The post Duomenų apsaugos pareigūno vaidmuo ir pareigos appeared first on GDPR Register | Compliance tool for privacy experts.

The post Skirta pirmoji BDAR bauda Lietuvoje appeared first on GDPR Register | Compliance tool for privacy experts.

Jei įmonėje DPIA dar nėra atliekamas,  jis turi būti parengtas ir įdiegtas į įmonės veiklos politiką ir procedūras.

Kas yra poveikio duomenų apsaugai vertinimas?

Poveikio duomenų apsaugai vertinimas skirtas sistemingai ir išsamiai analizuoti įmonės asmens duomenų tvarkymo veiklą ir jo keliamą riziką. DPIA padeda įmonei nustatyti ir išvengti rizikos, susijusios su duomenų apsauga ir privatumu. DPIA padengia atitikties riziką iš įmonės perspektyvos, ir riziką asmenų teisėms ir laisvėms. Asmens duomenų tvarkymo pažeidimai gali asmeniui sukelti didelę socialinę ar ekonominę žalą.

Todėl atliekant DPIA reiktų atsižvelgti rizikos laipsnį – galimas neigiamas poveikis asmenims ir jo tikimybė. DPIA nepadeda visiškai neišvengia rizikos, tačiau jis turėtų būti rengiamas taip, kad būtų kuo tiksliau nustatomas ir sumažinamas galimas neigiamas duomenų tvarkymo poveikis, ir įvertinama ar likusi rizika gali būti suvaldyta. DPIA taip pat gali remtis platesnia atitiktimi, atsižvelgiant į finansinę ir reputacijos naudą, įrodant atskaitomybę kiekvienam individualiam klientui.

Kada reikia parengti DPIA?

DPIA būtina, kai asmens duomenų tvarkymas gali sukelti didelę riziką fizinių asmenų teisėms ir laisvėms. Tai reiškia plačiai paplitusį ar rimtą poveikį asmeniui ar visuomenei apskritai. Parengti DPIA reikia, kai:

• Sistemingas ir platus profiliavimas arba automatinis apdorojimas, turintis teisinių pasekmių asmeniui;
• Didelės apimties specialiųjų duomenų ar asmens duomenų, susijusių su apkaltinamaisiais nuosprendžiais, apdorojimas;
• Sistemingas viešos teritorijos stebėjimas.

Siekiant nustatyti tikslesnį duomenų tvarkymo operacijų, dėl kurių, atsižvelgiant į joms būdingą didelį pavojų, reikia atlikti DPIA, turėtų būti įvertinti toliau nurodyti devyni kriterijai:

• Vertinimas arba balų skyrimas, įskaitant profiliavimą ir prognozavimą;
• Automatizuotas sprendimų, sukeliančių teisinį arba panašų rimtą poveikį, priėmimas;
• Sisteminga stebėsena;
• Tvarkomi neskelbtini duomenys arba labai asmeniški duomenys;
• Didelio masto duomenų tvarkymas;
• Duomenų rinkinių siejimas ir derinimas;
• Tvarkomi su pažeidžiamais duomenų subjektais susiję duomenys;
• Naujoviškas naudojimas arba naujų technologinių ar organizacinių sprendimo būdų taikymas;
• Duomenų subjektams užkertamas kelias naudotis savo teisėmis, paslaugomis arba sudaryti sutartis.

DPIA poreikis turi būti atidžiai apsvarstytas, juolab, kad ES valstybėse DPIA reikalavimai gali kisti. Pavyzdžiui, Suomija į pradinį duomenų apdorojimo sąrašą neįtraukė vietos duomenų, kol EDPB (Europos duomenų apsaugos taryba) patarė ją pridėti. Taip pat, ne kiekviena ES valstybė reikalauja DPIA, jei įmonė naudojasi naujomis technologijomis. Tačiau DPIA rengimas turėtų būti laikomas kaip bendra taisykle tais atvejais, kai duomenų tvarkymas apima profiliavimą ar nuolatinį stebėjimą, kai sprendimai dėl galimybės naudotis paslaugomis ar galimybėmis daromi pasitelkiant technologiją arba, kai tduomenų tvarkymas yra susijęs su ypač slaptais duomenimis ar pažeidžiamais asmenimis. Net jei didelė rizika asmeniui nėra aptikta, DPIA yra pagrindinis duomenų apsaugos dokumentas, kai tvarkymo veikla yra kintanti nuolat dokumentuojama.

