Daugelis įmonių, ypač turinčių integruotas elektronines parduotuves, savo interneto svetainėse siūlo įsigyti prekių ar paslaugų, suteikti konsultaciją ar atsakyti į iškilusius klausimus. Paprastai norint pasinaudoti šiomis galimybėmis reikalinga registracija, pateikiant bent savo vardą, pavardę, el. paštą, neretai ir kontaktinį telefono numerį ar kitus asmens duomenis. Kita vertus, užtenka vien apsilankyti interneto svetainėje, tam kad ją turinti įmonė gautų svetainėje besilankančio asmens duomenis. Taip yra todėl, kad apsilankymo metu paprastai yra užfiksuojamas interneto protokolo (IP) adresas, kuris irgi yra laikomas asmens duomenimis. Nepaisant to dažna įmonė, turinti interneto svetainę ir tokiu būdu renkanti svetainės lankytojų asmens duomenis, neskelbia privatumo politikos arba skelbiama politika yra pernelyg šabloninė. Taip neskiriama pakankamo dėmesio asmens duomenų subjekto teisių įgyvendinimui, kas nuo šių metų gegužės 25 d. gali lemti sankcijų pritaikymą įmonei.

BDAR įtvirtintos naujovės

Asmens duomenų subjekto teisė gauti informaciją apie jo duomenų tvarkymą nėra nauja. Dar prieš Bendrojo duomenų apsaugos reglamento (toliau – BDAR) priėmimą ji buvo įtvirtinta tiek ES (Europos Parlamento ir Tarybos direktyvoje 95/46/EB), tiek nacionaliniu (Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme) lygiu. Taigi, jau tada svetainių lankytojai turėjo tam tikras teises būti informuoti. Tačiau, lyginant su ankstesniu reguliavimu, nuo šių metų gegužės 25 d. įsigaliosiantis BDAR nustato detalesnį duomenų subjektui pateikiamos informacijos sąrašą bei griežtesnį sutikimo gavimą – organizacija privalo gauti sutikimą iš asmens jo asmens duomenų tvarkymui. Šiame sutikime turi būti aiškiai apibrėžta kokie asmens duomenys bus renkami, kur ir kaip saugomi ir kokiems tikslams naudojami. Taip pat būtina nepamiršti, kad asmeniui pareikalavus, organizacija privalo pateikti informaciją apie tai, kokius asmens duomenis ji valdo, kur saugo ir kokiais tikslais naudoja bei asmeniui pareikalavus, organizacija privalo sunaikinti visus turimus asmens duomenis („teisės būti pamirštam“ įgyvendinimas). BDAR numato ir kitas svarbias naujoves, pavyzdžiui, organizacija privalo užtikrinti, kad asmens duomenys yra saugomi, apdorojami ir perduodami saugiai, o duomenų saugumas yra integrali bei nuolat tobulinama verslo procesų dalis (organizacijos ir sistemų saugumo užtikrinimas), organizacija privalo per 72 valandas informuoti atsakingas institucijas apie sistemų saugumo pažeidimus, jeigu kyla rizika, kad toks pažeidimas gali turėti įtakos asmens duomenų saugumui bei asmens teisėms ir laisvėms (privalomas informavimas apie saugumo pažeidimus), taip pat asmeniui pareikalavus, organizacija privalo pateikti asmens duomenis paplitusiame elektroniniame duomenų formate taip, kad asmuo juos galėtų perkelti pas kitą duomenų valdytoją (galimybė perkelti duomenis) ir kt. Tačiau, kadangi šios publikacijos tikslas – atskleisti kokia priemonė padeda įgyvendinti asmens duomenų subjekto informavimo teisę, todėl aptariama bus tik ta naujovė, kuri susijusi su asmens teise būti informuotam.

