BENDROJO DUOMENŲ APSAUGOS REGLAMENTO (GDPR) GIDAS: KĄ TURITE ŽINOTI IR KAIP TINKAMAI PASIRUOŠTI?

2018 m. gegužės 25 d. įsigaliosiantis bendrasis duomenų apsaugos reglamentas atneša daug pokyčių įmonių vidinei tvarkai ir tiesioginei veiklai, susijusiai su fizinio asmens duomenų tvarkymu. Papildoma apsauga fiziniams asmenims, nauji apribojimai, reikalavimai ir griežtos numatomos baudos už taisyklių pažeidimus. Lieka vis mažiau laiko, todėl labai svarbu suprasti esminius pokyčius ir tinkamai jiems pasiruošti norint išvengti didelių baudų, išlaikyti teigiamą įvaizdį, reputaciją ir gerus santykius su klientais.

Pateikiame gidą, padėsiantį susipažinti su Bendrojo duomenų apsaugos reglamento atnaujinimais, atsakyti į visus svarbiausius klausimus ir efektyviai pasiruošti pokyčiams.

KAS YRA GDPR ASMENS DUOMENYS IR YPATINGI ASMENS DUOMENYS?

Kas yra GDPR?

Bendrasis duomenų apsaugos reglamentas (angl. General Data Protection Regulation (GDPR)) – tai Europos Parlamento ir Europos Tarybos priimtas visoje ES tiesiogiai taikomas teisės aktas, įgyvendinantis asmens duomenų apsaugos reformą, ir taikomas verslui, valdžios institucijoms ir privatiems asmenims.

Ši nauja reforma suteikia papildomą apsaugą fizinių asmenų duomenims ir nustato naujus griežtesnius reikalavimus asmenims, kurie tvarko duomenis.

Visą reglamento tekstą lietuvių kalba galite rasti čia.

Kas yra asmens duomenys?

Asmens duomenys yra apibrėžiami labai plačiai. Į juos įeina viskas, kas padeda identifikuoti fizinį asmenį ir jo veiklą internete: vardas, pavardė, lytis, amžius, telefono numeris, el. pašto adresas, fizinis adresas, interneto protokolo (IP) adresas ir kt.

Kitaip tariant, jeigu turite klientų duomenų bazę, pasiūlymų ar atsiliepimų anketas, stebėjimo kamerų vaizdo įrašus, nuotraukas, renkate el. pašto adresus, gyvenimo aprašymus, stebite darbuotojų veiklą internete ir kompiuteryje, vykdote lojalumo programas ar naudojate biometrines identifikavimo technologijas, jūsų įmonei taikomas GDPR.

Slapukų identifikatoriai – taip pat asmeninė informacija. Sutikimo nereikia tik šiems slapukams:

  • user-input cookies (session ID);
  • authentication cookies;
  • user‑centric security cookies;
  • multimedia content player cookies;
  • load‑balancing cookies, for the duration of session;
  • user‑interface customisation cookies;
  • third‑party social plug‑in content‑sharing cookies.

Ypatingi asmens duomenys: kas tai ir ką turėčiau žinoti?

Ypatingi duomenys yra duomenys, susiję su asmens sveikata, politiniais, filosofiniais ir kitais įsitikinimais, teistumu ir t.t.

Ypatingų asmens duomenų tvarkymui yra keliami griežtesni teisiniai reikalavimai: griežtesnės organizacinės ir techninės saugumo priemonės; trumpesnis pagrindų (atvejų, kada galima tvarkyti duomenis) sąrašas; platesnis taikymas tokių pareigų kaip poveikio duomenų apsaugai vertinimas ar duomenų apsaugos pareigūno skyrimas.

DUOMENŲ APSAUGOS REGLAMENTAVIMO PAKEITIMAI: ką turėčiau žinoti?

Reglamentas yra tiesioginio taikymo teisės aktas: atnaujinimais turite pasirūpinti patys

Nuo 2018 m. gegužės 25 d. duomenų tvarkymas Lietuvoje turės atitikti reglamente nustatytą teisinį reguliavimą. Tai reiškia, kad remdamiesi šiame teisės akte numatytos taisyklėmis ir jas tiesiogiai taikydami, turėsite patys pasirūpinti, kad būtų atnaujinti visi reikiami asmens duomenų tvarkymo dokumentai ir procesai.

GDPR taikomas ne tik Europos Sąjungoje

Išplėsta galiojimo teritorija – vienas didžiausių šio reglamento pokyčių. Reikalavimai taikomi visoms bendrovėms, kurios tvarko ES gyventojų duomenis, nepriklausomai nuo to, kur buvo registruota jos veikla.

Baudos iki 20 mln. eurų

Iki šiol už duomenų apsaugos taisyklių nesilaikymą Lietuvoje buvo taikomos baudos nuo 150 iki 3000 eurų. Naujajame reglamente numatytos kur kas griežtesnės sankcijos už reglamento nesilaikymą ar jo pažeidimus.

Administracines sankcijas skirs nacionalinės duomenų apsaugos institucijos (Lietuvoje – Valstybinė duomenų apsaugos inspekcija). Ji galės skirti baudas iki 20 mln. eurų arba 4 proc. nuo įmonės metinės apyvartos (taikoma ta suma, kuri yra didesnė). Valstybės ar savivaldybės institucijoms ir įstaigoms taikoma bauda iki 1 % biudžeto, bet ne daugiau negu 60 tūkst. eurų.

