Po beveik ketverius metus trukusių derybų, Europos Parlamentas ir Europos Taryba neoficialiai susitarė dėl asmens duomenų apsaugos reformos. Reformą sudaro Bendrasis duomenų apsaugos reglamentas ir Duomenų apsaugos direktyva, skirta teisėsaugos institucijoms. Teisės aktai bus galutinai patvirtinti šiais metais ir pradėti taikyti po dvejų metų nuo jų įsigaliojimo dienos. Žemiau apžvelgsime kaip Bendrajame duomenų apsaugos reglamente įtvirtintos naujovės paveiks vartotojų, besidalinančių savo asmens duomenimis ir tuos duomenis tvarkančių organizacijų, kasdienybę.

Reglamentas iš vartotojo perspektyvos

Naujasis reglamentas siekia pakeisti jėgų pusiausvyrą tarp vartotojų (duomenų subjektų) ir bendrovių bei institucijų valdančių ir tvarkančių jų duomenis (duomenų valdytojai ir tvarkytojai), suteikdamas vartotojams daugiau galimybių kontroliuoti savo duomenis. Naujovės apima:

- Aiškesnį informavimą apie duomenų tvarkymą. Pareigą įrodyti, kad gavo vartotojo sutikimą tvarkyti jo duomenis turės duomenų valdytojas. Kad tokį sutikimą gautų, bendrovės turės pateikti prašymą tvarkyti duomenis atskirai nuo kitų klausimų (pvz. atskirai nuo vartojimo sąlygų), paprasta forma bei aiškia ir suprantama kalba. Asmuo bus informuojamas ne tik kokiu teisiniu pagrindu ir kokiu tikslu jo duomenys yra tvarkomi, bet taip pat ir apie tai ar šiuos duomenis yra ketinama perduoti už ES ribų, bei kokį laikotarpį duomenys bus saugomi.

- Teisę būti pamirštam. Vartotojai galės reikalauti, kad bendrovės ištrintų ir toliau nebetvarkytų jų asmens duomenų. Tačiau toks asmens reikalavimas nebus tenkinamas, jeigu to reikalauja saviraiškos ar informacijos laisvės interesas, jeigu konkrečiu atveju asmens duomenys tvarkomi vykdant teisinę prievolę, atliekant pavestas viešosios valdžios funkcijas arba dėl viešojo intereso tenkinimo visuomenės sveikatos srityje, taip pat archyvavimo, mokslinių ir istorinių tyrimų bei statistinių tikslų įgyvendinimo, ar teisinių reikalavimų gynimo tikslais.




- Teisę į duomenų perkėlimą. Vartotojai galės lengvai perkelti savo duomenis tarp skirtingų paslaugų teikėjų. Tai reiškia, paslaugas teikianti bendrovės turės būti pasirengusi pateikti vartotojo asmens duomenis susistemintu formatu, tinkamu naudojimui kitoje bendrovėje.

- Teisę sužinoti, jei prieigą prie jūsų asmens duomenų gavo įsilaužėliai. Bendrovės ir organizacijos turi pranešti vartotojams apie šiurkščius jų duomenų apsaugos pažeidimus, jeigu tokie pažeidimai galėtų kelti aukštą riziką asmenų teisėms ir laisvėms. Toks pranešimas turės būti padarytas kaip galima greičiau, kad vartotojai galėtų imtis atitinkamų priemonių. Apie įvairaus lygio pažeidimus bendrovės turės pranešti ir nacionalinei priežiūros institucijai (Lietuvoje – Duomenų apsaugos inspekcijai).

- Veiksmingesnę pažeistų teisių gynybą. Jeigu vartotojai manys, kad bendrovės ar institucijos pažeidžia Reglamentą, jie galės kreiptis į nacionalinę priežiūros instituciją arba savo gyvenamojoje vietoje, ar toje valstybėje, kur buvo padarytas pažeidimas. Siekiant, kad šios institucijos geriau bendradarbiautų tarpusavyje ir užtikrintų lygiavertę teisių apsaugą visoje ES, įsteigiama Europos duomenų apsaugos valdyba, ir numatomi vieningos praktikos formavimo mechanizmai.

