Duomenų teisių ir BDAR supratimas: išsamus vadovas pasaulinei auditorijai

Šiuolaikiniame skaitmeniniame amžiuje asmens duomenys yra vertinga prekė. Jie skatina viską – nuo personalizuotos reklamos iki sudėtingų dirbtinio intelekto algoritmų. Tačiau šių duomenų rinkimas, tvarkymas ir saugojimas kelia rimtų privatumo problemų. Būtent čia įsigalioja duomenų teisės ir tokie reglamentai kaip Bendrasis duomenų apsaugos reglamentas (BDAR). Šiuo išsamiu vadovu siekiama išaiškinti šias sąvokas asmenims ir įmonėms visame pasaulyje.

Kas yra duomenų teisės?

Duomenų teisės – tai pagrindinės teisės, kurias asmenys turi, susijusios su jų asmens duomenimis. Šios teisės suteikia asmenims galią kontroliuoti, kaip jų informacija yra renkama, naudojama ir bendrinama. Jos yra įtvirtintos įvairiuose įstatymuose ir reglamentuose visame pasaulyje, o BDAR yra ryškus pavyzdys. Šių teisių supratimas yra labai svarbus norint apsaugoti savo privatumą ir išlaikyti savo skaitmeninio pėdsako kontrolę.

Štai keletas pagrindinių duomenų teisių:

• Teisė susipažinti su duomenimis: Jūs turite teisę žinoti, kokius asmens duomenis organizacija turi apie jus ir kaip jie yra tvarkomi.
• Teisė reikalauti ištaisyti duomenis: Jūs turite teisę reikalauti ištaisyti netikslius ar neišsamius asmens duomenis.
• Teisė reikalauti ištrinti duomenis (teisė būti pamirštam): Esant tam tikroms aplinkybėms, jūs turite teisę reikalauti, kad jūsų asmens duomenys būtų ištrinti. Ši teisė nėra absoliuti ir gali būti netaikoma, jei duomenys reikalingi teisiniais tikslais arba sutarčiai vykdyti.
• Teisė apriboti duomenų tvarkymą: Jūs galite apriboti savo duomenų tvarkymą tam tikrose situacijose, pavyzdžiui, jei ginčijate duomenų tikslumą.
• Teisė į duomenų perkeliamumą: Jūs turite teisę gauti savo asmens duomenis susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu bei persiųsti tuos duomenis kitam valdytojui.
• Teisė nesutikti su duomenų tvarkymu: Jūs turite teisę nesutikti, kad jūsų asmens duomenys būtų tvarkomi tam tikromis aplinkybėmis, pavyzdžiui, tiesioginės rinkodaros tikslais.
• Teisė būti informuotam: Organizacijos privalo jums pateikti aiškią ir skaidrią informaciją apie tai, kaip jos renka, naudoja ir saugo jūsų asmens duomenis. Tai apima informaciją apie tvarkymo tikslus, tvarkomų duomenų kategorijas ir duomenų gavėjus.
• Teisės, susijusios su automatizuotu sprendimų priėmimu ir profiliavimu: Jūs turite teisę nebūti subjektu sprendimo, pagrįsto tik automatizuotu tvarkymu, įskaitant profiliavimą, kuris jums sukelia teisines pasekmes arba panašiai reikšmingai jus veikia.

Kas yra Bendrasis duomenų apsaugos reglamentas (BDAR)?

BDAR yra esminis duomenų privatumo reglamentas, kurį Europos Sąjunga (ES) priėmė 2018 metais. Nors jis atsirado ES, jo poveikis yra pasaulinis, nes jis taikomas bet kuriai organizacijai, kuri tvarko ES gyvenančių asmenų asmens duomenis, nepriklausomai nuo to, kur organizacija yra įsikūrusi. BDAR nustato aukštą duomenų apsaugos standartą ir tapo pavyzdžiu panašiems teisės aktams visame pasaulyje.

