Vertikalus


Naujienų prenumerata


 

Konsultacijos
tel. (8 5) 212 7532
Priimamasis
tel. (8 5) 271 2804
ŽINIASKLAIDAI
tel. (8 5) 262 6516
  

 
 
 
 
 


Pradžia

Informacija valstybės ir savivaldybių institucijoms bei įstaigoms dėl pasirengimo taikyti bendrąjį duomenų apsaugos reglamentą

2017 m. birželio mėn.

PDF

Valstybinė duomenų apsaugos inspekcija (toliau – VDAI) valstybės ir savivaldybių institucijoms bei įstaigoms parengė informaciją, supažindinančią su pagrindiniais pokyčiais, kurie laukia 2018 m. gegužės 25 d. pradėjus taikyti 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentą (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas (ES) 2016/679), ir atkreipia dėmesį į tam tikrus su asmens duomenų tvarkymu, duomenų subjektų teisių įgyvendinimu susijusius aspektus.

 

PASIRENGIMAS TAIKYTI REGLAMENTĄ (ES) 2016/679

Reglamentas (ES) 2016/679 yra tiesioginio taikymo teisės aktas, todėl nuo 2018 m. gegužės 25 d. atliekamas asmens duomenų tvarkymas turės atitikti Reglamente (ES) 2016/679 ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme (toliau – ADTAĮ) bei jo poįstatyminiuose teisės aktuose nustatytą teisinį reguliavimą, kadangi Reglamentas (ES) 2016/679 numato teisę valstybėms narėms tam tikrais atvejais asmens duomenų tvarkymo teisinį reguliavimą įtvirtinti nacionalinėje teisėje. Kaip ir anksčiau, asmens duomenų tvarkymas taip pat turės atitikti ir specialiuose įstatymuose įtvirtintus reikalavimus. Taigi, bus keičiamas ADTAĮ bei jį įgyvendinantys poįstatyminiai teisės aktai. Siekiant užtikrinti atliekamo asmens duomenų tvarkymo atitiktį Reglamente (ES) 2016/679 nustatytam asmens duomenų tvarkymo teisiniam reglamentavimui, valstybės ir savivaldybių institucijoms bei įstaigoms būtų tikslinga:

  • Jau dabar paskirti už duomenų apsaugą atsakingą asmenį ar padalinį, kuris, atlikdamas ADTAĮ 32 straipsnio 2 dalyje numatytas funkcijas, tuo pačiu padėtų institucijai ar įstaigai pasirengti taikyti Reglamentą (ES) 2016/679. Pradėjus taikyti Reglamentą (ES) 2016/679 šis asmuo ar padalinys galėtų atlikti duomenų apsaugos pareigūno užduotis (Reglamento (ES) 2016/679 39 straipsnis);
  • Įsivertinti atliekamą asmens duomenų tvarkymo veiklą (kokie asmens duomenys ir kokiais tikslais tvarkomi, kokios tvarkomų duomenų kategorijos, kokie teisiniai pagrindai, kuriais grindžiamas asmens duomenų tvarkymas). Įvertinant šią veiklą, siūlome naudotis ir Asmens duomenų valdytojų valstybės registro duomenimis. Atkreipiame dėmesį į tai, kad turėtų būti įvertintas ir asmens duomenų tvarkymas, apie kurį pranešti VDAI pareigos pagal ADTAĮ 31 straipsnį nėra;
  • Nustatyti prioritetinius veiksmus, skirtus užtikrinti asmens duomenų tvarkymo atitiktį Reglamentui (ES) 2016/679, įvertinant didžiausią riziką duomenų subjekto teisėms bei laisvėms;
  • Įsivertinti, ar pagal Reglamento (ES) 2016/679 35 straipsnio 3 dalį valstybės ir savivaldybių institucijai ar įstaigai nekyla pareiga atlikti poveikio duomenų apsaugai vertinimą. Ypač reikėtų atkreipti dėmesį į Reglamento (ES) 2016/679 35 straipsnio 3 dalies b ir c punktuose nustatytus atvejus;
  • Pradėti rengti dokumentus, įrodančius atliekamo asmens duomenų tvarkymo atitiktį Reglamentui (ES) 2016/679, pavyzdžiui, duomenų tvarkymo veiklos įrašus.