Reglamentas iš bendrovių ir institucijų perspektyvos



Naujasis reglamentas iš duomenų valdytojų ir tvarkytojų pareikalaus ne tik dar didesnės veiklos atskaitomybės ir įpareigos nuosekliau vertinti duomenų tvarkymo pažeidimų riziką, bet tam tikrais atvejais ir sumažins administracinę naštą. Visa tai bus įgyvendinta šiais būdais:

- Vadovaujamasi vienu teisės aktu visoje Europoje ir taikomas „vieno langelio“ principas. Europoje veiklą vykdantys duomenų valdytojai ir tvarkytojai vadovausis vienu teisės aktu, nustatančiu vienodas taisykles visoje ES ir panaikinančiu iki šiol buvusias skirtingas nuostatas 28 valstybėse. Pagal „vieno langelio“ principą, jų priežiūrą atliks vadovaujanti priežiūros institucija, kuri glaudžiai bendradarbiaus su kitų šalių asmens duomenų priežiūros institucijomis. Tokiu būdu, pažeidimų atvejais bus atliekamas vienas tyrimas ir bendrovės bendradarbiaus tik su viena institucija.

- Nebeliks pareigos pranešti apie duomenų tvarkymą įgaliotai institucijai. Įmonės ir organizacijos, ketindamos vykdyti visiškai ar iš dalies automatinį duomenų tvarkymą, nebeprivalės apie tai pranešti iš anksto pranešti asmens duomenų priežiūros institucijai.

- Bus skiriamas duomenų apsaugos pareigūnas ir atliekamas poveikio duomenų apsaugai vertinimas. Bendrovės, kurių pagrindinė veikla yra duomenų tvarkymo operacijos, bei institucijos, tvarkančios asmens duomenis apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas, privalės savo įstaigoje paskirti duomenų apsaugos pareigūną, kuris prižiūrės asmens duomenų apsaugos reikalavimų laikymąsi. Tais atvejais, kai dėl duomenų tvarkymo rūšies, pobūdžio, apimties, konteksto ir tikslų galės kilti didelis pavojus asmenų teisėms ir laisvėms, bendrovės, prieš pradėdamos tvarkyti duomenis, turės atlikti duomenų tvarkymo operacijų poveikio asmens duomenų apsaugai vertinimą. Asmens duomenų priežiūros institucija sudarys ir viešai paskelbs operacijų, kurioms bus taikomas šis reikalavimas, sąrašą.

- Griežtesnė administracinė atsakomybė už padarytus pažeidimus. Bendrovės ir institucijos turės imtis visų įmanomų priemonių, užtikrinančių tinkamą asmens duomenų apsaugos reikalavimų laikymąsi. Priešingu atveju grės didžiulės sankcijos: piniginės baudos iki 20 mln. eurų arba iki 4 proc. ankstesnių finansinių metų bendros metinės pasaulinės apyvartos.



Akivaizdu, kad reglamentas atneš esminių pokyčių duomenų tvarkymo srityje. Svarbu nepamiršti, kad jis bus taikomas visiems duomenų valdytojams ir tvarkytojams: valstybės institucijoms, mažoms įmonėms, didelėms korporacijoms, nevyriausybinėms organizacijoms. Pagrindinis klausimas yra, kaip kiekviena iš jų yra pasirengusi kokybiškai atlikti privatumo rizikų vertinimą viduje, susistyguoti duomenų tvarkymo procesus bei efektyviai įgyvendinti vartotojų, klientų ar paslaugų gavėjų teises duomenų apsaugos srityje.

Pavyzdžiui, 2016 m. pristatyto „Blancco Technology Group“ tyrimo duomenimis, nors tarptautinių bendrovių IT specialistų suvokimas apie Bendrąjį duomenų apsaugos reglamentą siekia 48 proc., jų pasirengimo lygis yra kur kas mažesnis. 40 proc. respondentų pripažino esantys ne visiškai pasirengę, 16 proc. dar reikia surasti tinkamą duomenų trynimo programinę įrangą, 9 proc. nežino nuo ko pradėti, o 15 proc. nežino, ar yra pasiruošę. Nors tikėtina, kad Duomenų apsaugos reglamentas įsigalios tik 2018 m., pasiruošimą jo įgyvendinimui vertėtų pradėti jau dabar.

