Valstybinė duomenų apsaugos inspekcija (toliau – VDAI) parengė 12 žingsnių rekomendacijas, kuriomis galite vadovautis, kad pasiruoštumėte nuo 2018 m. gegužės 25 d. taikyti Bendrąjį duomenų apsaugos reglamentą (ES) 2016/679 (toliau – Reglamentas (ES) 2016/679). Šios rekomendacijos, pritaikius Lietuvai, buvo parengtos pagal Jungtinės Karalystės Informacijos komisionieriaus tarnybos (Information Commissioner‘s Offise) parengtas gaires „Preparing for the General Data Protection Regulation (GDPR). 12 steps to take now“, kurias galite rasti adresu https://ico.org.uk/media/1624219/preparing-for-the-gdpr-12-steps.pdf
Pagrindinės Reglamento (ES) 2016/679 sąvokos ir principai yra beveik tokie patys, kaip ir šiuo metu Lietuvoje galiojančiuose asmens duomenų apsaugą reglamentuojančiuose teisės aktuose, tačiau Reglamentas (ES) 2016/679 numato ir tam tikrų svarbių naujovių bei pokyčių. Suprasti esminius skirtumus tarp dabartinio teisinio reglamentavimo ir Reglamento (ES) 2016/679 Jums padės šie 12 žingsnių bei kita informacija.
Labai svarbu pradėti ruoštis įgyvendinti Reglamentą (ES) 2016/679 kuo anksčiau, nes atsižvelgiant į Reglamento (ES) 2016/679 nuostatas, susijusias su skaidrumu ar asmens teisių įgyvendinimu, Jums, pavyzdžiui, gali prireikti įdiegti naujas procedūras, o tam gali prireikti nemažų finansinių, informacinių technologijų, personalo, valdymo ar kitų išteklių.
Reglamente (ES) 2016/679 didelis dėmesys skiriamas duomenų valdytojų atskaitomybei, todėl tam, kad įrodytumėte, jog laikotės Reglamento (ES) 2016/679, turėtumėte tvarkyti asmens duomenų tvarkymo veiklos, už kurią esate atsakingi, įrašus.
Siekdami įgyvendinti šiame dokumente išvardytus 12 žingsnių, Jūs turėtumėte peržiūrėti, kokie asmens duomenys vykdant veiklą Jūsų įmonėje yra tvarkomi ir kokia yra jų apsauga. Vienas iš aspektų galėtų būti sudarytų asmens duomenų teikimo sutarčių ir kitų susitarimų peržiūrėjimas.
Svarbu atkreipti dėmesį, kad kai kurios Reglamento (ES) 2016/679 dalys turės daugiau įtakos tam tikrų juridinių asmenų veiklai (pavyzdžiui, nuostatos, susijusios su profiliavimu ar vaikų asmens duomenų tvarkymu), todėl patartina išnagrinėti ir nustatyti, kurios Reglamento (ES) 2016/679 nuostatos turės didžiausios įtakos Jūsų veiklai ir pasiruošimo metu skirti toms sritims daugiausiai dėmesio.
1. SĄMONINGUMAS. Turite įsitikinti, kad Jūsų organizacijoje asmenys, priimantys sprendimus, būtų informuoti, jog nuo 2018 m. gegužės 25 d. pradedamas tiesiogiai taikyti Bendrasis duomenų apsaugos reglamentas (ES) 2016/679 (toliau – Reglamentas (ES) 2016/679).
2. INFORMACIJA, KURIĄ JŪS TURITE (TVARKOMI ASMENS DUOMENYS). Jūs turėtumėte aprašyti asmens duomenų tvarkymo procesus, t. y., kokius asmens duomenis tvarkote, iš kur jie yra gauti ar kam jie yra teikiami. Jums gali prireikti atlikti tvarkomų asmens duomenų auditą.
3. INFORMACIJOS APIE PRIVATUMĄ PATEIKIMAS. Turėtumėte peržiūrėti savo organizacijos asmens duomenų tvarkymo taisykles (ar privatumo politiką) ir susiplanuoti reikiamus pakeitimus, susijusius su Reglamento (ES) 2016/679 taikymu.
4. DUOMENŲ SUBJEKTŲ TEISĖS. Turėtumėte peržiūrėti, kaip įgyvendinate duomenų subjekto teises bei įsitikinti, kad jos visos bus įgyvendintos, įskaitant duomenų subjekto teisę reikalauti ištrinti duomenis („teisė būti pamirštam“) ar teisę į duomenų perkeliamumą įprastai naudojamu ir kompiuterio skaitomu formatu.
5. DUOMENŲ SUBJEKTO PRAŠYMŲ DĖL TEISĖS SUSIPAŽINTI ĮGYVENDINIMAS. Turėtumėte atsinaujinti taisykles ir procedūras, atsižvelgiant į Reglamente (ES) 2016/679 įtvirtintus terminus duomenų subjekto prašymams įgyvendinti.
6. ASMENS DUOMENŲ TVARKYMO TEISINIS PAGRINDAS. Turėtumėte peržiūrėti ir įvertinti, kokius asmens duomenis ir kokiais teisiniais pagrindais vadovaudamiesi tvarkote.
7. SUTIKIMAS. Turėtumėte peržiūrėti, kaip prašote, gaunate ir užfiksuojate duomenų subjekto sutikimą ir ar Jums nereikia atlikti kokių nors pakeitimų, susijusių su sutikimo gavimu.
8. VAIKAI. Turėtumėte pagalvoti apie sistemų, kurios galėtų patikrinti asmenų amžių, įdiegimą bei apie tai, kaip galėtų būti gaunamas tėvų arba teisėtų atstovų sutikimas dėl vaikų asmens duomenų tvarkymo.
9. ASMENS DUOMENŲ SAUGUMO PAŽEIDIMAI. Turite įsitikinti, kad esate nustatę tinkamas procedūras, kaip aptikti, pranešti ir ištirti asmens duomenų saugumo pažeidimus.
10. PRITAIKYTOJI DUOMENŲ APSAUGA IR POVEIKIO DUOMENŲ APSAUGAI VERTINIMAS. Gera praktika pripažįstamas pritaikytosios (angl. by design) duomenų apsaugos požiūrio laikymasis, o poveikio duomenų apsaugai vertinimas laikytinas jos dalimi. Pritaikytoji duomenų apsauga ir duomenų kiekio mažinimas visada buvo laikomi besąlygiškais asmens duomenų apsaugos principais. Taigi, Reglamente (ES) 2016/679 šie principai įtvirtinti kaip aiškūs teisiniai reikalavimai.
11. DUOMENŲ APSAUGOS PAREIGŪNAS. Turėtumėte paskirti duomenų apsaugos pareigūną savo organizacijoje, jeigu tokio reikia, ar kitą asmenį iš išorės, kuris būtų atsakingas už asmens duomenų apsaugos reikalavimų laikymąsi, ir įvertinti šios pareigybės padėtį organizacijoje.
12. TARPTAUTINIS ELEMENTAS. Jeigu Jūsų organizacija veikia tarptautiniu mastu, Jūs turėtumėte nuspręsti, su kuria duomenų apsaugos priežiūros institucija bendradarbiausite.
Valstybinė duomenų apsaugos inspekcija (toliau – VDAI) parengė 12 žingsnių rekomendacijas Pasirengimas taikyti BDAR (.PDF)