Bendrasis duomenų apsaugos reglamentas (BDAR) lemia, kaip Jūs vykdysite verslą nuo 2018 gegužės. Laukia dideli pokyčiai.
Naudokite šį veiksmų planą, įgyvendindami BDAR atitiktį savo organizacijoje. Spauskite ant kiekvieno žingsnio, norėdami sužinoti daugiau. Užpildytą veiksmų planą galite sugeneruoti į PDF failą ir parsisiųsti. Generuoti PDF
Kaip mes galime padėti?
Pasiruošimas asmens duomenų apsaugos reglamentui*
1. Užtikrinkite, kad Jūsų komanda ar įmonė žino apie asmens duomenų apsaugos reglamentą
Svarbu užtikrinti, kad kiti Jūsų komandos ar organizacijos nariai žinotų apie asmens duomenų apsaugos reglamentą ir jo galimą išsišakojimą.
Jei bus pabrėžiamas duomenų reguliavimo pokytis, tai padės užtikrinti atitiktį reglamentui Jūsų komandoje ar organizacijoje.
2. Dokumentuokite informaciją, kurią laiko įmonė
Svarbu užsitikrinti, kad visos veiklos, susijusios su asmens duomenimis būtų gerai dokumentuojamos. Kitaip sakant, turi būti atlikta tvarkomų asmens duomenų inventorizacija.
Pradžiai, dokumentuokite:
- Kokius asmens duomenis laikote
- Iš kur gavote šiuos duomenis
- Su kuo esate pasidaliję šiais duomenimis
- Kodėl šie duomenys laikomi
- Kodėl šie duomenys vis dar laikomi
Šios informacijos dokumentavimas užtikrina Jūsų atitikimą BDAR atskaitingumo principui.
Šiam tikslui gali būti naudojama Asmens duomenų fiksavimo forma.
3. Peržiūrėkite galiojančias privatumo politikas
Keičiasi informacijos apie privatumo pateikimas. BDAR reikalauja tam tikrų privatumo politikos pakeitimų, pavyzdžiui, svetainės privatumo politika turi būti peržiūrėta pagal Jūsų nusistovėjusią praktiką.
Kai renkate duomenis, jūs paprastai informuojate subjektą, kas esate ir kaip ketinate naudoti jo duomenis. Tai yra įprasta praktika.
Pagal BDAR reikės pridėti keletą elementų:
- Paaiškinkite savo teisėtą duomenų tvarkymo pagrindą
- Paaiškinkite duomenų saugojimo laikotarpius
- Apibūdinkite asmens teises, susijusias su skundų pateikimo procesu
- BDAR teigia, kad ši informacija turi būti pateikta glaustai, aiškiai ir lengvai suprantama kalba.
Skaitykite plačiau: Svetainės privatumo politika
4. Pasitikrinkite, ar Jūsų procedūros saugo asmenų teises
BDAR asmenims suteikia eilę teisių ir laisvių, susijusių su jų duomenimis.
Jūsų atsakomybėje yra užtikrinti, kad Jūsų įmonės veiksmai šias teises įvykdo.
Šios teisės turi būti gerbiamos:
- Teisė būti informuotam
- Teisė susipažinti
- Teisė ištaisyti
- Teisė sunaikinti ir teisė „būti pamirštam“
- Teisė apriboti
- Teisė į duomenų perkeliamumą
- Teisė nesutikti, kad būtų tvarkomi asmens duomenys, kai šie duomenys tvarkomi ar ketinami tvarkyti tiesioginės rinkodaros tikslais, įskaitant profiliavimą, kiek jis susijęs su tokia tiesiogine rinkodara
Apgalvokite eilę pavyzdinių situacijų ir išbandykite kiekvieną scenarijų, kad tiksliai suprastumėte, kaip organizacija turės atsakyti į šiuos paklausimus.
Tiek svetainės privatumo politika, tiek darbuotojų asmens duomenų saugojimo politika, tiek duomenų apsaugos politika turi šias teises ginti.
Jeigu dar neturite procedūrų, kurios šias teises gintų, labai svarbu šias procedūras pasirengti.