Straipsnį parengė Raminta Šulskutė


Susitarimu dėl Komisijos ES duomenų apsaugos reformos bus sutvirtinta bendroji skaitmeninė rinka

Briuselis, 2015 m. gruodžio 15 d.

Europos Komisija 2012 m. pristatė ES duomenų apsaugos reformą, skirtą parengti Europą skaitmeniniam amžiui (IP/12/46).

Europos Komisija 2012 m. pristatė ES duomenų apsaugos reformą, skirtą parengti Europą skaitmeniniam amžiui (IP/12/46). Po galutinių derybų su Europos Parlamentu ir Taryba (vadinamojo trišalio dialogo) šiandien pasiektas susitarimas su šiomis institucijomis.

Daugiau kaip 90 proc. europiečių teigia norintys vienodų duomenų apsaugos teisių visoje ES, kad ir kur būtų tvarkomi jų duomenys. Greitai tai taps tikrove. Reformos dokumentų rinkiniu bus panaikinta dabartinė ES duomenų apsaugos taisyklių fragmentacija.

Už bendrąją skaitmeninę rinką atsakingas Komisijos pirmininko pavaduotojas Andrusas Ansipas sakė: „Šiandieninis susitarimas – reikšmingas žingsnis link bendrosios skaitmeninės rinkos. Jis panaikins kliūtis ir atvers galimybes. Skaitmeninė Europos ateitis tegali būti grindžiama pasitikėjimu. Nustačius tvirtus bendrus duomenų apsaugos standartus, žmonės galės būti užtikrinti, kad kontroliuoja savo asmeninę informaciją. Jie taip pat galės naudotis visomis bendrosios skaitmeninės rinkos paslaugomis ir galimybėmis. Neturėtume manyti, kad privatumas ir duomenų apsauga varžo ekonominę veiklą. Iš tikrųjų tai esminis konkurencinis pranašumas. Šiandieniniu susitarimu dedamas tvirtas pagrindas, kad Europa galėtų kurti naujoviškas skaitmenines paslaugas. Dabar turime pašalinti nepagrįstas kliūtis duomenims keliauti tarp valstybių, susijusias su vietos veikla ir kartais nacionaline teise, kuriomis ribojamas tam tikrų duomenų saugojimas ir tvarkymas ne šalies teritorijoje. Tad ženkime pirmyn ir kurkime Europos Sąjungoje atvirą ir klestinčią duomenų ekonomiką, grindžiamą aukščiausiais duomenų apsaugos standartais ir nevaržomą nepagrįstų kliūčių.“

Už teisingumą, vartotojų reikalus ir lyčių lygybę atsakinga Komisijos narė Věra Jourová sakė: „Šiandien tesime Junckerio Komisijos pažadą 2015 m. užbaigti duomenų apsaugos reformą. Naujosios bendraeuropinės taisyklės naudingos ir piliečiams, ir įmonėms. Piliečiai ir įmonės gaus naudos dėl aiškių taisyklių, atitinkančių skaitmeninio amžiaus poreikius, užtikrinančių tvirtą apsaugą, kuriančių galimybes ir skatinančių inovaciją Europos bendrojoje skaitmeninėje rinkoje. O suderinus duomenų apsaugos taisykles, skirtas policijos ir baudžiamosios teisenos institucijoms, palengvės valstybių narių bendradarbiavimas teisėsaugos srityje, grindžiamas tarpusavio pasitikėjimu, ir bus pasitarnauta Europos saugumo darbotvarkei.

Reformą sudaro dvi priemonės:

dėl Bendrojo duomenų apsaugos reglamento žmonės galės geriau kontroliuoti savo asmens duomenis. Be to, atnaujintos ir suvienodintos taisyklės leis įmonėms visapusiškai išnaudoti bendrosios skaitmeninės rinkos galimybes – ne tik dėl sumažėjusio biurokratizmo, bet ir dėl išaugusio vartotojų pasitikėjimo;

Duomenų apsaugos direktyva, skirta policijos ir baudžiamosios teisenos sektoriams, bus užtikrinta tinkama nukentėjusiųjų, liudytojų ir įtariamųjų nusikaltimo padarymu duomenų apsauga baudžiamajame tyrime ir teisėsaugos veikloje. Be to, dėl geriau suderintų teisės aktų palengvės tarpvalstybinis policijos ir prokurorų bendradarbiavimas ir visoje Europoje bus veiksmingiau kovojama su nusikalstamumu ir terorizmu.

