2018 m. gegužės 25 d. bus pradėtas taikyti Bendrasis duomenų apsaugos reglamentas (toliau – Reglamentas) dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo šių duomenų judėjimo.

 

 

Šis Reglamentas taikomas su ES piliečiais susijusių asmens duomenų tvarkymui, kurį atlieka fizinis asmuo, įmonė ar organizacija ir netaikomas tik mirusių ar juridinių asmenų asmens duomenų tvarkymui arba netaikomos duomenims, kuriuos asmuo tvarko tik asmeniniais tikslais arba savo namuose vykdomos veiklos tikslais, su sąlyga, kad nėra jokio ryšio su profesine ar komercine veikla.

Reglamentas palengvina įmonių administracinę naštą bei suteikia joms galimybes savarankiškai vertinti su savo veikla susijusias rizikas, tačiau iš kitos pusės – sugriežtina bendrovių pareigas duomenų apsaugos srityje.

 

Numatyti aukšti atskaitomybės standartai, apimantys poveikio vertinimus, duomenų apsaugos pareigūno skyrimą, pranešimą apie duomenų saugumo pažeidimus.

 

Verslui būtina žinoti, kad daugelis ar net dauguma grėsmių duomenų saugumui kyla dėl žmogiškojo faktoriaus ir dėl „minkštųjų“ priemonių nepakankamumo, t.y. neužtikrinimas techninis saugumas arba dar blogiau - jis yra pažeidžiamas.

 

Kaip rodo praktika, priežastis yra labai paprasta – dėl nepakankamo rizikų supratimo taikomos netinkamos techninės apsaugos priemonės.

 

Šios ir kitos klaidos verslui gali kainuoti itin brangiai – už Reglamento pažeidimus skiriamos administracinės nuobaudos iki 20 000 000 Eur arba iki 4% Bendrovės ankstesnių finansinių metų bendros metinės pasaulinės apyvartos.

Vis dėlto, valstybėms narėms yra suteikiama teisė savo viduje nustatyti savo taisykles ir tikrai nėra užkertamas kelias taikyti savo teisę, kurioje nustatomos konkrečios duomenų tvarkymo sąlygos, pavyzdžiui, tiksliau apibrėžiant aplinkybes ir sąlygas, kada asmens duomenų tvarkymas bus pripažįstamas tvarkomu teisėtai ir kada ne.

 

Svarbu pažymėti ir tai, kad Reglamentas nenustato minimalios baudos dydžio, o tai reiškia, kad valstybės narės tai padaryti turės pačios.

 

Atsižvelgus į tai, tikrai negalima teigti, kad reikia visapusiškai laikytis Reglamento nuostatų – labai svarbu įvertinti reikalavimus ir tos šalies, kurioje faktiškai bus tvarkomi asmens duomenys (arba kur faktiškai veikia verslas).

Taigi, svarbūs esminiai pasiruošimo žingsniai:

1. Informavimas.

Kiekviena įmonė, įstaiga ar organizacija privalo įsitikinti, ar darbuotojai, tvarkantys fizinių asmenų duomenis yra informuoti apie pasikeičiantį reglamentavimą, taip pat – ar yra informuoti, kaip būtent šis reglamentavimas keičiasi ir kokių priemonių jie turės imtis po Reglamento įsigaliojimo.

 

Bendrovėse asmenys, atsakingi už asmens duomenų tvarkymą, gali būti ne tik bendrovės administracijos vadovai, personalo vadovai, tačiau šios funkcijos realiai gali būti perduotos ir IT darbuotojams.

 

Dažni atvejai, kad Bendrovės pasitelkia ir išorinius specialistus – konsultantus, teisininkus ar kitas konsultacines firmas.

 

Taigi, keikvienoje Bendrovėje yra labai svarbu atskirti, kas vykdo asmens duomenų tvarkymo funkcijas ir šiuos asmenis informuoti bei apmokyti tinkamai tvarkyti šiuos duomenis.