The post Poveikio duomenų apsaugai vertinimo vadovas appeared first on GDPR Register | Compliance tool for privacy experts.

• Elektroninių ryšių įstatymu (ERĮ)
• Bendruoju duomenų apsaugos reglamentų (BDAR)

Įmonės privalo laikytis abiejų reikalavimų. Praėjusiuose straipsniuose Previously topics “BDAR įtaka tiesioginei rinkodarai ir profiliavimui” and “Tiesioginės rinkodaros taisyklės ir išimtys, taikomos trumpųjų žinučių ir el.laiškų siuntimui“ dėmesys  buvo skiriamas labiau į B2C veiklą. Šį kartą akcentuojamas marketingas B2B veikloje.

BDAR B2B rinkodaroje. Gairės reklaminių el.laiškų siuntimui B2B kontaktams. 

Įprastai, remiantis BDAR, įmonės (juridiniai asmenys) laikomi „verslo klientais“ ir tokiu atveju, reklaminę informaciją siųsti leidžiama. Kitaip, nei B2C, B2B veikloje, tiesioginės rinkodaros pranešimai įmonės el.pašto adresui gali būti siunčiami be išankstinio sutikimo. Tačiau siuntėjas privalo identifikuoti save ir pateikti kontaktinius duomenis. BDAR turi būti laikomasi, kai tvarkomi asmens duomenys. Todėl, tos pačios taisyklės, su kai kuriomis išimtimis, taikomos neatsižvelgiant į tai, ar į adresatą kreipiamasi kaip į fizinį asmenį, ar kaip asmenį, veikiantį įmonės vardu.  Pavyzdžiui, verslo kontaktas, kuriame nurodomas jo vardas (vardas.pavardė@įmonė.lt), laikomas fizinio asmens, o ne verslo kontakto informacija.

• Pavieniai prekybos agentai laikomi fiziniais asmenimis. Tai reiškia, kad el.laiškai gali būti siunčiami tik tuo atveju, jei yra gautas konkretus sutikimas. Pavyzdžiui, jie anksčiau yra pirkę produktą ar naudoję paslaugą, ir neatsisakė tiesioginės rinkodaros pranešimų.
• Reikalaujama, kad asmens, su kuriuo susisiekiama tiesioginės rinkodaros tikslais, pareigos atstovaujamoje įmonei būtų susijusios su gauto laiško tema. Pvz., su duomenų apsauga susijusios temos turėtų pasiekti dpo@įmonė.lt ir pardavimus – pardavimai@įmonė.lt
• Įprastai, gera veiklos praktika laikoma, jei, gavus verslo  kontakto prašymą, yra nutraukiami bet kokie rinkodaros pranešimai. Kontaktų, atsisakiusių el.paštu siunčiamų reklaminių laiškų, sąrašas turi būti saugomas.
• Jei įmonės kontakto el.pašto adrese nurodomas asmens vardas ir/ar pavardė, BDAR turi būti pritaikomas ir asmuo gali atsisakyti tiesioginės rinkodaros pranešimų ir toks prašymas privalo būti patenkinamas.
• Pranešimuose tiesioginės rinkodaros tikslais turi būti pateikta galimybė atsisakyti tokių pranešimų prenumeratos.

BDAR ir B2B rinkodara. Vietinis taikymas

Tiesioginės rinkodaros taisykles nurodo BDAR, tačiau įmonės turi prisiminti, kad ES valstybės narės gali remtis BDAR nurodymais arba nustatyti papildomas, griežtesnes sąlygas. Todėl, prieš siunčiant tiesioginės rinkodaros pranešimus verslo klientams, svarbu žinoti skirtumu tarp opt-out, viengubo opt-in ir dvigubo opt-in pasirinkimų. Ir kuri ES valstybių narių taiko kurį variantą.