Didelės baudos gali būti taikomos šiurkščiausių pažeidimų atvejais, pavyzdžiui, tvarkant asmens duomenis neturint sutikimo, ar pažeidus esminius privatumo užtikrinimo principus.

Reglamentuojamas nepilnamečio iki 16 m. asmens duomenų tvarkymas

Pirmą kartą ES asmens duomenų apsaugos teisėje reglamentuojamas nepilnamečio iki 16 m. asmens duomenų tvarkymas. Kai vaikas yra jaunesnis kaip 16 metų, jo asmens duomenų tvarkymas yra teisėtas tik tuo atveju, jeigu sutikimą davė tėvai ar globėjai.

Sutikimas tvarkyti asmeninius duomenis

Nuo reglamento įsigaliojimo sutikimo tvarkyti duomenis gavimui bus taikomi griežtesni reikalavimai - sutikimas turės būti duotas laisva valia, turint realią galimybę sutikti ar nesutikti su duomenų tvarkymu, taip pat reiks turėti įrodymus, kad sutikimas tikrai buvo duotas.

Duomenų apsaugos pareigūnai

Viena didžiausių bendrojo duomenų apsaugos reglamento naujovių yra pareiga paskirti duomenų apsaugos pareigūną, tačiau ji nėra privaloma visiems duomenų valdytojams. Duomenų apsaugos pareigūnas – tai GDPR išmanantis ekspertas, tarpininkaujantis tarp bendrovės ir priežiūros institucijų bei duomenų subjektų, kurio tikslas padėti organizacijai užtikrinti reglamento laikymąsi.

Daugiau apie duomenų apsaugos pareigūno skyrimą skaitykite čia.

KADA PRADĖS GALIOTI BENDRASIS DUOMENŲ APSAUGOS REGLAMENTAS?

Reglamentas Lietuvoje ir visoje Europos Sąjungoje įsigalios nuo 2018 m. gegužės 25 d.

IŠORINIŲ SPECIALISTŲ SAMDYMAS: KADA TAI BŪTINA?

Kiekvienoje organizacijoje turi būti asmuo, atsakingas už duomenų apsaugos taisyklių atnaujinimą, įgyvendinimą ir priežiūrą. Juo gali būti bendrovės darbuotojas arba išorinis konsultantas.

Nors reglamentas nenustato, kad duomenų apsaugos pareigūnas privalo būti kiekvienoje organizacijoje, jo samdymas gali būti privalomas toms įmonėms, kurios renka, saugo ir naudoja ypatingus, jautresnius duomenis arba užsiima sistemine asmenų stebėsena, tvarko duomenis dideliu mastu. Todėl rekomenduojama šiais klausimais pasikonsultuoti su teisininkais, kurie padės suprasti, kokie pokyčiai reikalingi jūsų įmonėje, peržiūrės sutartis su partneriais, įvertins esamą asmens duomenų politiką ir t.t.

Kada privaloma samdyti (išorinį) duomenų apsaugos pareigūną?

Duomenų apsaugos pareigūnas skiriamas šiais atvejais:

a) kai duomenis tvarko valdžios institucija arba įstaiga, išskyrus teismus, kai jie vykdo savo teismines funkcijas;

b) organizacijos pagrindinė veikla yra duomenų tvarkymo operacijos, o duomenų subjektai yra reguliariai ir sistemingai stebimi dideliu mastu;

c) kai organizacijos pagrindinė veikla yra specialių kategorijų duomenų tvarkymas dideliu mastu pagal 9 straipsnį ir 10 straipsnyje nurodytų asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymas dideliu mastu.

Ką reikia žinoti renkantis ir skiriant duomenų apsaugos pareigūną?

  • Duomenų apsaugos pareigūnas turi turėti autonomiją ir nepriklausomumą savo funkcijoms atlikti. Turite užtikrinti, kad jis negautų jokių nurodymų dėl užduočių vykdymo ir jam nebūtų daroma įtaka.
  • Duomenų apsaugos pareigūnas gali eiti ir kitas pareigas bendrovėje, jeigu jos nesukelia interesų konflikto su pareigūno funkcijomis.
  • Į šias pareigas neturėtų būti skiriami asmenys, kurie dalyvauja sprendžiant, kokie duomenys yra renkami ir naudojami (įmonės direktorius, finansų, personalo, rinkodaros, IT ir kitų operacijų vadovai).
  • Duomenų apsaugos pareigūnas nebus laikomas asmeniškai atsakingu už reglamento pažeidimą.
  • Duomenų apsaugos pareigūnui turi būti suteikta galimybė nevaržomai įgyvendinti jam keliamus tikslus ir užduotis, todėl privalote užtikrinti reikalingus resursus, galimybę tiesiogiai ir netrukdomai bendradarbiauti su kitais organizacijos padaliniais.
  • Tiek duomenų subjektai, tiek priežiūros institucijos turėtų galėti tiesiogiai ir operatyviai susisiekti su duomenų apsaugos pareigūnu.

AR MANO ĮMONEI TIKRAI AKTUALUS GDPR?

Bendrasis duomenų apsaugos reglamentas yra aktualus visoms įmonėms, neapsiribojant konkrečiomis industrijomis. Pagrindinis taikymo kriterijus: asmens duomenų laikymas ir tvarkymas.

