Įmonės teisininkas Allaw® pataria

Tradicinės smulkaus ir vidutinio verslo įmonės yra bene daugiausiai skirtingų verslo įmonių apimanti grupė. Priešingai negu didžiosios verslo įmonės, smulkaus ir vidutinio verslo įmonės neturi tiek daug finansinių ir žmogiškųjų išteklių, todėl joms gali tapti sudėtingiau įgyvendinti duomenų apsaugos reikalavimus. Tam, kad tradicinės smulkaus ir vidutinio verslo įmonės gebėtų paprasčiau užtikrinti atitiktį Bendrajam duomenų apsaugos reglamentui (toliau - BDAR), 2021 m. vasario mėnesio pradžioje viešosioms konsultacijoms buvo perduotas Europos standartizacijos komiteto darbinio seminaro susitarimas, kuriame yra parengtos BDAR užtikrinimo gairės tradicinėms smulkaus ir vidutinio verslo įmonėms (SME) (toliau - Gairės). Su gairių paskirtimi bei BDAR reikalavimais smulkioms ir vidutinėms įmonėms supažindina Įmonės teisininkas Allaw.

Kam gali būti taikomos šios gairės?

Gairės gali būti taikomos tradicinėms mikro įmonėms - tradicinėms smulkaus ir vidutinio verslo įmonėms (SME). Tai nėra privalomojo pobūdžio gairės, t. y. jų taikyti nėra privaloma, tačiau jų taikymas padėtų užtikrinti BDAR atitikį SME. 

Smulkaus verslo įmonėmis yra laikomos tokios įmonės, kuriose dirba mažiau nei 10 darbuotojų ir jų metinė apyvarta yra mažesnė nei 2 milijonai eurų. 

Tradicinėmis smulkaus ir vidutinio verslo įmonėmis laikomos tokio įmonės, kurios atitinka minėtą darbuotojų bei apyvartos reikalavimą, bei atitinka šias sąlygas:

  • verslas yra orientuotas į fizines paslaugas bei gyvą aptarnavimą;

  • buvimas internete yra ribotas (pagrinde interneto svetainė ir socialiniai tinklai) arba išvis nėra internete;

  • jeigu yra internete, internetu teikiamos paslaugos yra ribotos, daugiausiai per standartizuotas trečiųjų šalių paslaugas, pagrinde palaikančios gyvų paslaugų teikimą (pvz., registracijai atlikti, įvertinti paslaugas, lojalumo kortelės / programėlės, paprastos internetinės parduotuvės ir pan.);

  • jie organizuojami paprastomis technologinėmis priemonės ir nereikalauja daug duomenų. Jie daugiausiai tvarko savo klientų, tiekėjų ir riboto skaičiaus darbuotojų asmens duomenis. Jautrių asmens duomenų tvarkymas yra ribotas;

  • jie galimai naudoja savo klientų asmens duomenis skaitmeninės rinkodaros tikslais (pvz., el. paštu siunčiamiems pasiūlymams, paieškos sistemų ar socialinių tinklų reklamoms, tačiau nenaudoja profiliavimo ar kitų pažangesnių internetinių rinkodaros priemonių);

  • darbuotojų skaičius daugiau ar mažiau stabilus.

Naudingi ištekliai

BDAR auditas (klausimynas)

BDAR specializuoti mokymai duomenų saugos pažeidimų prevencijai 

BDAR e-vedlys

Svarbu ...

Pasitikrinti, ar taikote rizikos lygį atitinkančias duomenų saugumo priemones.

Pasitikrinti, ar užtikrinate BDAR 5 straipsnyje nustatytų tikslų įgyvendinimą 

Pasitikrinti, ar Jūsų darbuotojai apmokyti nustatyti duomenų saugumo pažeidimus bei apie juos pranešti

Pasitikrinti, ar Jūsų BDAR mokymų temos apima duomenų saugumo pažeidimų valdymą

Nepamiršti

Atitikties BDAR užtikrinimui itin svarbu yra parengti tinkamą dokumentaciją bei ją tinkamai įgyvendinti praktikoje.

This page contains macros or features from a plugin which requires a valid license.

You will need to contact your administrator.

Pagrindiniai BDAR reikalavimai tradicinėms smulkaus ir vidutinio verslo įmonėms (SME)

Smulkaus ir vidutinio verslo įmonės (SME) turi atitikti BDAR keliamus reikalavimus, kaip ir visi kiti duomenų tvarkytojai bei duomenų valdytojai. Tam, kad šios įmonės užtikrintų keliamus reikalavimus, Gairėse yra numatyti konkretesni reikalavimai bei patarimai, kaip juos užtikrinti. Gairėse yra išskiriami šie reikalavimai:

Turi būti numatytas duomenų tvarkymo tikslas.

Gairėse yra pateikiamas lentelė, kurioje numatyti dažniausiai pasitaikančios tvarkomų asmens duomenų subjektų kategorijos bei šių asmens duomenų subjektų kategorijų tvarkymo tikslai. 

Užtikrinti BDAR 5 straipsnyje nustatytų tikslų įgyvendinimą.

  1.  Teisėtumo, sąžiningumo ir skaidrumo užtikrinimas:

    1. Teisėtumas. Asmens duomenys turi būti tvarkomi, esant bent vienam BDAR 6 straipsnyje nustatytam duomenų tvarkymo pagrindui, t. y.:

      1. Sutikimui, kuris turi būti duodamas laisva valia. Taip pat Gairėse yra nustatyta rekomendacija numatyti ir sutikimo galiojimo terminą. Taip pat gairėse yra nustatytas kontrolinis sąrašas, padedantis nustatyti, ar gautas sutikimas yra tinkamas;

      2. Sutarties įgyvendinimas. Tam, kad būtų įgyvendinama sutartis ar ikisutartiniai santykiai, galima tvarkyti asmens duomenis. Tokio duomenų tvarkymo pagrindo pavyzdžiu gali būti atvejis, kai klientas įsigyja prekę ir pageidauja ją pristatyti į namus - bus tvarkomi su prekės pristatymu susiję asmens duomenys;

      3. Tvarkyti asmens duomenis būtina tam, kad būtų įvykdyta teisinė prievolė, pavyzdžiui, tvarkyti darbuotojų asmens duomenis, kad galėtų įgyvendinti mokestines prievoles;

      4.  Asmens duomenys tvarkomi siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų, pvz., darbuotojų saugumo užtikrinimo, IT apsaugos ir pan.

