali ir ko negali daryti su duomenimis, subtvarkytojų pasitelkimo sąlygas. SME, veikdama kaip duomenų tvarkytojas, duomenis tvarkys duomenų valdytojo vardu. |
Valdymas | |
k) DAP paskyrimo nurodymai | DAP paskyrimas paprastai yra reikalingas tik nedaugeliui tradicinių SME. Vis dėlto, tradicinė SME savo privatumo politikoje bei kituose dokumentuose nurodyti atsakingo asmens už duomenų apsaugą (jei DAP nėra paskirtas) el. pašto adresą, telefono numerį, pašto adresą, kuriais duomenų subjektai galėtų susisiekti dėl informacijos apie asmens duomenų tvarkymą. |
l) Poveikio duomenų apsaugai vertinimo atlikimas (PDAV) | PDAV atlikimas SME yra reikalingas itin retai, tačiau esant BDAR 35 str. numatytiems atvejams, PDAV turi atlikti ir SME. |
m) Duomenų saugumo politika | SME apibrėžia, kaip ji užtikrina tvarkomų asmens duomenų techninį ir organizacinį saugumą, įskaitant naudojamų informacinių technologijų priemonių saugumą. Tam, kad SME parodytų, kaip yra užtikrinamas saugumas, ji turėtų būti patvirtinusi duomenų saugumo politiką. |
n) Duomenų saugojimo politika | SME turėtų parengti politiką, kurioje būtų nustatyta, kokį terminą yra saugomi tvarkomi asmens duomenys. Nustatant duomenų saugojimo terminą SME turėtų įvertinti ir teisinius reikalavimus tam tikrą terminą saugoti atitinkamus asmens duomenis. Duomenų saugojimo terminas turėtų būti nustatomas laikantis duomenų mažinimo principo, t. y. duomenys neturėtų būti saugomi ilgiau, negu yra būtina tam tikslui, kuriam jie buvo renkami. |
o) Duomenų tvarkymo veiklos įrašai | Tradicinėms SME gali tekti tvarkyti duomenų tvarkymo veiklos įrašus. Duomenų tvarkymo veiklos įrašų registre nurodomi duomenų tvarkymo veiksmai, atlikti veikiant tiek kaip duomenų valdytojui, tiek kaip duomenų tvarkytojui. Informacija, kuri turi būti nurodyta duomenų tvarkymo veiklos įrašuose, veikiant kaip duomenų tvarkytojui bei kaip duomenų valdytojui, skiriasi. Ši informacija, kurią reikia nurodyti duomenų tvarkymo veiklos įrašuose yra nurodyta BDAR 30 straipsnyje. |
p) Teisėto intereso vertinimo gairės | Teisėtas interesas yra lanksčiausias duomenų tvarkymo pagrindas, kadangi daugybė skirtingų interesų gali būti laikoma teisėtu interesu. Tuo atveju, jeigu SME nusprendžia asmens duomenis tvarkyti remiantis teisėtu interesu, prieš pradedant asmens duomenų tvarkymą reikėtų:
Teisėto intereso valdymas turėtų susidėti iš trijų dalių:
SME teisėto intereso nustatymo gaires turėtų įtraukti į privatumo politiką. |
Darbuotojai | |
q) Darbuotojų politikos | SME, turinčios darbuotojų, turėtų būti patvirtinusios keletą skirtingų politikų, svarbių darbuotojų asmens duomenų tvarkymo atitikties BDAR užtikrinimui bei užtikrinančių, kad SME darbuotojai teisingai tvarko . SME valdomus asmens duomenis.
|
r) Informacija, pateikiama ketinantiems įsidarbinti kandidatams | Kandidatai turi būti informuojami apie jų asmens duomenų tvarkymą. Kandidatai, kaip ir klientai, turi tas pačias domenų subjekto teises, pavyzdžiui, teisę į duomenų ištaisymą. |
Nuorodos
Kur eiti toliau
- Page: 1.1. Užtikrinti BDAR 5 straipsnyje aprašytų principų, susijusių su asmens duomenų tvarkymu, laikymąsi ir gebėti įrodyti jų laikymąsi. Apibendrinant, jie apima pareigą užtikrinti, kad asmens duomenys būtų_
- Page: 1.3. Suteikti duomenų subjektui visą pagal BDAR reikalaujamą informaciją glausta, skaidria, suprantama ir lengvai prieinama forma, vartojant aiškią ir suprantamą kalbą
- Page: 1.4. Imtis tinkamų priemonių duomenų subjekto teisių pagal BDAR įgyvendinimui ir informuoti duomenų subjektą apie jo prašymo įgyvendinti savo teises eigą
- Page: 1.5. Įgyvendinti tinkamas technines ir organizacines priemones siekiant užtikrinti ir įrodyti, kad tvarkymas yra vykdomas pagal BDAR
- Page: 1.7. Registruoti su asmens duomenimis susijusią tvarkymo veiklą, už kurią yra atsakingas duomenų valdytojas
- Page: 1) tvarkomi teisėtai, sąžiningai ir skaidriai_
- Page: 3) adekvatūs, tinkami ir tik tokie, kurių reikia_
- Page: 4) tikslūs ir prireikus atnaujinami_
- Page: 5) laikomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau nei tai yra būtina_
- Page: 6) tvarkomi tokiu būdu, kad būtų užtikrintas tinkamas jų saugumas.
- Blog: BDAR atitikties užtikrinimo gairės tradicinėms smulkaus ir vidutinio verslo įmonėms (SME) pateiktos viešosioms konsultacijoms
- https://allaw.lt/klauskite-teisininko/
- https://allaw.lt/legalspaces/display/PREKE
- https://allaw.lt/legalspaces/quiz/learning/view.action?category=4
- https://allaw.lt/legalspaces/site/duomenu-apsaugos-pareigunas
- https://ftp.cencenelec.eu/CEN/News/WS/2021/MicroSMEs/DraftCWA.pdf
- https://teisinerizika.lt/work/bdar-reikalavimai/
- Page: IV SKYRIUS. Duomenų valdytojas ir duomenų tvarkytojas
Panašūs straipsniai
There is no content with the specified labels