Image Image Image Image Image Image Image Image Image Image
Scroll to top

Top

Komentarų nėra

Valstybinės duomenų apsaugos inspekcijos atsakymai į klausimus - Sprendimai verslui

Valstybinės duomenų apsaugos inspekcijos atsakymai į klausimus
Sigita
  • Paskelbta 2017-10-05
  • https://www.sprendimaiverslui.lt

2017 m. rugsėjo 7 d. įvykusi verslo konferencija „ESET Security Day Lietuva“ suteikė dalyviams vertingų įžvalgų ir patarimų besiruošiant kitais metais įsigaliosiančio ES Bendrojo asmens duomenų apsaugos reglamento (BDAR) laikymuisi. Šiandien dalinamės Valstybinės duomenų apsaugos inspekcijos (VDAI) direktoriaus pavaduotojos Dijanos Šinkūnienės atsakymais į konferencijos dalyvių klausimus, į kuriuos nespėta atsakyti renginio metu.

 

Dijane Šinkūnienė

DPO (Duomenų apsaugos pareigūnas)

Ar DPO neša atsakomybę už duomenų saugumą, ar tai tėra tik formalus darbuotojas susirašinėjimams asmens duomenų saugos klausimais?
Europos Parlamento ir Tarybos direktyvos 95/46/EB 29 straipsnio darbo grupės 2016 m. gruodžio 13 d. parengtose ir 2017 m. balandžio 5 d. atnaujintose gairėse dėl duomenų apsaugos pareigūnų WP 243 pažymėta, kad duomenų apsaugos pareigūnai nėra atsakingi už duomenų apsaugos reikalavimų nesilaikymą. Pagal Reglamentą (ES) 2016/679, pareiga užtikrinti ir galėti įrodyti, kad duomenys tvarkomi laikantis Reglamento (ES) 2016/679 reikalavimų tenka duomenų valdytojui ir duomenų tvarkytojui.  Už duomenų apsaugos reikalavimų laikymąsi taip pat yra atsakingas duomenų valdytojas arba duomenų tvarkytojas.
Duomenų apsaugos pareigūno statusą ir užduotis reglamentuoja Reglamento (ES) 2016/679 38 ir 39 straipsniai. Pagrindinės duomenų apsaugos pareigūnų užduotys yra duomenų valdytojo arba duomenų tvarkytojo informavimas apie jų prievoles pagal Reglamentą (ES) 2016/679, stebėjimas, kaip laikomasi Reglamento (ES) 2016/679 nuostatų, duomenų valdytojų, duomenų tvarkytojų, duomenų subjektų konsultavimas, bendradarbiavimas su priežiūros institucija.

Ar DPO funkcijoms atlikti gali būti samdomas išorės konsultantas?
Vadovaujantis Reglamento (ES) 2016/679 37 straipsnio 6 dalimi, duomenų apsaugos pareigūnu gali būti tiek duomenų valdytojo arba duomenų tvarkytojo personalo narys, tiek trečiasis asmuo, atliekantis užduotis pagal paslaugų teikimo sutartį.

Ar galima tapti sertifikuotu duomenų apsaugos pareigūnu? Ar bus toks sertifikatas? Ar numatomas iš Valstybinės Duomenų Apsaugos Inspekcijos inicijuojamas paskirtų DPO žinių patikrinimas (licencijavimas ar sertifikavimas)?
Reglamentas (ES) 2016/679 nenumato duomenų apsaugos pareigūnų licencijavimo ar sertifikavimo.
Valstybinė duomenų apsaugos inspekcija 2018 m. organizuos duomenų apsaugos pareigūnų mokymus, tačiau dar negalime pateikti informacijos, kada konkrečiai.

