adtech

Asmens duomenų taisyklės taikomos el. rinkodarai

Tiems, kurie dar negirdėjo svarbiausių naujienų, susijusių su duomenų apsauga:  2018 m. gegužės 25 d. įsigaliojo naujasis bendras duomenų apsaugos reglamentas (BDAR, angl. General Data Protection Regulation – GDPR). Regamentas nustato naujus duomenų apsaugos įpareigojimus, kurių privalės laikytis visos įmonės, kurios kokiu nors būdu tvarko bet kokius asmens duomenis (iš esmės yra bet kuri veikianti įmonė).

Šiame straipsnyje apžvelgiame pagrindinę informaciją, esminius pokyčio elementus, įsipareigojimus ir į ką reklamos verslas turėtų atkreipti dėmesį įsigaliojus reglamentui. Iki to liko visai nedaug laiko, o duomenų tvarkymo metodų atnaujinimas užtrunka. Todėl raginame net smulkaus ir vidutinio verslo įmones pradėti ruoštis pokyčiams jau šiandien.

 

Kas yra asmeniniai duomenys? 
Trumpai tariant, asmens duomenys yra bet kokie duomenys, kurie gali būti naudojami indentifikuojant asmenį –  tiesiogiai ar netiesiogiai. Taigi, asmens duomenys gali būti bet kas – vardas, nuotraukos, el.pašto adresas, banko duomenys, socialinių tinklų įrašai, vartotojų elgesio duomenys, vietos duomenys, medicininė informacija ar net IP adresas. Jei informacija negali būti susieta su konkrečiu asmeniu – ji nėra asmeninė informacija, todėl ji nėra reguliuojama BDAR. Anoniminei – nuasmenintai informacijai nėra taikomas BDAR reglamentas  (pvz., bendri statistiniai duomenys). Tai reiškia, kad el.rinkodaros įmonės gali išvengti daugelio BDAR įsipareigojimų, jei asmens duomenys yra anonimiški ar nuasmeninti ir jų negalima susieti su tam tikru asmeniu.

 

Kas yra duomenų apdorojimas?
Apdorojimas arba tvarkymas – bet kokia operacija ar operacijų rinkinys, atliekamas su asmens duomenimis. Asmens duomenų  rinkimas, įrašymas, analizavimas, koregavimas, papildymas, naudojimas ir perdavimas trečiosioms šalims – visa tai – duomenų apdorojimas, reguliuojamas BDAR.

 

Yra nustatyti bendrų duomenų tvarkymo įpareigojimai, kuriu būtina laikytis:
 Turi būti nustatytas teisėtas duomenų tvarkymo pagrindas: pvz., duomenų subjekto sutikimas (įprastai: privatumo politikos patvirtinimas), duomenų tvarkymas yra būtinas norint teikti paslaugas klientui. Teisė į duomenų tvarkymą yra aiškiai nurodyta įstatyme. Jei netyrima teisėto duomenų tvarkymo pagrindo, duomenimis naudotis draudžiama.
Įmonė privalo turėti tinkamas technines ir organizacines priemones, skirtas apsaugoti duomenis, kad trečiosios šalys, neturinčios leidimo, negalėtų jų pasiekti. Techniniai standartai nustatomi remiantis duomenų jautrumu, pvz., medicininė informacija reikalauja aukštesnių techninių standartų, todėl duomenys turi būti šifruojami.  

Daugelis el.rinkodaros įmonių turi  remtis ne tik minėtomis bendrosiomis nuostatomis, bet ir naujais ir specifiniais įpareigojimais, pateiktais žemiau.

 

Asmens duomenų tvarkymo veiklos įrašų registravimas  

Jei el.rinkodaros įmonė įgija priėjimą prie bet kokių reklamos subjekto asmens duomenų, ji privalo sukurti įrašą apie vykdomas duomenų tvarkymo veiklas. Į įrašą turi būti įtraukta bendra apžvalga apie tai, kokie duomenys, kokiais tikslais jie tvarkomi, informacija apie duomenų tvarkytoją, kuriems duomenys yra perduodami, duomenų saugojimo termino ir apsaugos apžvalga.

Ši ataskaita turi būti parengta ir saugojama rašytine forma. Įrašų tvarkymui galima naudotis „Excel“, „Word“ ar specialiai tam pritaikytus produktus. 

 

Duomenų apsaugos poveikio vertinimo rengimas

Poveikio vertinimas – dokumentas, padedantis įvertinti ar įmonės duomenų tvarkymo veikla kelia grėsmę duomenų subjekto teisėms ar laisvėms. Jei įmonė, nuo 2017 m. gegužės 25 d.,  savo duomenų apdorojimo veikloje pradeda naudoti naujas technologijas arba kitaip įsitraukia į naują duomenų tvarkymo veiklą, o tai kelia didelę grėsmę duomenų subjekto teisėms ir laisvėms (kuri yra tikėtina, jei bendrovė tvarko tūkstančius asmens duomenų), iš jų reikalaujama parengti poveikio vertinimą. Taigi, naujos automatizuotos duomenų tvarkymo priemonės, pvz., kurios nukreipia reklamas klientams (su suasmeninta informacija), priklauso šiai kategorijai ir turės parengti poveikio vertinimą.

