Asmens duomenys – po didinamuoju stiklu (II dalis)

Asmens duomenys – po didinamuoju stiklu (II dalis)

 

Nuo gegužės 25 dienos visoms ES narėms bus pradėtas taikyti Bendrasis duomenų apsaugos reglamentas, numatantis bendras asmens duomenų tvarkymo taisykles. Už jų pažeidimą gresia griežtos sankcijos.

„Organizacijoms, kurios ir anksčiau skyrė deramą dėmesį asmens duomenų tvarkymui, ši reforma nėra revoliucija. Tai proga peržiūrėti šią veiklos dalį ir užpildyti trūkstamas spragas, – labiau evoliucinis veiksmas. Tikėtina, kad pagrįstas nerimas yra ištikęs tuos, kurie asmens duomenis tvarkė aplaidžiai ir dabar baiminasi gresiančių sankcijų, tarp jų ir pastebimai padidėjusių baudų“, – pastebi Valstybinės duomenų apsaugos inspekcijos (VDAI) Informacijos ir technologijų skyriaus vyriausioji specialistė Raminta Sinkevičiūtė-Šečkuvienė

Nuo gegužės 25 dienos pradėjus taikyti Bendrą duomenų apsaugos reglamentą, įmonėms ar kitoms organizacijoms už asmens duomenų apsaugos pažeidimus grės didelės baudos bei kitos sankcijos. Pasak vyriausiosios specialistės, inspekcija, kaip ir dabar, galės teikti nurodymus dėl pažeidimų ištaisymo, skirti papeikimus. Numatyta, kad pažeidus naujas nuostatas gali būti skiriamos administracinės baudos, kurios kiekvienu konkrečiu atveju turi būti veiksmingos, proporcingos ir atgrasomos. Bauda, pasak R. Sinkevičiūtės-Šečkuvienės, gali siekti iki 2–4 procentų ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, arba iki 10 000 000–20 000 000 EUR. Viešojo sektoriaus institucijoms bus taikomos mažesnės baudos. Jos bus numatytos Asmens duomenų teisinės apsaugos įstatyme, tačiau jeigu valstybės įmonė užsiima komercine veikla, jai atsakomybė bus taikoma kaip privatiems juridiniams asmenims.

Šiuo metu už asmens duomenų apsaugos pažeidimus baudos asmenims siekia 150–580 Eur, už pakartotinį pažeidimą 550–1200 Eur, juridinių asmenų vadovams ar kitiems atsakingiems asmenims – 300–1 150 Eur, už pakartotinai padarytus nusižengimus – 1 100–3 000 Eur.

Nuo gegužės 25 dienos nebelieka Asmens duomenų valdytojų valstybės registro. Pasak R. Sinkevičiūtės-Šečkuvienės, inspekcijos kuruotos veiklos buvo tam tikra garantija organizacijoms, kad jų asmens duomenų tvarkymas tinkamas. Po gegužės 25-osios visa atsakomybė guls ant įmonių pečių.

„Jie privalės patys gebėti įrodyti, kad tinkamai elgiasi su asmens duomenimis, užtikrina asmenų, kurių asmens duomenis tvarko, teises“, – sako ji.

Kitaip tariant, reglamentas kalba daugiau bendrais principais, o kaip tai įgyvendinti praktiškai, sprendimus turės rasti patys juridiniai asmenys. Jos teigimu, iki šiol buvo daug įmonių, kurios, nors ir privalėjo, nebuvo registruotos minėtame registre.

„Visos organizacijos, kurios tvarko asmens duomenis, turėjo registruotis Asmens duomenų valdytojų registre. Anaiptol ne visos buvo tai padariusios. Logiškai mąstant visas Juridinių asmenų registras turėjo sutapti – turbūt būtų sunku rasti organizaciją, kuri vienais ar kitais tikslais netvarkytų asmens duomenų. Kadangi mes matome tokį sujudimą ir susidomėjimą, akivaizdu, kad organizacijos turėjo kreipti didelį dėmesį į duomenų apsaugą ir anksčiau, bet pagal tai, kokios jos dabar yra išsigandusios, manytume, kad tiesiog apie tai susimąstė tik dabar“, – svarsto ji.

Artėjant gegužei, inspekcija pastebi visuomenės bei organizacijų aktyvumą, susidomėjimą asmens duomenų apsauga.

„Norėtųsi tikėti, kad baudų dydis – ne pagrindinė motyvavimo priemonė organizacijoms susirūpinti asmens duomenų apsaugos sritimi savo veikloje. Esminis atsakymas, kurio šiuo metu – likus nepilnam mėnesiui iki reglamento taikymo pradžios – tikisi organizacijos iš VDAI, ar skirsime tokias dideles baudas, kaip numatyta. VDAI atsakymas į šį klausimą – laikysimės visų reikiamų teisės aktų reikalavimų skirdami baudas. Tikrai organizacijos negalėtų tikėtis nuolaidų tais atvejais, kai bus padarytas pažeidimas dėl jau ilgą laiką dar Asmens duomenų teisinės apsaugos įstatyme įtvirtintų reikalavimų nesilaikymo. Dėl naujų nuostatų kiekvieną atvejį tirsime individualiai ir spręsime, juk praktika pagal šį naują teisinį reguliavimą tik pradės formuotis“, – sako R. Sinkevičiūtė-Šečkuvienė.