 

ASMENS DUOMENŲ KATEGORIJOS

Atkreipiame dėmesį, kad Reglamente (ES) 2016/679 nelieka sąvokos „ypatingi asmens duomenys“, tačiau šis teisės aktas numato specialių kategorijų asmens duomenis, kuriems priskiriami duomenys, atskleidžiantys rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus ar narystę profesinėse sąjungose, genetiniai duomenys, biometriniai duomenys, sveikatos duomenys, duomenys apie asmens lytinį gyvenimą ar lytinę orientaciją. Biometriniai duomenys, kurie pagal ADTAĮ nelaikomi ypatingais asmens duomenimis, pagal Reglamentą (ES) 2016/679 priskiriami specialių kategorijų asmens duomenims, todėl svarbu atkreipti dėmesį, kad šie duomenys gali būti tvarkomi išimtiniais atvejais, tik esant bent vienai Reglamento 9 straipsnio 2 dalyje numatytai sąlygai. Pagal ADTAĮ 2 straipsnio 8 dalį informacija apie teistumą laikoma ypatingais asmens duomenimis, o Reglamente (ES) 2016/679, priešingai, duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas pagal Reglamentą (ES) 2016/679 nėra priskirtini specialių kategorijų duomenims ir nors jie gali būti tvarkomi tik prižiūrint valdžios institucijai, tačiau jų tvarkymas turės būti grindžiamas bendrais pagrindais, numatytais Reglamento (ES) 2016/679 6 straipsnio 1 dalyje.

 

ASMENS DUOMENŲ TVARKYMO TEISINIAI PAGRINDAI

Iš esmės asmens duomenų teisėto tvarkymo pagrindai Reglamente (ES) 2016/679 išlieka tie patys, kaip ir ADTAĮ, tik su tam tikrais patikslinimais, tačiau išimčių, kuomet leidžiama tvarkyti specialių kategorijų duomenis, sąrašas išplečiamas (Reglamento 9 straipsnio 2 dalies h, i, j punktai).

Neretai pasitaiko atvejų, kuomet valstybės ir savivaldybių institucijos ar įstaigos tvarko asmens duomenis su asmens sutikimu. Reglamento (ES) 2016/679 preambulės 43 punktas numato, kad tuo atveju, kai duomenų valdytojas yra valdžios institucija, sutikimas neturėtų būti laikomas pagrįstu asmens duomenų tvarkymo teisiniu pagrindu, nes yra aiškus duomenų subjekto ir duomenų valdytojo padėties disbalansas.

Pastebėtina, kad asmens duomenų tvarkymas, atliekamas valstybės ir savivaldybių institucijų ar įstaigų, iš esmės turėtų remtis Reglamento (ES) 2016/679 6 straipsnio 1 dalies c ir e punktuose, o kai tvarkomi specialių kategorijų duomenys – Reglamento (ES) 2016/679 9 straipsnio 1 dalies b, g, h, i, j punktuose, įtvirtintais pagrindais.

Atkreipiame dėmesį į tai, kad pagal Reglamento (ES) 2016/679 6 straipsnį Reglamento (ES) 2016/679 6 straipsnio 1 dalies f punkte įtvirtintas asmens duomenų tvarkymo teisinis pagrindas (t. y. tvarkyti duomenis būtina siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų, išskyrus atvejus, kai tokie duomenų subjekto interesai arba pagrindinės teisės ir laisvės, dėl kurių būtina užtikrinti asmens duomenų apsaugą, yra už juos viršesni, ypač kai duomenų subjektas yra vaikas), kuris atitinka galiojančio ADTAĮ 5 straipsnio 1 dalies 6 punktą, nėra taikomas duomenų tvarkymui, kurį valdžios institucijos atlieka vykdydamos savo užduotis.


DUOMENŲ SUBJEKTO TEISĖS

Pažymėtina, kad Reglamentas (ES) 2016/679 įtvirtina naujas duomenų subjekto teises – teisę būti pamirštam bei teisę į duomenų perkeliamumą, išplečia duomenų subjekto teisių turinį. Atsižvelgiant į tai, valstybės ir savivaldybių institucijos ir įstaigos turėtų peržiūrėti savo srities teisės aktus, vidinius dokumentus, kuriais reglamentuojama duomenų subjektų teisių įgyvendinimo tvarka.