 

Duomenų apsaugos pareigūno  (DAP) paskirimas 

Kas yra DAP? Trumpai tariant, duomenų apsaugos pareigūnas – tai įmonės paskirtas asmuo, kuris užtikrina, kad įmonė laikosi duomenų apsaugos reglamento. DAP gali būti asmuo, dirbantis toje įmonėje, bet privalo būti susipažinęs ir suprasti duomenų apsaugos nuostatas ir standartus, laikytis įstatyme numatytų DAP pareigų ir reikalavimų.

Ne visos įmonės turi paskirti DAP. Tačiau daugėlio el.rinkodaros imonių verslo modelis leidžia gauti prieigą prie didelių asmens duomenų kiekių. E.rinkodaros įmonėse galioja taisyklė, kad jei įmonė įgyja prieigą prie fizinių asmenų asmens duomenų, greičiausiai, ji privalės paskirti duomenų apsaugos pareigūną. Jei gauti asmens duomenys apima medicininius duomenis, biometrinius duomenis, politinius ar filosofinius įsitikinimus ar kt.,  DAP turi būti paskirtas be išimčių.

 

Ką daryti, jei duomenys apdorojami kliento vardu? 
BDAR nurodo duomenų valdytojo ir duomenų tvarkytojo dvilypumą. Iš esmės, duomenų valdytojas yra atsakingas už duomenų tvarkymą, tuo tarpu duomenų tvarkytojas yra tik įgaliotas duomenų valdytojo vardu atlikti tam tikrus duomenų tvarkymo veiksmus. Duomenų tvarkytojas negali tvarkyti pateiktų duomenų kitais tikslais ar kitu būdu, nei jam konkrečiai nurodyta. Todėl gali būti, kad  dauguma el.rinkodaros įmonių gali būti laikomos asmens duomenų tvarkytojomis. Duomenų tvarkytojas turi turėti technines ir organizacines priemones, užtikrinančias pakankamą duomenų apsaugą, tvarkyti duomenis remiantis nurodymais, gautais iš duomenų valdytojo.

Share on facebook
Share on linkedin
Share on twitter
Share on pinterest
Share on email

Try our GDPR Compliance Tool GDPR Register for 14-days.

No credit card required.

Latest Posts
Duomenų apsaugos pareigūno vaidmuo ir pareigos

Duomenų apsaugos pareigūno vaidmuo ir pareigos

Atsižvelgiant į naujausią CPO žurnalo apklausą, mes aiškinamės, koks yra duomenų apsaugos pareigūno (DAP) vaidmuo. Šiame straipsnyje bus atsakyta į...
Skirta pirmoji BDAR bauda Lietuvoje

Skirta pirmoji BDAR bauda Lietuvoje

Praėjus metams po BDAR įsigaliojimo, Lietuvos valstybinė duomenų apsaugos inspekcija (VDAI) skyrė pirmą administracinę baudą. Įmonei UAB „Mister Tango“, kuri...
Poveikio duomenų apsaugai vertinimo vadovas

Poveikio duomenų apsaugai vertinimo vadovas

Bendrasis duomenų apsaugos reglamentas (BDAR) reikalauja, kad įmonės ir organizacijos, kurių duomenų tvarkymas gali sukelti pavojų fizinių asmenų interesams, atliktų poveikio asmens...
BDAR ir B2B rinkodara

BDAR ir B2B rinkodara

Perduodant asmeninius duomenis tiesioginei rinkodarai B2B ir B2C veikloje, reikia vadovautis dviem atskirais ES lygmens reglamentais. Elektroninių ryšių įstatymu (ERĮ)...
BDAR: Teisėti interesai

BDAR: Teisėti interesai

BDAR nurodo 6 teisėtumo pagrindus asmens duomenų tvarkymui ir teisėti interesai - vienas jų.Teisėti interesai nenurodo konkretaus duomenų tvarkymo tikslo, todėl tai...
Šeši mėnesiai su GDPR. Kas įvyko?

Šeši mėnesiai su GDPR. Kas įvyko?

BDAR, įsigaliojęs 2018 m. gegužės 25 d., išplėtė ES duomenų apsaugos zonos aprėptį, pristatė naujoves, turinčios įtakos tiek įmonėms, tiek...
Kibernetinės atakos iš BDAR perspektyvos: Ransomware

Kibernetinės atakos iš BDAR perspektyvos: Ransomware

Beveik kiekvienas verslo sektorius, vykdydamas kasdienes operacijas, į jas integruoja įvairias technologijas. IT infrastruktūra ir praktika, jei ji nėra reguliariai...
Sveikatos priežiūros sektorius: kaip atitikti BDAR reikalavimus?

Sveikatos priežiūros sektorius: kaip atitikti BDAR reikalavimus?

Įsigaliojus BDAR, asmens duomenų apsauga tapo sudėtingesnė sveikatos priežiūros sektoriui -  duomenys turi būti tvarkomi remiantis holistiniu požiūriu. Organizacijose turi būti...
Viešbučių ir laisvalaikio planavimo sektorius: Kaip atitikti BDAR reikalavimus?

Viešbučių ir laisvalaikio planavimo sektorius: Kaip atitikti BDAR reikalavimus?

Viešbučių ir laisvalaikio planavimo sektorius surenka didžiulį kiekį asmens duomenų, todėl būtina imtis reikiamų veiksmų, kad būtų išvengta finansinių pasekmių dėl...
Google Analytics: IP Anonimizacija

Google Analytics: IP Anonimizacija

Daugelis įmonių naudoja "Google Analytics" kaip pagalbinę priemonę, kad surinktų vertingos informacijos apie klientų elgesį svetainėse, mobiliosse programėlėse ir kt....