Ar Lietuvoje veikiančios įmonės motininė bendrovė, kuri registruota ne Europoje, turi paskirti DPO (ADA) pareigūną?
Vadovaujantis Reglamento (ES) 2016/679 3 straipsnio 1 dalimi, šis reglamentas taikomas asmens duomenų tvarkymui, kai asmens duomenis Sąjungoje tvarko duomenų valdytojo arba duomenų tvarkytojo buveinė, vykdydama savo veiklą, neatsižvelgiant į tai, ar duomenys tvarkomi Sąjungoje, ar ne.  Buveine pagal Reglamento (ES) 2016/679 preambulės 22 punktą būtų laikomas tiek filialas, tiek patronuojamoji bendrovė, turinti juridinio asmens statusą.
Atsižvelgiant į tai, kad bendrovės, įsikūrusios ne ES dukterinė įmonė/buveinė veikia Lietuvoje, t. y. ES, jos atliekamam duomenų tvarkymui būtų taikomi Reglamento (ES) 2016/679 reikalavimai. Reikalavimas paskirti duomenų apsaugos pareigūną minėtai bendrovei būtų taikomas tuo atveju, jeigu jos veikla atitiktų visus Reglamento (ES) 2016/679 37 straipsnio 1 dalyje nustatytus reikalavimus. Pažymėtina, kad pagal Reglamento (ES) 2016/679 37 straipsnio 2 dalį, įmonių grupė gali paskirti vieną duomenų apsaugos pareigūną, jeigu su duomenų apsaugos pareigūnu lengva susisiekti iš kiekvienos buveinės.
Europos Parlamento ir Tarybos direktyvos 95/46/EB 29 straipsnio darbo grupė 2016 m. gruodžio 13 d. parengtose ir 2017 m. balandžio 5 d. atnaujintose gairėse dėl duomenų apsaugos pareigūnų WP 243 tam, kad būtų užtikrintas duomenų apsaugos pareigūno prieinamumas ir pasiekiamumas, rekomenduoja, kad jis būtų įsikūręs ES nepriklausomai nuo to, ar duomenų valdytojas ar duomenų tvarkytojas įsisteigęs ES, ar ne.

Kokioms įmonėms nereikalingas DPO pareigūnas?
Vadovaujantis Reglamento (ES) 2016/679 37 straipsnio 1 dalies a punktu, Duomenų valdytojas ir duomenų tvarkytojas paskiria duomenų apsaugos pareigūną, kai duomenis tvarko valdžios institucija arba įstaiga, išskyrus teismus, kai jie vykdo savo teismines funkcijas.

Vadovaujantis Reglamento (ES) 2016/679 37 straipsnio 1 dalies b punktu, duomenų valdytojas ir duomenų tvarkytojas turi pareigą paskirti duomenų apsaugos pareigūną, kai duomenų valdytojo ir duomenų tvarkytojo veikla atitinka visus šiuos kriterijus:
•    pagrindinė veikla – asmens duomenų tvarkymas;
•    reguliarus ir sistemingas duomenų subjektų stebėjimas;
•    duomenų subjektų stebėjimas vykdomas dideliu mastu.
Vadovaujantis Reglamento (ES) 2016/679 37 straipsnio 1 dalies c punktu, duomenų valdytojas arba duomenų tvarkytojas turi pareigą paskirti duomenų apsaugos pareigūną, kai duomenų valdytojo ir duomenų tvarkytojo veikla atitinka visus šiuos kriterijus:
•    pagrindinė veikla – specialių kategorijų duomenų tvarkymas pagal Reglamento 9 straipsnį ir 10 straipsnyje nurodytų asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymas;
•    duomenų tvarkymas atliekamas dideliu mastu.
Duomenų valdytojas ir tvarkytojas, kurių veikla neatitinka Reglamento (ES) 2016/679 37 straipsnio 1 dalies b ar c punkte nustatytų reikalavimų, pareigos paskirti duomenų apsaugos pareigūną neturi.