2. Vidinis bendrovės auditas.

Kiekviena įmonė, įstaiga ar organizacija savo bendrovės viduje privalo išsikelti ir atsakyti į pagrindinius klausimus, padėsiančius lengviau pasiruošti Reglamento įgyvendinimui.

 

Taigi, kiekviena bendrovė turi aiškiai žinoti, kokius asmens duomenis bendrovė tvarko ir kodėl šie duomenys yra tvarkomi (nustatyti tvarkomų duomenų tikslą ir apimtį), taip pat nusistatyti duomenų gavimo šaltinį – ar duomenys gaunami iš pačio subjekto ar iš trečiojo asmens, apsibrėžti duomenų naudojimo paskirtį – ar duomenys naudojami bendrovės viduje, ar siekiant suteikti konkrečią paslaugą, taip pat – duomenų saugojimo vieta ir terminas bei nusistatyti kitas svarbias aplinkybes.

3.Vidinių taisyklių parengimas

Apsibrėžus 2 punkte nurodytas duomenų tvarkymo sąlygas ir kitas reikšmingas aplinkybes, kiekviena bendrovė privalo aiškiai reglamentuoti taisykles, kokiomis sąlygomis ir tvarka turėtų būti tvarkomi asmens duomenys.

 

Pagrindinis ir privalomas bendrovės dokumentas – Asmens duomenų tvarkymo taisyklės, įvardijant visus kriterijus dėl teisėto duomenų tvarkymo, susipažinimo su duomenims tvarka ir kitomis teisėmis bei pareigomis.

 

Šias Asmens duomenų tvarkymo taisykles būtinai reikia turėti kiekvienoje bendrovėje, tačiau, atsižvelgus į tvarkomų asmens duomenų tikslus, bendrovėje turi būti parengti ir kiti dokumentai.

Kitas ypatingai svarbus dokumentas – Duomenų saugumo pažeidimo tvarkos taisyklės, nustatančios, kas bus atsakingas už informavimą Valstybinei duomenų apsaugos inspekcijai dėl asmens duomenų apsaugos pažeidimų nustatymų, kokie duomenys ir kokia tvarka yra teikiami Valstybinei duomenų apsaugos inspekcijai, taip pat nustatančios ir kitas svarbias aplinkybes.

Jeigu bendrovėje yra vykdomas ir vaizdo stebėjimas, bendrovėje taip pat turi būti parengtas atskiras rašytinis dokumentas ir dėl bendrovėje vykdomo vaizdo stebėjimo, o tiksliau – vaizdo stebėjimo taisyklės, kuriose būtų aprašyta vaizdo stebėjimo trajektorija, nusistatyta vaizdo stebėjimo duomenų naudojimo politika ar kiti aspektai, susiję su teisėtai vykdomu asmens stebėjimu.

 

Svarbu atkreipti dėmesį į tai, kad vaizdo stebėjimas ir garso įrašymas darbo vietoje gali būti vykdomas, kai dėl darbo specifikos būtina užtikrinti asmenų, turto ar visuomenės saugumą ir kitais atvejais, kai kiti būdai ar priemonės yra nepakankami ir (arba) netinkami siekiant išvardytų tikslų, išskyrus atvejus, kai tiesiogiai siekiama kontroliuoti darbo kokybę ir mastą.

 

Apie vaizdo stebėjimą ir garso įrašymą konkrečioje darbovietės vietoje informuojama vaizdiniu žymeniu matomoje vietoje (Lietuvos Respublikos darbo kodekso 27 straipsnio 5 dalis).

Atskiras dokumentas t.y. privatumo politikos taisyklės turi būti parengtos ir turint internetinę bendrovės svetainę.