Aptariant duomenų subjekto teisių įgyvendinimo pokyčius, aktualiausia atkreipti dėmesį į tai, kad įgyvendinant duomenų subjekto teisę susipažinti su savo asmens duomenimis, tais atvejais, kai duomenų valdytojas tvarko didelį informacijos, susijusios su duomenų subjektu, kiekį, jis prieš teikdamas informaciją gali prašyti duomenų subjekto nurodyti, dėl kokios informacijos ar duomenų tvarkymo veiklos pateiktas prašymas. Be kita ko, Reglamento (ES) 2016/679 15 straipsniu išplečiamas ir duomenų subjekto teisės susipažinti su savo asmens duomenimis turinys, t. y. duomenų subjektas, įgyvendindamas šią teisę, turi teisę gauti informaciją ir apie asmens duomenų saugojimo laikotarpį bei asmens duomenų kopiją, informaciją apie teisę prašyti duomenų valdytojo ištaisyti arba ištrinti asmens duomenis ar apriboti su duomenų subjektu susijusių asmens duomenų tvarkymą arba nesutikti su tokiu tvarkymu, teisę pateikti skundą VDAI. Atkreipiame dėmesį, kad apie duomenų šaltinius informacija duomenų subjektui turės būti pateikta tik tuo atveju, jeigu asmens duomenys gauti ne iš duomenų subjekto.

Pažymėtina, kad priešingai, negu galiojančio ADTAĮ 25 straipsnis, Reglamento (ES) 2016/679 15 straipsnis numato nemokamą duomenų subjekto teisės susipažinti su duomenimis įgyvendinimą net ir kelis kartus per metus. Tiesa, Reglamento (ES) 2016/679 12 straipsnio 5 dalies a punkte numatyta duomenų valdytojo teisė imti pagrįstą mokestį iš duomenų subjekto, jeigu jo prašymai įgyvendinti teises yra akivaizdžiai nepagrįsti arba neproporcingi, visų pirma, dėl jų pasikartojančio turinio, tačiau duomenų valdytojui tenka pareiga įrodyti, kad prašymas akivaizdžiai nepagrįstas arba neproporcingas.

Reglamentas (ES) 2016/679 taip pat išplečia ir teisės žinoti apie savo duomenų tvarkymą turinį, t. y. pradėjus taikyti Reglamentą (ES) 2016/679, renkant asmens duomenis tiesiogiai iš duomenų subjekto, jam turės būti pateikta informacija ir apie duomenų apsaugos pareigūno kontaktinius duomenis, informacija ne tik apie asmens duomenų tvarkymo tikslą, bet ir apie duomenų tvarkymo teisinį pagrindą, informacija, susijusi su asmens duomenų teikimu į trečiąsias valstybes arba tarptautinę organizaciją, asmens duomenų saugojimo laikotarpį, apie tam tikras duomenų subjekto teises, įskaitant teisę pateikti skundą VDAI. Kai asmens duomenys renkami ne iš duomenų subjekto, įgyvendinant duomenų subjekto teisę žinoti apie savo asmens duomenų tvarkymą, papildomai pateikiama informacija apie atitinkamų asmens duomenų kategorijas, asmens duomenų kilmės šaltinius.

Dėl teisės reikalauti ištrinti asmens duomenis („teisė būti pamirštam“), pastebėtina, kad ji pagal Reglamento (ES) 2016/679 17 straipsnio 3 dalį nėra taikoma, jeigu:

  • Duomenų tvarkymas yra būtinas siekiant laikytis Europos Sąjungos ar Lietuvos Respublikos teise nustatytos teisinės prievolės, kuria reikalaujama tvarkyti duomenis, arba siekiant atlikti užduotį, vykdomą viešojo intereso labui, arba vykdant duomenų valdytojui viešosios valdžios institucijos funkcijas;
  • Dėl viešojo intereso priežasčių visuomenės sveikatos srityje;
  • Archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais;
  • Siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus.

Teisė į duomenų perkeliamumą iš esmės aktuali tik tiems duomenų valdytojams, kurie asmens duomenų tvarkymą grindžia arba duomenų subjekto sutikimu arba sutarties pagrindu (Reglamento (ES) 2016/679 6 straipsnio 1 dalies a punktas, 9 straipsnio 2 dalies a punktas, 6 straipsnio 1 dalies b punktas).