Opt-Out

El.laiško gavėjui suteikiama galimybė lengvai atsisakyti rinkodros pranešimų prenumeratos. Jei gavėjas neatsisakė pranešimų prenumeratos, reklaminiai laiškai gali būti siunčiami. Tokie pavyzdžiai – Estija, Suomija, Latvija, Švedija ir kt.

Viengubas Opt-In

Reikalaujama, kad reklaminių pranešimų gavėjas atliktų veiksmą (užsisakytų prenumeratą), kad būtų įtrauktas į B2B tiesioginės rinkodaros sąrašą, jei panašių prekių ar paslaugų nebuvo prašoma reklamuoti / parduoti anksčiau. Tokie pavyzdžiai – Lietuva, Lenkija, Rumunija ir kt. Lietuvoje: Tiesioginę rinkodarą elektroniniu paštu reglamentuoja elektroninių ryšių įstatymas. Jei norima tiesioginės rinkodaros pranešimus siųsti įmonės atstovui, sutikimas turi būti gautas iš tos įmonės vadovo ar jo įgalioto asmens. Tai reiškia, kad naujienlaiškis/reklaminis pranešimas negali būti siunčiamas be sutikimo. Bendrieji el.pašto adresai info/marketingas/dpo@įmonė.lt yra tvarkomi tokiu pačiu būdu, kaip ir tie, kuriuose nurodomas asmens vardas ir/ar pavardė.

Dvigubas Opt-In

Griežčiausi taikomi reikalavimai B2B komunikacijai. 1-as žingsnis – prenumeratos, gauti tiesioginės rinkodaros pranešimus, formos užpildymas ir, 2-as žingsnis – el.paštu gautos nuorodos paspaudimas, kuri patvirtina prenumeratą. El.paštu rinkodaros pranešimų negalima siųsti tol, kol gavėjas neįvykdė abiejų žingsnių. Tokie pavyzdžiai – Vokietija ir Šveicarija.

The post BDAR ir B2B rinkodara appeared first on GDPR Register | Compliance tool for privacy experts.

The post BDAR: Teisėti interesai appeared first on GDPR Register | Compliance tool for privacy experts.

The post Šeši mėnesiai su GDPR. Kas įvyko? appeared first on GDPR Register | Compliance tool for privacy experts.

Kaip Ransomware susijęs su BDAR?

Ransomware – kenkėjiška programos/viruso forma. „Apkrėtus“ šiuo virusu, blokuojama vartotojo prieiga prie serverių, kompiuterių ir grasinamą juose esančius asmens duomenis paviešinti arba nesugrįžtamai sunaikinti, jei nebus gauta reikalaujama išpirka.

Galimi Ransomware padariniai:

• Laikinas are visiškas spec. kategorijos asmens duomenų sunaikinimas;
• Vykdomų operacijų sutrikdymas įsilaužius į serverius;
• Išpirkos reikalavimas, kad sistema ir dokumentai būtų atkurti.

Stengdamosios atitikti GDPR reikalavimus, daugelis įmonių nepaiso grėsmės, susijusios su kibernetiniais išpuoliais. Per ataką gali nukentėti įmonės serveriai, staliniai kompiuteriai, nešiojamieji kompiuteriai. Atakai įvykus, įmonė turi įvertinti galimą žalą. Reikėtų atlikti diagnostiką, siekiant žinoti, ar asmens duomenys buvo pažeisti. Jei taip, vietinė duomenų apsaugos institucija turi būti informuojama per 72 valandas. Pranešime apie pažeidimą turi būti nurodoma atakos rūšis, paveiktų asmens duomenų kiekis, taip pat veiksmai, kurių buvo imtasi ir kurių planuojama imtis norint pašalinti pasekmes. Rimto pažeidimo atveju taip pat turi būti informuojami asmens duomenų subjektai, kurių informacija buvo pažeista. Įmonės, kurios tvarko spec.kategorijos duomenis, privalo informuoti vietos duomenų apsaugos instituciją apie incidentą, nepaisant atakos sukelto pažeidimo sunkumo. Jei ataką patyrusi įmonė nepateiks įrodymu, kad ji atitinka BDAR reikalavimų, ji bus priversta mokėti baudas (daugiau apie pranešimus apie pažeidimus ir GDPR baudas).

Ar Ransomware ataka laikoma asmens duomenų pažeidimu?