 

Šiame dokumente privalote nurodyti, kokią informaciją apie internetinės svetainės naudotojus jūs renkate, kaip šie naudotojai gali susipažinti su surinkta informacija, taip pat – nusistatyti ir tokią tvarką, kokioje laikmenoje surinkti duomenys bus saugomi ir, jei bus duomenų subjekto prašymas, kokia tvarka surinktus duomenis perkelsite (perduosite) šiam duomenų subjektui (teisės į duomenų perkeliamumą įgyvendinimas).

Svarbu atkreipti dėmesį ir į Lietuvos Respublikos darbo kodekso 27 straipsnio 3 dalyje nustatytu reikalavimu supažindinti darbuotojus su informacinių ir komunikacinių technologijų naudojimo bei darbuotojų stebėsenos ir kontrolės darbo vietoje tvarka (toliau – Tvarka).

 

Šioje Tvarkoje turi būti nustatytos informacinių ir komunikacinių technologijų naudojimo darbo vietoje darbo metu taisyklės, taip pat darbuotojų stebėsenos ir kontrolės darbo vietoje taisyklės ir mastas.

 

Pavyzdžiui, gali būti nurodytas informacinių ir komunikacinių technologijų naudojimas – kas suteikia informacines ir komunikacines technologijas (toliau – Technologijos) ir kam jos priklauso, kokios būtent Technologijos yra suteikiamos, kas gali jomis naudotis, taip pat galima apibrėžti, kokie darbuotojo veiksmai, naudojantis Technologijomis bus pripažįstami draudžiamais ir kitas reikšmingas aplinkybes.

 

Stebėsenos ir kontrolės darbo vietoje skyriuje svarbu apibrėžti stebėsenos ir kontrolės tikslus ir principus, kuriais remiantis bus vykdoma stebėsena ir kontrolė darbo vietoje, taip pat nusistatytoži tvarką, kokia būtent stebėsena ir kontrolė bus vykdoma t.y. ar bendrovė vykdys tik Technologijų stebėseną ir kontrolę ar (ir) bus bendrovėje atliekamas ir vaizdo/ garso stebėjimas, taip pat nusistatyti, kam ši Tvarka yra taikoma.

 

Šie išvardyti aspektai yra tik vieni iš daugelio aspektų, kuriuos bendrovė gali nusistatyti Tvarkoje.

Ne mažiau svarbus yra ir Lietuvos Respublikos darbo kodekso 27 straipsnio 7 dalies reikalavimas, nustatantis, jog „darbdavys, kurio vidutinis darbuotojų skaičius yra daugiau kaip penkiasdešimt, privalo priimti ir įprastais darbovietėje būdais paskelbti darbuotojų asmens duomenų saugojimo politiką ir jos įgyvendinimo priemones“.

 

Šios Darbuotojų asmens duomenų saugojimo politikos ir jos įgyvendinimo priemonių tvarkos aprašas (toliau – Aprašas) turėtų nustatyti darbuotojų asmens duomenų rinkimo, naudojimo ir saugojimo principus, nustatyti darbuotojų asmens duomenų tvarkymo tikslus ir priemones, nustatyti, kas ir kokiais tikslais gali susipažinti su darbuotojų asmens duomenimis ir juos tvarkyti.

Pažymėtina, kad šiame skyriuje nurodytų dokumentų sąrašas nėra baigtinis, kiekvienu konkrečiu atveju bendrovė privalo atsižvelgti į tvarkomų asmens duomenų tikslus ir parengti šiai bendrovei privalomus dokumentus.

4. Supažindinimas

Akivaizdu, kad kiekviena įmonė, įstaiga ar organizacija privalo su 3 punkte nurodytomis taisyklėmis supažindinti visus asmens duomenų subjektus t.y. tiek darbuotojus, tiek klientus, tiek ir trečiuosius asmenis (asmenys, kurių duomenis tvarkote).

5. Duomenų apsaugos pareigūnų paskyrimas.

Bendrovė gali įsivertinti, ar jai reikia skirti duomenų apsaugos pareigūną, kuris stebėtų, kaip yra laikomasi Reglamento reikalavimų, bendradarbiautų su Valstybine duomenų apsaugos inspekcija ir būtų kontaktiniu asmeniu.

