Naujienų agentūra BNS pateikia pagrindinius naujo duomenų apsaugos reguliavimo pokyčius ir jų įtaką žmonėms, verslui bei viešajam sektoriui.
Apžvalga parengta pagal duomenų apsaugos priežiūros institucijų atstovų, nevyriausybinių organizacijų, teisininkų ir verslininkų pateiktą informaciją.
Žmonės
Pradėjus taikyti naują reguliavimą, paslaugų teikėjai turėtų išsamiau informuoti žmones, kokiais būdais bus tvarkomi jų asmens duomenys. Sutartis su paslaugų bendrovėmis sudarysiantiems žmonėms turės būti pateikta informacija, kokiais konkrečiais būdais bus tvarkomi jų asmens duomenys: vardas, pavardė, gyvenamosios vietos adresas, asmens kodas ir kiti.
Paslaugų vartotojai galės prašyti įmonių, kad būtų ištrinti jų asmens duomenys, kai jie bus nebereikalingi arba naudojami neteisėtai.
Daugiausiai pokyčių pajus interneto vartotojai. Socialiniams tinklams ar interneto parduotuvėms teks kur kas dažniau nei dabar prašyti žmonių leidimo atlikti veiksmus su jų pateiktais duomenimis. Kai kurie ekspertai svarsto, kad uolus klausinėjimas dėl su asmens duomenimis susijusių operacijų gali iškreipti naršymo internete patirtį.
Naujos europinės taisyklės sudaro daugiau galimybių žmonėms gauti apie juos sukauptą informaciją ir tam tikrais atvejais nustato galimybę būti „pamirštiems“. Tai reiškia, jog žmogus gali paprašyti interneto paieškos variklio, socialinio tinklo, gydymo įstaigos ar banko pašalinti apie jį sukauptus duomenis. Taip galėtų nutikti, jei žmogus atšauktų duomenų valdytojui anksčiau duotą sutikimą tvarkyti jo asmens duomenis.
Paslaugų vartotojai galės prašyti įmonių, kad būtų ištrinti jų asmens duomenys, kai jie bus nebereikalingi arba naudojami neteisėtai. Tai nėra visiškai absoliuti teisė, nes duomenys galės būti neištrinami dėl kitų taisyklių, tarkime, teisės į saviraiškos laisvę ir teisės vykdyti mokslinius tyrimus.
Bendrasis duomenų apsaugos reglamentas taip pat įtvirtina vartotojų teisę reikalauti ištaisyti duomenų rinkimo klaidas ir numato galimybes paprašyti „perkelti“ asmens duomenis iš vieno paslaugos tiekėjo duomenų bazės į kito tiekėjo bazę.
Be to, vaikų ir jaunuolių iki 16 metų amžiaus tėvai privalės suteikti leidimą bendrovėms dėl jų atžalų asmens duomenų rinkimo ir panaudojimo rinkodaros tikslams. Lietuvoje šiuo atžvilgiu ir toliau galios reikalavimas, kad vyresni nei 14 metų jaunuoliai jau patys gali suteikti leidimą dėl duomenų rinkimo.
Verslas
Lietuvoje, Europos Sąjungoje ir Bendrijoje veikiančios pasaulinės bendrovės privalės prisitaikyti prie naujo duomenų reguliavimo, nes reglamentas tiesiogiai taikomas visam Bendrijoje veikiančiam verslui.
Reglamentas panaikina prievolę gauti priežiūros tarnybų leidimą tvarkyti asmens duomenis, tačiau daugiau įgaliojimų permeta patiems verslininkams.
Iš esmės kiekviena įmonė privalo peržiūrėti ir sutvarkyti asmens duomenų rinkimo, tvarkymo bei saugojimo procesus, jog jie atitiktų atnaujintą reguliavimą. Verslas turi užtikrinti, kad fiziškai, pavyzdžiui, privačių klinikų asmens sveikatos kortelėse, arba skaitmeniškai, tarkime, mažmeninės prekybos bendrovės klientų duomenų bazėse kaupiami duomenys nebūtų prieinami pašaliniams žmonės.
Visgi daug naujų taisyklių ir šiandien išlieka neaiškios arba yra pernelyg subjektyvaus pobūdžio, todėl verslas turės taikytis ir prie būsimų teismų sprendimų, aiškinsiančių reglamento nuostatas.
Didesnių pokyčių neturėtų pajusti bendrovės, paslaugas teikiančios juridiniams asmenims, nes jos beveik nedirba su fizinių asmenų duomenimis. Tačiau, ekspertų nuomone, tai nereiškia, kad tokios įmonės turėtų nereaguoti į naują reguliavimą ir netvarkyti savo darbo su asmens duomenimis procesų.
Naujos taisyklės reikalauja didelėms ir nuolat su asmens duomenimis dirbančioms įmonėms įdarbinti duomenų apsaugos pareigūną arba tokią paslaugą užsisakyti iš išorės. Vis dėlto bendrovės skundžiasi tokių specialistų trūkumu darbo rinkoje, nes iki šiol niekas jų kryptingai neruošė.
Įsigaliojus europiniam reglamentui, visos su asmens duomenimis dirbančios bendrovės privalės pranešti apie pažeidimus priežiūros institucijai – Valstybinei duomenų apsaugos inspekcijai – ir žmogui, su kurio duomenimis buvo pasielgta netinkamai. Iki šiol tai pranešti privalėjo tik telekomunikacijų, interneto tiekėjų ir kitos elektroninių ryšių bendrovės.
Didesnę verslo atsakomybę tvarkant asmenis duomenis simbolizuoja ir už pažeidimus išaugsiančios baudos. Dabar Lietuvoje už duomenų apsaugos pažeidimą galima gauti maksimalią 580 eurų baudą, tačiau nuo gegužės 25 dienos verslui galės būti išrašyta maksimali 20 mln. eurų arba 4 proc. metinių pajamų bauda. Visgi tokio dydžio baudos tikriausiai nebus skiriamos lietuviškam verslui – tai sankcijos, numatytos didiesiems Europos rinkos žaidėjams.
Verslo atstovai sako, kad padidėjusios baudos yra viena pagrindinių paskatų tinkamai sutvarkyti visus duomenų valdymo ir tvarkymo procesus įmonių viduje. Visgi daug naujų taisyklių ir šiandien išlieka neaiškios arba yra pernelyg subjektyvaus pobūdžio, todėl verslas turės taikytis ir prie būsimų teismų sprendimų, aiškinsiančių reglamento nuostatas.
Viešasis sektorius
Didelės ir nuolat su asmens duomenimis dirbančios viešojo sektoriaus įstaigos susiduria su panašiais iššūkiais – jos turės susitvarkyti asmens duomenų sistemas, užtikrinti naujas piliečių teises, samdyti duomenų apsaugos pareigūnus.
Vienas pagrindinių skirtumų tarp verslo ir viešojo sektoriaus – baudų dydis. Biudžetinės įstaigos už šiurkščiausius pažeidimus Lietuvoje galės tikėtis maksimalios 60 tūkst. eurų baudos. Vis dėlto komercine veikla užsiimančios valstybės įmonės bus traktuojamos kaip verslo įmonės, todėl galės gauti anksčiau įvardintas maksimalias baudas.
Visgi baudos viešajam sektoriui tikriausiai turės mažesnį poveikį, nes sumokėti pinigai dažniausiai vis tiek būna skiriami iš valstybės ar savivaldybių biudžetų.