Pagrindiniai BDAR principai:

• Teisėtumas, sąžiningumas ir skaidrumas: Duomenų tvarkymas turi būti teisėtas, sąžiningas ir skaidrus. Tai reiškia, kad organizacijos privalo turėti teisinį pagrindą asmens duomenims tvarkyti, pavyzdžiui, sutikimą ar teisėtą interesą. Jos taip pat turi būti skaidrios dėl to, kaip renka, naudoja ir saugo asmens duomenis.
• Tikslo apribojimas: Asmens duomenys turi būti renkami nustatytais, aiškiai apibrėžtais ir teisėtais tikslais ir toliau netvarkomi su tais tikslais nesuderinamu būdu.
• Duomenų kiekio mažinimas: Organizacijos turėtų rinkti ir tvarkyti tik tuos asmens duomenis, kurie yra būtini nustatytiems tikslams pasiekti.
• Tikslumas: Asmens duomenys turi būti tikslūs ir prireikus atnaujinami. Organizacijos privalo imtis pagrįstų priemonių, kad netikslūs duomenys būtų ištaisyti arba ištrinti.
• Saugojimo trukmės apribojimas: Asmens duomenys turėtų būti saugomi tokia forma, kuri leistų nustatyti duomenų subjektų tapatybę ne ilgiau, nei tai būtina tikslams, kuriais asmens duomenys yra tvarkomi.
• Vientisumas ir konfidencialumas (saugumas): Asmens duomenys turi būti tvarkomi taip, kad būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo neteisėto ar neteisėto tvarkymo ir nuo atsitiktinio praradimo, sunaikinimo ar sugadinimo, naudojant atitinkamas technines ar organizacines priemones.
• Atskaitomybė: Organizacijos yra atsakingos už tai, kad parodytų, jog laikosi BDAR. Tai apima atitinkamų duomenų apsaugos politikos ir procedūrų įgyvendinimą, poveikio duomenų apsaugai vertinimų (PDAV) atlikimą ir tvarkymo veiklos įrašų tvarkymą.

Kam taikomas BDAR?

BDAR taikomas dviem pagrindiniams subjektų tipams:

• Duomenų valdytojai: Duomenų valdytojas yra organizacija ar asmuo, kuris nustato asmens duomenų tvarkymo tikslus ir priemones. Tai gali būti verslo įmonė, vyriausybinė agentūra ar ne pelno siekianti organizacija.
• Duomenų tvarkytojai: Duomenų tvarkytojas yra organizacija ar asmuo, kuris tvarko asmens duomenis duomenų valdytojo vardu. Tai gali būti debesijos saugyklos teikėjas, rinkodaros agentūra ar duomenų analizės įmonė.

Net jei jūsų organizacija nėra įsisteigusi ES, BDAR vis tiek gali būti taikomas, jei tvarkote ES esančių asmenų asmens duomenis. Tai reiškia, kad įmonės, veikiančios pasauliniu mastu, turi žinoti ir laikytis BDAR.

Pavyzdys: JAV įsikūrusiai el. prekybos įmonei, kuri parduoda produktus klientams ES, taikomas BDAR. Ši įmonė privalo laikytis BDAR reikalavimų dėl savo ES klientų asmens duomenų rinkimo, naudojimo ir apsaugos.

Kas yra asmens duomenys?

Asmens duomenys – tai bet kokia informacija, susijusi su nustatytu ar nustatomu fiziniu asmeniu („duomenų subjektu“). Tai apima platų informacijos spektrą, pavyzdžiui:

• Vardas
• Adresas
• El. pašto adresas
• Telefono numeris
• IP adresas
• Vietos duomenys
• Internetiniai identifikatoriai (slapukai, įrenginių ID)
• Finansinė informacija
• Sveikatos informacija
• Biometriniai duomenys
• Rasinė ar etninė kilmė
• Politinės pažiūros
• Religiniai ar filosofiniai įsitikinimai
• Narystė profesinėse sąjungose
• Genetiniai duomenys

Asmens duomenų apibrėžimas yra platus ir apima bet kokią informaciją, kuri gali būti naudojama tiesiogiai ar netiesiogiai nustatyti asmens tapatybę. Net duomenys, kurie atrodo anonimiški, gali būti laikomi asmens duomenimis, jei juos galima sujungti su kita informacija, norint nustatyti asmens tapatybę.

