Vertikalus


Naujienų prenumerata


RSS prenumerata


 

Konsultacijos teikiamos
tel. (8 5) 212 7532
Vieno langelio
tel. (8 5) 271 2804
ŽINIASKLAIDAI
tel. (8 5) 262 6516
  

 
 
 
 
 
 


Pradžia

Asmens duomenų apsaugos reforma





ASMENS DUOMENŲ APSAUGOS REFORMOS TARPTAUTINIAI TEISĖS AKTAI

2016-ųjų pavasarį Europos Parlamentas priėmė šiuos teisės aktus:

2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas)(toliau – Reglamentas)
Reglamentas bus pradėtas taikyti 2018 m. gegužės 25 d.

2016 m. balandžio 27 d. Europos Parlamento ir Tarybos direktyva (ES) 2016/680 dėl fizinių asmenų apsaugos kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo tikslais ir dėl laisvo tokių duomenų judėjimo, ir kuriuo panaikinamas Tarybos pamatinis sprendimas 2008/977/TVR (toliau – Direktyva)
Direktyva turės būti įgyvendinta 2018 m. gegužės 6 d.

2016 m. balandžio 27 d. Europos Parlamento ir Tarybos direktyva (ES) 2016/681 dėl keleivio duomenų įrašo (PNR) duomenų naudojimo teroristinių nusikaltimų ir sunkių nusikaltimų prevencijos, nustatymo, tyrimo ir patraukimo už juos baudžiamojon atsakomybėn tikslais (toliau – PNR direktyva)

 


PATOGUS REGLAMENTO SKAITYMAS

Reglamentas



LAUKIANTYS POKYČIAI

Svarbiausi pasikeitimai duomenų subjektams (žmonėms), duomenų valdytojams (verslui, įstaigoms, įmonėms, organizacijoms ir kt., profesinėje veikloje naudojantiems asmens duomenis) ir duomenų tvarkytojams priėmus Reglamentą:

 
1. Reglamento svarbiausi pakeitimai susiję su trimis asmens duomenų apsaugos reformos tikslais:
- Duomenų subjektų teisių stiprinimas;
- Duomenų tvarkytojų ir duomenų subtvarkytojų atsakomybės nustatymas;
- Reguliavimo skaidrumas ir patikimumas.

2. Įtvirtinamos naujos duomenų subjekto teisės:
- Teisė į duomenų perkeliamumą (duomenų subjektas turės teisę gauti susijusius su juo asmens duomenis, kuriuos jis pateikė duomenų valdytojui susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu, ir persiųsti tuos duomenis kitam duomenų valdytojui);
- Teisė būti pamirštam.


3. Įtvirtinamas duomenų subjektų atstovavimas – duomenų subjektas turi teisę įgalioti ne pelno įstaigą, organizaciją ar asociaciją, kuri tinkamai įsteigta pagal valstybės narės teisę ir kurios įstatais nustatyti tikslai atitinka viešąjį interesą, kuri veikia duomenų subjekto teisių bei laisvių apsaugos srityje, kiek tai susiję su jų asmens duomenų apsauga, jo vardu pateikti skundą ir jo vardu naudotis jam tam tikromis Reglamente numatytomis teisėmis.

4. Sugriežtinami sutikimo reikalavimai – numatoma, kad, kai duomenys tvarkomi gavus duomenų subjekto sutikimą, duomenų valdytojas turi galėti įrodyti, kad duomenų subjektas sutiko su duomenų tvarkymo operacija. Apsaugos priemonėmis turi būti užtikrinama, kad duomenų subjektas suvoktų, kad jis duoda sutikimą ir dėl ko jis jį duoda. Duomenų valdytojo iš anksto suformuluotas sutikimo pareiškimas turi būti pateiktas suprantama ir lengvai prieinama forma, aiškiai ir paprasta kalba, jame neturėtų būti nesąžiningų sąlygų. Sutikimas neturi būti dviprasmiškas.

5. Pirmą kartą Europos Sąjungos teisėje reglamentuojamas nepilnamečio iki 16 m. asmens duomenų tvarkymas. Nustatyta, kad kai vaikas yra jaunesnis nei 16 metų, toks tvarkymas yra teisėtas tik tuo atveju, jeigu tą sutikimą davė arba tvarkyti duomenis leido vaiko tėvų pareigų turėtojas, ir tokiu mastu, kokiu duotas toks sutikimas ar leidimas. Vaikui tapus suaugusiu, jis turi teisę sutikimą atšaukti ir reikalauti duomenis sunaikinti.

