Kaip pasirengti Bendrojo duomenų apsaugos reglamento įgyvendinimui

Bendrasis duomenų apsaugos reglamentas (ES) 2016/679 (toliau – Reglamentas) įsigalioja nuo 2018 m. gegužės 25 d. Jis pakeis iki tol galiojusią Direktyvą 95/46/EB ir Asmens duomenų teisinės apsaugos įstatymą. Nors įstatymas kaip toks išliks, jo turinys ženkliai keisis, mažės ir paties įstatymo reikšmė, nes Reglamentas, kaip tiesiogiai taikytinas aktas, bus pagrindiniu asmens duomenų apsaugos klausimus Europos Sąjungos mastu reglamentuojantis dokumentas.

Nors įsigaliojus Reglamentui nebeliks pareigos asmens duomenų valdytoju, Reglamente didelis dėmesys skiriamas duomenų valdytojų atsakomybei ir atskaitomybei, todėl įrodinėjimo pareiga teks būtent jiems.

Ką reiktų atlikti iki įsigaliojant Reglamentui:

1. Įsivertinti, kieno ir kokius asmens duomenis tvarkote. Ar be darbuotojų, turite klientų fizinių asmenų, kurių asmens duomenis tvarkote? Bendra tendencija – duomenų turi būti tvarkoma kuo mažiau, t.y. tik tiek kiek privaloma pagal teisės aktus ar objektyviai būtina vykdant sutartis. Jeigu identifikuosite, kad tvarkote perteklinius asmens duomenis, pertvarkykite savo verslo procesus, kad tokie duomenys nebebūtų tvarkomi.
2. Peržiūrėkite, ar tikrai turite duomenų subjektų sutikimus dėl asmens duomenų tvarkymo, ar sutikimo turinis suprantamai ir teisingai įvardina duomenų tvarkymo tikslus, apimtį, laikotarpį.
3. Apsirašykite asmens duomenų tvarkymo procesus – kokius duomenis tvarkote, kokiu tikslu, iš kur tie duomenis gauti, kur saugomi, kiek laiko, kaip užtikrinamas jų sunaikinimas, kas gali prieiti prie šių duomenų, kam šie duomenis gali būti teikiami ir pan. Asmens duomenys neturi būti kada panorėjus prieinami visiems įmonės darbuotojams, jeigu tai nėra objektyviai būtina jų funkcijų vykdymui.
4. Nuspręskite dėl organizacinių/techninių priemonių, kuriomis užtikrinsite, kad Reglamento numatytais terminais įgyvendinate duomenų subjektų teises, tokias kaip pavyzdžiui  susipažinti su tvarkomais asmens duomenimis, reikalauti juos pakeisti, ištrinti duomenis („teisė būti pamirštam“) ar teisę į duomenų perkeliamumą įprastai naudojamu ir kompiuterio skaitomu formatu. Nutarkite, ar vis dar galėsite teikti klientui-fiziniam asmeniui paslaugas, jei jis atšauks savo sutikimą dėl asmens duomenų tvarkymo, kaip keisis paslaugų apimtis.
5. Nutarkite, kas bus atsakingas už duomenų subjektų ir Valstybinės apsaugos inspekcijos informavimą apie asmens duomenų saugumo pažeidimus.
6. Įsivertinkite, ar Jums nekyla pareiga paskirti duomenų apsaugos pareigūną savo įmonėje.

Tam tikros su asmens duomenų apsauga susijusius pareigos išplaukia ne iš Reglamento, bet iš naujojo Darbo kodekso, t.y.:

• darbuotojai turi būti supažindinti su informacinių ir komunikacinių technologijų naudojimo bei darbuotojų stebėsenos ir kontrolės darbo vietoje tvarka;
• įgyvendinant nuosavybės ar valdymo teises į darbo vietoje naudojamas informacines ir komunikacines technologijas, negali būti pažeidžiamas darbuotojo asmeninio susižinojimo slaptumas;
• vaizdo stebėjimas ir garso įrašymas darbo vietoje – tik, kai dėl darbo specifikos būtina užtikrinti asmenų, turto ar visuomenės saugumą ir kitais atvejais, kai kiti būdai ar priemonės nepakankami, o ne darbo kokybės ir masto kontrolės tikslu;
• Kai įmonėje 50+ darbuotojų – privaloma priimti ir įprastais darbovietėje būdais paskelbti darbuotojų asmens duomenų saugojimo politiką ir jos įgyvendinimo priemones.