5. Pasiruoškite subjektų prieigos prašymams
BDAR suteikia asmenims daugiau teisių naudotis savo duomenimis.
Jūsų organizacija turi pateikti tinkamas priemones, kad galėtumėte pasiekti šiuos duomenis. Tai gali būti tiesiog atsakymas į prieigos prašymus, kaip ir kada jie atvyksta, arba galite apsvarstyti galimybę sukurti sistemą, pagal kurią vartotojai galėtų susipažinti su savo įrašais.
Kaip jūs nuspręsite tai įgyvendinti, priklauso nuo konkrečių jūsų organizacijos sąlygų.
Pritaikant ICO pateiktas gaires:
- Daugeliu atvejų negalėsite imti pinigų už prašymo vykdymą
- Jums reikės mėnesio, kad atitiktumėte
- Galite atsisakyti arba apmokestinti akivaizdžiai nepagrįstus prašymus arba jų yra per daug
- Jei atsisakote pateikti užklausą, turite pasakyti asmeniui, kodėl ir tai, kad jie turi teisę pateikti skundą Valstybinei duomenų apsaugos inspekcijai ir ginti savo teises teisme. Jūs turite tai padaryti be nepagrįsto delsimo ir vėliausiai per vieną mėnesį.
6. Nustatykite duomenų tvarkymo teisinį pagrindą
Reglamentas numato 6 teisinius pagrindus duomenų tvarkymui:
- duomenų subjektas davė sutikimą, kad jo asmens duomenys būtų tvarkomi vienu ar keliais konkrečiais tikslais;
- tvarkyti duomenis būtina siekiant įvykdyti sutartį, kurios šalis yra duomenų subjektas, arba siekiant imtis veiksmų duomenų subjekto prašymu prieš sudarant sutartį;
- tvarkyti duomenis būtina, kad būtų įvykdyta duomenų valdytojui taikoma teisinė prievolė;
- tvarkyti duomenis būtina siekiant apsaugoti gyvybinius duomenų subjekto ar kito fizinio asmens interesus;
- tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas;
- tvarkyti duomenis būtina siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų, išskyrus atvejus, kai tokie duomenų subjekto interesai arba pagrindinės teisės ir laisvės, dėl kurių būtina užtikrinti asmens duomenų apsaugą, yra už juos viršesni, ypač kai duomenų subjektas yra vaikas.
Jeigu tvarkote asmens duomenis, Jūsų asmens duomenų tvarkymo taisyklės ir kita dokumentacija turi labai aiškiai nurodyti, koks teisinis pagrindas naudojamas konkrečiam procesui.
7. Peržiūrėkite, kaip prašomas, gaunamas ir užfiksuojamas duomenų subjekto sutikimas
Sutikimas atlieka didelį vaidmenį BDAR-e ir jo kontūrus turi suprasti visi komandos nariai.
8. Įsivertinkite, ar nėra reikalingas amžiaus patikrinimas
Pagal BDAR sutikimas yra labai svarbus. Tačiau ne visi asmenys internete turi veiksnumą duoti sutikimą. Vaikai – ypatingai jautrių asmens duomenų subjektų grupė.
Turite įvertinti savo taisyklių aprašus, galbūt reikalinga įrengti sistemas, apsaugančias vaikus, kurie negali duoti sutikimo dėl jų duomenų rinkimo ir tvarkymo.
Turite atlikti žingsnius, užtikrinančius, kad vaikai gali suprasti Jūsų prašymus duoti sutikimą ir kad asmens, turinčio tėvų atsakomybę, sutikimas buvo duotas.
9. Užtikrinkite, kad turite procedūras pažeidimams
Turite įsitikinti, kad jūsų procedūros apima duomenų pažeidimų aptikimą, ataskaitų teikimą ir tyrimą bei pavojų asmens duomenims.
Pažeidimo atveju bendrovė privalo apie tai pranešti Valstybinei asmens duomenų apsaugos inspekcijai per 72 valandas. Geriausia praktika yra informuoti reguliavimo instituciją kuo greičiau.
