2018 m. duomenų apsaugos reforma

PAGRINDINIAI REFORMOS TEISĖS AKTAI

2016-ųjų pavasarį Europos Parlamentas priėmė šiuos teisės aktus:

• 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas (ES) 2016/679 arba BDAR). Reglamentas (ES) 2016/679 yra tiesioginio taikymo Europos Sąjungos teisės aktas. Tai tiesioginio taikymo teisės aktas, kuris Lietuvoje, kaip ir kitose Europos Sąjungos valstybėse narėse, pradėtas taikyti nuo 2018 m. gegužės 25 d.

Bendrasis duomenų apsaugos reglamentas patogus skaityti lietuviškai

Reglamentas lietuviškai

Reglamentas angliškai                                                                                          

• 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos direktyva (ES) 2016/680 dėl fizinių asmenų apsaugos kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo tikslais ir dėl laisvo tokių duomenų judėjimo, ir kuriuo panaikinamas Tarybos pamatinis sprendimas 2008/977/TVR (toliau – Direktyva). Direktyva perkelta į Lietuvos Respublikos asmens duomenų, tvarkomų vykdant policijos ir teisminį bendradarbiavimą baudžiamosiose bylose, teisinės apsaugos įstatymą (teisėsaugos ADTAĮ).

• 2018 m. liepos 16 d. įsigaliojo naujos redakcijos Asmens duomenų teisinės apsaugos įstaymas (ADTAĮ)
• 2018 m. liepos 16 d. įsigaliojo naujos redakcijos Asmens duomenų, tvarkomų vykdant policijos ir teisminį bendradarbiavimą baudžiamosiose bylose, teisinės apsaugos įstatymas (teisėsaugos ADTAĮ)

Reglamente (ES) 2016/679 numatyti svarbiausi pasikeitimai duomenų subjektams (žmonėms), duomenų valdytojams (verslui, įstaigoms, įmonėms, organizacijoms ir kt., profesinėje veikloje naudojantiems asmens duomenis) ir duomenų tvarkytojams:

1. Reglamento svarbiausi pakeitimai susiję su trimis asmens duomenų apsaugos reformos tikslais:

• Duomenų subjektų teisių stiprinimas;
• Duomenų tvarkytojų ir duomenų subtvarkytojų atsakomybės nustatymas;
• Reguliavimo skaidrumas ir patikimumas.

2. Įtvirtinamos naujos duomenų subjekto teisės:

• Teisė į duomenų perkeliamumą (duomenų subjektas turės teisę gauti susijusius su juo asmens duomenis, kuriuos jis pateikė duomenų valdytojui susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu, ir persiųsti tuos duomenis kitam duomenų valdytojui);
• Teisė būti pamirštam.

3. Įtvirtinamas duomenų subjektų atstovavimas – duomenų subjektas turi teisę įgalioti ne pelno įstaigą, organizaciją ar asociaciją, kuri tinkamai įsteigta pagal valstybės narės teisę ir kurios įstatais nustatyti tikslai atitinka viešąjį interesą, kuri veikia duomenų subjekto teisių bei laisvių apsaugos srityje, kiek tai susiję su jų asmens duomenų apsauga, jo vardu pateikti skundą ir jo vardu naudotis jam tam tikromis Reglamente numatytomis teisėmis.

4. Sugriežtinami sutikimo reikalavimai – numatoma, kad, kai duomenys tvarkomi gavus duomenų subjekto sutikimą, duomenų valdytojas turi galėti įrodyti, kad duomenų subjektas sutiko su duomenų tvarkymo operacija. Apsaugos priemonėmis turi būti užtikrinama, kad duomenų subjektas suvoktų, kad jis duoda sutikimą ir dėl ko jis jį duoda. Duomenų valdytojo iš anksto suformuluotas sutikimo pareiškimas turi būti pateiktas suprantama ir lengvai prieinama forma, aiškiai ir paprasta kalba, jame neturėtų būti nesąžiningų sąlygų. Sutikimas neturi būti dviprasmiškas.