„ESET Security Day Lietuva 2017“ akimirka

Valstybės ir verslo informacija

Ar privaloma įgyvendinti Reglamento reikalavimus, jei įmonė tvarko valstybės informacinę sistemą, kurioje kaupiami duomenys: vardas, pavardė, tel., el. paštas?
Reglamentas (ES) 2016/679 taikomas asmens duomenų tvarkymui, visiškai arba iš dalies atliekamam automatizuotomis priemonėmis, ir asmens duomenų, kurie sudaro susisteminto rinkinio dalį ar yra skirti ją sudaryti, tvarkymui ne automatizuotomis priemonėmis.
Vadovaujantis Reglamento (ES) 2016/679 28 straipsnio 1 dalimi, kai duomenys turi būti tvarkomi duomenų valdytojo vardu, duomenų valdytojas pasitelkia tik tuos duomenų tvarkytojus, kurie pakankamai užtikrina, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos tokiu būdu, kad duomenų tvarkymas atitiktų šio reglamento reikalavimus ir būtų užtikrinta duomenų subjekto teisių apsauga.
Atsižvelgiant į tai, įmonei, tvarkančiai valstybės informacinę sistemą, kurioje kaupiami asmens duomenys Reglamento (ES) 2016/679 reikalavimai taip pat bus taikomi.

Ar yra šiai dienai žinoma, kokios (jei išvis) problemos gali kilti dėl GDPR ratifikavimo?
Reglamento (ES) 2016/679 taikymo problemų šiuo metu įvardyti negalime.

Kokią apimtimi GDPR taikomas valstybinėms institucijoms? Ar taikomas tiesiogiai arba per kitus teisės aktus?
Reglamentas (ES) 2016/679 yra tiesioginio taikymo teisės aktas, todėl valstybės institucijoms ir įstaigoms jis taip pat bus taikomas tiesiogiai. Kadangi Reglamentas (ES) 2016/679 numato teisę valstybėms narėms tam tikrais atvejais asmens duomenų tvarkymo teisinį reguliavimą įtvirtinti nacionalinėje teisėje, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme (toliau – ADTAĮ) ir kituose teisės aktuose bus reglamentuojami tik kai kurių asmens duomenų tvarkymo atvejų ypatumai ir kiti klausimai, kiek tai leidžia Reglamentas (ES) 2016/679.

Ar galima į darbo kompiuterį įrašyti icloud, Google drive, dropbox, onedrive?
Galima, tačiau reikia įvertinti kokie pavojai gali kilti ir kaip nuo jų apsisaugoti. Reikia atlikti rizikos įvertinimą. Pavyzdžiui, asmens, įskaitant ypatingus, duomenis saugant debesyse ir jais naudojantis iš bet kokio mobilaus įrenginio kyla pagrįsti pavojai juos atskleisti tretiesiems asmenims. Be to, saugus asmens duomenų tvarkymas priklauso ir nuo vidinio įmonės tinklo apsaugos ir saugumo politikos.

Vaizdo stebėjimas viešojoje erdvėje. Ką reikia žinoti, tvarkant tokius duomenis/įrašus?
Atsižvelgiant į tai, kad Reglamente (ES) 2016/679 nenumatyta atskiro reglamentavimo, skirto vaizdo stebėjimui, darytina išvada, kad vaizdo duomenų tvarkymas turės atitikti Reglamente (ES) 2016/679 nustatytą bendrą asmens duomenų tvarkymo teisinį reguliavimą, t. y. vaizdo duomenys/įrašai turės būti tvarkomi laikantis bendrųjų asmens duomenų tvarkymo sąlygų ir principų (duomenų subjekto teisių įgyvendinimas, duomenų saugumo užtikrinimas ir pan.).

Ar personaliniame kompiuteryje sukurtas Word dokumentas, kuriame yra asmens vardas ir pavardė, yra traktuojamas kaip automatiniu būdu tvarkomi asmens duomenys?
Asmeniniame kompiuteryje sukurtas Word dokumentas, kuriame yra asmens vardas ir pavardė būtų traktuojamas kaip asmens duomenų tvarkymas automatiniu būdu, tačiau pažymėtina, kad vadovaujantis Reglamento (ES) 2016/679 2 straipsnio 2 dalies c punktu, šis reglamentas netaikomas asmens duomenų tvarkymui, kai duomenis tvarko fizinis asmuo, užsiimdamas išimtinai asmenine ar namų ūkio veikla. Reglamento (ES) 2016/679 preambulės 18 punkte nurodyta, kad šis reglamentas netaikomas tais atvejais, kais asmens duomenis fizinis asmuo tvarko vykdydamas grynai asmeninę ar namų ūkio priežiūros veiklą ir nesusiedamas to su profesine ar komercine veikla.