Prieš pateikdami savo reikalavimus, užpuolikai paprastai numato baudą, kurį būtų skiriama įmonei dėl BDAR nesilaikymo. Reikalaujama išpirka būtų kiek mažesnė. Taip tikimasi, kad nukentėjusieji verčiau mokėtų išpirką ir niekada nepraneštų apie incidentą, vietoje to, kad informuotų duomenų apsaugos institucijas, kurios pradėtų tyrimą ir galimai radę daugiau neatitikimų, pateiktų dar didesnes baudas.

Kita vertus, įmonės supranta, kad rizika gauti baudą dėl BDAR neatitikties yra didesnė.Juolab,kad galima teigti, kad Ransomware ataka iš tikrųjų nėra laikoma BDAR pažeidimu ir jo nereikia pranešti (jei jokie asmens duomenys atakos metu nebuvo pavogti, pakeisti ar sunaikinti).

Kaip išvengti Ransomware atakų?

Duomenų apsaugos ekspertai tikisi, kad ateinančiais metais Ransomware išpuolių daugės. Gali būti taikomasi į visas įmonės, nepriklausomai nuo jų dydžio. Užpuolikai žino, kad BDAR baudos gavimas mažosioms įmonėms gali būųti labai skausminga. Todėl labai svarbu įsitikinti, kad serveris ir įranga yra apsaugota, kad i būtų išvengta atakų  ar bet kokių BDAR pažeidimų.

Pagrindiniai Ransomware prevencijos metodai:

• Atnaujinti programinę įrangą.
• Įsigyti licenzijuotą antivirusinę programą. Naudojant tinkamus įrankius, atakos gali būti blokuojamos, sistema apsaugota nuo „infekcijos“ plitimo.
• Perkelti turimus duomenis į „debesiją“. Įprastai „debesija“ takom tinkamas saugumo priemones, skirtas apsaugoti duomenis ir laikytis BDAR nurodymų.
• Sustiprinti slaptažodžius. passwords. Užpuolėjui sunkiau prisijungti prie paskyros, jei ji apsaugota ilgu ir patikimu slaptažodiu.
• Skanuoti gaunamus el.laiškus  nuo SPAMo ir kenkėjiško turinio.  
• Kartas nuo karto atnaujinti atsargines duomenų kopijas.
• Pašalinti nenaudojamas paskyras.

The post Kibernetinės atakos iš BDAR perspektyvos: Ransomware appeared first on GDPR Register | Compliance tool for privacy experts.

Specialių kategorijų duomenų apibrėžimas ir sąlygos juos apdorojant 

BDAR apibrėžia asmens duomenis, tvarkomus sveikatos priežiūros sektoriuje, kaip „specialių kategorijų duomenis“. Todėl apsaugos standartai yra kurkas didesni. BDAR nurodo tris specialias nuorodas į duomenis apie sveikatą:

1. Sveikatos duomenys – asmens duomenys, susiję su fizine ar psichine fizinio asmens sveikata, įskaitant duomenis apie sveikatos priežiūros paslaugų teikimą, atskleidžiantys informaciją apie to fizinio asmens sveikatos būklę;;
2. genetiniai duomenys – asmens duomenys, susiję su paveldėtomis ar įgytomis fizinio asmens genetinėmis savybėmis, suteikiančiomis unikalios informacijos apie to fizinio asmens fiziologiją ar sveikatą, ir kurie gauti visų pirma analizuojant biologinį atitinkamo fizinio asmens mėginį;
3. Biometriniai duomenys – po specialaus techninio apdorojimo gauti asmens duomenys, susiję su fizinio asmens fizinėmis, fiziologinėmis arba elgesio savybėmis, pagal kurias galima konkrečiai nustatyti arba patvirtinti to fizinio asmens tapatybę, kaip antai veido atvaizdai arba daktiloskopiniai duomenys.

