Neabejotina, kad jau daugeliui yra tekę girdėti apie asmens duomenų apsaugą ir BDAR. Vieša statistika rodo, jog net 81 proc. Lietuvos gyventojų yra svarbu, kas, kaip ir kokius jų asmens duomenis tvarko, o prašymų ir skundų, susijusių su duomenų tvarkymu, skaičius nuolat didėja [1].

Ką reiškia BDAR?

BDAR sutrumpintai vadinamas Bendrasis duomenų apsaugos reglamentas (angl. GDPR; General Data Protection Regulation), kuris Lietuvoje yra taikomas nuo 2018 m. gegužės 25 d. Pilnas BDAR pavadinimas – Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB. BDAR iš esmės yra surašyti principai, reikalavimai ir taisyklės, kuriais Lietuvoje privaloma vadovautis atliekant asmens duomenų tvarkymą.

Kas yra asmens duomenys ir asmens duomenų tvarkymas?

Asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (t. y. toks asmuo laikomas duomenų subjektu). Fizinis asmuo, kurio tapatybę galima nustatyti, yra asmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti, visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius (BDAR 4 straipsnis).

Asmens duomenų pavyzdžiai: vardas, pavardė, asmens kodas, telefono numeris, el. pašto adresas, piršto atspaudas, asmens atvaizdas ir kt. Asmens duomenimis gali būti laikoma ir tokia informacija kaip: pseudonimas, identifikavimo kodas, transporto priemonės valstybinis numeris, inicialai, mokėjimų istorija ir kt.

Pagal BDAR duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip antai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas (BDAR 4 straipsnis).

BDAR taikymas ir privalomas vykdymas

BDAR yra taikomas visiškai arba iš dalies atliekamam automatizuotomis priemonėmis atliekamam asmens duomenų tvarkymui. Pavyzdžiui, kompiuteriu, telefonu, informacinėse sistemose, duomenų bazėse, interneto svetainėje, naudojant vaizdo stebėjimo kameras ir kt. Taip pat BDAR taikomas asmens duomenų, kurie sudaro susisteminto rinkinio dalį ar yra skirti ją sudaryti, tvarkymui ne automatizuotomis priemonėmis. Pavyzdžiui, klientų duomenys rūšiuojami abėcėlės tvarka, darbuotojų asmens bylos tvarkomos popieriniu būdu ir pan.

Jei įmonė ar fizinis asmuo, kuris verčiasi profesine ar ūkine komercine veikla, atlieka anksčiau minėtus asmens duomenų tvarkymo veiksmus su savo darbuotojų ar klientų ar kitų duomenų subjektų asmens duomenimis, tai turi vadovautis BDAR.

BDAR numato ir atvejus, kai jis nėra taikomas. Tarp tokių netaikymo atvejų iš esmės esminiai išskirtini šie:

  • Asmens duomenis tvarko fizinis asmuo, užsiimdamas išimtinai asmenine ar namų ūkio veikla. Tokiu atveju neturi būti ryšio su profesine ar komercine veikla. Pavyzdžiui, fizinis asmuo savo privačioje namų teritorijoje vykdo vaizdo stebėjimą kameromis išimtinai namų saugumo tikslu.
  • Mirusių asmenų duomenims. Vis dėlto tokiu atveju galioja kiti teisės aktai.
  • Juridinių asmenų duomenims. Vis dėlto svarbu paminėti, jog informacijai, kuri leidžia tiesiogiai ar netiesiogiai nustatyti fizinio asmens tapatybę, būtų taikomas BDAR.
  • Asmens duomenys tvarkomi vykdant veiklą, kuriai ES teisė netaikoma.

Norėdami suprasti, ar jūsų veiklos atveju reikia vadovautis BDAR, turite įvertinti:

  • 1) ar vykdote profesinę ar komercinę veiklą (pvz., per juridinį asmenį ar individualios veiklos pagrindu);
  • 2) ar savo veikloje naudojate priemones, kuriomis tvarkote bent kokius nors asmens duomenis (pvz., naudojate el. paštą, išrašote sąskaitas faktūras, naudojate el. parduotuvę ir pan.);
  • 3) BDAR gali būti taikomas net ir neturint samdomų darbuotojų;
  • 4) BDAR gali būti taikomas net jei dirbate tik vienas ir jūsų veikla smulki.

Pavyzdžiai:

  • Fizinis ar juridinis asmuo teikia buhalterinės apskaitos, projektavimo, marketingo ar kitas paslaugas, ir sudaro sutartį su užsakovais fiziniais ar juridiniais asmenimis, išrašo jiems sąskaitas faktūras, o tokius dokumentus su asmens duomenimis (pvz., vardu, pavarde ir kt.) tvarko automatizuotomis priemonėmis (kompiuteriu, el. pašto sistema).
  • Vykdoma internetinė prekyba per elektroninę parduotuvę, kurioje pirkėjas įveda savo vardą, el. pašto adresą, telefono numerį ir kt. duomenis, kurie tvarkomi interneto svetainėje apdorojant užsakymą, įvykdant jį, išrašant sąskaitą faktūrą ir pan.
  • Bendrovėje vedamos, pildomos ir saugomos darbuotojų popierinės dokumentų bylos.
  • Siunčiami naujienlaiškiai elektroniniu paštu asmenims, kurie juos užsakė interneto svetainėje įvedę savo el. pašto adresą ir davę sutikimą.

BDAR privaloma įgyvendinti

BDAR 5 straipsnyje be kitų principų yra įtvirtintas duomenų valdytojo atskaitomybės principas, kuris reiškia, kad turi būti laikomasi BDAR numatytų principų, reikalavimų ir taisyklių bei turi būti sugebama įrodyti, kad jie įgyvendinti. Tai reiškia, jog būtent duomenų valdytojui ar tvarkytojui tektų pareiga įrodyti, jog BDAR yra įgyvendintas ir vykdomas.

Siekiant įgyvendinti BDAR reikalavimus reikia imtis visų įmanomų ir tinkamų priemonių. Visų pirma, būtina taikyti tinkamas organizacines ir technines priemones, tame tarpe įdiegti reikiamą dokumentaciją, priimti duomenų apsaugos politikas ir jas taikyti, fiksuoti asmens duomenų saugumo pažeidimus. Taip pat rekomenduotina vesti duomenų veiklos įrašus.

Kokia atsakomybė gresia už BDAR pažeidimą?

Už BDAR įtvirtintų reikalavimų pažeidimus skiriamos administracinės baudos, kurios gali siekti iki 2–4 proc. ankstesnių finansinių metų bendros metinės pasaulinės apyvartos arba iki 10 000 000–20 000 000 EUR.

2020 m. didžiausios skirtos baudos 8 ir 15 tūkst. eurų. 2021 m. didžiausios buvo skirtos baudos buvo 20 tūkst. ir 110 tūkst. eurų [2].

Be to, jei dėl BDAR pažeidimo duomenų subjektas (pvz., klientas, darbuotojas ar kt.) patirtų žalą, duomenų valdytojui ir/ar duomenų tvarkytojui gali tekti ją atlyginti.

Šioje svetainėje siūlomi išklausyti seminarai BDAR temomis:

[1 ir 2] https://antanaitis.eu/bdar-taikymo-statistika-ir-praktika-2020-m/ ir https://vdai.lrv.lt/lt/naujienos/2020-metu-asmens-duomenu-apsaugos-prieziuros-lietuvoje-apzvalga