Jei trečios šalys neužtikrina duomenų saugumo, vadinasi duomenys 100% neapsaugomi. Ko verti ES teisės aktai?
Kai asmens duomenys iš Sąjungos perduodami duomenų valdytojams, duomenų tvarkytojams ar kitiems gavėjams trečiosiose valstybėse arba tarptautinėms organizacijoms, neturėtų sumažėti Sąjungoje šiuo reglamentu fiziniams asmenims garantuojamos apsaugos lygis. Bet kuriuo atveju duomenys į trečiąsias valstybes ir tarptautinėms organizacijoms gali būti perduodami tik visapusiškai laikantis šio reglamento. Duomenys galėtų būti perduodami tik tuo atveju, jei duomenų valdytojas arba duomenų tvarkytojas įvykdo šio reglamento nuostatose, susijusiose su asmens duomenų perdavimu trečiosioms šalims ar tarptautinėms organizacijoms, nustatytas sąlygas, atsižvelgiant į kitas šio reglamento nuostatas. (Reglamento (ES) 2016/679 preambulės 101 punktas).

Baudos už BDAR pažeidimus. Valstybinis sektorius apie 60 tūkst. EUR. Verslas iki 20 mln. Pakomentuokite.
Pagal Reglamento (ES) 2016/679 83 straipsnio 7 dalį, nedarant poveikio priežiūros institucijų įgaliojimams imtis taisomųjų veiksmų pagal 58 straipsnio 2 dalį, kiekviena valstybė narė gali nustatyti taisykles, reglamentuojančias tai, ar ir kokiu mastu administracinės baudos gali būti skiriamos valdžios institucijomis ir įstaigoms, įsisteigusioms toje valstybėje narėje. Dėl administracinių baudų skyrimo ir kokiu mastu bus priimtas politinis sprendimas.

VDAI vaidmuo BDAR atžvilgiu

Dijana Šinkūnienė

Jeigu GDPR tiesiogiai turi būti taikomas visose bendrijos šalyse, kodėl VDAI tiesiog nepateikia visų reglamento nuostatų išaiškinimo? 
Reglamentu (ES) 2016/679 siekiama užtikrinti vienodo ir aukšto lygio fizinių asmenų apsaugą, nuoseklų ir vienodą taisyklių, kuriomis reglamentuojama fizinių asmenų pagrindinių teisių ir laisvių  apsauga tvarkant asmens duomenis, taikymą (Reglamento (ES) 2016/679 preambulės 10 punktas). Siekiant šių tikslų svarbus vaidmuo tenka ne tik Valstybinei duomenų apsaugos inspekcijai, kaip priežiūros institucijai, bet ir Europos duomenų apsaugos valdybai (šiuo metu Europos Parlamento ir Tarybos direktyvos 95/46/EB 29 straipsnio darbo grupė), kurios uždavinys – užtikrinti, kad šis reglamentas būtų taikomas nuosekliai. Įgyvendinant šį uždavinį Europos duomenų apsaugos valdybai Reglamente (ES) 2016/679 suteikti įgaliojimai teikti gaires, rekomendacijas ir geriausios praktikos pavyzdžius (Reglamento (ES) 2016/679 70 straipsnis).
Šiuo metu nuomones tam tikrais klausimais rengia 29 straipsnio darbo grupė. Jų jau yra priimtų, kitos dar tik planuojamos priimti. Detalesnę informaciją galite rasti adresu: https://www.ada.lt/go.php/Metodine-pagalba966