      5. Tvarkyti duomenis būtina siekiant apsaugoti gyvybinius duomenų subjekto ar kito fizinio asmens interesus;

      6. Tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui

        pavestas viešosios valdžios funkcijas;

    2. Sąžiningumas. Reikalaujama, kad būtų tvarkomi tik tokie asmens duomenys, kurių tvarkymo duomenų subjektai gali pagrįstai tikėtis. Faktiškai tvarkomi asmens duomenys turi sutapti su informacija, kurioje skelbiama, kokie asmens duomenys yra tvarkomi;

    3. Skaidrumas. Skaidrumas yra stipriai susijęs su sąžiningumu. Duomenų valdytojas turi būti atviras apie tvarkomus asmens duomenis, turi duomenų subjektą informuoti apie galinčias kilti rizikas.

  2. Asmens duomenys yra renkami aiškiai nustatytais tikslais ir tvarkomi tik tiek, kiek yra būtina tikslo įgyvendinimui. Negalima tvarkyti asmens duomenų kitais tikslais, negu tuo, kuriam šie asmens duomenys yra surinkti.
  3. Duomenų mažinimas. Įmonės turėtų įsitikinti, kad renkami ir tvarkomi asmens duomenys yra tikrai būtini atitinkamam tikslui pasiekti. Kiekvienu atveju, kiek ir kokių duomenų reikia tvarkyti priklauso nuo paties tikslo. Tačiau yra svarbu, kad nebūtų tvarkoma daugiau duomenų, negu yra būtina tikslo įgyvendinimui. Gairėse pateikiamas pavyzdys dėl asmens duomenų tvarkymo, kai SME tvarko kandidatų įsidarbinti asmens duomenis. Šiame pavyzdyje yra nurodoma, kad akivaizdu, jog įdarbinant kandidatą yra svarbu žinoti jo vardą, pavardę, kontaktinius duomenis, akademinę ir profesinę informaciją (CV), tačiau atrenkant kandidatą nėra poreikio žinoti jo banko duomenis, informaciją, apie tai, ar kandidatas šiuo metu dirba ir ar dalyvauja kitose atrankose, šeiminę padėtį.
  4. Asmens duomenų tikslumas. Asmens duomenų valdytojas/tvarkytojas turi imtis visų priemonių, kad tvarkomi asmens duomenys būtų tikslūs ir atnaujinami tam, kad, pavyzdžiui, įsigytos prekės klientams būtų išsiunčiamos tinkamu adresu. Kita vertus, jeigu asmens duomenys yra tvarkomi rinkodaros tikslais, nereikia nuolat susisiekti su duomenų subjektais, kad šie nuolat atnaujintų savo naudojamą el. paštą ar kitus kontaktinius duomenis. Šiuo atveju pakanka, kad patys duomenų subjektai turėtų teisę patys pateikti naujus kontaktinius duomenis rinkodaros tikslais, kai to nori.
  5. Asmens duomenų saugojimo apribojimai. Asmens duomenys turi būti laikomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi. Įgyvendinus tikslą, kuriuo asmens duomenys buvo tvarkyti, šie duomenys turi būti sunaikinami.
  6. Sąžiningumas ir konfidencialumas. Tai reiškia, kad SME kaip ir bet kokia kita įmonė turi imtis tinkamų techninių ir organizacinių priemonių, skirtų informacijos konfidencialumo užtikrinimui, pavyzdžiui, neleisi su asmens duomenimis susipažinti visiems įmonės darbuotojams. 
  7. Atskaitomybė. Atskaitomybė yra dvejopa, o tai reiškia, kad duomenų valdytojai privalo ir atsakyti už atitikties užtikrinimą, ir sugebėti įrodyti, kad laikomasi reikalavimų.

Užtikrinti duomenų subjekto teisių įgyvendinimą

Visos organizacijos, tvarkančios duomenų subjektų asmens duomenis, turi užtikrinti BDAR numatytas duomenų subjektų teises:

  1. Būti informuotam. Duomenų valdytojas turi informuoti duomenų subjektą apie atliekamą asmens duomenų tvarkymą. Ši informacija turi būti pateikiama asmens duomenų rinkimo metu. Kalbant apie pateikiamos informacijos turinį, BDAR išskiria atvejus, kai asmens duomenys yra renkami tiesiogiai iš duomenų subjekto, ir atvejus, kai duomenys yra gaunami iš kito šaltinio (netiesiogiai):
    1. Kai asmens duomenys yra gaunami iš duomenų subjekto:
      1. Duomenų valdytojo nurodymas ir jo kontaktinė informacija;
      2. Duomenų apsaugos pareigūno kontaktinė informacija. Šis reikalavimas yra taikomas tik tuo atveju, jeigu duomenų valdytojui yra numatyta prievolė turėti paskirtą asmens duomenų pareigūną. Tradicinėms SME paprastai šis reikalavimas nėra taikomas, tačiau to negalima absoliutinti, kadangi viskas priklausys nuo konkrečios įmonės. Tuo atveju, jeigu yra paskirtas duomenų apsaugos pareigūnas, turi būti nurodomas bent vienas būdas, kaip su juo būtų galima susisiekti. Tais atvejais, kai duomenų apsaugos pareigūnas nėra paskirtas, rekomenduojama nurodyti kontaktinę informaciją asmens, kuris duomenų subjektui galėtų suteikti daugiau informacijos asmens duomenų tvarkymo klausimais;
      3. Duomenų tvarkymo tikslai. Nors BDAR reikalauja, kad būtų nurodyti konkretūs asmens duomenų tvarkymo tikslai, detalumo lygis, kurį turi nurodyti tradicinė SME, priklauso nuo asmens duomenų tvarkymo operacijų sudėtingumo. Atsižvelgiant į tai, kad dauguma tradicinių SME nevykdo sudėtingo asmens duomenų apdorojimo (nedidelio masto, nenaudoja algoritmų ir neatlieka profiliavimo), gali pakakti riboto tikslų aprašymo, pvz., "Mes tvarkome Jūsų el. pašto duomenis, kad galėtume jį naudoti pasiūlymų apie mūsų produkciją siuntimui";
      4. Teisėti duomenų tvarkymo pagrindai. Privatumo politikoje turėtų būti nurodoma, kuriuo konkrečiu BDAR 6 straipsnio pagrindu SME tvarko asmens duomenis. Tuo atveju, jei asmens duomenys yra tvarkomi sutikimo pagrindu, privatumo politikoje turi būti nurodomi ir sutikimo atšaukimui atliekami veiksmai. Jei asmens duomenys yra tvarkomi teisėto intereso pagrindu, privatumo politikoje turėtų būti nurodoma, kokie yra tie teisėti interesai.
      5. Duomenų saugojimo terminas ir kriterijai. SME visais atvejais turi nurodyti konkretų terminą, kiek laiko yra saugomi surinkti asmens duomenys. Jei duomenų subjektas kreiptųsi klausdamas, kiek laiko yra saugomi jo asmens duomenys, SME turi būti pasirengusi šią informaciją suteikti;

      6. Informacija apie duomenų subjektų teises ir jų įgyvendinimą. Svarbu atkreipti dėmesį, kad duomenų subjekto teisės priklauso nuo to, kokiu teisėtu pagrindu yra tvarkomi asmens duomenys. Gairėse yra pateikiama lentelė, padedanti nustatyti, kokio teisės yra taikomos pagal kiekvieną duomenų tvarkymo pagrindą:

        Teisė
        		Sutikimo pagrinduSutarties įvykdymo ar sudarymo pagrinduTeisėto intereso pagrindu
        Atšaukti sutikimą+

        Susipažinti su duomenimis+
        		+
        Reikalauti ištaisyti duomenis+++
        Reikalauti ištrinti duomenis+++
        Apriboti duomenų tvarkymą+++
        Teisė į duomenų perkeliamumą++
        Teisė nesutiktiNetaikoma, išskyrus atvejus, susijusius su tiesioginio marketingo tikslaisNetaikoma, išskyrus atvejus, susijusius su tiesioginio marketingo tikslais+
      7. Informacija apie tai, kaip pateikti skundą. Turėtų būti nurodoma duomenų subjekto teisė kreiptis į kompetentingą priežiūros instituciją ir pateikti skundą. Lietuvoje turėtų būti nurodoma teisė kreiptis į Valstybinę duomenų apsaugos inspekciją;
      8. Informacija apie tai, ar naudojamas automatizuotas sprendimų priėmimas. Tradicinės SME automatizuotą sprendimų priėmimą taiko itin retai;
      9. Informacija apie duomenų gavėjus. Jeigu SME surinktus asmens duomenis ketina perduoti kokiai nors kitai organizacijai, tai privalo būti nurodyta privatumo politikoje. Atkreiptinas dėmesys, kad gali būti nurodomos tik duomenų gavėjų kategorijos, nėra būtina vardyti visų konkrečių gavėjų;
      10. Informacija apie asmens duomenų perdavimą į trečiąsias valstybes ir tarptautines organizacijas. Jei ketinama perduoti asmens duomenis į trečiąsias valstybes ar tarptautines organizacijas, turi būti nurodoma, kokių saugumo priemonių imamasi. 
    2. Papildoma informacija, kuri turi būti nurodoma, kai asmens duomenys yra gaunami ne iš duomenų subjekto:
      1. Visa informacija, nurodyta a punkte;
      2. Asmens duomenų kategorijos. Reikia nurodyti, kokias asmens duomenų kategorijas tvarko SME, pvz., kontaktinė informacija, pirkimų istorija, techninė informacija (IP adresai, prisijungimo informacija, naršyklės tipas) ir pan.;
      3. Informacija apie asmens duomenų gavimo šaltinį. 
  2. Teisė susipažinti su duomenimis. Praktikoje ši teisė įgyvendinama paklausiant organizacijos (1) ar organizacija saugo kokius nors asmens duomenis, susijusius su konkrečiu asmeniu, ir (2) prašoma pateikti turimų asmens duomenų kopiją. Teisė susipažinti yra platesnė nei bendros informacijos pateikimas. Duomenų subjektas turi turėti teisę gauti prieigą prie asmens duomenų bei BDAR 15 str. 1 dalyje pateiktą informaciją.
  3. Teisė reikalauti ištaisyti duomenis. Tai vienas iš asmens duomenų tikslumo principo įgyvendinimo būdų. Duomenų subjektas gali kreiptis pats, kad būtų patikslinti ir ištaisomi jo asmens duomenys taip, jog duomenų valdytojas tvarkytų tikslius jo asmens duomenis. 
  4. Teisė reikalauti ištrinti duomenis. Gairės nurodo, kad asmens duomenys turi būti ištrinami BDAR 17 str. 1 dalyje nurodytais atvejais. 
  5. Teisė apriboti asmens duomenų tvarkymą. Pavyzdžiui, SME gali būti paprašyta laikinai apriboti asmens duomenų tvarkymą, jeigu duomenų subjektas užginčyti duomenų tikslumą, prieštarauti (neteisėtam) asmens duomenų tvarkymui ar pateikti skundą duomenų apsaugos pareigūnui. Taip pat SME gali būti paprašyta laikinai apriboti asmens duomenų tvarkymą dėl to, kad duomenų subjektai nori, jog SME saugotų asmens duomenis, kad jie galėtų parengti, pareikšti ir apginti savo teisėtus interesus.
  6. Teisė į duomenų perkeliamumą. Duomenų perkeliamumas leidžia duomenų subjektui iš vieno duomenų tvarkytojo asmens duomenis perduoti kitam duomenų tvarkytojui. Duomenų perkėlimas gali tapti iššūkių SME dėl techninių priemonių, tačiau 29 straipsnio duomenų apsaugos darbo grupės gairėse dėl duomenų perkeliamumo yra nurodyta, duomenų valdytojai turėtų ištirti ir įvertinti du skirtingus ir vienas kitą papildančius būdus, leidžiančius duomenis perkelti: tiesioginį visų perkeliamų asmens duomenų rinkinio (arba kelių visuotinio duomenų rinkinio ištraukų) perdavimą ir automatizuotą įrankį, leidžiantį išgauti svarbius duomenis.
  7. Teisė nesutikti. Kai duomenų subjektas pasinaudoja šia teise, duomenų valdytojas turi nustoti tvarkyti prašomus asmens duomenis tikslu, dėl kurio pateiktas prašymas. Tuo atveju, jeigu organizacija siekia netenkinti tokio duomenų subjekto prašymo, duomenų valdytojas  turi įtikinti, kad asmens duomenys yra tvarkomi dėl įtikinamų teisėtų priežasčių, kurios yra viršesnės už  duomenų subjekto interesus, teises ir laisves, arba siekiant pareikšti, vykdyti ar apginti teisinius reikalavimus. Kitokia situacija yra, kai asmens duomenys tvarkomi tiesioginės rinkodaros tikslais, duomenų subjektas turi teisę bet kuriuo metu nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi tokios rinkodaros tikslais, įskaitant profiliavimą, kiek jis
    susijęs su tokia tiesiogine rinkodara. 
  8. Teisė nebūti subjektu, dėl kurio yra priimami automatizuoti sprendimai, įskaitant profiliavimą. Paprastai tradicinės SME nevykdo automatizuoto sprendimų priėmimo, tačiau yra tikėtina situacija, kad tiesioginės rinkodaros tikslais, pavyzdžiui, socialiniuose tinkluose, gali būti naudojamas profiliavimas tam, kad būtų nustatyta tikslinė potencialių klientų auditorija. Tokiu atveju duomenų valdytojais, kurie turėtų įgyvendinti šią duomenų subjektų teisę, būtų laikomi tiek SME, tiek platforma, tiek pati platforma, pvz., socialinis tinklas. 