5. Pirmą kartą Europos Sąjungos teisėje reglamentuojamas nepilnamečio iki 16 m. asmens duomenų tvarkymas. Nustatyta, kad kai vaikas yra jaunesnis negu 16 metų, toks tvarkymas yra teisėtas tik tuo atveju, jeigu tą sutikimą davė arba tvarkyti duomenis leido vaiko tėvų pareigų turėtojas, ir tokiu mastu, kokiu duotas toks sutikimas ar leidimas. Vaikui tapus suaugusiu, jis turi teisę sutikimą atšaukti ir reikalauti duomenis sunaikinti.

6. Reglamentas yra tiesioginio taikymo teisės aktas, todėl nuo 2018 m. gegužės 25 d. duomenų tvarkymas Lietuvoje turės atitikti Reglamente nustatytą teisinį reguliavimą ir kiekvienas duomenų valdytojas turi pats pasirūpinti, kad būtų atnaujinti reikiami vidiniai asmens duomenų tvarkymo dokumentai, atsižvelgiant į Reglamente nurodytus reikalavimus.

7. Išplėsta teritorinė Reglamento taikymo sritis, t. y. Reglamentas yra taikomas ne tik tuo atveju, kai asmens duomenis tvarko Europos Sąjungoje įsisteigęs duomenų valdytojas arba duomenų tvarkytojas, vykdydamas savo veiklą, bet ir tuo atveju, kai Europos Sąjungoje esančių duomenų subjektų asmens duomenis tvarko Europos Sąjungoje neįsisteigęs duomenų valdytojas arba duomenų tvarkytojas ir duomenų tvarkymo veikla susijusi su prekių arba paslaugų siūlymu duomenų subjektams Europos Sąjungoje arba elgesio, kai jie veikia Europos Sąjungoje, stebėsena.

8. Pagal naują reglamentavimą atsakomybė už asmens duomenų tvarkymą tenka duomenų valdytojams, Reglamentas išplečia pareigų duomenų tvarkytojams ratą. Anksčiau už asmens duomenis buvo atsakingas duomenų valdytojas, o Reglamente numatyta, kad atsakomybę turės pagal susitarimą dalytis tiek duomenų valdytojas, tiek duomenų tvarkytojas.

9. Nustatomas „vieno langelio“ principas, t. y. duomenų valdytojo arba duomenų tvarkytojo pagrindinės buveinės arba vienintelės buveinės priežiūros institucija turi kompetenciją veikti kaip vadovaujanti priežiūros institucija, kai tas duomenų valdytojas arba duomenų tvarkytojas vykdo tarpvalstybinį duomenų tvarkymą. Vadovaujanti priežiūros institucija yra vienintelė institucija, su kuria duomenų valdytojas arba duomenų tvarkytojas palaiko ryšius, kai jie vykdo tarpvalstybinį duomenų tvarkymą.

10. Stiprinamas priežiūros institucijų bendradarbiavimas. Visais atvejais, kai bus atliekamas tarpvalstybinis duomenų tvarkymas, t. y. kai asmens duomenų tvarkymas lies kelių valstybių narių gyventojus, skirtingų šalių priežiūros institucijos bus kompetentingos spręsti dėl asmens duomenų tvarkymo atitikimo Reglamentui. Siekiant užtikrinti vienodą praktiką, vadovaujanti priežiūros institucija bendradarbiaus su atitinkamų valstybių narių priežiūros institucijomis atliekant bendrus tyrimus, priimant bendrą sprendimą bei taikant sankcijas. Nustatoma pareiga vadovaujančiai priežiūros institucijai pateikti sprendimo projektą kitoms susijusioms priežiūros institucijoms, kad jos pateiktų savo nuomonę.  Susijusios priežiūros institucijos per keturias savaites turės pareikšti tinkamą ir pagrįstą prieštaravimą dėl sprendimo projekto arba jam pritarti. Jeigu į prieštaravimą nėra atsižvelgiama, klausimas toliau sprendžiamas Europos duomenų apsaugos valdyboje. Europos duomenų apsaugos valdybos sprendimas vadovaujančiai priežiūros institucijai yra privalomas. Nepriklausomai nuo to, ar buvo kreiptasi į Europos duomenų apsaugos valdybą ar ne, vadovaujančios priežiūros institucijos priimtas sprendimas, apie kurį informuojamos susijusios valstybių narių priežiūros institucijos, gali būti skundžiamas teismui.