Teisiniai pagrindai tvarkyti asmens duomenis pagal BDAR

Pagal BDAR reikalaujama, kad organizacijos turėtų teisinį pagrindą asmens duomenims tvarkyti. Kai kurie iš labiausiai paplitusių teisinių pagrindų yra šie:

• Sutikimas: Duomenų subjektas davė aiškų sutikimą, kad jo asmens duomenys būtų tvarkomi vienu ar keliais konkrečiais tikslais. Sutikimas turi būti duotas laisva valia, konkretus, informuotas ir nedviprasmiškas. Organizacijos taip pat turi užtikrinti, kad asmenys galėtų lengvai atšaukti savo sutikimą.
• Sutartis: Tvarkymas yra būtinas sutarčiai, kurios šalis yra duomenų subjektas, vykdyti arba siekiant imtis veiksmų duomenų subjekto prašymu prieš sudarant sutartį. Pavyzdžiui, kliento adreso tvarkymas siekiant įvykdyti užsakymą.
• Teisinė prievolė: Tvarkymas yra būtinas siekiant įvykdyti valdytojui taikomą teisinę prievolę. Pavyzdžiui, darbuotojų duomenų tvarkymas siekiant laikytis mokesčių įstatymų.
• Teisėti interesai: Tvarkymas yra būtinas siekiant teisėtų interesų, kurių siekia valdytojas ar trečioji šalis, išskyrus atvejus, kai tokie interesai yra viršesni už duomenų subjekto interesus ar pagrindines teises ir laisves. Šis pagrindas gali būti sudėtingas ir reikalauja kruopštaus apsvarstymo bei interesų derinimo testo, siekiant užtikrinti, kad organizacijos interesai nepagrįstai nepažeistų duomenų subjekto teisių.
• Gyvybiniai interesai: Tvarkymas yra būtinas siekiant apsaugoti duomenų subjekto ar kito fizinio asmens gyvybinius interesus. Tai taikoma situacijose, kai tvarkymas yra būtinas norint apsaugoti kieno nors gyvybę ar sveikatą.
• Viešasis interesas: Tvarkymas yra būtinas siekiant atlikti užduotį, vykdomą viešojo intereso labui, arba vykdant valdytojui pavestas viešosios valdžios funkcijas.

Labai svarbu nustatyti tinkamą teisinį pagrindą asmens duomenims tvarkyti ir tą pagrindą dokumentuoti.

Pagrindinės organizacijų pareigos pagal BDAR

BDAR nustato daugybę pareigų organizacijoms, kurios tvarko asmens duomenis. Šios pareigos apima:

• Poveikio duomenų apsaugai vertinimai (PDAV): Organizacijos privalo atlikti PDAV tvarkymo veiklai, kuri gali sukelti didelį pavojų asmenų teisėms ir laisvėms. PDAV apima tvarkymo būtinumo ir proporcingumo vertinimą, rizikos nustatymą ir vertinimą bei priemonių tai rizikai sumažinti nustatymą.
• Duomenų apsaugos pareigūnas (DAP): Tam tikros organizacijos privalo paskirti DAP. DAP yra atsakingas už duomenų apsaugos atitikties priežiūrą ir patarimų teikimą organizacijai duomenų apsaugos klausimais.
• Pranešimas apie duomenų saugumo pažeidimą: Organizacijos privalo pranešti atitinkamai duomenų apsaugos institucijai apie duomenų saugumo pažeidimą per 72 valandas nuo jo sužinojimo, nebent pažeidimas greičiausiai nesukels pavojaus asmenų teisėms ir laisvėms. Jos taip pat privalo pranešti paveiktiems asmenims, jei pažeidimas gali sukelti didelį pavojų jų teisėms ir laisvėms.
• Pritaikytoji ir standartizuotoji duomenų apsauga: Organizacijos privalo įgyvendinti tinkamas technines ir organizacines priemones, kad užtikrintų, jog duomenų apsauga būtų integruota į jų sistemų ir procesų kūrimą. Jos taip pat turi užtikrinti, kad pagal numatytuosius nustatymus būtų tvarkomi tik tie asmens duomenys, kurie yra būtini kiekvienam konkrečiam tvarkymo tikslui.
• Tarptautinis duomenų perdavimas: BDAR apriboja asmens duomenų perdavimą už Europos ekonominės erdvės (EEE) ribų į šalis, kurios neužtikrina tinkamo duomenų apsaugos lygio. Tačiau perdavimas gali būti atliekamas tam tikromis sąlygomis, pavyzdžiui, naudojant standartines sutarčių sąlygas ar privalomąsias įmonės taisykles.
• Įrašų tvarkymas: Organizacijos privalo tvarkyti išsamius savo tvarkymo veiklos įrašus, įskaitant tvarkymo tikslus, tvarkomų duomenų kategorijas, duomenų gavėjus ir priemones, kurių imtasi duomenų saugumui užtikrinti.
• Duomenų subjektų teisių užklausos: Organizacijos turi būti pasirengusios laiku ir veiksmingai atsakyti į duomenų subjektų teisių užklausas. Tai apima prieigos prie duomenų suteikimą, netikslumų taisymą, duomenų ištrynimą, tvarkymo apribojimą ir duomenų pateikimą perkeliamu formatu.

Kaip laikytis BDAR: praktinis vadovas

Laikytis BDAR gali atrodyti sudėtinga, tačiau tai yra būtina organizacijoms, kurios tvarko ES esančių asmenų asmens duomenis. Štai keletas praktinių žingsnių, kuriuos galite atlikti, kad laikytumėtės BDAR:

1. Įvertinkite savo dabartinę duomenų tvarkymo veiklą: Pirmas žingsnis – suprasti, kokius asmens duomenis jūsų organizacija renka, kaip juos naudoja ir kur saugo. Atlikite duomenų auditą, kad nustatytumėte visą savo duomenų tvarkymo veiklą ir suplanuotumėte asmens duomenų srautą jūsų organizacijoje.
2. Nustatykite savo teisinį pagrindą tvarkymui: Kiekvienai duomenų tvarkymo veiklai nustatykite tinkamą teisinį pagrindą. Dokumentuokite teisinį pagrindą ir užtikrinkite, kad laikotės to teisinio pagrindo reikalavimų.
3. Atnaujinkite savo privatumo politiką: Jūsų privatumo politika turėtų būti aiški, glausta ir lengvai suprantama. Joje turėtų būti paaiškinta, kaip renkate, naudojate ir saugote asmens duomenis, ir ji turėtų informuoti asmenis apie jų teises.
4. Įgyvendinkite tinkamas saugumo priemones: Įgyvendinkite tinkamas technines ir organizacines priemones, skirtas apsaugoti asmens duomenis nuo neteisėtos prieigos, naudojimo, atskleidimo, pakeitimo ar sunaikinimo. Tai apima tokias priemones kaip šifravimas, prieigos kontrolė ir saugumo stebėjimas.
5. Apmokykite savo darbuotojus: Apmokykite savo darbuotojus duomenų apsaugos principų ir reikalavimų. Užtikrinkite, kad jie suprastų savo pareigas ir kaip saugiai tvarkyti asmens duomenis.
6. Sukurkite reagavimo į duomenų pažeidimus planą: Sukurkite planą, kaip reaguoti į duomenų saugumo pažeidimus. Šiame plane turėtų būti nurodyti žingsniai, kurių imsitės, kad suvaldytumėte pažeidimą, įvertintumėte riziką, praneštumėte atitinkamoms institucijoms ir paveiktiems asmenims.
7. Paskirkite duomenų apsaugos pareigūną (jei reikia): Jei jūsų organizacija privalo paskirti DAP, užtikrinkite, kad šias pareigas eitų kvalifikuotas ir patyręs asmuo.
8. Reguliariai peržiūrėkite ir atnaujinkite savo praktiką: Duomenų apsauga yra nuolatinis procesas. Reguliariai peržiūrėkite ir atnaujinkite savo duomenų apsaugos praktiką, kad užtikrintumėte, jog ji išlieka veiksminga ir atitinka BDAR reikalavimus.