6. Reglamentas yra tiesioginio taikymo teisės aktas, todėl nuo 2018 m. gegužės 25 d. duomenų tvarkymas Lietuvoje turės atitikti Reglamente nustatytą teisinį reguliavimą ir kiekvienas duomenų valdytojas turi pats pasirūpinti, kad būtų atnaujinti reikiami vidiniai asmens duomenų tvarkymo dokumentai, atsižvelgiant į Reglamente nurodytus reikalavimus.


7. Išplėsta teritorinė Reglamento taikymo sritis, t. y. Reglamentas yra taikomas ne tik tuo atveju, kai asmens duomenis tvarko Europos Sąjungoje įsisteigęs duomenų valdytojas arba duomenų tvarkytojas, vykdydamas savo veiklą, bet ir tuo atveju, kai Europos Sąjungoje esančių duomenų subjektų asmens duomenis tvarko Europos Sąjungoje neįsisteigęs duomenų valdytojas arba duomenų tvarkytojas ir duomenų tvarkymo veikla susijusi su prekių arba paslaugų siūlymu duomenų subjektams Europos Sąjungoje arba elgesio, kai jie veikia Europos Sąjungoje, stebėsena.

8. Pagal naują reglamentavimą atsakomybė už asmens duomenų tvarkymą tenka duomenų valdytojams, Reglamentas išplečia pareigų duomenų tvarkytojams ratą. Anksčiau už asmens duomenis buvo atsakingas duomenų valdytojas, o Reglamente numatyta, kad atsakomybę turės pagal susitarimą dalytis tiek duomenų valdytojas, tiek duomenų tvarkytojas.

9. Nustatomas „vieno langelio“ principas, t. y. duomenų valdytojo arba duomenų tvarkytojo pagrindinės buveinės arba vienintelės buveinės priežiūros institucija turi kompetenciją veikti kaip vadovaujanti priežiūros institucija, kai tas duomenų valdytojas arba duomenų tvarkytojas vykdo tarpvalstybinį duomenų tvarkymą. Vadovaujanti priežiūros institucija yra vienintelė institucija, su kuria duomenų valdytojas arba duomenų tvarkytojas palaiko ryšius, kai jie vykdo tarpvalstybinį duomenų tvarkymą.


10. Stiprinamas priežiūros institucijų bendradarbiavimas. Visais atvejais, kai bus atliekamas tarpvalstybinis duomenų tvarkymas, t. y. kai asmens duomenų tvarkymas lies kelių valstybių narių gyventojus, skirtingų šalių priežiūros institucijos bus kompetentingos spręsti dėl asmens duomenų tvarkymo atitikimo Reglamentui. Siekiant užtikrinti vienodą praktiką, vadovaujanti priežiūros institucija bendradarbiaus su atitinkamų valstybių narių priežiūros institucijomis atliekant bendrus tyrimus, priimant bendrą sprendimą bei taikant sankcijas. Nustatoma pareiga vadovaujančiai priežiūros institucijai pateikti sprendimo projektą kitoms susijusioms priežiūros institucijoms, kad jos pateiktų savo nuomonę.  Susijusios priežiūros institucijos per keturias savaites turės pareikšti tinkamą ir pagrįstą prieštaravimą dėl sprendimo projekto arba jam pritarti. Jeigu į prieštaravimą nėra atsižvelgiama, klausimas toliau sprendžiamas Europos duomenų apsaugos valdyboje. Europos duomenų apsaugos valdybos sprendimas vadovaujančiai priežiūros institucijai yra privalomas. Nepriklausomai nuo to, ar buvo kreiptasi į Europos duomenų apsaugos valdybą ar ne, vadovaujančios priežiūros institucijos priimtas sprendimas, apie kurį informuojamos susijusios valstybių narių priežiūros institucijos, gali būti skundžiamas teismui.


11.  Reglamentas remiasi atitikties logika, kuri grindžiama duomenų valdytojų ir duomenų tvarkytojų skaidrumu ir atskaitomybe (kitaip negu Direktyvoje 95/46/EB, kuri numatė atitiktis asmens duomenų tvarkymo teisiniam reguliavimui grindžiama tam tikrais išankstiniais formalumais (pranešimais, leidimais).
- Naujasis reguliavimas numato, kad duomenų valdytojas, prieš pradėdamas tvarkyti duomenis, atlieka numatytų duomenų tvarkymo operacijų poveikio asmens duomenų apsaugai vertinimą (ypač tais atvejais, kai numatoma tvarkyti jautrius duomenis ar atlikti profiliavimą).
- Numatyta pareiga pranešti duomenų subjektui apie asmens duomenų saugumo pažeidimą.
- Tiek duomenų valdytojui, tiek duomenų tvarkytojui numatoma pareiga paskirti duomenų apsaugos pareigūną.
- Reglamentas taip pat numato tokius naujus atitikties vertinimo kriterijus kaip elgesio kodeksų laikymasis bei sertifikavimą.
- Reglamente numatomos išankstinės konsultacijos tais atvejais, kai duomenų valdytojas, atlikęs poveikio duomenų apsaugai vertinimą, nustato, kad tvarkant duomenis kiltų didelis pavojus, jei duomenų valdytojas nesiimtų priemonių pavojui sumažinti.