Taigi, jūsų įmonei taikomas GDPR, jeigu:

  • tarp jūsų klientų yra fizinių asmenų;
  • tvarkote savo partnerių ar klientų, kurie yra juridiniais asmenys, darbuotojų asmens duomenis;
  • tvarkote savo darbuotojų asmens duomenis;
  • vykdote tiesioginę rinkodarą;
  • fizinius asmenis stebite vaizdo kameromis;
  • naudojate slapukus.

Kokioms įmonėms ar institucijoms taikomas šis reglamentas?

Vis dar dažnai klaidingai manoma, kad naujasis reglamentas galios tik Europos Sąjungos įmonėms, tačiau tai nėra tiesa.

Reglamentas taikomas bet kuriai įmonei, kuri laiko ar kitaip tvarko Europos Sąjungos teritorijoje gyvenančių fizinių asmenų duomenis, neatsižvelgiant į įmonės registracijos vietą.

Ką tai reiškia?

GDPR aktualus ne tik ES registruotoms įmonėms, bet taip pat visoms tarptautinėms įmonėms, esančioms už ES ribų, jeigu jos:

a) siūlo prekes ar paslaugas ES gyventojams;

b) stebi, analizuoja ir prognozuoja ES gyventojų elgesį, siekdamos priimti su jais susijusius sprendimus.

Kaip įvertinti, ar prekės ir paslaugos yra siūlomos ES gyventojams?

Tai sprendžiama pagal keletą kriterijų:

Kriterijus

Pavyzdys

1) Prekes ar paslaugas siūlančio tinklalapio kalbos nustatymai

Kinijos įmonės e. parduotuvė leidžia pasirinkti matyti informaciją prancūzų, ispanų ar kita kalba

2) Apmokėjimo galimybės

E. parduotuvėje galima pasirinkti matyti prekių kainas eurais bei atsiskaityti šia valiuta

3) Siuntimo galimybės į ES

Galimybė atsisiųsti prekes iš JAV į kurią nors ES šalį

4) Vartotojų segmentas

Didžiausią tinklalapio vartotojų dalį sudaro ES gyventojai

Duomenų Subjekto Teisės

ES reglamentas įtvirtina naujas duomenų subjekto teises ir išplečia esamų teisių turinį. Susipažinkite su svarbiausiai pakeitimais.

Pranešimas apie pažeidimą

Pranešti apie duomenų saugumo pažeidimą bus būtina, kai pažeidimas galės kelti grėsmių individų teisėms ir laisvėms. Apie pažeidimą duomenų valdytojas duomenų apsaugos institucijai turės pranešti per 72 valandas nuo sužinojimo apie jį, o duomenų subjektams - nepagrįstai nedelsiant.

 

Teisė būti informuotam apie duomenų tvarkymą

Duomenų subjektui turės būti pateiktas daug didesnis kiekis informacijos apie jo duomenų tvarkymą nei iki šiol. Duomenų subjektas turės būti informuotas ne tik apie duomenų valdytojo tapatybę, duomenų šaltinius ir gavėjus bei duomenų subjektų teises, bet ir apie duomenų tvarkymo pagrindą, duomenų tvarkymo terminą.

Teisė susipažinti su tvarkomais duomenimis

Pagal GDPR bet kuris fizinis asmuo turės teisę pateikti prašymą ir sužinoti, kaip, kokiu tikslu ir kokie jo duomenys tvarkomi.

Teisė būti pamirštam: duomenų ištrynimas

Kiekvienas fizinis asmuo, reglamente numatytais atvejais, galės pareikalauti nustoti naudoti, platinti trečiosioms šalims ar ištrinti jo asmens duomenis. Atkreipkite dėmesį, kad duomenys taip pat turės būti ištrinti, jeigu nebebus naudojami pradiniam tikslui, kuriam ir buvo duotas pirminis sutikimas.

Teisė į duomenų perkeliamumą

Fizinio asmens, kurio duomenys yra renkami ir tvarkomi, prašymu, duomenų valdytojas reglamente numatytais atvejais privalės pateikti jo asmens duomenis arba perduoti juos kitam duomenų valdytojui susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu.

Kokie duomenys gali būti perkeliami?

Vykdant prašymą perkeliami tik su duomenų subjektu susiję bei jo duomenų valdytojui pateikti duomenys ir tik tie, kuriuos tvarko duomenų valdytojas. Tokie duomenys gali apimti, pavyzdžiui, ne tik kontaktinį el. paštą ar telefoną, bet ir lankymosi interneto svetainėje informaciją, užsakymų istoriją ir pan.

 

Šaltinis: Bendrasis Duomenų Apsaugos Reglamentas (General Data Protection Regulation (GDPR))

PASIRUOŠIMAS BENDRAJAM DUOMENŲ APSAUGOS REGLAMENTUI

GDPR įsigaliojimui privaloma pasiruošti iki 2018 m. gegužės 25 d. Tačiau labai svarbu pradėti ruoštis įgyvendinti reglamentą kuo anksčiau, nes atsižvelgiant į nuostatas, susijusias su skaidrumu ar asmens teisių įgyvendinimu, gali prireikti įdiegti naujas procedūras, skirti papildomus finansinius, informacinių technologijų, personalo, valdymo ar kitus išteklius.