Svetimų laiškų skaityti negalima

R. Sinkevičiūtė-Šečkuvienė sako, kad reglamentas numato tik bendrus asmens duomenų tvarkymo principus, o specialių reikalavimų darbo santykiuose nėra. Vis dėlto nereikia pamiršti reglamento nuostatų – asmens duomenys turi būti tvarkomi tik teisėtais tikslais, turint teisinį pagrindą. Be to, neturi būti tvarkomi pertekliniai duomenys. Kaip pavyzdį ji pateikė 2015 metais atliktus tikrinimus 4 didžiuosiuose prekybos centruose. Nustatyta, kad kandidatų į darbuotojus buvo prašoma perteklinių asmens duomenų informacijos: šeiminės padėties, ankstesnių darboviečių darbo užmokesčių, duomenų apie tautybę, narkotinių medžiagų vartojimą, rūkymą, artimų asmenų darbovietes ir kt. Pasitaikė atvejų, kai įmonė prašė pateikti asmeninį kredito reitingą.

Pastaruoju metu daug kalbama apie darbuotojų ir jų kompiuterių stebėjimą įmonėje. Pasak R. Sinkevičiūtės-Šečkuvienės, darbo vietose galimas darbo vietos sekimas elektroninėmis priemonėmis, bet darbuotojams turi būti pateiktos aiškios taisyklės dėl elektroninės darbdavio įrangos naudojimo tiek darbo, tiek asmeniniais tikslais. Darbdavys turi sugebėti įrodyti, kad darbuotojas supažindintas su tomis taisyklėmis.

„Prieš diegiant sekimo priemones darbdavys turi įvertinti jų proporcingumą su darbuotojo teise į privatumą, pavyzdžiui, jei „Facebook“ socialinio tinklo nėra numatyta naudoti darbo tikslais, galima jį apskritai blokuoti“, – sako ji.

Darbo vietos sekimo elektroninėmis priemonėmis pavyzdžiai gali būti elektroninė darbo laiko apskaita, autorizuotas įėjimas į patalpas, vaizdo stebėjimas, telefoninių pokalbių įrašymas, elektroninės komunikacijos sekimas, GPS naudojimas ir kt.

Reikalavimai elektroninės komunikacijos sekimui: įsitikinti, ar tokios priemonės tinkamos, sekti elektroninę komunikaciją galima tik esant iš anksto apibrėžtam ir teisėtam tikslui (apsisaugoti nuo konfidencialios informacijos atskleidimo). Darbuotojai privalo būti informuoti apie vykdomą elektroninės komunikacijos sekimą, neturėtų būti fiksuojamas elektroninių laiškų turinys, nustatytas konkretus duomenų saugojimo laikas, dokumentas turi būti rašytinės formos, įgyvendinamos darbuotojų, kaip duomenų subjektų, teisės.

Pasak R. Sinkevičiūtės-Šečkuvienės, organizacija, numačiusi teisėtą pagrindą vykdyti darbuotojo elektroninės komunikacijos stebėjimą, turi aiškiai įvardyti ir darbuotojas turi aiškiai žinoti, ar gali tam tikrais dalykais naudotis darbiniame kompiuteryje asmeniniais tikslais.

„Jeigu numato, kad galėtų pasitikrinti socialinio tinklo paskyrą, elektroninį paštą, tai nereiškia, kad darbdavys gali brautis į asmens privatumą. Jeigu jis tomis priemonėmis naudotis leidžia asmeniniais tikslais, turi garantuoti tam tikrą privatumą ir tas asmeninis turinys negali būti peržiūrimas“, – sako ji.

Rengiasi naujovėms

Panevėžyje taip pat rengiamasi naujovėms. Panevėžio apskrities priešgaisrinės gelbėjimo valdybos viršininko pavaduotojas Arūnas Šniukšta konkrečiai neįvardija, kas keisis, tačiau yra numatytos priemonės, ką reikia atlikti. Pasak jo, yra atliktas institucijos vertinimas, sudarytas priemonių planas, o pagal jį įgyvendinamos būtinos priemonės – pagal kompetencijų sritis darbai išdalyti įvairiems darbuotojams. A. Šniukštos teigimu, kiek smarkiai kažkas kinta, paaiškės po gegužės 25 dienos, įsigaliojus naujoms nuostatoms, kai bus atlikti visi reikiami darbai. Be to, pasak jo, kol kas dar nėra iki galo užbaigti ir reikiami teisės aktai.

Panevėžio miesto savivaldybės Civilinės metrikacijos skyriaus vedėja Loreta Krasauskienė sako, kad jų darbe kol kas niekas nesikeičia – laukiama nurodymų iš Teisingumo ministerijos. Pasak jos, duomenų apsauga ir taip yra, tad didelių pokyčių nesitikima.

Civilinės metrikacijos skyriai dabar yra įpareigoti skelbti norinčiųjų tuoktis vardus, pavardes bei gimimo metus, o tai – asmens duomenys. L. Krasauskienės teigimu, taip elgiamasi dėl to, kad gali atsirasti asmuo, galintis užprotestuoti naują santuoką.

„Jei nepakeitė taisyklių, taip ir pasiliks. Paskutinę dieną kad keistųsi, tikrai netikiu,“, – svarsto ji.

Pagrindiniai reformos teisės aktai Lietuvoje

Gegužės 25 dieną bus pradėtas taikyti Bendrasis duomenų apsaugos reglamentas, tai tiesioginio taikymo dokumentas (taikomas visose valstybėse, o nėra perkeliamas į nacionalinius teisės aktus, dėl ko galėtų atsirasti kiekvienoje šalyje šiek tiek skirtingų interpretacijų);

Iki gegužės 6 dienos į nacionalinę teisę turės būti perkelta direktyva dėl teisėsaugos institucijų tvarkomų asmens duomenų, tuo tikslu parengtas specialus įstatymas.

Tik Lietuvai būdingos tam tikros asmens duomenų tvarkymo nuostatos bus numatytos Asmens duomenų teisinės apsaugos įstatyme.

Jūsų komentaras

Daugiau leidinio naujienų