2016. 02. 18.

Asmens duomenų apsaugos naujienos: naujas reglamentas ir registracijos poreikis

Po ilgai trukusių trišalių derybų tarp Europos Komisijos, Europos Parlamento ir Europos Sąjungos Tarybos buvo pasiektas kompromisas dėl Bendrojo duomenų apsaugos reglamento teksto. Naujasis Reglamentas, iš pagrindų atnaujinsiantis esamą Asmens duomenų apsaugos direktyva paremtą reguliavimą, įsigalios 2018 metų pradžioje. Oficialus galutinis Reglamento tekstas turėtų būti paskelbtas šią vasarą, jis neturėtų reikšmingai skirtis nuo šiuo metu prieinamo darbinio galutinio Reglamento varianto.

Reglamentas bus tiesiogiai taikomas visose ES valstybėse narėse. Naujasis reguliavimas gerokai sugriežtina sankcijas už asmens duomenų tvarkymo reikalavimų pažeidimus (maksimali numatyta bauda sieks net 20 milijonų eurų arba 4% praėjusių metų įmonės metinės pasaulinės apyvartos), dar labiau apribotos galimybės tvarkyti asmens duomenis be sutikimo. Reglamente numatyta pareiga asmens duomenis tvarkantiems subjektams per 72 valandas po sužinojimo apie pažeidimą (pavyzdžiui, įsilaužimą ar duomenų „nutekėjimą“) informuoti apie įvykį priežiūros instituciją (Lietuvos atveju – Asmens duomenų apsaugos inspekciją) ir neatidėliojant pranešti apie įvykį asmenims, kurių duomenys buvo prarasti. Šią pareigą įvykdžius, mažėja duomenų tvarkytojų atsakomybė. Iš kitos pusės, Reglamente gerokai palengvinamos galimybės tvarkyti asmens duomenis įmonėms, vykdančioms veiklą keliose valstybėse narėse – pakaks savo veiklą derinti su viena priežiūros institucija, taip pat palengvinamas duomenų teikimas į trečiąsias šalis.

Nepaisant Asmens duomenų inspekcijos pakankamai kritiškos pozicijos darbuotojų elektroninės komunikacijos stebėsenos klausimu, ILAW sėkmingai registravo didelius kiekius duomenų nuolat apdorojantį klientą Asmens duomenų valdytojų valstybės registre. Po šios registracijos klientas įgijo teisę tikrinti darbuotojų elektroninio pašto turinį, kompiuterinės įrangos turinį bei naršymo internete istoriją tam, kad taip būtų apsaugoti konfidencialūs bendrovės duomenys, klientų asmens duomenys ir bendrovės informacinių sistemų saugumas. Paaiškėjus pažeidimams, teisėtai surinkti duomenys galės būti panaudojami kaip įrodymai teisme. Šiuo metu Asmens duomenų valdytojų valstybės registre yra įregistruotos tik kelios darbuotojų elektroninės komunikacijos stebėjimą atliekančios įmonės. Sėkmingą registravimą lėmė tinkamai suformuluoti teisiniai aspektai (tinkamas stebėsenos tikslų apibrėžimas, teisinė argumentacija bendraujant su inspekcija, vidinių įmonės dokumentų paruošimas), o taip pat tinkamai duomenų saugumo užtikrinimui paruošta techninė bazė.