Primenu, kad verslas turi suskubti ir įsivertinti tvarkomų asmens duomenų operacijas ir jų atitiktį galiojančių teisės aktų reikalavimams arba patikėti tai specialistams, nusimanantiems šios ypatingai jautrios srities specifiką.

 

Mažais, bet užtikrintais žingsniais mes galime padėti Jums įteisinti ir padėti teisėtai tvarkyti asmens duomenis, parengiant ne tik visus privalomus turėti dokumentus, bet patariant dėl tinkamų priemonių, siekiant apsaugoti duomenis, bei, padedant suprasti reglamente numatytus pakeitimus ir patariant dėl Reglamento reikalavimų įgyvendinimo.

 

www.infolex.lt inf.

-------------------------------------------------------------

Bendrasis duomenų apsaugos reglamentas. Ką apie tai turi žinoti bankų klientai?

Nuo 2018 m. gegužės 25 d. įsigalioja ES Bendrasis duomenų apsaugos reglamentas (BDAR), kuriuo bus įvesti nauji veiklos reikalavimai įmonėms, tvarkančioms asmens duomenis, tarp jų ir bankams.

Lietuvos bankų asociacija (LBA) atsako į dažniausiai bankų klientų užduodamus klausimus, susijusius su šiuo reglamentu.

 

Koks yra šio reglamento tikslas?

Pagrindinis tikslas – leisti žmonėms kontroliuoti savo asmens duomenis ir, suderinus ES įstatymus, supaprastinti tarptautinio verslo duomenų tvarkymo procedūras. BDAR bus taikomas ir galios visoms įmonėms bei organizacijoms, ne tik bankams, t. y. tiems, kurie tvarko ES piliečių – klientų, tiekėjų, partnerių ar darbuotojų asmens duomenimis.

 

Ką apie BDAR svarbu žinoti bankų klientams?

Šis reglamentas nurodo, kad visi asmens duomenys priklauso klientui, o tai reiškia, jog klientai turi teisę gauti aiškią informaciją apie tai, kaip ir kokiam tikslui yra naudojami jų duomenys.

 

Pagrindinė informacija apie naująjį reglamentą bus ar jau yra skelbiama bankų interneto svetainėse. Privatumo politikos (ar kitaip pavadintuose dokumentuose) atsispindės BDAR straipsniuose nustatyti reikalavimai ir informacija apie kitas duomenų subjektų teises.

 

Kas yra asmens duomenys?

Asmens duomenys – tai visa informacija, susijusi su tam tikru asmeniu: nuo asmens tapatybės duomenų – vardo ir pavardės, asmens kodo iki informacijos apie kortele atliktus mokėjimus, banko padalinyje įvykdytas bankines operacijas, sudarytas sutartis bei pokalbius su konsultacijų centro darbuotojais.

 

Kodėl bankas renka asmens duomenis?

Kliento duomenys yra būtini, kad bankas galėtų suteikti pageidaujamas, konkrečiam klientui aktualiausias paslaugas bei produktus ir užtikrinti tinkamą jų teikimą.

 

Duomenys taip pat reikalingi klientų nuomonės apklausoms ir rinkos analizei, siekiant pagerinti banko produktų ir paslaugų kokybę.

 

Taip pat reikšminga priminti, kad asmens duomenys yra reikalingi užkertant kelią pinigų plovimui ir terorizmo finansavimo prevencijos tikslais, valdant įsiskolinimus bei vertint riziką.

 

Kokius duomenis bankas renka?

Banko renkami duomenys priklauso nuo to, kokiomis paslaugomis naudojasi klientas. Galima rinkti tokią informaciją kaip vardas ir pavardė, asmens kodas, gimimo data ir kt.

 

Bankas siekia užtikrinti, kad būtų tvarkomas minimalus kiekis asmens duomenų, be to, klientas turi teisę žinoti, kokiu tikslu ir kokiu teisiniu pagrindu asmens duomenys renkami, kiek laiko saugomi.