Rekomendacijos ruošiantis GDPR ir e-privatumo reglamento įsigaliojimui:

1)    Atlikite pašto adresų sąrašo auditą. Pašalinkite visus, apie kurių pasirinkimą būti prenumeratoriais neturite įrodymų. Įsitikinkite, kad potencialūs prenumeratoriai patvirtintų norintys prisijungti prie jūsų adresatų sąrašo išsiųsdami jiems automatinį laišką, reikalaujantį aktyvaus patvirtinimo.

2)    Įsitikinkite, jog naujienlaiškio prenumeravimo forma yra tinkama: sutikimo gauti naujienas varnelė nepažymėta, greta pateikiama nuoroda į privatumo politiką. Naujienlaiškį užsiprenumeravusiems asmenims siųskite prašymą patvirtinti savo prenumeratą (tam gali užtekti vieno laiške esančio mygtuko paspaudimo).

3)    Rinkite asmens duomenis centralizuotoje santykių su klientais valdymo sistemoje (CRM). Įsitikinkite, kad naudotojai gali pasiekti savo duomenis ir juos redaguoti esant poreikiui.

4)    Registracijos formoje (angl. sign-up form) prašykite tik tos informacijos, kurios iš tikrųjų reikia. B2B rinkodaros specialistams paprastai užtenka vardo, el. pašto adreso ir įmonės pavadinimo.

5)    Išbandykite aktyviuosius pranešimus (angl. push notifications), atsirandančius kompiuterio ar mobiliojo telefono ekrane. Kitaip nei el. pašto rinkodaros kampanijos, aktyvieji pranešimai neapdoroja asmeninių duomenų, o vartotojai turi pateikti aiškų sutikimą norėdami gauti pranešimus.

6)    Kurkite turinį, pritaikytą ir įdomų jūsų tikslinei auditorijai – taip turima duombazė augs natūraliai ir vartotojai patys domėsis jūsų pateikiama informacija. Investuokite į turinio rinkodaros strategiją kurdami gidus, instrukcijas, el. knygas ir kt., kuriuos lankytojai galės atsisiųsti palikę savo el. pašto adresą.

7)    Pakvieskite lankytojus pridėti save prie jūsų adresatų sąrašo įjungę savo svetainėje iškylantį langą (angl. pop-up window). Nepamirškite pateikti informacijos apie privatumo politiką.

Kaip galite pasiruošti patys? 12 žingsnių programa

Valstybinė duomenų apsaugos inspekcija parengė 12 žingsnių rekomendacijas, kuriomis galite remtis. Šios rekomendacijos, pritaikius Lietuvai, buvo parengtos pagal Jungtinės Karalystės Informacijos komisionieriaus tarnybos (Information Commissioner‘s Offise) parengtas gaires „Preparing for the General Data Protection Regulation (GDPR). 12 steps to take now“, kurias galite rasti adresu https://ico.org.uk/media/1624219/preparing-for-the-gdpr-12-steps.pdf.

1 ŽINGSNIS: AIŠKIAI IŠKOMUNIKUOKITE POKYČIUS ORGANIZACIJOJE

Įsitikinkite, kad darbuotojai, priimantys sprendimus organizacijoje, būtų informuoti, jog nuo 2018 m. gegužės 25 d. keičiasi Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas ir pradedamas tiesiogiai taikyti naujasis reglamentas (ES) 2016/679.

2 ŽINGSNIS: TIKSLIAI IŠSIAIŠKINKITE, KOKIUS ASMENS DUOMENIS TVARKOTE

Sudarykite sąrašą asmens duomenų, kuriuos tvarkote, ir pasižymėkite, iš kur juos gavote bei kam naudojate. Atsižvelgiant į įmonės dydį ir duomenų kompleksiškumą, jums gali prireikti atlikti tvarkomų asmens duomenų auditą.

3 ŽINGSNIS: ATNAUJINKITE PRIVATUMO POLITIKĄ

Peržiūrėkite įmonės privatumo politiką ir suplanuokite reikiamus pakeitimus atsižvelgdami į GDPR. Jūsų privatumo politika turėtų būti parašyta aiškia ir suprantama kalba, reikia įtraukti ir informaciją, kaip ir kokiu tikslu bus naudojami asmens duomenys.

Pasirūpinkite, kad privatumo politika būtų lengvai pasiekiama.

4 ŽINGSNIS: ATNAUJINKITE VIDAUS PROCEDŪRAS

Peržiūrėkite vidaus procedūras ir įsitikinkite, ar jos apima visas naujas teises, kurios įsigalioja bendrajame duomenų apsaugos reglamente. Atkreipkite dėmesį, kad asmeniui pareikalavus ištrinti ar pakeisti jo duomenis, tai galėtumėte padaryti greitai.

Pagrindinės duomenų subjekto teisės pagal reglamentą:

a)    informavimas ir teisė susipažinti su asmens duomenimis,

b)    teisė reikalauti ištaisyti duomenis,

c)    teisė reikalauti ištrinti duomenis („teisė būti pamirštam“),

d)    teisė nesutikti, kad asmens duomenys būtų tvarkomi tiesioginės rinkodaros tikslais, įskaitant profiliavimą,

e)    teisė, kad duomenų subjektui nebūtų taikomas tik automatizuotas duomenų tvarkymas, įskaitant profiliavimą,

f) teisė į duomenų perkeliamumą.