Minėtų duomenų formų apdorojimas leidžiamas tik tam tikromis sąlygomis:

1. Aiškus duomenų subjekto suteiktas sutikimas;
2. Tvarkyti duomenis būtina profilaktinės arba darbo medicinos tikslais, siekiant įvertinti darbuotojo darbingumą, nustatyti medicininę diagnozę, teikti sveikatos priežiūros arba socialinės rūpybos paslaugas ar gydymą arba valdyti sveikatos priežiūros ar socialinės rūpybos sistemas ir paslaugas;
3. Tvarkyti duomenis būtina dėl viešojo intereso priežasčių visuomenės sveikatos srityje, pavyzdžiui, siekiant apsisaugoti nuo rimtų tarpvalstybinio pobūdžio grėsmių sveikatai arba užtikrinti aukštus sveikatos priežiūros ir vaistų arba medicinos priemonių kokybės ir saugos standartus

Tačiau, remiantis BDAR,  valstybės gali laikytis pateiktų arba nurodyti papildomas sąlygas, įskaitant apribojimus dėl genetinių duomenų, biometrinių duomenų ar sveikatos duomenų tvarkymo.

Su BDAR duomenų subjektai įgijo daugiau teisių. Sveikatos priežiūros sektorius turi atkreipti į  teisė gauti prieigą, leidžianti duomenų subjektams susipažinti su jų tvarkomais sveikatos duomenimis. Teisė į duomenų perkėlimą leidžia duomenų subjektams lengviau perduoti savo sveikatos duomenis bet kuriam kitam sveikatos priežiūros paslaugų teikėjui. Teisė būti pamirštam – sunkiausia įgyvendinama, leidžia duomenų subjektams reikalauti,  kad jų sveikatos duomenų tvarkymas būtų nutrauktas ir visi turimi duomenys būtų pašalinti.

BDAR nurodo, kad įmonės ir organizacijos sveikatos priežiūros sektoriuje turėtų būti  paskirtas duomenų apsaugos pareigūnas (DPO), nes spec.kategorijų duomenys tvarkomi dideliu mastu. Duomenų apsaugos poveikio vertinimo (DPIA) atlikimas padeda įvertinti rizikos duomenų subjekto teisėms ir laisvėms, kilmę, pobūdį, specifiškumą ir pavojingumą.

Įmonės ir organizacijos sveikatos priežiūros sektoriuje privalo pranešti apie saugumo pažeidimus (per 72 valandas) ne tik vietos duomenų apsaugos institucijai, bet ir asmenims, kurių asmens duomenys gali būti pažeisti. Turi būti numatytos aiškios, praktiškos ir veiksmingos procedūros, kurios būtų vykdomos pažeidimo atveju.  Turi būti įdiegta pranešimo apie pažeidimą procedūra, įskaitant aptikimo ir reagavimo pajėgumus. Todėl, kartas nuo karto patartina atlikti personalo mokymus.

Duomenų apsaugos pažeidimo atveju baudos gali siekti iki 20 mln. € arba 4%  metinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė. Naujausias pažeidimas sveikatos priežiūros sektoriuje įvyko Portugalijos ligoninėje. Iš pradžių jai buvo paskirta 400 000 eurų bauda už prieigą prie paciento duomenų per netikras gydytojų paskiras. Skaitykite plačiau apie BDAR baudas.

ES valstybės narės gali nustatyti kokio masto administracinės baudos gali būti skiriamos toje valstybėje narėje įsteigtoms valdžios institucijoms ir įstaigoms. Tačiau tai nereiškia, kad jos gali būti atleidžiamos nuo atsakomybės.

Įmonių ir organizacijų sveikatos priežiūros sektoriuje žingsniai siekiant laikytis reikalavimų 

Dėl senstančios IT infrastruktūros ir silpnos IT saugumo praktikos, sveikatos priežiūros sektorius yra vienas iš didžiausių taikinių kibernetinėms atakoms. Tai reiškia, kad reikia nustatyti technines saugumo priemones, kad būtų išvengta neteisėtos prieigos prie serveryje ar debesijoje laikomų asmens duomenų, jų neteisėto naudojimo ir praradimo.

Skaitykite daugiau:
https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1543321123665&uri=CELEX:32016R0679
https://ico.org.uk/for-organisations/health
http://www.eu-patient.eu/globalassets/policy/data-protection/data-protection-guide-for-patients-organisations.pdf

The post Sveikatos priežiūros sektorius: kaip atitikti BDAR reikalavimus? appeared first on GDPR Register | Compliance tool for privacy experts.