BDAR baudos ir sankcijos

Nesilaikant BDAR gali būti skiriamos didelės baudos ir sankcijos. BDAR numato dviejų lygių baudas:

• Iki 10 mln. eurų arba 2 % visos pasaulinės metinės apyvartos praėjusiais finansiniais metais, atsižvelgiant į tai, kuri suma didesnė: Tai taikoma tam tikrų nuostatų pažeidimams, pavyzdžiui, valdytojo ir tvarkytojo pareigoms, pritaikytajai ir standartizuotajai duomenų apsaugai bei įrašų tvarkymui.
• Iki 20 mln. eurų arba 4 % visos pasaulinės metinės apyvartos praėjusiais finansiniais metais, atsižvelgiant į tai, kuri suma didesnė: Tai taikoma rimtesnių nuostatų pažeidimams, pavyzdžiui, principams, susijusiems su tvarkymu, duomenų subjektų teisėms ir asmens duomenų perdavimui į trečiąsias šalis.

Be baudų, organizacijoms taip pat gali būti taikomos kitos sankcijos, pavyzdžiui, nurodymai nutraukti duomenų tvarkymą ar įgyvendinti taisomąsias priemones. Reputacinė žala taip pat gali būti reikšminga nesilaikymo pasekmė.

BDAR ir tarptautinis duomenų perdavimas

BDAR apriboja asmens duomenų perdavimą už Europos ekonominės erdvės (EEE) ribų į šalis, kurios neužtikrina tinkamo duomenų apsaugos lygio. ES Komisija yra pripažinusi, kad tam tikros šalys užtikrina tinkamą apsaugos lygį. Dabartinį sąrašą galima rasti Europos Komisijos svetainėje. Perdavimams į šalis, kurios nebuvo pripažintos kaip užtikrinančios tinkamą apsaugą, reikalingas mechanizmas, užtikrinantis tinkamą apsaugą.

Dažniausi teisėto tarptautinio duomenų perdavimo mechanizmai apima:

• Standartinės sutarčių sąlygos (SSS): Tai yra iš anksto patvirtinti sutarčių šablonai, kurie gali būti naudojami siekiant užtikrinti, kad už EEE ribų perduodamiems duomenims būtų taikomos tinkamos apsaugos priemonės. Europos Komisija teikia ir atnaujina šias sąlygas.
• Privalomosios įmonės taisyklės (PĮT): PĮT yra vidaus duomenų apsaugos politikos, kurias tarptautinės įmonės gali naudoti asmens duomenims perduoti savo įmonių grupėje. PĮT turi patvirtinti duomenų apsaugos institucija.
• Sprendimai dėl tinkamumo: Europos Komisija gali priimti sprendimus dėl tinkamumo, pripažindama, kad tam tikra šalis ar teritorija užtikrina tinkamą duomenų apsaugos lygį. Perdavimams į šalis, kurioms taikomas sprendimas dėl tinkamumo, nereikia jokių papildomų apsaugos priemonių.
• Nukrypti leidžiančios nuostatos: Tam tikrose konkrečiose situacijose duomenų perdavimas gali būti atliekamas remiantis nukrypti leidžiančiomis nuostatomis, pavyzdžiui, gavus aiškų duomenų subjekto sutikimą arba jei perdavimas yra būtinas sutarčiai vykdyti.

Tarptautinio duomenų perdavimo sritis nuolat keičiasi. Svarbu sekti naujausius pokyčius ir užtikrinti, kad turite tinkamas apsaugos priemones bet kokiems tarptautiniams duomenų perdavimams.

BDAR už Europos ribų: pasaulinės pasekmės ir panašūs įstatymai

Nors BDAR yra Europos reglamentas, jo poveikis yra pasaulinis. Jis tapo pavyzdžiu duomenų apsaugos įstatymams daugelyje kitų šalių. Supratus BDAR principus, galima lengviau orientuotis kituose privatumo reglamentuose.

