Europos Parlamentas pagaliau patvirtino ES Bendrąjį duomenų apsaugos reglamentą

data-protection2016 balandžio 14 d. Europos Parlamentas formaliai ir galutinai patvirtino Bendrąjį duomenų apsaugos reglamentą (General Data Protection Regulation (GDPR)). Naujasis Reglamentas įsigalios per 2 metus nuo jo paskelbimo ES Oficialiame Leidinyje (Official Journal), t.y. jis bus tiesiogiai taikomas visose valstybėse narėse nuo 2018 m. balandžio-gegužės mėn. Tokiu būdu duomenų valdytojams suteikiamas 24 mėn. pereinamasis laikotarpis įgyvendinti Reglamente nustatytas taisykles.

Naujasis Reglamentas pakeičia ES Duomenų apsaugos direktyvą 95/46 ir didele dalimi pakeis Lietuvos Asmens duomenų teisinės apsaugos įstatymą. Dalis esamo Asmens duomenų teisinės apsaugos įstatymo taisyklių (pvz., susijusių su vaizdo stebėjimu ar skolininkų duomenų tvarkymu) išliks, tačiau jis turės būti suderintas su Reglamentu iki jo įsigaliojimo.

Lyginant su galiojančiais teisės aktais Reglamentas žymiai išsamiau nustato asmens duomenų tvarkymo taisykles, duomenų subjektų teises, labai ženkliai sugriežtina atsakomybę už jų nesilaikymą. Duomenų apsaugos taisykles pažeidusiems duomenų valdytojams arba duomenų tvarkytojams gali būti skiriamos baudos iki 20 mln. € arba įmonės atveju – iki 4 % nuo įmonės bendros metinės apyvartos. Šias administracines sankcijas skirs nacionalinės duomenų apsaugos
institucijos. Nors baudų didinimas praktikoje tikėtinai bus įgyvendinamas laipsniškai, tačiau per kelis metus jis turės artėti prie ES sankcijų vidurkių ir, lyginant su šiuo metu Lietuvoje taikoma atsakomybe už asmens duomenų tvarkymo taisyklių pažeidimus, tai bus labai dramatiškas atsakomybės padidinimas.

Reglamente labai išplėstos taisyklės, numatančios asmens sutikimą dėl duomenų tvarkymo, reglamentuojamas vaikų duodamas sutikimas, išplėstos duomenų subjekto teisės, tarp jų nustatoma platesnė teisė prieštarauti dėl jo duomenų tvarkymo, plati „teisė būti pamirštam“, kuri bus taikoma ne tik paieškos sistemoms, bet ir duomenų pirminiam valdytojui, taip pat nustatoma nauja teisė į duomenų perkeliamumą.

Duomenų valdytojams ir tvarkytojams nustatomos naujos pareigos per 72 val. pranešti priežiūros institucijai apie asmens duomenų saugumo pažeidimus. Tam tikrais atvejais pranešimą reikės teikti ir su pažeidimu susijusiems duomenų subjektams.

Visgi įsigaliojus Reglamentui verslui ir kitiems asmens duomenų valdytojams dalis pareigų bus panaikinta ar palengvinta. Svarbiausias palengvinimas yra panaikinama pareiga asmens duomenų valdytojams registruotis Valstybinėje asmens duomenų teisinės apsaugos inspekcijoje. Pačios duomenų valdytojų pareigos iš esmės nesikeičia, tačiau informaciją apie asmens duomenų valdymą ir tvarkymą Valstybinei asmens duomenų teisinės apsaugos inspekcijai pagal Reglamentą reikės teikti tik gavus individualų prašymą. Mažoms įmonėms ar organizacijoms, kuriose dirba mažiau kaip 250 darbuotojų, biurokratinė našta dar labiau palengvinama. Daugeliu atvejų tokioms įmonėms ir organizacijoms, kur asmens duomenų tvarkymas nėra nuolatinė plataus masto veikla, nereikės turėti asmens duomenų tvarkymo veiklos įrašų – specialių taisyklių ir kitų dokumentų.

Reglamente nenumatoma bendra duomenų valdytojo pareiga paskirti duomenų apsaugos pareigūną. Tai pat palengvinamas tarptautinis asmens duomenų perdavimas (ne į ES šalis), kuriam šiuo metu Lietuvoje yra būtinas Valstybinės duomenų apsaugos inspekcijosleidimas – pagal Reglamentą atskiro leidimo daugeliu atvejų nereikės. Įmonėms, veikiančioms keliose ES valstybėse, suteikiama galimybė iš esmės pasirinkti su kurios ES valstybės priežiūros institucijomis bus bendraujama.

Reglamentu taip pat nustatomas teisinis pagrindas verslo savireguliacijai, asmens duomenų tvarkymo elgesio kodeksų nustatymui ir nevalstybiniam asmens duomenų tvarkymo sertifikavimui.

Oficialus Reglamento tekstas lietuvių kalba.

Parašykite komentarą

El. pašto adresas nebus skelbiamas. Būtini laukeliai pažymėti *