Pasirengimas įgyvendinti Bendrąjį asmens duomenų apsaugos reglamentą

Pastaruoju metu gaunu vis daugiau klausimų, susijusių su Bendruoju asmens duomenų apsaugos reglamentu (General Data Protection Regulation – GDPR). Įmonės nori atsakymų, ką ir kaip jos turės daryti pagal šį Reglamentą.

Šiuo metu atsakyti į visus klausimus negalima ir būtų neatsakinga, kadangi dar nėra Reglamentą lydinčių teisės aktų ir neaiški nacionalinė (Lietuvos) pozicija dėl įmonių atitikties procedūrų. Nėra aiškus ir specialių normų tęstinumas po Reglamento įsigaliojimo (NB: specialiosios normos yra klausimai, kurie nereglamentuojami Reglamente, tačiau reglamentuojami LR Asmens duomenų teisinės apsaugos įstatyme). Lietuvoje tam turi būti priimtas naujas Asmens duomenų teisinės apsaugos įstatymas. Manau, šiuos klausimus įstatymų leidėjas ir priežiūros institucija spręs 2018 m. ir greičiausiai net po Reglamento įsigaliojimo (2018 m. gegužės 25 d.). Realiai Reglamentas „įsivažiuos“ per 2-3 metus po įsigaliojimo, nes neaiškumų ir neapibrėžtumo jame yra labai daug. Taigi, nors kai kurie kolegos stengiasi gąsdinti baudomis, manau, iki ~2020 m. baudos gresia tik tokiais didelio aplaidumo atvejais, kaip „Grožio chirurgijos“ duomenų praradimas.

Yra aišku, kad iš esmės visoms Lietuvos įmonėms (net ir mažoms įmonėms) įgyvendinant Reglamentą administracinė našta labai žymiai išaugs:

  • Iš esmės visos įmonės turės skirti duomenų apsaugos pareigūną.
  • Visoms įmonėms reikės vesti išsamią asmens duomenų tvarkymo dokumentaciją (vien Asmens duomenų tvarkymo taisyklių, kaip šiuo metu, tikrai nepakaks).
  • Dauguma įmonių turės atlikti duomenų apsaugos poveikio vertinimus.
  • Įmonės turės nedelsiant informuoti priežiūros instituciją, o kai kuriais atvejais ir duomenų subjektus, apie duomenų pažeidimo incidentus.
  • Įmonės turės peržiūrėti esamus duomenų subjektų (klientų, vartotojų, darbuotojų, etc.) sutikimus ir užtikrinti naujas duomenų subjektų teises.

Įmonės svarbu planuoti investicijas Reglamento įgyvendinimui ir svarbu tą daryti racionaliai. Šiuo metu aš ir FORT Vilnius komanda įmonėms padedame atlikti pirminius darbus susijusius su pasirengimu įgyvendinti GDPR Jūsų įmonėje. Siūlome tą kas racionalu, o ne tą ką galime parduoti.

Pasirengimo darbai apima:

  • asmens duomenų tvarkymo Jūsų įmonėje ribotą teisinį auditą; atliksime tvarkomų duomenų, esamos būklės, turimos dokumentacijos ir bendrųjų informacijos saugumo priemonių inventorizaciją ir teisinį įvertinimą;
  • įmonei aktualių GDPR pareigų rizikų ir atitikties poreikio identifikavimą, pasiūlymus dėl duomenų apsaugos optimizavimo;
  • poveikio privatumui vertinimo perspektyvų įmonėje įvertinimą;
  • bendrą atsakomybės už duomenų apsaugos pažeidimus rizikų vertinimą;
  • bazinius mokymus darbuotojams apie taisykles/pareigas/atsakomybes, kurias reikės įgyvendinti įsigaliojus GDPR.

 

Esame privatumo ir asmens duomenų apsaugos teisės lyderiai Lietuvoje. Mūsų patirtis apima ir bendrus duomenų apsaugos klausimus – duomenų valdytojo pareigų įgyvendinimą, bendravimą su priežiūros institucijomis, leidimų gavimą, ir ypač sudėtingus klausimus tokius, kaip duomenų tvarkymas ir anonimizavimas klinikiniuose tyrimuose, skaitmeninių dokumentų ir parašų šifravimas, duomenų praradimo incidentai ir t.t.

Nuolat konsultuojame tarptautines kompanijas veikiančias Lietuvoje duomenų apsaugos klausimais. Atstovaujame svarbiausiose duomenų apsaugos bylose Lietuvoje, tarp jų – 2016 m. administracinėje byloje Lietuvos Vyriausiajame administraciniame teisme dėl Facebook duomenų naudojimo asmens kreditingumo vertinimui (byloje prieš Valstybinę duomenų apsaugos inspekciją įtikinome teismą, kad LR Asmens duomenų teisinės apsaugos įstatymo 22 str. 1 d. pateiktas duomenų sąrašas yra nebaigtinis) ir 2014-2017 m. vykstančiame administraciniame procese dėl asmens duomenų elektroniniuose parašuose tikrinimo (procesas tris kartus atnaujintas Lietuvos Aukščiausiajame Teisme, galutinio sprendimo laukiame š.m. birželį).

2014-2016 m. taip pat konsultavome rengiant PNR (keleivių duomenų įrašų) teisės aktus Lietuvoje. Be to, esame teisinio reguliavimo, susijusio su kredito biurų ir biobankų veikla, bendraautoriai.

Įmonėms galime pasiūlyti ir techninio/informacinio saugumo auditą, bendradarbiaujame su šių sričių lyderiais Lietuvoje.

Nuo 2018 m. teiksime ir duomenų apsaugos pareigūno paslaugas.

Parašykite komentarą

El. pašto adresas nebus skelbiamas. Būtini laukeliai pažymėti *