Ar planuojama pakeisti/panaikinti VDAI direktoriaus įsakymu patvirtintus bendruosius reikalavimus organizacinėms ir techninėms asmens duomenų saugumo priemonėms?
Valstybinė duomenų apsaugos inspekcija planuoja pripažinti netekusiu galios nurodytą įsakymą, kadangi Reglamentas (ES) 2016/679 nenumato galimybės valstybių narių priežiūros institucijai reglamentuoti privalomas įgyvendinti duomenų saugumo priemones. Tačiau svarstoma, kad šiame teisės akte išdėstyti reikalavimai galėtų tapti rekomendaciniais, t. y. būtų metodinė pagalba duomenų valdytojams ir duomenų tvarkytojams.
Bet kuriuo atveju šie reikalavimai bus pakeisti atsižvelgiant į Reglamente (ES) 2016/679 keliamus reikalavimus duomenų apsaugai (pvz., duomenų kategorijos, rizikos vertinimas ir pan.)

Ar GDPR turės įtakos naujai priimtam Keleivių duomenų įrašų (PNR) įstatymui?
Keleivių duomenų įrašų naudojimą reglamentuoja 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos direktyva 2016/681 dėl keleivio duomenų įrašo (PNR) duomenų naudojimo teroristinių nusikaltimų ir sunkių nusikaltimų prevencijos, nustatymo, tyrimo ir patraukimo už juos baudžiamojon atsakomybėn tikslais, kurios nuostatas įgyvendina Lietuvos Respublikos transporto pagrindų įstatymas (toliau – TPĮ) ir kiti teisės aktai. TPĮ 191 straipsnio 9 dalis numato, kad vežėjas, kuris verčiasi keleivių vežimu oro keliais, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo 24 straipsnyje nustatyta tvarka privalo informuoti keleivius apie numatomą jų asmens duomenų, nurodytų šio straipsnio 1 dalyje, tvarkymą. To paties straipsnio 10 dalyje numatyta, kad savo teises dėl asmens duomenų tvarkymo keleivis įgyvendina Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo nustatyta tvarka.
Atkreipiame dėmesį, kad nuo 2018 m. gegužės 25 d. pradėjus taikyti Reglamentą (ES) 2016/679, atliekamas asmens duomenų tvarkymas turės atitikti jame nustatytą teisinį reglamentavimą.