5 ŽINGSNIS: TEISĖS SUSIPAŽINTI SU DUOMENIMIS ĮGYVENDINIMAS

Gerai apgalvokite, kokiu būdu galėtumėte greičiau nagrinėti prašymus ir pateikti informaciją, jeigu gausite didelius kiekius duomenų subjektų prašymų.

Atkreipkite dėmesį, kad daugeliu atvejų reglamentas numato vieno mėnesio terminą pateikti atsakymui į asmens prašymą.

6 ŽINGSNIS: ASMENS DUOMENŲ TVARKYMO TEISINIS PAGRINDAS

Peržiūrėkite ir įvertinkite, kokius asmens duomenis, ir kokiais teisiniais pagrindais vadovaudamiesi tvarkote tam, kad galėtumėte įrodyti, jog laikotės visų reglamento nustatytų asmens duomenų tvarkymo principų.

Pagal reglamentą kai kurios duomenų subjektų teisės priklausys nuo to, kokiu teisiniu pagrindu vadovaujantis yra tvarkomi jų asmens duomenys.

7 ŽINGSNIS: PERŽIŪRĖKITE SUTIKIMO GAVIMO SISTEMĄ

Kaip prašote, gaunate ir užfiksuojate asmens sutikimą?

Sutikimas tvarkyti asmens duomenis duodamas tik atliekant aktyvų veiksmą, pavyzdžiui, pažymint varnelę, kuri nurodo sutikimą.

Labai svarbu įsitikinti, kad naudojate priemones, kuriomis galėtumėte įrodyti, kad asmuo sąmoningai davė sutikimą tvarkyti jo asmens duomenis.

8 ŽINGSNIS: ASMENS AMŽIAUS TIKRINIMO SISTEMA

Pirmą kartą ES teisėje reglamentuojamas nepilnamečio iki 16 m. asmens duomenų tvarkymas. Šis pakeitimas jums svarbus, jeigu teikiate paslaugas vaikams ir renkate jų duomenis.

Pagalvokite apie sistemos, kuri galėtų patikrinti asmenų amžių, įdiegimą bei apie tai, kaip galėtų būti gaunamas tėvų arba teisėtų atstovų sutikimas dėl vaikų asmens duomenų tvarkymo.

9 ŽINGSNIS: INFORMAVIMAS APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMUS PER 72 VAL.

Pagal GDPR, apie asmens duomenų saugumo pažeidimus priežiūros institucijai turite pranešti per 72 val., jeigu dėl jų asmuo gali patirti materialinę ar nematerialinę žalą.

Įsitikinkite, kad naudojate tinkamas sistemas, padedančias aptikti asmens duomenų saugumo pažeidimus, apie juos pranešti ir ištirti.

10 ŽINGSNIS: POVEIKIO DUOMENŲ APSAUGAI VERTINIMAS

Duomenų apsaugos poveikio vertinimas, taip pat žinomas kaip privatumo poveikio vertinimas (angl. Privacy Impact Assessment, PIA), skirtas identifikuoti ir sumažinti neatitikimo reglamentui riziką.

Valstybinė duomenų apsaugos inspekcija iki 2018 m. balandžio 30 d. parengs ir patvirtins sąrašą duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti šį vertinimą.  Paskelbus sąrašą pasitikrinkite, ar nepatenkate tarp subjektų, kuriems vertinimas yra privalomas.

11 ŽINGSNIS: PASKIRKITE DUOMENŲ APSAUGOS PAREIGŪNĄ

Reglamentas nenustato, kad duomenų apsaugos pareigūnas turi būti kiekvienoje organizacijoje, todėl turite įsivertinti, ar Jūsų vykdomas asmens duomenų tvarkymas atitinka kriterijus, pagal kuriuos pareigūnas yra būtinas. Tačiau net ir tuo atveju, jeigu pareigūno skirti nereikia, siekiant sumažinti rizikas svarbu užtikrinti, kad kas nors įmonėje būtų atsakingas už asmens duomenų apsaugą ir naujojo reglamento reikalavimų laikymąsi. O iškilus klausimams visada galite pasikonsultuoti su teisininkais.

Įmonėms bus privaloma paskirti duomenų apsaugos pareigūną, jeigu jos atitiks visus tris toliau nurodytus kriterijus:

1) tvarkomi ypatingi duomenys arba vykdoma reguliari ir sisteminė asmenų stebėsena;

2) paminėtas duomenų tvarkymas yra pagrindinė bendrovės veikla;

3) paminėti duomenys bendrovėje tvarkomi dideliu mastu.

Platesnę informaciją apie duomenų apsaugos pareigūno skyrimą skaitykite čia.

12 ŽINGSNIS: NUSTATYKITE DUOMENŲ APSAUGOS PRIEŽIŪROS INSTITUCIJĄ

Jeigu jūsų įmonė vykdo veiklą tarptautiniu mastu, turite nuspręsti, su kuria duomenų apsaugos priežiūros institucija bendradarbiausite.

Kai įmonės turi padalinius skirtingose šalyse, kyla klausimas, kaip nustatyti vadovaujančią duomenų priežiūros instituciją. Reglamentas nustato kompleksą priemonių ir taisyklių, kaip nuspręsti, kuri institucija turi kompetenciją veikti kaip vadovaujanti. Paprastai tariant, tokia institucija nustatoma atsižvelgiant į tai, kur yra įsikūrusi pagrindinė įmonės buveinė ar kur yra priimami reikšmingi sprendimai dėl duomenų tvarkymo.

