Vos už kelių mėnesių – 2018 m. gegužės 25-ąją – visoje Europos Sąjungoje, taigi ir Lietuvoje, bus pradėtas tiesiogiai taikyti Bendrasis duomenų apsaugos reglamentas. Verslas privalės įgyvendinti jo reikalavimus, o už pažeidimus įmonėms grės didžiulės piniginės sankcijos. Kokių pareigų kyla verslui įgyvendinant Reglamentą ir kaip tinkamai pasirengti naujiems reikalavimams?

Asmens duomenų apsaugos srityje revoliuciniu vadinamas Bendrasis duomenų apsaugos reglamentas Nr. 2016/679 (toliau – Reglamentas) tapo vienu labiausiai aptarinėjamu Europos Sąjungos teisės aktų. Vis dėlto, nors viešai prieinamos informacijos apie Reglamentą netrūksta, jį taikyti besiruošiantys verslo subjektai susiduria su gausybe praktinių problemų. Mat tai yra didelės apimties ir itin specifinis teisės aktas, jame gausu abstraktaus bei vertinamojo pobūdžio reikalavimų, o teisminė praktika dėl tinkamo Reglamento nuostatų taikymo bus formuojama ateityje.

Tokioje neapibrėžtoje situacijoje kyla klausimas, ką daryti, kad agroverslas visapusiškai atitiktų Reglamento reikalavimus.

Asmens duomenų apsaugos reforma

Asmens duomenų apsaugą Lietuvoje ilgą laiką reglamentavo Asmens duomenų teisinės apsaugos įstatymas, į kurį buvo perkeltos Europos Parlamento ir Tarybos 1995 m. direktyvos dėl duomenų apsaugos nuostatos. Tačiau technologinė plėtra ir globalizacija pakeitė situaciją. Visi verslai veiklai naudoja kompiuterius, turi prieigą prie interneto, siunčia ir gauna įvairiausius asmens duomenis (pavyzdžiui, naudojantis el. paštu, el. parduotuve ir pan.), o didžiąją dalį surinktų asmens duomenų saugo būtent skaitmeniniu pavidalu (kompiuteriuose, serveriuose ir pan.). Dabartinės technologinės galimybės nulėmė ne tik precedento neturinčio masto asmens duomenų cirkuliavimą, bet ir kibernetinių atakų gausą.

Aptariamas reglamentas – kokybiškai naujas ES teisės aktas, kuriuo įtvirtintas gerokai aukštesnis asmens duomenų apsaugos standartas. Tam, kad verslas ir viešasis sektorius spėtų pasiruošti naujiems reikalavimams, Reglamento taikymas buvo atidėtas daugiau nei dvejiems metams – iki 2018 m. gegužės 25 dienos.

Labai svarbu, jog Reglamentas visoje ES (taigi ir Lietuvoje) bus taikomas tiesiogiai. Tai reiškia, kad Reglamento nuostatų nereikės perkelti į kiekvienos valstybės narės nacionalinę teisę – visose ES valstybėse bus užtikrintas vienodas asmens duomenų apsaugos standartas.

Privaloma bendrovėms ir ūkininkams

Reglamentas, be kita ko, bus taikomas visiems privačiame sektoriuje veikiantiems asmenims (įmonėms, individualia veikla užsiimantiems asmenims ir pan.), kurie savo veikloje tvarko asmens duomenis. Asmens duomenų sąvoka yra labai talpi ir reiškia bet kokią informaciją apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti. Tad asmens duomenys apima ne vien fizinio asmens vardą, pavardę, asmens kodą, gimimo datą, adresą, banko sąskaitos numerį, bet ir šio asmens pomėgius, įsigytų prekių istoriją, nuosavybės teise valdomą turtą, naudojamo kompiuterio IP adresą ir gausybę kitų duomenų. Tvarkyti asmens duomenis reiškia atlikti su tais duomenimis bet kokią operaciją, pavyzdžiui, juos gauti, rinkti, sisteminti, naudoti, perduoti kitiems asmenims ar tiesiog saugoti asmens duomenis savo kompiuteryje.