Atkreipiame dėmesį į tai, kad, kai asmens duomenų tvarkymas grindžiamas Reglamento (ES) 2016/679 6 straipsnio 1 dalies e punktu (tvarkyti asmens duomenis būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas), duomenų valdytojui išlieka pareiga įgyvendinti duomenų subjekto teisę nesutikti, kas su juo susiję asmens duomenys būtų tvarkomi.

Pažymėtina, kad Reglamentas (ES) 2016/679 numato naujus atvejus, kuomet teisėkūros priemone galima apriboti duomenų subjektų teisių įgyvendinimą, t. y. kai siekiama užtikrinti teismų nepriklausomumo ir teismo proceso apsaugą; stebėsenos, tikrinimo ar reguliavimo funkciją, kuri (net jeigu tik kartais) yra susijusi su viešosios valdžios funkcijų vykdymu Reglamento (ES) 2016/679 1 dalies a–e ir g punktuose nurodytais atvejais; civilinių ieškinių vykdymo užtikrinimą. Kiti atvejai iš esmės atitinka galiojančio ADTAĮ 23 straipsnio 2 dalį.

 

DĖL PROCEDŪRŲ

Skirtingai nuo Direktyvos 95/46/EB, kurioje atitiktis asmens duomenų tvarkymo teisiniam reguliavimui grindžiama tam tikrais išankstiniais formalumais (pranešimais, leidimais), Reglamentas (ES) 2016/679 atitiktį reguliavimui grindžia duomenų valdytojų ir duomenų tvarkytojų skaidrumu ir atskaitomybe, pavyzdžiui:

  • Duomenų valdytojas, prieš pradėdamas tvarkyti duomenis, atlieka numatytų duomenų tvarkymo operacijų poveikio asmens duomenų apsaugai vertinimą (ypač tais atvejais, kai numatoma tvarkyti jautrius duomenis ar atlikti profiliavimą) (Reglamento (ES) 2016/679 35 straipsnis). Atkreipiame dėmesį, kad VDAI ketina patvirtinti duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, sąrašą.
  • Numatyta pareiga pranešti priežiūros institucijai ir duomenų subjektui apie asmens duomenų saugumo pažeidimą (Reglamento (ES) 2016/679 33 ir 34 straipsniai);
  • Tiek duomenų valdytojui, tiek duomenų tvarkytojui numatoma pareiga paskirti duomenų apsaugos pareigūną (Reglamento (ES) 2016/679 37–39 straipsniai);
  • Reglamente (ES) 2016/679 numatoma dar viena nauja procedūra – išankstinės konsultacijos su priežiūros institucija, tačiau tik tais atvejais, kai duomenų valdytojas, atlikęs poveikio duomenų apsaugai vertinimą, nustato, kad, tvarkant duomenis, kiltų didelis pavojus, jei duomenų valdytojas nesiimtų priemonių pavojui sumažinti (Reglamento (ES) 2016/679 36 straipsnis). Atkreipiame dėmesys į tai, kad, rengiant teisės akto projektą, susijusį su asmens duomenų tvarkymu, privaloma konsultuotis su VDAI ((Reglamento (ES) 2016/679 36 straipsnio 4 dalis).

Pastebėtina, kad Reglamente (ES) 2016/679 tam tikrų procedūrų, kurias privalėjo atlikti duomenų valdytojai, nebelieka, pavyzdžiui, atlikti išankstinę patikrą (ADTAĮ 33 straipsnis) ir (ar) pranešti apie asmens duomenų tvarkymą automatiniu būdu (ADTAĮ 31 straipsnis).

 