 

Asmens duomenys yra saugomi tik tiek, kiek tai yra būtina.

 

Kaip žinoti, kokią informaciją apie klientą turi bankas?

Prisijungę prie savo interneto banko, klientai gali peržiūrėti aktualią informaciją apie save. Interneto banke ar banko padalinyje taip pat galima kreiptis su prašymu dėl turimų kliento duomenų pateikimo.

 

Kilus bet kokiems neaiškumams, visuomet galima susisiekti su savo banku bendruoju telefonu bei interneto banko žinute ar apsilankius padalinyje.

 

Kaip tuos duomenis bankas gauna?

Asmens duomenys gali būti gaunami tiesiogiai iš kliento, iš kliento veiklos jam naudojantis paslaugomis ir išorinių šaltinių, kaip valstybės ir privačių asmenų valdomų registrų bei kitų trečiųjų šalių.

 

Duomenys pateikiami klientui susisiekus su banku per interneto banką, mobiliąją bankininkystę, el. paštu, telefonu ar apsilankius banko padalinyje.

 

Ar klientų duomenys, kuriuos turi bankas, yra prieinami kam nors kitam?

Nesant teisinio pagrindo, bet koks sutartyje tarp kliento ir banko nenumatytas duomenų perdavimas yra draudžiamas.

 

Asmens duomenys gali būti perduodami teisėsaugos institucijai, kai tai būtina jos atliekamam tyrimui, arba duomenų tvarkytojams, teikiantiems paslaugas bankams.

 

Kokių tikslų siekia bankas, tvarkydamas kliento duomenis?

Tikslų yra keletas, svarbiausi jų:

- sklandžių santykių tarp kliento ir banko palaikymas bei tinkamo paslaugų teikimo klientams užtikrinimas;

- klientams aiškiai suprantamų galimybių naudotis banko produktais ir paslaugomis sudarymas bei administravimas;

- kredito ir rizikos vertinimas, kuris apsaugo pačius klientus;

- kliento bei banko interesų apsauga;

- papildomų paslaugų teikimas, kliento nuomonės teiravimasis, rinkos tyrimai ir statistinių duomenų rinkimas;

- piktnaudžiavimo paslaugomis prevencijos vykdymas;

- teisinių prievolių vykdymas ir tapatybės nustatymas. Vykdant teisės aktų ir tarptautinių susitarimų reikalavimus, susijusius, pavyzdžiui, su atsakingo skolinimosi principų įgyvendinimu, „pažink savo klientą“ principų įgyvendinimu, informacijos apie sudarytą sandorį, susijusį su investavimu, skelbimu;

- vykdant rinkos skaidrumo užtikrinimo ir tokių duomenų pateikimo kompetentingoms institucijoms reikalavimus, galimo pinigų plovimo ir teroristų finansavimo prevenciją, tokios veiklos nustatymo, tyrimo ir informavimo apie galimą tokią veiklą;

- klientui taikomų finansinių sankcijų arba dalyvavimo politikoje ir tapatybės nustatymo tikslais, kai tai būtina vykdant sutartį;

- siekiant imtis veiksmų kliento prašymu prieš sudarant sutartį, vykdant teisinę pareigą ar siekiant banko teisėto intereso užtikrinti tinkamą rizikos ir organizacijos valdymą;

-  sandorių per mokėjimo sistemą vykdymas.

 

Kur galima kreiptis, jeigu kyla neaiškumų dėl klientų duomenų naudojimo?

Patogiausia – į savo banką telefonu, internetu arba apsilankius padalinyje.

 

Taip pat, kilus neaiškumams, visuomet galima kreiptis į Lietuvos bankų asociaciją.

 

Kiekvienas bankas visą reikalingą informaciją klientams teikia savo interneto svetainėse bei interneto banke.

 

Lietuvos bankų asociacijos inf.