12. Reglamentas numato pareigą rengiantiems pasiūlymus dėl teisėkūros priemonių, kurias priima nacionalinis parlamentas, arba tokia teisėkūros priemone grindžiamos reguliavimo priemonės, susijusios su asmens duomenų tvarkymu, konsultuotis su priežiūros institucija.


13. Duomenų valdytojai ir duomenų tvarkytojai gali perduoti asmens duomenis į trečiąją valstybę tik tuo atveju
, jeigu duomenų valdytojas arba duomenų tvarkytojas yra nustatęs tinkamas apsaugos priemones, su sąlyga, kad suteikiama galimybė naudotis vykdytinomis duomenų subjekto teisėmis ir veiksmingomis duomenų subjektų teisių gynimo priemonėmis, t. y. Reglamento nuostatos bus taikomos ne tik asmens duomenų perdavimui, bet ir vėlesniam asmens duomenų tvarkymui.


14. Kaip ir anksčiau, duomenų apsaugos priežiūros institucijai (Lietuvoje ši institucija yra Valstybinė duomenų apsaugos inspekcija (VDAI)) suteikta teisė tikrinti duomenų valdytojus dėl galimų asmens duomenų apsaugos pažeidimų, tiek savo iniciatyva, tiek pagal galimai nukentėjusiųjų skundus.


15. Reglamente numatytas baudų dydis priverčia suklusti esamus ir būsimus duomenų valdytojus ir pažvelgti asmens duomenų apsaugą labai atsakingai. Duomenų valdytojui ir duomenų tvarkytojui, pažeidusiam Reglamento nuostatas, gali būti skiriamos administracinės baudos, kurios kiekvienu konkrečiu atveju turi būti veiksmingos, proporcingos ir atgrasomos. Priklausomai nuo Reglamento pažeidimo pobūdžio bauda gali siekti nuo 2 iki 4 proc. ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, arba nuo 10 000 000 iki 20 000 000 EUR.

 


TEISĖS AKTŲ PROJEKTAI LIETUVOJE


Remiantis Reglamentu, Direktyva ir PNR direktyva, visose ES valstybėse narėse bus vykdomos asmens duomenų ir privatumo apsaugos srities reformos. Ne išimtis ir Lietuva. Vadovaudamosi Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (ADTAĮ) Lietuvos Respublikos teisingumo ministerija formuoja valstybės politiką asmens duomenų apsaugos srityje bei rengia įstatymų, reglamentuojančių asmens duomenų apsaugą, projektus, o VDAI dalyvauja rengiant įstatymų projektus, rengia kitų teisės aktų, reglamentuojančių asmens duomenų apsaugą, projektus.

Rengiantis Reglamento taikymui yra rengiamas ADTAĮ Nr. XI-1374 pakeitimo įstatymo projektas. Direktyvos nuostatos bus įgyvendintos Lietuvos Respublikos asmens duomenų, tvarkomų vykdant policijos ir teisminį bendradarbiavimą baudžiamosiose bylose, teisinės apsaugos įstatymo Nr. XI-1336 pakeitimo įstatymo projekte. Šiems įstatymų projektams iki 2016 m. pabaigos pasiūlymus pateiks VDAI. Įstatymų projektus visuomenei ir suinteresuotoms institucijoms derinti pateiks Lietuvos Respublikos teisingumo ministerija.

VDAI teiks pasiūlymus ir 2017 m. planuojamiems parengti dviejų Lietuvos Respublikos Vyriausybės nutarimų pakeitimo projektams:
- Lietuvos Respublikos Vyriausybės 2001 m. rugsėjo 25 d. nutarimo Nr. 1156 „Dėl Valstybinės duomenų apsaugos inspekcijos struktūrinės reformos, įgaliojimų suteikimo, Valstybinės duomenų apsaugos inspekcijos nuostatų patvirtinimo ir su tuo susijusių Lietuvos Respublikos Vyriausybės nutarimų dalinio pakeitimo“;
- Lietuvos Respublikos Vyriausybės 2002 m. vasario 20 d. nutarimo Nr. 262 „Dėl Asmens duomenų valdytojų valstybės registro nuostatų ir Duomenų valdytojų pranešimo apie duomenų tvarkymą taisyklių patvirtinimo“.