Turi būti įgyvendinamos duomenų valdytojo pareigos.

  1. Duomenų tvarkymo veiklos įrašų darymas. Duomenų valdytojas turi dokumentuoti, kokie asmens duomenys yra tvarkomi, kokius asmens duomenis jis saugo bei kokie asmens duomenų tvarkymo veiksmai yra atliekami. Tai yra svarbu, siekiant  užtikrinti duomenų saugumą ir įgyvendinant duomenų subjektų teises. Visi įrašai turėtų būti saugomi rašytine forma, įskaitant ir elektroninę formą. Šie duomenys turėtų būti reguliariai atnaujinami. Kadangi įrašų tvarkymas gali būti daug laiko ir lėšų reikalaujantis bei potencialiai brangus procesas SME, turinčioms nedidelius žmogiškuosius ir finansinius išteklius, BDAR numato išimtį organizacijai, kurioje dirba mažiau kaip 250 darbuotojų. Tačiau mažai tikėtina, kad išimtis bus taikoma, kadangi bet kuri SME vis tiek veda įrašus šiais atvejais:
    1. Kai duomenų tvarkymas nėra reguliarus. Tvarkymas laikomas nereguliariu, kai jis atliekamas tik vieną kartą arba trumpą laiką ir yra tik pagalbinė priemonė organizacijos veikloje. Net ir mažos SME tvarko darbuotojų ir klientų asmens duomenis, todėl kiekvienu atveju reikia vertinti, ar toks tvarkymas yra laikomas reguliariu, ar ne;
    2.  Dėl vykdomo duomenų tvarkymo gali kilti pavojus duomenų subjektų teisėms ir laisvėms;
    3. Duomenų tvarkymas apima specialių kategorijų duomenis.

      1. Informacija, kuri turi būti nurodoma veiklos įrašuose priklauso nuo to, ar SME yra duomenų valdytojas, ar duomenų tvarkytojas:

        Informacija, nurodoma veiklos įrašuoseDuomenų valdytojas (BDAR 30 str. 1 d.)Duomenų tvarkytojas (BDAR 30 str. 2 d.)
        Organizacijos pavadinimas, duomenų valdytojo (tvarkytojo) atstovo vardas, pavardė, duomenų apsaugos pareigūno vardas ir pavardė ir jų kontaktiniai duomenys++
        Duomenų tvarkymo tikslai+
        Kiekvieno duomenų valdytojo vardu atliekamo duomenų tvarkymo kategorijos
        		+
        Duomenų subjektų kategorijų ir asmens duomenų kategorijų aprašymas+
        Duomenų gavėjų, kuriems buvo arba bus atskleisti asmens duomenys, įskaitant duomenų gavėjus trečiosiose
        valstybėse ar tarptautines organizacijas, kategorijos        		+
         Asmens duomenų perdavimai į trečiąją valstybę arba tarptautinei organizacijai ir taikomos saugumo priemonės++
         Įvairių kategorijų duomenų ištrynimo terminai+
        Techninių ir organizacinių saugumo priemonių aprašymas++
  2. Duomenų tvarkymo saugumo užtikrinimas. Visos organizacijos, tvarkančios asmens duomenis, turi užtikrinti tinkamas technines ir organizacines saugumo priemones, kurios užtikrinamos pagal kylančias rizikas. Kadangi užtikrinamos konkrečios saugumo priemonės turi priklausyti nuo galimų kilti rizikų, Gairės pateikia rekomendacijas dėl galimų taikyti organizacinių ir techninių saugumo priemonių.
  3. Pranešimas apie duomenų saugumo pažeidimus.
    1. BDAR nustato pareigą visiems duomenų valdytojams informuoti kompetentingą priežiūros instituciją apie įvykusį duomenų saugumo pažeidimą. Kaip ir visos organizacijos, SME turi būti pasirengusios greitai atpažinti ir pranešti apie kilusį duomenų saugumo pažeidimą. Pasiruošimas reiškia, kad SME darbuotojai visų pirma turi būti apmokomi atpažinti duomenų saugumo pažeidimus. Taip pat yra rekomenduojama parengti planą, kaip turi būti pranešama apie duomenų saugumo pažeidimą. 
    2. BDAR numato pareigą informuoti duomenų subjektus apie įvykusį duomenų saugumo pažeidimą. 
  4. Pareigos, kai pasitelkiamas duomenų tvarkytojas. Visais atvejais, kai duomenų valdytojas pasitelkia duomenų tvarkytoją, tarp jų privalo būti sudaromas rašytinis susitarimas. Susitarimas turi apimti BDAR 28 straipsnyje numatytą informaciją;
5. Specialių kategorijų duomenų tvarkymo atveju - papildomi reikalavimai tradicinėms SME. Specialus režimas, taikomas specialių kategorijų asmens duomenų kategorijoms, yra toks: iš esmės draudžia duomenis tvarkyti pagal BDAR 9 str. 1 d. Šis bendras draudimas panaikinamas tik tuo atveju, jei taikomas vienas iš BDAR 9 str. 2 d. nustatytų pagrindimų. Pagrindimų sąrašas yra išsamus, o tai reiškia, jei organizacija tvarko specialią asmens duomenų kategoriją bet kurioje kitoje situacijoje, kuriai netaikoma BDAR 9 str. 2d., tvarkymas yra neteisėtas. Taigi prieš pradedant tvarkyti specialių kategorijų asmens duomenis, SME turėtų išanalizuoti, ar juos apima BDAR 9 straipsnio pagrindai. Kiekvienu individualiu atveju pagrindai priklausys nuo pačios situacijos, tačiau dažniausiai SME gali pasitaikyti šie pagrindai:
  1. duomenų subjektas aiškiai sutiko, kad tokie asmens duomenys būtų tvarkomi vienu ar keliais nurodytais tikslais (BDAR 9 str. 2 d. a) punktas);
  2. tvarkyti duomenis būtina, kad duomenų valdytojas arba duomenų subjektas galėtų įvykdyti prievoles ir naudotis
    specialiomis teisėmis darbo ir socialinės apsaugos teisės srityje (BDAR 9 str. 2 d. b) punktas);
  3. tvarkyti duomenis būtina siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus arba tuo atveju, kai teismai
    vykdo savo teisminius įgaliojimus (BDAR 9 str. 2 d. f) punktas);
  4. tvarkyti duomenis būtina profilaktinės arba darbo medicinos tikslais, siekiant įvertinti darbuotojo darbingumą,
    nustatyti medicininę diagnozę, teikti sveikatos priežiūros arba socialinės rūpybos paslaugas ar gydymą arba valdyti
    sveikatos priežiūros ar socialinės rūpybos sistemas ir paslaugas (BDAR 9 str. 2 d. h) punktas).
Praktinis BDAR reikalavimų užtikrinimas tradicinėms smulkaus ir vidutinio verslo įmonėms (SME)
Praktinio reikalavimo pavadinimasVeiksmai, kurie turi būti atliekami
Klientai ir interneto svetainė
a) Privatumo politika

Privatumo politikoje turi būti pateikiama ši informacija:

  1. Kokius asmens duomenis SME renka?
  2. Kokiais būdais asmens duomenys yra renkami?
  3. Kam yra naudojami surinkti asmens duomenys?
  4. Kokiu teisėtu pagrindu asmens duomenys yra tvarkomi?
  5. Kokioms trečiosioms šalims yra perduodami asmens duomenys?
  6. Kur yra saugomi ir tvarkomi asmens duomenys?
  7. Informacija apie duomenų subjektų teises ir teisė pateikti skundą;
  8. Kaip ilgai SME saugo asmens duomenis?
  9. Informacija apie slapukus ir kitas sekimo technologijas
b) Slapukų politika, slapukų pranešimas ir slapukų pasirinkimo centras

SME turi gauti sutikimą slapukų ir kitų sekimo technologijų interneto svetainėje naudojimui. Interneto svetainės lankytojai turi būti informuojami apie naudojamus slapukus bei turėti teisę duoti sutikimą naudoti slapukus arba sutikimo neduoti dar prieš slapukams tampant aktyviais.

Tam, kad teisingai naudotų slapukus SME turi įgyvendinti:

  • Slapukų politiką, kurioje būtų paaiškinama, kokie slapukai ir kam yra naudojami;
  • Slapukų pranešimą, kuris iššoka interneto svetainėje, nurodydamas pagrindinę informaciją ir yra naudojamas gauti sutikimui naudoti slapukus;
  • Slapukų pasirinkimo centrą, leidžiantį interneto svetainės lankytojams valdyti slapukų pasirinkimus.

Geroji praktika yra grupuoti slapukus pagal jų naudojimo paskirtį, pvz., slapukai, kurie būtini interneto svetainės veikimui, vartotojo pasirinkimus išsaugantys slapukai ir pan. Tokiu atveju interneto svetainės naudotojas galėtų pasirinkti tik tą kategoriją slapukų, su kurių naudojimu jis sutinka. 

Slapukų politika turėtų prasidėti trumpu apibendrinimu ir apimti šią informaciją:

  1. Kas yra slapukai?
  2. Kokių kategorijų slapukai yra naudojami?
  3. Kodėl slapukus naudoja konkreti SME?
  4. Kokie konkretūs slapukai yra naudojami SME?
c) Duomenų subjekto prašymas dėl susipažinimo su duomenimis

SME turėtų dokumentuoti visą procedūrą, kaip yra atsakoma į duomenų subjekto, siekiančio įgyvendinti savo teises, prašymą. 