Pasitikrinkite, ar pasiruošėte bendram duomenų apsaugos reglamentui (GDPR)

  • Žinau, kokie asmens duomenys renkami įmonėje.
  • Asmens duomenys, kurių tvarkymui neturime teisinio pagrindo, buvo ištrinti.
  • Visi asmens duomenys, kuriuos turime ir tvarkome, turi asmens sutikimą arba kitokį pagrindą.
  • Naudojame sistemą, užtikrinančią, kad asmens duomenys būtų lengvai ištrinami arba keičiami.
  • Privatumo politika atitinka naująjį reglamentą.
  • Įvykus asmens duomenų pažeidimui, nesunkiai apie jį galime pranešti per 72 val..
  • Įmonėje dirba asmuo, atsakingas už asmens duomenų apsaugos priežiūrą arba yra paskirtas duomenų apsaugos pareigūnas.

ORGANIZACIJOS PROCESAI: KĄ REIKIA KEISTI AR ĮGYVENDINTI?

Vadovaudamiesi GDPR reikalavimais, savo organizacijoje turite įgyvendinti keletą priemonių, kurios sumažins riziką pažeisti reglamentą ir užtikrins teisėtą duomenų tvarkymą.

Pokyčiai skirtinguose sektoriuose

Pasikeitusio reglamento įtaka el.pašto rinkodarai

Iššūkiai

1) Vienas didžiausių iššūkių – sutikimas naudoti el. pašto adresą tiesioginei rinkodarai. Jeigu rinkodara nepateks į išimtį, vartotojas turi pats laisva valia patvirtinti, kad nori gauti rinkodarą ateityje. Todėl, vadovaujantis GDPR ir E-privatumo reglamentu, iš anksto pažymėtas sutikimo langelis nebegalės būti naudojamas.

2) Įsigaliojus GDPR, vartotojams turi būti užtikrinta prieiga prie jų asmens duomenų ir jų tvarkymo.

3) GDPR reikalauja, kad surinktų asmens duomenų tvarkymas būtų teisiškai pagrįstas, taip įpareigojant vartotojo prašyti tik išties reikalingos informacijos.

Tiesioginė rinkodara be sutikimo: svarbi išimtis elektroniniam paštui

Elektroniniu paštu vykdomai rinkodarai taikoma viena svarbi išimtis: galite naudoti kliento el. pašto adresą, gautą parduodant prekes ar paslaugas, tiesioginės rinkodaros tikslais be jo sutikimo. Tiesa, yra keletas papildomų apribojimų – duomenis naudoti gali tik tas pats fizinis ar juridinis asmuo, kurio klientas yra tiesioginės rinkodaros gavėjas. Taip pat svarbu, jog galite vykdyti tik panašių savo produktų ar paslaugų rinkodarą, be to, pradedant rinkti duomenis ir toliau kiekviename el. laiške privalote suteikti galimybę klientui paprastai paprieštarauti jo duomenų naudojimui ir atsisakyti jūsų laiškų. 

Pasikeitusio reglamento įtaka tiesioginei rinkodarai

Iššūkiai

1) Įsigaliojus GDPR vartotojas turės teisę peržiūrėti apie jį surinktus duomenis.

2) Vartotojas bet kada galės pareikalauti ištrinti apie jį surinktus duomenis.

3) Vartotojas turės teisę atsiimti savo sutikimą.

4) Vartotojas turi išreikšti aktyvų sutikimą rinkti arba apdoroti jo asmens duomenis.

5) Duomenys gali būti naudojami tik tam tikslui, dėl kurio buvo aiškiai suteiktas sutikimas.

6) Pagal GDPR, slapukų identifikatoriai ir IP adresai taip pat yra asmens duomenys. Tai reiškia, kad be vartotojo sutikimo jam nebegalima rodyti nukreipimo reklamų (angl. retargeting ads), personalizuotų reklamų pagal jo interesus, apsilankymus ankstesnėse svetainėse ir t.t.

Rekomendacijos ruošiantis GDPR įsigaliojimui:

1)    Užtikrinkite laisvą, aiškų ir vienareikšmį vartotojo sutikimą naudoti ir tvarkyti jo duomenis. Panaikinkite iš anksto pažymėtus sutikimo langelius ar ilgus, sunkiai suprantamus atsisakymo tekstus.

2)    Naudodami slapukus, kurie nėra būtini svetainei funkcionuoti, privalote gauti vartotojo sutikimą, t.y. aktyvų sutikimą, kai asmuo pats pažymi savo pasirinkimą sutikti ar nesutikti su jūsų slapukų politika.

3)    Aiškiai nurodykite savo tikslą rinkti dalį ar visą informaciją.

4)    Išsaugokite duomenis apie kiekvieną sutikimą.

5)    Jeigu kontaktinius duomenis iki šiol saugojote neterminuotai arba terminas jau baigėsi, gaukite esamų kontaktų sutikimus. Norėdami tęsti reklamos kampanijas su dabartine duomenų baze, jau dabar pradėkite prašyti naujų kontaktų sutikimo, kad surinktumėte pakankamai patvirtintų iki 2018 m. gegužės 25 d.