11.  Reglamentas remiasi atitikties logika, kuri grindžiama duomenų valdytojų ir duomenų tvarkytojų skaidrumu ir atskaitomybe (kitaip negu Direktyvoje 95/46/EB, kuri numatė atitiktis asmens duomenų tvarkymo teisiniam reguliavimui grindžiama tam tikrais išankstiniais formalumais (pranešimais, leidimais).

• Naujasis reguliavimas numato, kad duomenų valdytojas, prieš pradėdamas tvarkyti duomenis, atlieka numatytų duomenų tvarkymo operacijų poveikio asmens duomenų apsaugai vertinimą (ypač tais atvejais, kai numatoma tvarkyti jautrius duomenis ar atlikti profiliavimą).
• Numatyta pareiga pranešti duomenų subjektui apie asmens duomenų saugumo pažeidimą.
• Tiek duomenų valdytojui, tiek duomenų tvarkytojui numatoma pareiga paskirti duomenų apsaugos pareigūną.
• Reglamentas taip pat numato tokius naujus atitikties vertinimo kriterijus kaip elgesio kodeksų laikymasis bei sertifikavimą.
• Reglamente numatomos išankstinės konsultacijos tais atvejais, kai duomenų valdytojas, atlikęs poveikio duomenų apsaugai vertinimą, nustato, kad tvarkant duomenis kiltų didelis pavojus, jei duomenų valdytojas nesiimtų priemonių pavojui sumažinti.

12. Reglamentas numato pareigą rengiantiems pasiūlymus dėl teisėkūros priemonių, kurias priima nacionalinis parlamentas, arba tokia teisėkūros priemone grindžiamos reguliavimo priemonės, susijusios su asmens duomenų tvarkymu, konsultuotis su priežiūros institucija.

13. Duomenų valdytojai ir duomenų tvarkytojai gali perduoti asmens duomenis į trečiąją valstybę tik tuo atveju, jeigu duomenų valdytojas arba duomenų tvarkytojas yra nustatęs tinkamas apsaugos priemones, su sąlyga, kad suteikiama galimybė naudotis vykdytinomis duomenų subjekto teisėmis ir veiksmingomis duomenų subjektų teisių gynimo priemonėmis, t. y. Reglamento nuostatos bus taikomos ne tik asmens duomenų perdavimui, bet ir vėlesniam asmens duomenų tvarkymui.

14. Kaip ir anksčiau, duomenų apsaugos priežiūros institucijai (Lietuvoje ši institucija yra Valstybinė duomenų apsaugos inspekcija (VDAI)) suteikta teisė tikrinti duomenų valdytojus dėl galimų asmens duomenų apsaugos pažeidimų, tiek savo iniciatyva, tiek pagal galimai nukentėjusiųjų skundus.

15. Reglamente numatytas baudų dydis priverčia suklusti esamus ir būsimus duomenų valdytojus ir pažvelgti asmens duomenų apsaugą labai atsakingai. Duomenų valdytojui ir duomenų tvarkytojui, pažeidusiam Reglamento nuostatas, gali būti skiriamos administracinės baudos, kurios kiekvienu konkrečiu atveju turi būti veiksmingos, proporcingos ir atgrasomos. Priklausomai nuo Reglamento pažeidimo pobūdžio bauda gali siekti nuo 2 iki 4 proc. ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, arba nuo 10 000 000 iki 20 000 000 EUR.