SME turėtų gebėti kiekvienam asmeniui, kurio duomenis ji tvarko, pateikti tvarkomų asmens šio duomenų subjekto duomenų kopiją:

  • Informacija, kuri surinkta tiesiogiai iš duomenų subjekto (pvz., iš sutarties);
  • Informacija surinkta pagal duomenų subjekto elgesį (pvz., kokia pinigų suma yra išleidžiama SME parduotuvėje per mėnesį);
  • Informacija, kada duomenys buvo surinkti.

Svarbu, kad įgyvendinant šią teisę nebūtų pažeidžiamas kitų duomenų subjektų asmens duomenų konfidencialumas.

SME gali prašyti duomenų subjekto, kad šis patvirtintų savo tapatybę, tačiau negali imtis veiksmų, kuriais apsunkintų duomenų subjekto teisės įgyvendinimą arba pailgintų jo procesą, pvz., reikalauti prašymą pateikti tik registruotu paštu.

d) Vaikų asmens duomenų tvarkymas

Tvarkant vaikų asmens duomenis, turi būti taikomos priemonės. Nepilnamečio asmens duomenų tvarkymui rekomenduojama imtis šių priemonių:

  • Nurodant, kaip yra tvarkomi asmens duomenys, informaciją pateikti taip, kad informacija būtų suprantama ir vaikui.  Tai galima įgyvendinti, pavyzdžiui, pasitelkiant vaizdinę medžiagą;
  • Kaip vaikui yra teikiamos skaitmeninės paslaugos ar produktai (pvz., internetiniai žaidimai), būtinas tėvų sutikimas;
  • Tėvų sutikimas, jeigu vaikas yra jaunesnis nei 14 metų, yra būtinas. Neturėtų būti sudaroma galimybė vaikui sutikimo duoti tėvų vardu;
  • BDAR leidžia tam tikros organizacijoms, atstovaujančioms tam tikrą pramonės sektorių, patvirtinti elgesio kodeksus, kuriuose būtų nustatyta, kaip turi būti elgiamasi su vaikais.
e) Duomenų saugumo pažeidimų registras bei Duomenų saugumo pažeidimų politika

Apie duomenų saugumo pažeidimą atsakingai priežiūros institucijai (Valstybinei duomenų apsaugos inspekcijai) turi būti pranešama per 72 valandas nuo tada, kai buvo sužinota arba turėjo būti sužinota apie duomenų saugumo pažeidimą. Taip pat turi būti informuojami ir duomenų subjektai, kurių teisės gali kilti rizika.

SME turėtų dokumentuoti visus duomenų saugumo pažeidimus, įskaitant susijusius faktus, poveikį bei priemones, kurių buvo imtasi. 

Duomenų saugumo pažeidimų politikoje SME turėtų reglamentuoti, kaip jos darbuotojai turi reaguoti į duomenų saugumo pažeidimą, ką informuoti bei visą tolimesnę veiksmų seką, kurią kiekvienas atsakingas darbuotojas turi atlikti. Darbuotojus reikia supažindinti su šia politika.

Tradicinė SME turėtų imtis šių veiksmų:

  • Įvertinti galiojančias technines ir organizacines saugumo priemones ir, jei yra poreikis, jas atnaujinti;
  • Parengti Duomenų saugumo pažeidimų politiką bei duomenų saugumo pažeidimų registrą;
  • Pasitelkus trečiąsias šalis reguliariai atlikti IT sistemų patikrinimą;
  • Parenti tinkamą procedūrą, skirtą duomenų saugumo pažeidimams;
  • Apmokyti darbuotojus apie duomenų saugumo užtikrinimą.
Naujienlaiškis
f) Naujienlaiškio prenumeravimo informacija

Kai koks nors asmuo užsiregistruoja siekdamas gauti naujienlaiškį, SME turi gauti šio asmens sutikimą asmens duomenų tvarkymui. 

SME turi:

  • Gauti sutikimą tvarkyti asmens duomenis naujienlaiškių siuntimui;
  • Aiškiai nurodyti, kad toks sutikimas gali būti bet kada atšaukiamas;
  • Paaiškinti, kokie veiksmai bus atliekami su duomenimis;
  • Nereikalauti pateikti daugiau duomenų negu yra būtina, pvz., neturi būti klausiama lyties, gimimo datos, kadangi ši informacija nėra reikalinga naujienlaiškio siuntimui.

Jokie laukeliai neturėtų būti automatiškai užpildomi pažymint sutikimą. 

Duomenų subjektui turi būti suteikiama galimybė bet kada atšaukti naujienlaiškio prenumeratą.

Taip pat turėtų būti pateikiama nuoroda į Privatumo politiką

g) Naujinelaiškio prenumeratą patvirtinantis el. laiškas

Siekiant patvirtinti, kad sutikimas buvo tinkamai gautas, SME turėtų išsiųsti el. laišką, patvirtinantį naujienlaiškio prenumeratą. Šiuo el. laišku turėtų būti prašoma patvirtinti el. pašto adresą bei patvirtinti sutikimą gauti naujienlaiškius, kuris gali būti patvirtinamas paspaudžiant specialų patvirtinimo mygtuką. Tokiu būdu SME žino, kad sutikimas tikrai yra gautas laisva valia bei pateiktas el. pašto adresas yra teisingas.


h) Naujienlaiškio prenumeratos atšaukimas

Kai kas nors prenumeruoja naujienlaiškį, asmeniui turi būti suteikiama teisė bet kada šią prenumeratą atšaukti.