Pasikeitusio reglamento įtaka turizmo sektoriui

Iššūkiai

1)    Turizmo agentūros saugo daug asmeninių duomenų apie klientus, įskaitant ir jautrią medicininę informaciją (tai vadinama ypatingaisiais asmeniniais duomenimis).

2)    Informacija dalinamasi su užsienio tiekėjais, pavyzdžiui, apgyvendinimo įstaigomis ar ekskursijų organizatoriais.

Visa duomenų dalinimosi su trečiosiomis šalimis veikla kuo greičiau turi būti peržiūrima ir suderinta su naujuoju reglamentu.

Rekomendacijos ruošiantis GDPR įsigaliojimui:

1)    Reglamente reikalaujama pateikti aiškius informacijos naudojimo tikslus. Norint tai padaryti, atlikite turimų duomenų auditą: kokią informaciją saugote, kodėl, kiek laiko planuojate ją laikyti, kaip gavote sutikimą naudotis šia informacija.

2)    Peržiūrėkite ir atnaujinkite sutartis su partneriais, kuriems teikiate informaciją apie klientus. Trečiosios šalys turi paaiškinti, kaip planuoja saugoti ir atnaujinti duomenis.

3)    Pasirenkite atsakyti į klientų užklausas. Vartotojai gali jūsų reikalauti nurodyti visus su jais susijusius duomenis, paaiškinti tokios informacijos rinkimo tikslus, pateikti duomenų saugojimo laikotarpį, išsiųsti duomenų kopijas, ištrinti duomenis.

4)    Pritaikykite personalizavimo sprendimus. Informuokite klientus apie galimybę gauti asmeninius pasiūlymus jiems sutinkant pateikti daugiau informacijos apie save.  Daugelis klientų yra suinteresuoti dalintis asmeniniais duomenimis, norėdami gauti adaptuotus atostogų, lėktuvų bilietų ar viešbučių pasiūlymus. Pavyzdžiui, užpildę trumpą apklausą apie svajonių kryptis ar pageidavimus atostogų metu (mėgstamiausias maistas, gėrimai, komfortiška temperatūra ir pan.), kelionių agentūros ir viešbučiai galės pagerinti vartotojų patirtį, pritaikę paslaugas pagal asmeninius pageidavimus.

Pasikeitusio reglamentavimo įtaka nekilnojamojo turto sektoriui

Iššūkiai

Nekilnojamo turto agentūros naudojasi santykių su klientais valdymo sistemomis (angl. Customer Relationship Management, CRM), kuriose kaupiama daug asmeninės informacijos, tačiau ji negali būti naudojama tiesioginės rinkodaros tikslais, išskyrus atvejus, kai asmuo aktyviu veiksmu išreiškė norą gauti tokius pasiūlymus.

Rekomendacijos ruošiantis GDPR įsigaliojimui:

1)    Visi darbuotojai, kurie naudojasi santykių su klientais valdymo sistemomis, turėtų būti supažindinti su naujuoju reglamentu ir asmens duomenų tvarkymo taisyklėmis.

2)    Suteikus paslaugą, turto vertinimą, patikrinimą ar pardavimą ir suėjus iš anksto nustatytam duomenų saugojimo terminui, nekilnojamo turto brokeris turi pašalinti pirkėjo ar pardavėjo duomenis iš duomenų bazės. Informacija gali būti naudojama pakartotinai tiesioginės rinkodaros tikslais tik gavus kliento prašymą, nebent egzistuotų anksčiau įvardinta išimtis elektroniniam paštui.

Pasikeitusio reglamentavimo įtaka personalo valdymui

Iššūkiai

1)    Sugriežtintos asmens duomenų saugos taisyklės daro ypač didelę įtaką personalo valdymui ir aplinkai, kadangi organizacijos paprastai laiko daug asmeninės informacijos apie darbuotojus.

2)    Naujasis reglamentas įtvirtina daugiau teisių duomenų subjektams, taip pat ribojimų informacijos apie kandidatus ir darbuotojus rinkimui, todėl labai svarbu atitinkamai atnaujinti privatumo politiką.

Rekomendacijos ruošiantis GDPR įsigaliojimui:

1)    Atnaujinkite darbuotojų atrankos procesus. Labai svarbu suprasti, kad prašydami potencialių kandidatų atsiųsti gyvenimo aprašymus, prašote jų asmeninės informacijos, todėl turite suteikti informaciją, kaip ir kiek laiko duomenys bus naudojami, ar bus persiunčiami dar kam nors.

2)    Atkreipkite dėmesį, kad norint išsaugoti gyvenimo aprašymus praėjus atrankai, turite gauti asmens sutikimą. Neturint sutikimo, informaciją privalote ištrinti. Be to, visi kandidatai, atsiuntę gyvenimo aprašymus, turi teisę paprašyti, kad jų duomenys būtų ištrinti iš jūsų sistemos.

3)    Užtikrinkite visų asmens duomenų, kurie patenka į personalo valdymo rankas, saugumą.

Pasikeitusio reglamentavimo įtaka automobilių pramonei

Iššūkiai

Tarpininkai gali naudotis daugybe asmens duomenų, įskaitant finansinę informaciją, klientų bei darbuotojų kontaktinius duomenis.