Dažnai asmeninė informacija apie klientus yra surenkama skirtingais būdais: jie gai būti surenkami tiesiogiai iš klientų, per viešbučių rezervavimo svetaines ir kt. Viešbučiai, kelionių agentūros ir panašūs paslaugų teikėjai turi klientų kreditinės kortelės informaciją. Ši turima informacija gali padidinti riziką pažeisti asmens duomenų teises. Todėl, BDAR negali būti ignoruojamas.

Svarbu suprasti, kad BDAR taikomas ES piliečių informacijos tvarkymui. Tai reiškia, kad, pavyzdžiui, jei viešbutis yra Jungtinėse Amerikos Valstijose, yra didelė tikimybė, kad jame lankosi turistai iš ES šalių.  Todėl JAV įsikūrės viešbūtis turi laikyti taikomos GDPR taisyklių ir reikalavimų.

Kaip viešbučių ir laisvalaikio planavimo sektorius turi pradėti pasirengimą BDAR? 

Viešbučių ir laisvalaikio planavimo sektorių atsovaujančios įmonės tvarko daug įvairios asmeninės informacijos apie jų klientus. Todėl pirmas dalykas, kurį turėtų atlikti šios bendrovės, – peržiūrėti visus sukauptus duomenis. Sutikimas tvarkyti asmens duomenis turėtų būti gauti tiek jau esamiems, tiek naujai gaunamiems duomenims.

Informacija apie klientus paprastai saugoma įvairiose platformose, tad rekomenduojama peržiūrėti:

• CRM sistemas
• Rezervacijos programas
• Apmokėjimo įrankius
• El.rinkodaros įrankius
• Socialinės platformas
• Klientų duomenų bazes
• Elektroninio puslapio slapukus ir kt.

Asmens duomenų įgyjimas

Yra šeši teisėti asmens duomenų tvarkymo pagrindai. Daugeliu atvejų viešbučių ir laisvalaikio planavimo sektorius turėtų remtis su klientais pasirašytomis sutartimis. Tačiau, nepriklausomai nuo to, koks yra teisėtas pagrindas, asmuo turi būti informuotas, kokie jo duomenys renkami, kam jie naudojami ir kiek laiko saugomi. Dėl šios priežasties, turi būti renkami tik būtini duomenys konkretiems tikslams ir jie turėtų būti saugomi tik tam laikotarpiui, kurio reikia tam tikslui pasiekti.

Duomenų subjektai turi teises, susijusias su jų asmens duomenimis. Viena iš jų – teisė sužinoti, kokie duomenys yra renkami. Įmonės turi 30 dienų pateikti bet kokios saugomos informacijos apie juos kopiją. Šie duomenys, klientų pageidavimu, gali būti pakeisti. Jei nėra jokio teisėto pagrindo rinkti asmens duomenis ir įmonė negali įrodyti priešingai, informacija turi būti ištrinta.

Asmens duomenų apsauga 

Yra daug būdų užtikrinti, kad tvarkomi asmens duomenys yra saugūs.  Tai apima viską – nuo saugumo politikos peržiūros iki duomenų šifravimo ir (arba) pseudonizavimo. Tačiau pradėti reiktų nuo privatumo pagal dizainą taikymo. Tai ypač svarbu dabar, kai technologijos yra sujungiamos su personalizavimu.

Viešbučių ir laisvalaikio planavimo sektoriuje mobiliosios technologijos atieka svarbų vaidmenį – kelionių ir viešbučių rezervacijų planavimas, įlaipinimo bilieto nuskaitymas ir kita. Šiandien šiems tikslams vis dar reikalingos atskiros programos, tačiau kelionė tampa vis sklandesnės tobulėjant technologijų ir personalizacijos bendradarbiavimui – privatumui pagal dizainą, kai asmens duomenimis dalinasi, tarkim, kelionių agentūra ir viešbutis. Tad šioje situacijoje negalima pamiršti BDAR reikalavimų. Turi būti parengtas  susitarimas tarp skirtingų šalių dė asmens duomenų perdavimo ir tvarkymo. Nepriklausomai nuo paslaugų teikėjo (duomenų tvarkytojo), įmonė (duomenų valdytoja), yra atsakinga už tai, kad duomenų tvarkytojas vykdytų įsipareigojimus remiantis BDAR nurodymais.