Prenumeratos atšaukimas turi būti lengvas ir paprastas. Jis turi būti toks pats lengvas, kaip ir naujienlaiškio užprenumeravimas. Gaunant kiekvieną el. laišką, kuriuo siunčiamas naujienlaiškis, jo gavėjui turi būti suteikiama teisė atsisakyti naujienlaiškio prenumeratos.

Taip pat yra rekomenduojama siunčiant el. laiškus pridėti nuorodą, kurioje laiško gavėjas galėtų koreguoti savo pasirinkimus, t. y. pasirinkti, kokią informaciją jis nori gauti. Pavyzdžiui, jis gali pažymėti, kad nepageidauja gauti kas savaitę siunčiamo naujienlaiškio, tačiau pasirenka gauti pranešimus apie vykstančius renginius, nuolaidas ir pan.

Tiekėjai
i) Privatumo sąlygos sutartyse ir sąlygose

Bendradarbiaujant su klientu, rangovu, partneriu ir pan. abi pusės ribotai tvarko asmens duomenis, net jei faktinis užsakymas nėra susijęs su asmens duomenimis. Tokiam ribotam asmens duomenų tvarkymui nereikia sudaryti atskiro susitarimo dėl asmens duomenų tvarkymo, privatumo įsipareigojimus ir sąlygas užtenka reglamentuoti pagrindinėse sutartyse. 

SME gali, pavyzdžiui, į savo sutartis (bendrąsias sąlygas, pirkimo sąlygas ir pan.) įtraukti sąlygas, kuriose nurodytų partnerius, kaip SME tvarko asmens duomenis. 

j) Susitarimas dėl asmens duomenų tvarkymo

Kai SME veikia kaip duomenų valdytojas ir pasitelkia duomenų tvarkytoją, jie sudaro susitarimą dėl asmens duomenų tvarkymo, kuriame turi būti numatyti BDAR 28 str. reikalavimai.

Kai SME veikia kaip paslaugų teikėjas, ji gali tvarkyti savo užsakovo valdomus asmens duomenis, pavyzdžiui:

  • tvarkyti užsakovo klientų duomenis (pvz., apskaita, administravimo paslaugos ir pan.);
  • kontaktuoti su užsakovo klientais (pvz., klientų aptarnavimo telefonu paslauga).

Tuo atveju, jei SME veiks kaip duomenų tvarkytojas ir duomenis tvarkys duomenų valdytojo pavedimu, susitarime su duomenų valdytoju jai turi būti nurodoma, ką gali ir ko negali daryti su duomenimis, subtvarkytojų pasitelkimo sąlygas. SME, veikdama kaip duomenų tvarkytojas, duomenis tvarkys duomenų valdytojo vardu. 

Valdymas
k) DAP paskyrimo nurodymai

DAP paskyrimas paprastai yra reikalingas tik nedaugeliui tradicinių SME. Vis dėlto, tradicinė SME savo privatumo politikoje bei kituose dokumentuose nurodyti atsakingo asmens už duomenų apsaugą (jei DAP nėra paskirtas) el. pašto adresą, telefono numerį, pašto adresą, kuriais duomenų subjektai galėtų susisiekti dėl informacijos apie asmens duomenų tvarkymą.

l) Poveikio duomenų apsaugai vertinimo atlikimas (PDAV)PDAV atlikimas SME yra reikalingas itin retai, tačiau esant BDAR 35 str. numatytiems atvejams, PDAV turi atlikti ir SME.
m) Duomenų saugumo politikaSME apibrėžia, kaip ji užtikrina tvarkomų asmens duomenų techninį ir organizacinį saugumą, įskaitant naudojamų informacinių technologijų priemonių saugumą. Tam, kad SME parodytų, kaip yra užtikrinamas saugumas, ji turėtų būti patvirtinusi duomenų saugumo politiką. 
n) Duomenų saugojimo politika

SME turėtų parengti politiką, kurioje būtų nustatyta, kokį terminą yra saugomi tvarkomi asmens duomenys. Nustatant duomenų saugojimo terminą SME turėtų įvertinti ir teisinius reikalavimus tam tikrą terminą saugoti atitinkamus asmens duomenis. 

Duomenų saugojimo terminas turėtų būti nustatomas laikantis duomenų mažinimo principo, t. y. duomenys neturėtų būti saugomi ilgiau, negu yra būtina tam tikslui, kuriam jie buvo renkami. 

o) Duomenų tvarkymo veiklos įrašaiTradicinėms SME gali tekti tvarkyti duomenų tvarkymo veiklos įrašus. Duomenų tvarkymo veiklos įrašų registre nurodomi duomenų tvarkymo veiksmai, atlikti veikiant tiek kaip duomenų valdytojui, tiek kaip duomenų tvarkytojui. Informacija, kuri turi būti nurodyta duomenų tvarkymo veiklos įrašuose, veikiant kaip duomenų tvarkytojui bei kaip duomenų valdytojui, skiriasi. Ši informacija, kurią reikia nurodyti duomenų tvarkymo veiklos įrašuose yra nurodyta BDAR 30 straipsnyje.
p) Teisėto intereso vertinimo gairės

Teisėtas interesas yra lanksčiausias duomenų tvarkymo pagrindas, kadangi daugybė skirtingų interesų gali būti laikoma teisėtu interesu. Tuo atveju, jeigu SME nusprendžia asmens duomenis tvarkyti remiantis teisėtu interesu, prieš pradedant asmens duomenų tvarkymą reikėtų:

  • nustatyti, koks yra teisėtas interesas;
  • nurodyti, kad duomenų tvarkymas yra būtinas šiam interesui pasiekti;
  • derinti jį su duomenų subjekto interesais, teisėmis ir laisvėmis. Jeigu duomenų subjektas negali pagrįstai tikėtis asmens duomenų tvarkymo arba jei toks tvarkymas sukeltų žalą, tokiu atveju paprastai duomenų subjektai turėtų būti laikomi svarbesniais už SME teisėtus interesus;

Teisėto intereso valdymas turėtų susidėti iš trijų dalių:

  1. Tikslo testas: ar yra įgyvendinamas teisėtas interesas?
  2. Būtinumo testas: ar duomenų tvarkymas yra būtinas tikslo pasiekimui?
  3. Balanso testas: ar duomenų subjekto interesai nėra svarbesni už teisėtą interesą?