Rekomendacijos ruošiantis GDPR įsigaliojimui:

1)    Įvertinkite, kaip įmonėje saugomi ir naudojami klientų mokėjimų, vairavimo įrašų ir kiti duomenys.

2)    Pašalinkite sukauptus klientų duomenis, kurių laikymui neturite teisinio pagrindo. Tai padės užtikrinti, kad visa informacija apie klientus ir darbuotojus būtų tinkamai atnaujinta ir atitiktų GDPR standartus. Taip ne tik užkirsite kelią rūpesčiams ar potencialioms baudoms, bet taip pat sutaupysite laiko ir finansinių išteklių, nes prekiautojai susisieks tik su esamais klientais.

Pasikeitusio reglamentavimo įtaka finansų sektoriui

Iššūkiai

Nors finansų sektoriaus įmonės gerąsias duomenų apsaugos praktikas pradėjo taikyti anksčiau nei kitos, įsigaliojus GDPR, duomenų tvarkymo taisyklės buvo sugriežtinos, todėl būtina įsitikinti, ar visai surinktai ir tvarkomai informacijai turite teisinį pagrindą.

Rekomendacijos ruošiantis GDPR įsigaliojimui:

1)    Įvertinkite ir dokumentuokite, kaip organizacijoje naudojami asmenų duomenys, kokiais tikslais ir kas prie jų turi prieigą.

2)    Užtikrinkite, kad renkate tik minimalų kiekį duomenų, kurių tvarkymui sutikimą prieš tai davė vartotojas arba tokiam duomenų tvarkymui gali būti taikomi kitokie pagrindai.

3)    Įdiekite sistemą, kuri leistų matyti ir valdyti, kada duomenų valdymo sutikimai yra atšaukiami.

4)    Norėdami išvengti nuobaudų, griežtai laikykitės duomenų saugumo tvarkymo aprašo, kad galėtumėte įrodyti, jog pašalinote duomenis, kurie nebėra reikalingi pagrindinėms funkcijoms atlikti.

5)    Jeigu asmens duomenų tvarkymas yra būtinas įmonės pagrindinei veiklai vykdyti, ir sistemingai stebite šiuos duomenis dideliu mastu, jums reikės pasamdyti duomenų apsaugos pareigūną.

Pasikeitusio reglamentavimo įtaka mažmeninei prekybai

Iššūkiai

1)    Personalizuoti pasiūlymai labai svarbūs mažmeninėje prekyboje, ypač jeigu jūsų tikslinė auditorija jauna. Todėl itin svarbu užtikrinti teisėtą sutikimą naudoti asmens duomenų gavimą.

2)    Mažmeninės prekybos sektoriuje didelė tikimybė sulaukti daug skundų dėl asmens duomenų piktnaudžiavimo.

Rekomendacijos ruošiantis GDPR įsigaliojimui:

1)    Atlikite duomenų auditą. Tai būtina norint suprasti esamų duomenų pobūdį ir jautrumą. Be to, auditas padės nustatyti, kam informacija gali būti naudojama, ar ji gali būti laikoma, ir kiek laiko.

2)    Nustatykite informavimo apie duomenų pažeidimus planą. Pagal GDPR, duomenų subjektams apie jų duomenų pažeidimus turi būti pranešta per 72 val.

3)    Peržiūrėkite dabartinius procesus, naudojamus norint gauti sutikimą asmens duomenų tvarkymui. Mažmenininkai turėtų pateikti savo klientams aiškų paaiškinimą apie tai, kokius duomenis jie renka ir kam juos naudoja. Sutikimas turi būti aiškus, todėl iš anksto pažymėtas langelis svetainėje nebus laikomas sutikimu.

4)    Sukurkite procesus, kad klientai galėtų lengvai pasiekti savo duomenis arba pasinaudoti teise būti pamirštiems, t.y. ištrinti su savimi susijusius duomenis.

Turiniui parengti buvo naudojami šie šaltiniai:

  1. http://eur-lex.europa.eu/legal-content/LT/TXT/?uri=CELEX%3A32016R0679
  2. https://www.eugdpr.org/gdpr-faqs.html
  3. https://www.eugdpr.org/key-changes.html
  4. https://www.ada.lt/go.php/lit/Laukiantys-pokyciai
  5. https://encryption.eset.com/lt/bdar-atitikimas/#free-guide
  6. https://www.ibm.com/security/data-security/gdpr
  7. http://www.thedrum.com/opinion/2017/10/31/8-tips-help-you-prepare-the-gdpr
  8. https://squalio.com/lt/blogas/gdpr-itaka-verslui/
  9. https://verslas.lrytas.lt/rinkos-pulsas/2017/11/13/news/naujasis-duomenu-apsaugos-es-reglamentas-lietuvos-verslui-kaip-jam-pasirengti-3494497/
  10. https://www.superoffice.com/blog/gdpr-marketing/
  11. http://www.javelingroup.com/blog/is-your-retail-business-ready-for-gdpr/
  12. https://www.shopify.com/blog/gdpr-and-ecommerce
  13. http://digitalmarketingmagazine.co.uk/gdpr/how-will-gdpr-affect-email-marketing/4746
  14. https://www.amazeemetrics.com/en/blog/how-gdpr-going-change-digital-marketing
  15. https://www.netcentric.biz/blog/gdpr-affect-digital-marketing.html