Iš esmės kiekvienas verslas įvairiausiomis formomis tvarko asmens duomenis, pavyzdžiui, duomenis, susijusius su savo darbuotojais bei kandidatais į laisvas darbo vietas, su esamais ar potencialiais klientais, įvairiais tiekėjais ar partneriais. Net ir tais atvejais, kai patalpų viduje ar išorėje saugumo tikslais įrengiamos vaizdo stebėjimo kameros, taip pat laikoma, jog verslas tvarko į šių vaizdo kamerų filmavimo lauką patekusių fizinių asmenų duomenis. Vadinasi, Reglamento nuostatos bus taikomos beveik kiekvienam Lietuvoje veikiančiam verslo subjektui, taigi ir agroverslui.

Net ir pavieniai ūkininkai, besiverčiantys individualia žemės ūkio veikla ir įregistravę ūkininko ūkį, vykdydami savo veiklą taip pat gali tvarkyti kitų fizinių asmenų duomenis, todėl privalės laikytis Reglamento reikalavimų.

Naujovių gausa

Reglamentas numato daug naujų pareigų asmens duomenis tvarkantiems verslo subjektams. Pirmiausia, Reglamente įtvirtinamas principas, jog verslas turės pats savarankiškai užtikrinti tinkamas technines ir organizacines priemones asmens duomenų apsaugai. Kitaip tariant, verslui bus mažinama administracinė našta (pavyzdžiui, nuo 2018 m. gegužės 25 d. verslui nereikės papildomai registruotis Valstybinės duomenų apsaugos inspekcijos prižiūrimame duomenų valdytojų registre), suteikiama daugiau laisvės nuspręsti, kokių konkrečių techninių ir organizacinių priemonių imtis tinkamai duomenų apsaugai. Pavyzdžiui, verslas turės pats nuspręsti, kur saugoti tvarkomus skaitmenizuotus asmens duomenis (savo serveriuose ar išorinių paslaugų teikėjų serveriuose), šifruoti saugomus duomenis ar daryti šių duomenų atsargines kopijas ir pan. Kita vertus, minėtas principas yra labai neapibrėžtas – verslui, asmens duomenų apsaugos srityje neturinčiam pakankamai žinių, bus sunku įvertinti, ar pasirinktas sprendimas yra pakankamas.

Dažniausiai savo veikloje verslas tvarko asmens duomenis prieš tai gavęs fizinių asmenų sutikimus dėl tokio jų asmens duomenų tvarkymo. Pradėjus taikyti Reglamentą, verslas prieš gaudamas tokį sutikimą privalės labai išsamiai informuoti atitinkamą fizinį asmenį. Mat fizinis asmuo turės būti informuojamas apie tai, kokiais tikslais jo duomenys tvarkomi, kokiu teisiniu pagrindu, kokias teises šis fizinis asmuo turi ir pan. Jei klientui fiziniam asmeniui iš anksto nepateikiama visa Reglamente numatyta informacija, bus laikoma, kad tokio kliento duotas sutikimas negalioja ir verslas tvarko šio kliento duomenis neteisėtai. Be to, įrodinėjimo našta dėl to, jog kiekvienu atveju sutikimas buvo gautas, tenka pačiam verslui kaip duomenų valdytojui.

Kita Reglamento naujovė – duomenų apsaugos pareigūno pareigybė. Daliai stambesnių agroverslo įmonių, kurios tvarko asmens duomenis intensyviai, bus privalu paskirti duomenų apsaugos pareigūną, t. y. kompetentingą asmenį, kuris konsultuos įmonę asmens duomenų tvarkymo klausimais. Tokiu duomenų apsaugos pareigūnu galės būti paskirtas specifinių šios srities žinių turintis įmonės darbuotojas, taip pat dėl šios paslaugos galės būti sudaromos sutartys su išorės ekspertais (pavyzdžiui, šią paslaugą teikiančiomis advokatų kontoromis).

Įgyvendinant Reglamento reikalavimus, agroverslui teks nuolat daryti ir saugoti duomenų tvarkymo veiklos įrašus (juose bus fiksuojamos visos asmens duomenų tvarkymo operacijos), tam tikrais atvejais atlikti poveikio duomenų apsaugai vertinimą, peržiūrėti ir papildyti sutartis su įvairiais tiekėjais, o asmens duomenų saugumo pažeidimo atveju bus būtina nedelsiant apie tai informuoti priežiūros instituciją (Valstybinę duomenų apsaugos inspekciją), o neretai ir pačius fizinius asmenis.