SME teisėto intereso nustatymo gaires turėtų įtraukti į privatumo politiką. 

Darbuotojai
q) Darbuotojų politikos

SME, turinčios darbuotojų, turėtų būti patvirtinusios keletą skirtingų politikų, svarbių darbuotojų asmens duomenų tvarkymo atitikties BDAR užtikrinimui bei užtikrinančių, kad SME darbuotojai teisingai tvarko . SME valdomus asmens duomenis.

  1. Duomenų politika. SME darbuotojai turi b8ti informuojami, kaip yra tvarkomi jų asmens duomenys. Dokumente turėtų būti pateikiama ši informacija:
    1. Kokius asmens duomenis tvarko SME (pavyzdžiui, vardą, pavardę, fotonuotrauką, asmens tapatybės dokumento numerį, asmens kodą, IP adresą ir pan.);
    2. Teisėtas duomenų tvarkymo pagrindas;
    3. Duomenų saugojimo vieta;
    4. Naudojimosi el. paštu ir komunikacijos taisyklės;
    5. Informacija, apie naudojimąsi informacinių technologijų ir komunikacijos priemonėmis, saugumo politikas, slaptažodžių naudojimo tvarką;
    6. Asmeninio (ne darbovietės suteikto) įrenginio naudojimo reikalavimai;
    7. konfidenciali informacija;
    8. kontaktinė informacija.
  2. Informacinių technologijų ir komunikacijos priemonių politika. Ši politika yra skirta nustatyti, kaip darbuotojas gali naudoti darbdavio suteikiamas priemones. Tokioje politikoje turi būti pateikiama ši informacija:
    1. Įrenginių naudojimo politika (pvz., atsarginių kopijų darymo tvarka, slaptažodžių šifravimo gairės);
    2. pranešimo apie įvykusius pažeidimus naudojant informacinių technologijų ir komunikacijos priemones tvarka (pvz., galimas įrenginio (kompiuterio, telefono, USB laikmenos ir pan.) praradimas, bet kokia įtartina komunikacija (el. laiškų, kurie galimai naudojami sukčiauti, gavimas);
    3. Asmeninių priemonių naudojimas (telefono, kompiuterio, planšetės ir pan.)
    4. El. pašto ar kitos komunikacijos priemonės naudojimas;
    5. Interneto naudojimas;
    6. Socialinių tinklų naudojimas;
    7. Video kamerų naudojimas (jei naudojamos);
    8. Darbuotojų stebėjimas (jei vykdomas).
  3. Darbuotojų privatumo politika. Tai atskiras dokumentas arba Privatumo politikos dalis, kuriame dokumentuojama, kaip yra tvarkomi darbuotojų asmens duomenys. Joje pateikiama ši informacija:
    1. Asmens duomenų kategorijos, kurias tvarko SME, pavyzdžiui:
      1. asmens identifikavimo ir kontaktinė informacija, pavyzdžiui, darbuotojo vardas, pavardė, adresas, gimimo data, lytis, nuotraukos, telefono numeris;
      2. Informacija, ar asmuo turi leidimą dirbti, jeigu yra imigravęs iš kitos valstybės;
      3. Išsilavinimo informacija, pavyzdžiui, diplomai, sertifikatai, licencijos;
      4. Su darbu susijusi informacija, pavyzdžiui, darbo stažas, darbo vieta, darbuotojo identifikacinis numeris, sutartys, atostogų informacija, darbo laiko apskaitos žiniaraštis;
      5. Įdarbinimo ir darbo vertinimo informacija, pavyzdžiui, tikslai, grįžtamasis ryšys, karjeros istorija, darbo įranga, įgūdžiai ir kompetencijos;
      6. Informacija, susijusi su išteklių naudojimu, įskaitant kompiuterius ir telekomunikacijos sistemas;
      7. Informacija, būtina užtikrinti teisės aktų atitikčiai;
      8. Darbo užmokesčio mokėjimo informacija;
      9. Nuotraukos;
    2. Teisėti duomenų tvarkymo pagrindai;
    3. Kokiu būdu SME gauna asmens duomenis (tiesiogiai iš darbuotojo, darbuotojui naudojantis suteiktomis priemonėmis ir pan.);
    4. Kam SME naudoja darbuotojo asmens duomenis (pvz., mokėti darbo užmokestį, įvertinti darbuotojo darbo rezultatus ir pan.);
    5. Kokios trečiosios šalys (duomenų tvarkytojai) tvarko darbuotojų asmens duomenis (serverių paslaugos, administracinės paslaugos ir pan.);
    6. Techninės ir organizacinės saugumo priemonės;
    7. Duomenų saugojimas;
    8. Darbuotojo kaip duomenų subjekto teisės, kontaktinį informacija asmens, kuriam gali pateikti skundą dėl duomenų naudojimo (pvz., Žmogiškųjų išteklių skyrius).
  4. Darbo sutartis. Naudinga darbo sutartyje pateikti kelias esmines nuostatas apie asmens duomenų tvarkymą. 
r) Informacija, pateikiama ketinantiems įsidarbinti kandidatams

Kandidatai turi būti informuojami apie jų asmens duomenų tvarkymą.

Kandidatai, kaip ir klientai, turi tas pačias domenų subjekto teises, pavyzdžiui, teisę į duomenų ištaisymą.


Susisiekti

Teirautis dėl prieigos prie BDAR mokymų e-medžiagos

Sužinoti apie inovatyvią paslaugą duomenų apsaugos pareigūnas Allaw®

Palikti žinutę duomenų apsaugos pareigūnui Allaw®

Telefonu: 8-616 02000

Nuorodos

Kur eiti toliau

Panašūs straipsniai

Content by label

There is no content with the specified labels