Viena svarbiausių piliečių teisių

Dėl šios reformos žmonės atgaus savo asmens duomenų kontrolę. Vadovaujantis neseniai atlikta „Eurobarometro“ apklausa, du trečdaliai (67 proc.) europiečių nurodė, kad jiems kelia nerimą tai, kad jie negali visiškai kontroliuoti informacijos, kurią pateikia internete. Septyni iš dešimties europiečių nerimauja dėl to, kaip bendrovės gali panaudoti atskleistą informaciją. Duomenų apsaugos reforma bus sutvirtinta žmonių teisė į duomenų apsaugą – tai viena iš pagrindinių teisių ES; be to, jie įgis daugiau pasitikėjimo, pateikdami asmens duomenis.

Naujosiomis taisyklėmis šie susirūpinimą keliantys klausimai sprendžiami sustiprinant esamas teises ir suteikiant asmenims daugiau galimybių kontroliuoti savo asmens duomenis. Visų pirma tai apima:

lengvesnę prieigą prie savo duomenų – asmenys turės daugiau aiškios ir suprantamos informacijos apie tai, kaip tvarkomi jų duomenys;
teisę į duomenų perkeliamumą – bus lengviau perkelti savo asmens duomenis tarp paslaugų teikėjų;
patikslintą „teisę būti pamirštam“ – kai nebenorėsite, kad jūsų duomenys būtų tvarkomi, ir jei nėra teisėto pagrindo juos išsaugoti, duomenys bus ištrinti;
teisę sužinoti, jei prieigą prie jūsų asmens duomenų gavo įsilaužėliai. Pavyzdžiui, bendrovės ir organizacijos turi pranešti nacionalinei priežiūros institucijai apie šiurkščius duomenų apsaugos pažeidimus kaip galima greičiau, kad naudotojai galėtų imtis atitinkamų priemonių.

Aiškios šiuolaikiškos taisyklės įmonėms

Šiandieninėje skaitmeninėje ekonomikoje asmens duomenys įgijo milžinišką ekonominę reikšmę, ypač kai kalbama apie didžiuosius duomenis. Suvienodindami Europos duomenų apsaugos taisykles, įstatymų leidėjai atveria verslo galimybę ir skatina inovaciją.

Vienas žemynas – vienas teisės aktas. Reglamentu bus nustatytas vienas taisyklių rinkinys, o tai leis įmonėms paprasčiau ir pigiau užsiimti verslu Europos Sąjungoje.
Vieno langelio principas. Įmonėms reikės bendrauti tik su viena priežiūros institucija. Numatoma, kad dėl to bus sutaupyta 2,3 mlrd. EUR per metus.
Europos žemėje – europietiškos taisyklės. ES paslaugas teikiančios ne Europos bendrovės privalės vadovautis tokiomis pačiomis taisyklėmis.
Grėsme pagrįstas požiūris. Taisyklėmis bus vengiama nustatyti apsunkinančią bendrą prievolę, taisykles pritaikant atitinkamoms grėsmėms.
Inovacijai tinkamos taisyklės. Reglamentu bus užtikrinta, kad nuo pat produktų ir paslaugų kūrimo pradžios bus atsižvelgiama į duomenų apsaugos priemones (integruota duomenų apsauga). Bus skatinama naudoti privatumo apsaugos būdus – pavyzdžiui, pseudonimus – kad didžiųjų duomenų inovacijų naudą būtų galima išnaudoti išsaugant privatumą.