VDAI iki 2018 m. balandžio 30 d. parengs ir patvirtins atitinkamus VDAI direktoriaus įsakymų projektus:
 - „Dėl Pranešimo apie duomenų saugumo pažeidimą tvarkos aprašo patvirtinimo“;
- „Dėl Duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, sąrašo patvirtinimo“;
- „Dėl Akreditavimo kriterijų patvirtinimo“;
- „Dėl Sertifikavimo kriterijų patvirtinimo“;
- „Dėl Sertifikavimo įstaigų akreditavimo kriterijų patvirtinimo“;
- „Dėl Standartinių duomenų apsaugos sąlygų patvirtinimo“).

Kiti teisės aktai bus rengiami, keičiami ar pripažįstami netekusiais galios pagal poreikį.

 


RENGINIAI

Visuomenei, verslui, viešajam sektoriui supažindinti su artėjančiomis asmens duomenų apsaugos teisinio reguliavimo naujovėmis, organizuojami įvairūs renginiai. Šioje skiltyje pateikiame informacijos apie įvykusius ir planuojamus renginius bei dalijamės pranešėjų parengta pranešimų medžiaga.

2016 m. lapkričio 29 d. konferencija „Naujasis ES Asmens duomenų apsaugos reglamentas: ar esate pasiruošę pokyčiams?“. Organizatoriai: „EY Law“ ir Lietuvos vartojimo lizingo ir kredito asociacija. Dalyvavo VDAI direktorius dr. Algirdas Kunčinas

2016 m. lapkričio 28 d. seminaras „Bendrasis duomenų apsaugos reglamentas ir asmens duomenų tvarkymas“. Organizatoriai: Europos Parlamento Informacijos biuras Lietuvoje, Kauno savivaldybė ir VDAI. VDAI dalyviai: direktorius dr. Algirdas Kunčinas, direktoriaus pavaduotoja Rita Vaitkevičienė, Teisės skyriaus vedėja Danguolė Morkūnienė

2016 m. lapkričio 18 d. apskritojo stalo diskusija „Asmens duomenų apsauga valstybės IS“. Organizatorius „Oracle“. Dalyvavo VDAI direktorius dr. Algirdas Kunčinas

2016 m. lapkričio 17 d. konferencija „Asmens duomenų apsaugos teisiniam reguliavimui Lietuvoje – 20 metų: asmens duomenų apsaugos reforma ir asmens duomenų saugumas“. Organizatoriai: UAB „Žinių era“  ir Valstybinė duomenų apsaugos inspekcija. VDAI dalyviai: direktorius dr. Algirdas Kunčinas, direktoriaus pavaduotoja Rita Vaitkevičienė ir direktoriaus pavaduotoja Dijana Šinkūnienė

2016 m. spalio 27 d. „Skaitmeninių teisių forumas 2016“ Vilniuje. Organizatoriai: Žmogaus teisių stebėjimo institutas, Europos Komisijos atstovybė Lietuvoje ir Valstybinė duomenų apsaugos inspekcija. VDAI dalyviai: direktorius dr. Algirdas Kunčinas ir VDAI direktoriaus pavaduotoja Rita Vaitkevičienė

2016 m. spalio 24 d. mokymai „Asmens duomenų apsaugos teisiniai aspektai ir problemos. Naujasis Duomenų apsaugos reglamentas (GDPR)“. Vedėjas dr. Darius Štitilis.

2016 m. rugsėjo 13 d. tarptautinė konferencija „Security Day ’16“. Organizatorius UAB „Santa Monica Networks“. VDAI direktorius dr. Algirdas Kunčinas su kitais savo srities ekspertais dalyvavo apvaliojo stalo diskusijoje “What will change during the European Union General Data Protection Regulation (GDPR) Reform?“

2016 m. rugsėjo 9 d. Europos Tarybos HELP nuotoliniai mokymai apie duomenų apsaugą ir privatumo teises. Organizatorius Nacionalinė teismų administracija. VDAI dalyvis – direktorius dr. Algirdas Kunčinas

 


TYRIMAI

Privatumo paradoksas: Lietuvos gyventojų nuostatos apie duomenų apsaugą

Lietuvos verslo pasirengimas įgyvendinti Bendrąjį duomenų apsaugos reglamentą



PAPILDOMA INFORMACIJA

Europos duomenų apsaugos priežiūros pareigūno (EDPS) reformos skiltis

Jungtinės Karalystės duomenų apsaugos institucijos reformos informacija

Prancūzijos duomenų apsaugos institucijos reformos informacija

 


Paskutinis atnaujinimas: 2017-01-02 15:42:10