Panašių duomenų privatumo įstatymų pavyzdžiai visame pasaulyje:

• Kalifornijos vartotojų privatumo aktas (CCPA) ir Kalifornijos privatumo teisių aktas (CPRA) (Jungtinės Amerikos Valstijos): Šie įstatymai suteikia Kalifornijos gyventojams teises į savo asmeninę informaciją, įskaitant teisę žinoti, teisę ištrinti ir teisę atsisakyti savo asmeninės informacijos pardavimo.
• Asmens informacijos apsaugos ir elektroninių dokumentų aktas (PIPEDA) (Kanada): Šis įstatymas reglamentuoja asmeninės informacijos rinkimą, naudojimą ir atskleidimą privačiame sektoriuje Kanadoje.
• Bendrasis duomenų apsaugos įstatymas (LGPD) (Brazilija): Šis įstatymas yra panašus į BDAR ir suteikia asmenims teises į savo asmens duomenis, įskaitant teisę susipažinti, teisę ištaisyti ir teisę ištrinti savo asmens duomenis.
• Asmens informacijos apsaugos aktas (POPIA) (Pietų Afrika): Šis įstatymas saugo asmenų asmeninę informaciją Pietų Afrikoje ir reikalauja, kad organizacijos atsakingai tvarkytų asmens duomenis.
• Australijos privatumo aktas 1988 (Australija): Šis aktas reglamentuoja asmeninės informacijos tvarkymą Australijos vyriausybės agentūrose ir privataus sektoriaus organizacijose, kurių metinė apyvarta viršija 3 mln. Australijos dolerių.

Šie įstatymai gali turėti skirtingus reikalavimus nei BDAR, todėl labai svarbu suprasti konkrečius kiekvieno įstatymo, taikomo jūsų organizacijai, reikalavimus.

Duomenų teisės ateityje

Duomenų teisių svarba ateityje tik didės. Tobulėjant technologijoms ir duomenims tampant dar svarbesne mūsų gyvenimo dalimi, asmenys reikalaus didesnės savo asmeninės informacijos kontrolės.

Tendencijos, formuojančios duomenų teisių ateitį:

• Didesnis sąmoningumas ir duomenų privatumo poreikis: Asmenys vis labiau suvokia savo duomenų teises ir reikalauja didesnio skaidrumo bei savo asmeninės informacijos kontrolės.
• Naujų technologijų ir duomenų tvarkymo metodų atsiradimas: Naujos technologijos, tokios kaip dirbtinis intelektas ir daiktų internetas, kelia naujų iššūkių duomenų privatumui.
• Naujų duomenų apsaugos įstatymų ir reglamentų kūrimas: Vyriausybės visame pasaulyje kuria naujus duomenų apsaugos įstatymus ir reglamentus, siekdamos spręsti skaitmeninio amžiaus iššūkius.
• Aktyvesnis duomenų apsaugos įstatymų vykdymas: Duomenų apsaugos institucijos tampa vis aktyvesnės vykdydamos duomenų apsaugos įstatymus ir skiria dideles baudas organizacijoms, kurios jų nesilaiko.

Išvada

Suprasti duomenų teises ir reglamentus, tokius kaip BDAR, yra būtina tiek asmenims, tiek organizacijoms šiandieniniame susietame pasaulyje. Suprasdami savo teises ir pareigas, galite apsaugoti savo privatumą, kurti pasitikėjimą su savo klientais ir išvengti brangiai kainuojančių baudų. Būkite informuoti apie besikeičiančią duomenų privatumo aplinką ir imkitės aktyvių veiksmų, kad užtikrintumėte atitiktį. Duomenų apsauga yra ne tik teisinis reikalavimas; tai etinės atsakomybės ir geros verslo praktikos klausimas. Teikdami pirmenybę duomenų privatumui, galite sukurti tvaresnę ir patikimesnę skaitmeninę ekosistemą visiems.