Nauda ir dideliems, ir mažiems

Duomenų apsaugos reforma bus paskatintas ekonomikos augimas, nes Europos įmonėms – ypač mažosioms ir vidutinėms įmonėms (MVĮ) – sumažės išlaidų ir biurokratizmo. ES duomenų apsaugos reforma leis MVĮ įžengti į naujas rinkas. Pagal naująsias taisykles MVĮ gaus naudos dėl ketveriopo biurokratizmo sumažinimo:

nebeliks pranešimų. Pranešimai duomenų apsaugos institucijoms yra formalumas, kasmet įmonėms kainuojantis 130 mln. EUR. Šia reforma jie bus visiškai panaikinti.
Svarbus kiekvienas centas. Nustačius, kad prašymai suteikti prieigą prie duomenų aiškiai nepagrįsti arba pertekliniai, MVĮ galės imti prieigos mokestį.
Duomenų apsaugos pareigūnai. MVĮ netaikoma pareiga paskirti duomenų apsaugos pareigūną, jei duomenų tvarkymas nėra pagrindinė jų verslo veikla.
Poveikio vertinimai. Jei nėra didelio pavojaus, MVĮ neprivalės atlikti poveikio vertinimo.

Asmens duomenų apsauga teisėsaugos srityje

Geresnis teisėsaugos institucijų bendradarbiavimas

Priėmus naująją Duomenų apsaugos direktyvą, skirtą policijos ir baudžiamosios teisenos institucijoms, ES valstybių narių teisėsaugos institucijos galės efektyviau ir veiksmingiau keistis tyrimams reikalinga informacija, todėl pagerės bendradarbiavimas Europoje, kovojant su terorizmu ir kitais sunkiais nusikaltimais.

Duomenų apsaugos direktyvoje, skirtoje policijos ir baudžiamosios teisenos institucijoms, atsižvelgiama į specifinius teisėsaugos poreikius ir paisoma skirtingų valstybių narių teisės tradicijų; direktyva visiškai atitinka Pagrindinių teisių chartiją.

Geresnė piliečių duomenų apsauga

Bus geriau saugomi piliečių asmens duomenys, tvarkomi visais teisėsaugos tikslais, įskaitant nusikalstamumo prevenciją. Geriau bus saugomi visi – nesvarbu, ar nukentėjusieji, ar nusikaltėliai ar liudytojai. Bet koks teisėsaugos vykdomas duomenų tvarkymas Sąjungoje turi atitikti būtinumo, proporcingumo ir teisėtumo principus, o asmenims turi būti užtikrintos deramos apsaugos priemonės. Priežiūrą užtikrina nepriklausomos nacionalinės duomenų apsaugos institucijos; be to, turi būti suteiktos veiksmingos teisminio teisių gynimo priemonės.

Duomenų apsaugos direktyva, skirta policijos ir baudžiamosios teisenos institucijoms, nustatomos aiškios teisėsaugos institucijų vykdomo asmens duomenų perdavimo už ES ribų taisyklės, siekiant užtikrinti, kad nesumažėtų ES asmenims garantuojamos apsaugos lygis.

Tolesni veiksmai

Trišalio dialogo metu pasiekus politinį susitarimą, Europos Parlamentas ir Taryba oficialiai priims galutinius tekstus 2016 m. pradžioje. Naujosios taisyklės bus pradėtos taikyti praėjus dvejiems metams.

Komisija glaudžiai bendradarbiaus su valstybių narių duomenų apsaugos institucijomis, kad užtikrintų vienodą naujųjų taisyklių taikymą. Per dvejų metų pereinamąjį laikotarpį Komisija informuos piliečius apie jų teises, o bendroves – apie jų pareigas.

Duomenų apsaugos institucijos ateityje nagrinėdamos tarpvalstybines duomenų apsaugos bylas glaudžiau bendradarbiaus, ypač naudodamosi vieno langelio mechanizmu.

Pagrindiniai faktai

Duomenų apsaugos dokumentų rinkinys – viena iš svarbiausių Bendrosios skaitmeninės rinkos sukūrimo ir ES saugumo darbotvarkės įgyvendinimo sąlygų.

Duomenų apsaugos reformos dokumentų rinkinys, kurį Europos Komisija pasiūlė 2012 m. sausio mėn. (žr. IP/12/46), apima Bendrąjį duomenų apsaugos reglamentą ir Duomenų apsaugos direktyvą, skirtą policijos ir baudžiamosios teisenos institucijoms. Juo atnaujinamos ir pakeičiamos dabartinės duomenų apsaugos taisyklės, grindžiamos 1995 m. Duomenų apsaugos direktyva ir 2008 m. Pamatiniu sprendimu, skirtu policijos ir baudžiamosios teisenos sektoriams.

Daugiau informacijos

ES duomenų apsaugos reforma