Tas pats pasakytina apie tuos asmenis, apie kuriuos turite duomenų. Organizacija turi susisiekti su bet kuriais asmenimis, kad žinotų, jog jų duomenys buvo pažeisti, jei tai gali sukelti pavojų jų teisėms ar laisvėms.
Yra keletas išimčių:
- Jei duomenys buvo užkoduoti taip, kad būtų nesuprantami
- Jei duomenų valdytojas ėmėsi reikiamų veiksmų, kad įsitikintų, jog pažeidimas nekelia pavojaus teisėms ar laisvėms
- Jei tai pareikalautų neproporcingai daug pastangų informuoti kiekvieną asmenį. Pagal šį scenarijų pakanka viešo paskelbimo.
10. Atlikite reikiamus vertinimus
Yra keletas standartinių įvertinimų, kuriuos turėtumėte atlikti, kad įsitikintumėte, jog pritaikote duomenų apsaugą.
Pritaikytosios duomenų apsaugos požiūrio laikymasis pripažįstamas gera praktika. Poveikio duomenų apsaugai vertinimas (PDAV) laikytinas jos dalimi.
ICO teikia šias rekomendacijas: PDAV yra reikalingas situacijose, kur asmenims gali kilti aukšta duomenų tvarkymo rizika, pavyzdžiui:
- kur įdiegiama nauja technologija
- kur profiliavimo operacija gali gerokai paveikti asmenis; arba
- kur yra didelės apimties specialių kategorijų duomenų apdorojimas.
Rekomenduojama perskaityti ICO rekomendacinį dokumentą apie PDAV ir 29 straipsnio darbo grupės nurodymus.
Gali būti naudingas Poveikio duomenų apsaugai vertinimo veiksmų planas.
Šiame žingsnyje naudojama Poveikio duomenų apsaugai vertinimo priemonė ir Poveikio duomenų apsaugai vertinimo lentelė. Šių priemonių naudojimas numatomas lokaliniame dokumente Poveikio duomenų apsaugai vertinimo tvarka.
11. Paskirkite duomenų apsaugos pareigūną
Jei dar nesate paskyrę duomenų apsaugos pareigūno, dabar pats laikas tai padaryti.
Jei šį veiksmų planą pirmą kartą naudojate visai jūsų organizacijai, šiuo metu neturite duomenų apsaugos pareigūno.
Jei šį veiksmų planą naudojate kaip mažesnė komanda, esanti didesnėje organizacijoje, šį veiksmų planą galite grąžinti savo duomenų apsaugos pareigūnui.
ICO teigia, kad turime oficialiai paskirti duomenų apsaugos pareigūną, jei taikomos tam tikros sąlygos:
- valdžios institucija (išskyrus teismus, vykdančius teisminius įgaliojimus);
- organizacija, kuri atlieka reguliarią ir sisteminę asmenų stebėseną didelio masto; arba
- organizacija, atliekanti didelės apimties specialių duomenų kategorijų apdorojimą, pavyzdžiui, sveikatos įrašus ar informaciją apie nuosprendžius.
12. Nustatykite savo duomenų apsaugos priežiūros instituciją
Jei jūsų organizacija veikia daugiau nei vienoje ES valstybėje narėje, svarbu nustatyti, kuri institucija veiks kaip jūsų pagrindinė duomenų apsaugos priežiūros institucija.
ICO pateikia šias gaires:
Pagrindinė institucija yra valstybės, kurioje yra jūsų pagrindinė įstaiga, priežiūros institucija. Jūsų pagrindinė įstaiga yra vieta, kurioje yra jūsų centrinė administracija ES, arba vieta, kurioje priimami ir įgyvendinami sprendimai dėl tvarkymo tikslų ir priemonių.
Tai svarbu tik tais atvejais, kai atliekate tarpvalstybinį apdorojimą, t.y. jūs turite padalinių daugiau nei vienoje ES valstybėje narėje arba turite vieną įmonę ES, kuri vykdo tvarkymą, darantį didelę įtaką kitų ES valstybių gyventojams.