Maksimalios baudos pagal BDAR

Asmens duomenų apsaugai Lietuvoje – daugiau kaip 20 metų. Visą šį laiką asmens duomenų tvarkymas profesiniais tikslais buvo reguliuojamas Asmens duomenų teisinės apsaugos įstatymu, kuris privalomas visoms organizacijoms ir asmenims, tvarkantiems asmens duomenis profesiniais tikslais, taigi tiek smulkiam ir vidutiniam verslui, didelėms įmonėms, valstybės institucijoms, advokatams, notarams, antstoliams ir kt. Anksčiau stebėtas palyginti atsainus kai kurių organizacijų požiūris į asmens duomenų tvarkymą, saugumo užtikrinimą, pagarbą žmogaus teisėms, tačiau kartu su BDAR atėjimu jau dabar pastebimi organizacijų kultūros pokyčiai dėl asmens duomenų apsaugos. Tikėtina, kad tam įtakos turi ir BDAR numatytos sankcijos. Pažeidus BDAR nuostatas, gali būti skiriamos administracinės baudos, kurios kiekvienu konkrečiu atveju turi būti veiksmingos, proporcingos ir atgrasomos. Taigi bauda gali siekti iki 2–4 proc. ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, arba iki 10 000 000–20 000 000 EUR. Reikėtų atkreipti dėmesį, kad tai maksimalios baudos, tačiau žemutinė baudų riba gali būti bet kuri minimali skaitinė išraiška.

Viešojo sektoriaus institucijoms ne visais atvejais taikomos mažesnės baudos
Lietuva pasinaudojo BDAR numatyta galimybe nustatyti mažesnes baudas viešajam sektoriui, atsižvelgiant į tai, kad jos skiriamos iš to paties valstybės biudžeto. Tik Lietuvai būdingos tam tikros asmens duomenų tvarkymo nuostatos numatytos naujos redakcijos Asmens duomenų teisinės apsaugos įstatyme. Taigi Asmens duomenų teisinės apsaugos įstatyme viešajam sektoriui numatytos baudos iki 0,5–1 proc. metinio biudžeto, bet ne daugiau kaip iki 30–60 tūkst. Eur.

Dėmesio! Tuo atveju, jeigu valstybės institucija užsiima komercine veikla, tai jai atsakomybė bus taikoma kaip privatiems juridiniams asmenims, o ne kaip viešajam sektoriui.

Įvairios sankcijos skiriamos atlikus prevencinius tikrinimus, numatytus specialiame prevencinių tikrinimų plane, taip pat tikrinimus Valstybinė duomenų apsaugos inspekcija atlieka gavusi pranešimus ar signalų dėl duomenų saugumo pažeidimų, nagrinėdama asmenų skundus. Atlikus tikrinimus ir nustačius pažeidimų taikomos vienokios ar kitokios poveikio priemonės. Reikėtų atkreipti dėmesį, kad BDAR numatyta ne tik baudos, bet ir kitų sankcijų. VDAI gali teikti nurodymus dėl pažeidimų ištaisymo, skirti įspėjimus, papeikimus, nustatyti laikiną arba galutinį draudimą tvarkyti duomenis ir kt.

VDAI sankcijų skyrimo klausimais laikosi teisės aktų reikalavimų. Kiekvienas atvejis vertinamas atskirai, taikant sankcijas  atsižvelgiama ir į galimus neaiškumus dėl tam tikrų BDAR nuostatų. VDAI pataria, nurodo ištaisyti BDAR reikalavimų neatitikimus. Kai kuriais atvejais sprendimai priimami netgi ES lygiu Europos duomenų apsaugos valdyboje, formuojama bendra europinė baudų skyrimo praktika.

• Bendrasis duomenų apsaugos reglamentas patogus skaityti lietuviškai
• Reglamentas lietuviškai
• Reglamentas angliškai 
• Europos Komisija vaizdžiai pristato nuo 2018 m. laukiančias asmens duomenų apsaugos naujoves
• Europos Komisijos komunikatas. Didesnė apsauga, naujos galimybės. Komisijos gairės dėl tiesioginio Bendrojo duomenų apsaugos reglamento taikymo nuo 2018 m. gegužės 25 d.
• Apie asmens duomenis ir teises žmonėms
• Apie asmens duomenų tvarkymą organizacijoms
• Europos duomenų aspaugos valdyba
• Europos duomenų apsaugos priežiūros pareigūno (EDPS) reformos skiltis
• Jungtinės Karalystės duomenų apsaugos institucijos reformos informacija
• Prancūzijos duomenų apsaugos institucijos reformos informacija
• 2018 m. Europos Komisijos BDAR apžvalga skaičiais
• Handbook on European Data Protection Law, 2018 edition (angl.)