Ar VDAI yra pasiruošusi taikyti baudas pagal reglamentą ar ruošiasi tai daryti? Ką daryti su piktybiniais spameriais?
Kaip bus skaičiuojama bauda ir kompensacija už privačių duomenų paviešinimą?
Kiekviena priežiūros institucija pagal Reglamento (ES) 2016/679 83 straipsnio 1 dalį užtikrina, kad pagal šį straipsnį skiriamos administracinės baudos už 4, 5 ir 6 dalyse nurodytus šio reglamento pažeidimus kiekvienu konkrečiu atveju būtų veiksmingos, proporcingos ir atgrasomos. Šio straipsnio 2 dalis numato, kad administracinės baudos, atsižvelgiant į kiekvieno konkretaus atvejo aplinkybes, skiriamos kartu su 58 straipsnio 2 dalies a–h punktuose ir j punkte nurodytomis priemonėmis arba vietoj jų. Sprendžiant dėl to, ar skirti administracinę baudą, ir sprendžiant dėl administracinės baudos dydžio kiekvienu konkrečiu atveju  bus atsižvelgiama į šiuos dalykus:
a)    pažeidimo pobūdį, sunkumą ir trukmę, atsižvelgiant į atitinkamo duomenų tvarkymo pobūdį, aprėptį ar tikslą, taip pat į nukentėjusių duomenų subjektų skaičių ir jų patirtos žalos dydį;
b)    tai, ar pažeidimas padarytas tyčia, ar dėl aplaidumo;
c)    bet kuriuos veiksmus, kurių duomenų valdytojas arba duomenų tvarkytojas ėmėsi, kad sumažintų duomenų subjektų patirtą žalą;
d)    duomenų valdytojo arba duomenų tvarkytojo atsakomybės dydį, atsižvelgiant į jų pagal 25 ir 32 straipsnius įgyvendintas technines ir organizacines priemones;
e)    bet kuriuos to duomenų valdytojo arba duomenų tvarkytojo svarbius ankstesnius pažeidimus;
f)    bendradarbiavimo su priežiūros institucija siekiant atitaisyti pažeidimą ir sumažinti galimą neigiamą jo poveikį laipsnį;
g)    asmens duomenų, kuriems pažeidimas turi poveikį, kategorijas;
h)    tai, kokiu būdu priežiūros institucija sužinojo apie pažeidimą, visų pirma tai, ar duomenų valdytojas arba duomenų tvarkytojas pranešė apie pažeidimą (jei taip – kokiu mastu);
i)    jei atitinkamam duomenų valdytojui arba duomenų tvarkytojui dėl to paties dalyko anksčiau buvo taikytos 58 straipsnio 2 dalyje nurodytos priemonės – ar laikytasi tų priemonių;
j)    ar laikomasi patvirtintų elgesio kodeksų pagal 40 straipsnį arba patvirtintų sertifikavimo mechanizmų pagal 42 straipsnį; ir
k)    kitus sunkinančius ar švelninančius veiksnius, susijusius su konkretaus atvejo aplinkybėmis, pavyzdžiui, finansinę naudą, kuri buvo gauta, arba nuostolius, kurių buvo išvengta, tiesiogiai ar netiesiogiai dėl pažeidimo;
Taigi Valstybinė duomenų apsaugos inspekcija turės už Reglamento (ES) 2016/679 pažeidimus skirti baudas įvertinusi kiekvieną konkretų atvejį ir bus tam pasiruošusi.
Taip pat atkreipiame dėmesį, kad duomenų subjektai „spamerių“ veiksmus turi teisę skųsti Valstybinei duomenų apsaugos inspekcijai.
Papildomai informuojame, kad 29 straipsnio darbo grupė dar 2017 m. planuoja parengti rekomendacijas dėl baudų skyrimo, į kurias atsižvelgs ir Valstybinė duomenų apsaugos inspekcija.
Reglamento (ES) 2016/679 82 straipsnis detaliai reglamentuoja teisę į kompensaciją ir atsakomybę, šio straipsnio 6 dalyje nurodyta, kad bylos dėl naudojimosi teise gauti kompensaciją iškeliamos pagal valstybės narės valstybės narės teisės aktus kompetentinguose teismuose, kaip nurodyta 79 straipsnio 2 dalyje. Valstybinė duomenų apsaugos inspekcija nebus kompetentinga nustatyti pažeidimo atveju asmenų patirtos materialinės ir nematerialinės žalos dydžio.

Kokia ADTAĮ pakeitimo įstatymo priėmimo prognozuojama data?
ADTAĮ projektas yra parengtas ir šiuo metu paskelbtas visuomenei Lietuvos Respublikos Seimo interneto svetainėje Teisės aktų projektų informacinėje sistemoje. Tolesnis projekto etapas – Teisingumo ministerijos projekto pateikimas Vyriausybei.
Lietuvos narystės ES informacinės sistemos (LINESIS) duomenimis, numatoma šio įstatymo priėmimo data Seime – 2018 m. kovo 31 d.

Pateikite nors 1 valstybinę instituciją, kuri REALIAI pasiruošusi reglamento taikymui. Ar bus taikomos nuobaudos? O pati VDAI ar pasiruošusi?
Informacijos apie konkrečius duomenų valdytojus pateikti negalime. Pasirengti taikyti Reglamentą (ES) 2016/679 duomenų valdytojai ir duomenų tvarkytojai dar turi laiko iki 2018 m. gegužės 25 d. tai liečia ir pačią Valstybinę duomenų apsaugos inspekciją.

Kiti klausimai

Kas bus atsakingas už valstybės platinamą skylėtą PĮ?
Neaiškus klausimas, atsakymo pateikti negalime.

Rašyti komentarą