Įmonės, kurios tvarko didelio masto asmens duomenis, turėtų skirti duomenų apsaugos pareigūną (DPO) ir atlikti Duomenų apsaugos poveikio vertinimą (DPIA). Taip pat yra papildomų reikalavimų, taikomų duomenims, kurie perduodami už ES ribų (daugiau informacijos apie asmens duomenų perdavimą trečiosioms šalims).

Įmonės neturėtų nuvertinti BDAR svarbos. Viešbučių ir laisvalaikio planavimo sektoriaus įmonės,  kaip ir įmonės bet kuriame kitame sektoriuje, turi atsižvelgti į asmens duomenų tvarkymo politiką, procedūras ir technologijas. Be to, svarbu užtikrinti, kad darbuotojai būtų informuoti apie savo prievoles. Iš esmės, turi būti atsižvelgiama į visus įmonės veiksmus susijusius su asmens duomenimis. Kitu atveju bausmė už neatitikimą BDAR nurodymams gali siekti  4% metinės apyvartos arba 20 mln. eurų.

The post Viešbučių ir laisvalaikio planavimo sektorius: Kaip atitikti BDAR reikalavimus? appeared first on GDPR Register | Compliance tool for privacy experts.

Daugelis įmonių naudoja „Google Analytics“ kaip pagalbinę priemonę, kad surinktų vertingos informacijos apie klientų elgesį svetainėse, mobiliosse programėlėse ir kt.

Pagal numatytuosius nustatymus „Google Analytics“ naudoja visą lankytojų IP adresą, kad pateiktų bendrą ankytojų geografinę ataskaitą. Ataskaitoje taip pat parodyta ankytojų kalba, naudojama naršyklė, operacinė sistema, interneto paslaugų teikėjas ir ekrano rezoliucija.

Kodėl IP adreso optimizavimas reikalingas?

Remiantis BDAR,  IP adresas laikomas asmens duomenimis. Nors IP adresai nėra rodomi „Google Analytics“ ataskaitose, lankytojų ID vis tiek gali būti susietas su IP adreso savininko asmenine informacija už „Google Analytics“ ribų. Dėl šios priežasties, „Google“ pristatė IP anonimizavimo funkciją, leidžiančią svetainių savininkams nustatyti, kad lankytojų IP adresai būtų anonimizuojami. Ši funkcija sukurta siekiant padėti svetainių savininkams laikytis privatumo politikos, vietinių duomenų apsaugos institucijų rekomendacijų ir teisinių reikalavimų, pvz., BDAR, kurio nurodymais siekiama neleisti saugoti viso IP adreso informacijos.

Kaip anonimizuoti svetainės lankytojų IP adresą?

„Google Analytics“ IP anonimizavimo funkcija pagal numatytuosius nustatymus neįjungta. Todėl, kai „Google Analytics“ klientas reikalauja anonimizuoti jo svetainės lankytojų IP adresą, „Google Analytics“ tai įvykdo kaip įvykdo kaip galima greičiau. Tai leidžia svetainė savininkui nereikalauti sutikimo iš svetainęs lankytojų, kad šie duotų sutikimą slapukų rinkimui .

Siekiant užkirsti kelią įmonės elektroninio puslapio lankytojų IP adreso rinkimui,  IP adresai turi būti anonimizuojami. Tai galima padaryti, pakeičiant  įmonės elektroninio puslapio/ mobiliosios programėės koduotę arba pridėdant naują kintamąjį GTM žymeje (instrukcijos anglų kalba). Tai gali būti padaroma ir per Google žymių tvarkytuvą kaip parodyta paveikslėlyje.

IP adreso anonimizavimas gali paveikti geografinių vietovių stebėjimo duomenis miesto lygiu. Tačiau nėra pastebimų tikslų skirtumo žemyno ar šalies lygiu.

Skaitykite daugiau Google Support pusapyje (anglų kalba)

Daugiau informacijos IP adreso anonimizavimo tema (anglų kalba)

The post Google Analytics: IP Anonimizacija appeared first on GDPR Register | Compliance tool for privacy experts.