Privatumo politika kaip informavimo priemonė

Kaip jau buvo minėta įmonės interneto svetainėje vienokia ar kitokia forma (pavyzdžiui, fiksuojant IP adresą, užpildant kontaktų formą, užsakant paslaugas ar prekes ar kt.) paprastai yra renkami asmens duomenys, taigi duomenų subjektas turi teisę būti apie tai informuotas. Šiuo atveju užtikrinant duomenų tvarkymo skaidrumą interneto svetainės privatumo politika galėtų būti tinkama priemonė duomenų subjekto informavimo teisei įgyvendinti. Pažymėtina, kad tiesioginės pareigos pasitvirtinti privatumo politiką reguliavimas nenumato, tačiau ji išplaukia iš duomenų subjekto informavimo teisės, privatumo politika yra priemonė šiai teisei įgyvendinti. Taigi nors ir netiesiogiai, bet galima suprasti, kad siekiant, jog būtų tinkamai įgyvendinta asmens teisė į informavimą, būtina organizacijoje turėti privatumo politiką.

Kyla klausimas – kaip pasiekti, kad ir svetainės lankytojas būtų patenkintas, ir atitiktis BDAR būtų užtikrinta? Į šį klausimą atsako pats BDAR. Vadovaujantis BDAR, duomenų subjektams glaustai ir suprantamai, aiškia ir paprasta kalba bei lengvai prieinama forma turi būti suteikiama informacija apie jo duomenų rinkimą, kuri detalizuojama BDAR 13 ir 14 str. Taigi siekiant įgyvendinti duomenų subjekto teisę gauti informaciją apie jo duomenų rinkimą Jūsų svetainės privatumo politikoje turės būti nurodyta:

Svetainės privatumo politikos kontrolinis sąrašas

Naudokite šį kontrolinį sąrašą, rengdami svetainės privatumo politiką arba tikrindami jos atitiktį BDAR. Užpildytą sąrašą galite sugeneruoti į PDF failą ir parsisiųsti. Generuoti PDF

Taip pat atkreiptinas dėmesys, kad renkant asmens duomenis internetinėje platformoje privatumo politika turi nurodyti ir tinklapyje naudojamus slapukus, jų rūšį, kokią informaciją jie renka ir saugo bei nurodyti, kiek laiko tokia informacija yra saugoma.

Duomenų subjekto teisės į informavimą pažeidimo pasekmės

Už duomenų subjekto teisių pažeidimus BDAR numato iki 20 mln. EUR arba 4% metinės apyvartos baudą (priklausomai nuo to, kuri suma yra didesnė). Pažeidimais, už kuriuos yra skiriama minėta sankcija, laikomi duomenų subjekto teisių, įtvirtintų BDAR 12-22 str., netinkamas užtikrinimas. Jau minėta teisė į informavimą yra įtvirtinta BDAR 13 str., taigi už jos pažeidimą įmonei gali būti skirta iki 20 mln. EUR arba 4% metinės apyvartos bauda.

Apibendrinimas

Kiekvienai įmonei, renkančiai asmens duomenis interneto svetainėje, siekiant informuoti duomenų subjektus apie duomenų tvarkymą, reikalinga skelbti interneto svetainės privatumo politiką. Atkreiptinas dėmesys, kad BDAR detalizuoja duomenų subjektui pateikiamos informacijos sąrašą, todėl tinkamam minėtos duomenų subjekto teisės įgyvendinimui nepakanka bendros šabloninės privatumo politikos. Turi būti parengta nauja, BDAR reikalavimus atitinkanti privatumo politika, ar bent turimas dokumentas turi būti tinkamai atnaujintas. Priešingu atveju rizikuojama susilaukti ne tik nepatenkintų svetainės ar elektroninės parduotuvės lankytojų, bet ir galimai ženklių baudų už netinkamą duomenų subjekto teisių įgyvendinimą.

    Balsai
    Atsakymai
    Peržiūros
    Klausimas
    0
    votes
    1
    atsakymas
    44
    views
    paklausta 3 months ago by Anonimas
    Kategorija: Atitiktis BDAR
      Naudinga informacija Teisinių rizikų valdymas