DĖL DUOMENŲ APSAUGOS PAREIGŪNO

Reglamentas (ES) 2016/679 numato prievolę visoms valdžios institucijoms ar įstaigoms, nepriklausomai nuo to, ar jos yra duomenų valdytojai ar duomenų tvarkytojai, paskirti duomenų apsaugos pareigūną (Reglamento (ES) 2016/679 37 straipsnis). Vienas duomenų apsaugos pareigūnas gali būti skiriamas kelioms valdžios institucijoms arba įstaigoms, atsižvelgiant į jų organizacinę struktūrą ir dydį. Pažymėtina, kad duomenų apsaugos pareigūnu gali būti tiek duomenų valdytojo arba duomenų tvarkytojo personalo narys, tiek trečiasis asmuo, atliekantis užduotis pagal paslaugų teikimo sutartį. Tuo atveju, kai duomenų apsaugos pareigūnu yra skiriamas duomenų valdytojo arba duomenų tvarkytojo personalo narys, jo pareigybė nebūtinai turi būti skirta vien tik duomenų apsaugos pareigūno užduotims vykdyti, tačiau duomenų valdytojas arba duomenų tvarkytojas turi užtikrinti, kad dėl bet kokių kitų užduočių ir pareigų nekiltų interesų konfliktas, taip pat turi būti užtikrinta duomenų apsaugos pareigūno tiesioginė atskaitomybė duomenų valdytojo ar duomenų tvarkytojo aukščiausio lygio vadovybei. Skiriant duomenų apsaugos pareigūną turi būti remiamasi profesinėmis savybėmis, visų pirma, duomenų apsaugos teisės ir praktikos ekspertinėmis žiniomis, taip pat gebėjimu atlikti Reglamento (ES) 2016/679 39 straipsnyje numatytas užduotis. Atkreipiame dėmesį į tai, kad apie duomenų apsaugos pareigūno paskyrimą duomenų valdytojas ir duomenų tvarkytojas turės pareigą informuoti VDAI. Informuojame, kad Europos Parlamento ir Tarybos direktyvos 95/46/EB 29 straipsnio darbo grupė 2016 m. gruodžio 13 d. parengė ir 2017 m. balandžio 5 d. atnaujino gaires dėl duomenų apsaugos pareigūnų WP 243, kurias galite rasti šiuo adresu: http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083.

Reglamentu (ES) 2016/679 siekiama užtikrinti vienodo ir aukšto lygio fizinių asmenų apsaugą, nuoseklų ir vienodą taisyklių, kuriomis reglamentuojama fizinių asmenų pagrindinių teisių ir laisvių apsauga tvarkant asmens duomenis, taikymą (Reglamento (ES) 2016/679 preambulės 10 punktas). Siekiant šių tikslų svarbus vaidmuo tenka ne tik VDAI, kaip priežiūros institucijai, bet ir Europos duomenų apsaugos valdybai (šiuo metu Europos Parlamento ir Tarybos direktyvos 95/46/EB 29 straipsnio darbo grupė), kurios uždavinys – užtikrinti, kad šis reglamentas būtų taikomas nuosekliai. Įgyvendinant šį uždavinį Europos duomenų apsaugos valdybai Reglamente (ES) 2016/679 suteikti įgaliojimai teikti gaires, rekomendacijas ir geriausios praktikos pavyzdžius tam tikrais klausimais (Reglamento (ES) 2016/679 70 straipsnis). Pagal patvirtintą darbotvarkę iki Reglamento (ES) 2016/679 taikymo dienos Europos Parlamento ir Tarybos direktyvos 95/46/EB 29 straipsnio darbo grupė parengs ir paskelbs dokumentus kai kuriais Reglamento (ES) 2016/679 taikymo klausimais:

  • Dėl sertifikavimo kriterijų, dėl sprendimų, grindžiamų profiliavimu, kriterijų ir sąlygų;
  • Dėl galiojančio sutikimo gavimo praktinių aspektų;
  • Dėl skaidrumo principo informuojant duomenų subjektus apie duomenų tvarkymą, įskaitant ir standartizuotas piktogramas, įgyvendinimo praktinių aspektų ir t. t.

Minėta darbo grupė taip pat ketina peržiūrėti ir atnaujinti nuomones dėl duomenų teikimo į trečiąsias valstybes (dėl tinkamo duomenų saugumo lygio užtikrinimo, dėl išimčių, numatytų Reglamento (ES) 2016/679 46 straipsnio 2 dalyje taikymo, dėl įmonėms privalomų taisyklių). VDAI apie Europos Parlamento ir Tarybos direktyvos 95/46/EB 29 straipsnio darbo grupės priimtus dokumentus bei Europos duomenų apsaugos valdybos pateiktas gaires, rekomendacijas ar gerosios praktikos pavyzdžius informuos savo interneto svetainėje www.ada.lt.

 

 

 

 

Paskutinis atnaujinimas: 2017-06-07 14:55:02