KAS

yra BDAR
BDAR (angl. GDPR) tai - Bendrasis Duomenų Apsaugos Reglamentas

KADA

įsigaliojo BDAR
Reglamentas įsigaliojo 2018 m. gegužės 25 dieną.

KAM

taikomas BDAR
Visoms organizacijoms, tvarkančioms asmens duomenis subjektų, gyvenančių ES šalyse.

Bet kuri informacija, susijusi su fiziniu asmeniu (duomenų subjektu), kurio tapatybė yra žinoma arba gali būti tiesiogiai ar netiesiogiai nustatyta pasinaudojant asmeniniais duomenimis. Tokiais duomenimis laikoma asmens: vardas, telefono numeris, el.pašto adresas, nuotrauka ar vaizdo įrašas, adresas arba vieta (pvz., nustatoma GPS signalu), banko sąskaitos numeris, valstybiniai automobilio numeriai, socialinių tinklų informacija ir kita.


BDAR nurodo, kad pažeidimo sunkumas nustatys skiriamą baudą.

Nesilaikant pagrindinių duomenų tvarkymo principų bei nepranešus duomenų apsaugos inspekcijai apie apsaugos pažeidimus, skiriama bauda –  2% įmonės ankstesnių finansinių metų bendros metinės apyvartos arba 10 mln. eurų. Maksimali bauda, kuri gali būti skiriama įmonei yra 4% jos ankstesnių finansinių metų bendros metinės apyvartos arba 20 mln. eurų (priklausomai, kuri iš šių sumų didesnė).

Daugiau apie skiriamas baudas skaitykite čia


Kad atitiktų BDAR standartus, įmonės turi atlikti žemiau pateiktus veiksmus:

  • Registruoti ir saugoti duomenų tvarkymo veiklas. Būti pasiruošusios pateikti duomenų tvarkymo veiklos ataskaitą, jei Valstybinė duomenų apsaugos inspekcija to pareikalauja.
  • Nustatyti įmonės privatumo politiką ir ja pasidalinti su klientas ir partneriais. Arba bent paskelbti ją savo internetinėje svetainėje.
  • Valdyti klientų reikalavimus remiantis „naujomis teisėmis“, kurias BDAR suteikia asmeniui Svarbiausios teisės:   a) teisė žinoti, b) teisė į duomenų perkelimą, c) teise buti pamirštam.
  • Turėti paslaugų tiekėjų (arba duomenų tvarkytojų, remiantis BDAR) sąrašą, kurie tvarko įmonės turimus asmens duomenis. Taip pat sudaryti su šiais paslaugų tiekėjais sutartis (arba jas redaguoti) dėl asmens duomenų valdymo.
  • Pranešti apie duomenų saugumo pažeidimus ir juos valdyti.

Jei duomenų tvarkymas Jūsų įmonėje yra paremtas sutikimu, jis turi būti gaunamas iš asmens, pateikus aiškų ir prašymą.

Sutikimo prašymas turi būti atskirtas nuo viso kito teksto, turi būti aiškiai suprantamas ir konkretus, kad asmuo žinotų, kam jis duoda sutikimą. Remiantis GDPR, tyla, iš anksto pažymėti langeliai arba neveikimas, nėra laikomas sutikimu, todėl įmonės turi paprašyti tiesioginio ir oficialaus sutikimo.

Duomenų subjektas turi teisę bet kuriuo metu atšaukti savo sutikimą (opt out) ir įmonės privalo tai įvykdyti kaip įmanoma paprasčiau.


Duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas nepagrįstai nedelsdamas ištrintų su juo susijusius asmens duomenis, o duomenų valdytojas yra įpareigotas nepagrįstai nedelsdamas ištrinti asmens duomenis, jei: asmens duomenys nebėra reikalingi (suėjo sutarties terminas), duomenų subjektas atšaukia sutikimą ar asmens duomenys buvo tvarkomi neteisėtai. Duomenys turi būti ištrinti be nepagrįsto delsimo (maksimalus terminas 30 d).

Kai kuriais atvejais, pvz., dėl kito įstatymo ar teisinio įsipareigojimo laikymosi, teisė būti pamirštam negalioja.


Teisė į asmens duomenų perkeliamumą reiškia, kad asmuo turi galimybę perkelti savo duomenis iš paslaugų teikėjo kitam,  ir lengvai bei saugiai juos pakartotinai naudoti reikmėms. Tai leidžia gauti duomenis struktūrizuota, įprastai naudojama skaitmenine forma iš vienos IT aplinkos ir perkelti į kitą, nesutrikdant tinkamumo naudoti (jei tai techniškai įmanoma).


Bet kuri įmonė ar asmuo, kuris Jūsų vardu tvarko asmens duomenis. Įmonė visada turi apsaugoti duomenis, vadinami duomenų tvarkytoju. Duomenų tvarkytojais gali būti : rinkodaros įmonės, buhalteriai, mokėjimo ir pristatymo paslaugų teikėjai, IT paslaugų teikėjai ir kita.

Turite nurodyti visus išorės paslaugų teikėjus, kuriais naudojatės. Apibūdinti, kokius duomenis kiekvienas iš jų tvarko (prieigos turėjimas prie informacijos, remiantis BDAR, taip pat laikoma tvarkymu),  ir sudaryti / peržiūrėti sutartį, kurioje apibrėžiamos jūsų įmonės asmens duomenų tvarkymo taisyklės.


Asmens duomenų sauguos pažeidimo atveju, įmonė privalo apie tai pranešti priežiūros intitucijai per 72 valandas nuo pažeidimo nustatymo.

Pranešimas turi nurodyti, kokie duomenys buvo pavogti ar prarasti ir kokios saugos priemonės buvo taikomos (pvz., pseudonimo suteikimas), taip pat, tikėtinos asmens duomenų saugumo pažeidimo pasekmės. Kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, įmonė turi nedelsdama pranešti apie asmens duomenų saugumo pažeidimą duomenų subjektui.


Įmonė turi paskirti duomenų apsaugos pareigūną, jei įmonė:

  • yra valdžios institucija,
  • tvarko asmens duomenis dedeliu mastu, ir tai daroma reguliariai ir sistemingai,
  • tvarko specialiųjų kategorijų duomenis.

Jei Jūsų įmonė neatitinka nei vieno iš šių punktų, paskirti DAP nėreikia.

 


Jei dėl duomenų tvarkymo gali kilti didelis pavojus fizinių asmenų teisėms bei laisvėms, įmonė, prieš pradėdama tvarkyti duomenis, turi atliekti planuojamų vykdyti duomenų tvarkymo operacijų poveikio duomenų apsaugai vertinimą ir rasti sprendimą, apsaugantį šiuos procesus nuo išorinių grėsmių . Poveikio duomenų apsaugai vertinimas visų pirma turi būti atliekamas vykdant (35 straipsnis):

  1. sistemingą ir išsamų, su fiziniais asmenimis susijusių asmeninių aspektų vertinimą, kuris yra grindžiamas automatizuotu tvarkymu;
  2. specialių kategorijų duomenų arba asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymą dideliu mastu;
  3. sistemingą viešos vietos stebėjimą dideliu mastu (pvz., stebėjimo kameros nukreiptos į viešas vietas)