Pagaliau, Reglamentas suteiks naujų teisių fiziniams asmenims. Štai fizinis asmuo tam tikrais atvejais turės teisę reikalauti, kad verslas visiškai sunaikintų apie jį surinktus asmens duomenis (vadinamoji teisė būti pamirštam), taip pat, kad verslas skaitmeniniu pavidalu saugiai perkeltų apie šį fizinį asmenį sukauptus asmens duomenis kitam verslui (teisė į duomenų perkeliamumą). Verslo subjektai, gavę tokius paklausimus, privalės tinkamai įgyvendinti šių fizinių asmenų teises.

Už pažeidimus – griežta atsakomybė

Pradėjus taikyti Reglamentą, už jo pažeidimus verslui grės itin didelės administracinės baudos – maksimalus nustatytas šių baudų dydis siekia 20 mln. eurų arba iki 4 proc. ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, priklausomai nuo to, kuri suma didesnė. Palyginimui, šiuo metu už asmens duomenų apsaugos pažeidimus Administracinių nusižengimų kodeksas įmonėms numato baudas iki 580 Eur, o įmonių vadovams – iki 1 200 Eur (už pakartotinį pažeidimą atitinkamai iki 1 150 ir iki 3 000 Eur). Taigi administracinių baudų ribos asmens duomenų apsaugos srityje jau netrukus išaugs itin reikšmingai.

Verslui, pažeidusiam Reglamento nuostatas, taip pat grės ir civilinė atsakomybė. Patys fiziniai asmenys galės kreiptis į teismą ir dėl netinkamo jų asmens duomenų tvarkymo prisiteisti patirtą turtinę ir neturtinę žalą.

Pagaliau, būtina įvertinti ir padidėsiančią įmonės reputacijos riziką. Apie didesnius asmens duomenų apsaugos pažeidimus įmonė privalės pranešti priežiūros institucijai bei patiems fiziniams asmenims, o tai darys didžiulę neigiamą įtaką įmonės reputacijai.

Kaip ruoštis Reglamento taikymui

Pasiruošimo Reglamentui procesą galima suskirstyti į dvi dalis. Pirmiausia, agroverslui reikia atlikti individualų asmens duomenų apsaugos auditą. Per tokį auditą turi būti atsakoma į svarbius klausimus: kokie ir kieno asmens duomenys yra tvarkomi, kokiais tikslais, kokiu teisiniu pagrindu, iš kur jie gaunami, kam teikiami ir pan. Būtina peržiūrėti visas agroverslo sutartis, vidines įmonės tvarkas, kitus dokumentus, net interneto svetainės ar naudojamos programinės įrangos turinį. Inventorizavus kiekvieną asmens duomenų tvarkymo operaciją, įvertinama jos atitiktis Reglamento reikalavimams. Asmens duomenų tvarkymo auditas leidžia įsivertinti individualią įmonės situaciją bei nustatyti konkrečius atliktinus veiksmus (pavyzdžiui, ar agroverslui reikės paskirti duomenų apsaugos pareigūną, ar ne).

Kitas žingsnis – įgyvendinti per auditą parengtą individualų veiksmų planą. Teisiniu požiūriu beveik kiekvienas verslo subjektas mažų mažiausiai privalės parengti (arba koreguoti turimas) vidines asmens duomenų tvarkymo taisykles, vidinę informacinių ir komunikacinių technologijų naudojimo tvarką, koreguoti įvairiausias šablonines formas, interneto tinklapyje paviešinti išsamią privatumo politiką, papildyti sutartis su išoriniais paslaugų tiekėjais.

Tinkamas pasiruošimas Reglamento reikalavimams reikalauja teisinių ir informacinių technologijų žinių, todėl šiame procese patartina konsultuotis su kompetentingais įmonės darbuotojais ar specialistais iš išorės. Be to, praktikoje toks pasirengimo procesas vidutiniškai trunka ganėtinai ilgai – nuo vieno iki kelių mėnesių. Turint omenyje, kad Reglamentas bus pradėtas taikyti 2018 m. gegužės 25 d., aktyvių pasirengimo veiksmų būtina imtis jau dabar.

Griežtesnis asmens duomenų apsaugos reguliavimas skatins verslą keisti asmens duomenų tvarkymo kultūrą. Pradėjus taikyti Reglamentą, agroverslas irgi privalės šiai sričiai skirti kur kas daugiau dėmesio ir išteklių.