Naujas Duomenų apsaugos reglamentas pakeis nuo 1995 m. galiojusį įstatymų paketą ir ES gaires. Direktyvos, kurios yra aukščiau nei nacionalinė kiekvienos šalies teisė ir yra privalomos kiekvienam duomenų valdytojui, tvarkančiam ES piliečio duomenis, įsigalioja nuo 2018 m. gegužės 25 d.
Bendrasis duomenų apsaugos reglamentas (BDAR) aktualus visoms įmonėms, turinčioms klientų duomenų bazę ir taikančioms tiesioginę rinkodarą bei subjektams, tvarkantiems ar valdantiems ES piliečių duomenis. Iki reglamento įsigaliojimo įmonės turi tinkamai pasiruošti, todėl išrinkome elektroninių parduotuvių savininkams aktualius reglamento punktus.
Verta pabrėžti, kad didžioji dalis įstatymų ar prievolių, pavyzdžiui, būtinybė būti registruotam duomenų valdytojų registre, nustoja galioti nuo tos pačios dienos, tad Lietuvos smulkios ir vidutinės įmonės dėl sklindančių gandų ir kt. netikslios informacijos netinkamai ruošiasi šių įstatymų įgyvendinimui. Šio įrašo ir aprašymo tikslas – supažindinti el. komercijos savininkus su teisingomis ir būtinomis praktikomis bei pateikti glaustą ir konkrečią informaciją.
Pažeidimai skirstomi į lengvesnius ir sunkesnius pažeidimus. Už lengvus pažeidimus skiriamos administracinės baudos iki 10 000 000 Eur arba, įmonės atveju, iki 2 proc. metinės apyvartos atsižvelgiant į tai, kuri suma yra didesnė. Už sunkesnius pažeidimus skiriamos dvigubos baudos: iki 20 000 000 Eur arba iki 4 proc. metinės apyvartos (vėlgi skiriama ta suma, kuri yra didesnė).
Lengvesni pažeidimai:
Sunkesni pažeidimai:
Iki šios dienos teoriškai sklando gandai, kad pirmiausiai įmonės bus konsultuojamos nustačius pažeidimus, tačiau verta paminėti, kad pats reglamentas nenumato jokių įspėjimų, o iškart nurodo taikyti administracines nuobaudas ir sankcijas.
Domitės PrestaShop integracija? Rasite daugiau informacijos paspaudę šią nuorodą.
Asmens duomenys – bet kokia informacija, susijusi su fiziniu asmeniu, kurio asmenybė nustatyta, arba fiziniu asmeniu, kurio asmenybę galima nustatyti, t. y. informacija apie asmenį, kurio tapatybė yra visiškai aiški arba ją galima nustatyti bent jau gavus papildomų duomenų.
Šiuo atveju reikia atkreipti dėmesį, kad informacijos apsauga galioja fiziniam asmeniui, o juridiniams asmenims visos BDAR naujos taisyklės ir įstatymas negalioja. Vis dėlto vien juridinio asmens darbuotojo el. pašto adresas, kuriame yra vardas ir pavardė, jau apsaugomas minėto BDAR įstatymo. Pavyzdžiui, ričardas.šmaižys@prestarock.com yra laikoma saugoma informacija, nors info@prestarock.com – ne.
Taip pat el. komercijos savininkams turėtų būti aktualios ir tokios smulkmenos kaip batų dydis ar suknelės dydis, kurios, susietos su konkrečiu asmeniu ir jo tapatybe, jau yra laikomos jo privačia informacija, kuri yra saugoma ir reglamentuojama. Tas pats galioja IP adresui, vardui, pavardei, adreso informacijai ir kt. savaime suprantamiems dalykams.
Kitas iš esmės įdomus pavyzdys: telefono numerio ir vardo bei pavardės saugojimas telefone ruošiant, tarkime, pasiūlymą. Iš principo tai taip pat yra duomenys, kurie yra reglamentuojami ir vėliau aprašytuose pavyzdžiuose. Iš esmės netęsdami darbo su klientu (pateikę pasiūlymą, bet jo nelaimėję), tuos duomenis turėtumėte ištrinti. Kitaip tariant, šiuo pavyzdžiu norėta parodyti, kad teoriškai reglamentuojami duomenys yra netgi tie, kuriuos įvedate į savo mobiliojo telefono adresų knygą (kliento darbuotojo vardas, pavardė, telefono numeris).
Asmens duomenų tvarkymas reiškia „bet kurią operaciją ar operacijų rinkinį, automatiniais arba neautomatiniais būdais atliekamus su asmens duomenimis, kaip, pavyzdžiui, rinkimas, užrašymas, rūšiavimas, saugojimas, adaptavimas ar keitimas, atgaminimas, paieška, naudojimas, atskleidimas perduodant, platinant ar kitu būdu juos padarant prieinamus, išdėstymas reikiama tvarka ar sujungimas derinant, blokavimas, trynimas ar naikinimas“. Taip pat verta paminėti, kad sąvoka „tvarkymas“ apima veiksmus, pagal kuriuos asmens duomenys vieno duomenų valdytojo yra perduodami kito duomenų valdytojo atsakomybėn.
Duomenų valdytojas iš esmės yra tas, kuris pirmas gauna leidimą tuos duomenis surinkti ir apdoroti bei juos kaupia.
Duomenų tvarkytojas – tas, kuris turi duomenų valdytojo leidimą, o fizinis asmuo yra informuotas, kad būtent šis tvarkytojas gali duomenis tvarkyti, juos tvarko ir apdoroja pagal jau anksčiau aprašytą sąvoką.
Konkrečiu el. komercijos atveju duomenų valdytojas būtų el. parduotuvės savininkas, o tvarkytojas – paslaugą atliekanti įmonė, kuri surenka asmenų adresus ir vėliau juos saugo, apdoroja ir kitaip naudoja paslaugai atlikti. Duomenų tvarkytoju, mūsų supratimu, laikoma ir hostingo įmonė, teikianti fizinę serverio prieglobą, programuotojai, kurie turi galimybes prieiti, tvarkyti, filtruoti, apdoroti, kaupti ir kitaip tvarkyti asmens duomenis, ir pan.
Asmens duomenų apsaugos pareigūnas (tik didelėms įmonėms, turinčioms daug darbuotojų ir kaupiančioms didelius duomenų kiekius, aktuali sąvoka) – tai tarpinė grandis tarp priežiūros institucijų ir bendrovės personalo skyrių, padalinių, asmenų, kurių duomenys renkami (vartotojų, klientų, partnerių, interneto puslapių lankytojų ir vaizdo stebėjimo kamerų užfiksuota informacija ir kt.).
Įmonėse, kurių pagrindinė veikla yra duomenų tvarkymas, kur atliekamos nuolatinės operacijos su duomenimis (pavyzdžiui, buhalterinė įmonė) dėl jų didelio masto ar poveikio, taip pat specialių kategorijų įmonėse (sveikatos apsauga ir kt.) asmens duomenų apsaugos pareigūną privalo paskirti valdžios institucijos.
Toks pareigūnas įmonėje privalo būti įtraukiamas į visus duomenų tvarkymo procesus, nepriklausyti nuo kitų pareigybių ir darbuotojų, jam turi būti suteikti tinkami būtini ištekliai, jis turi būti nuolat pasiekiamas (ypač pažeidimo atveju sureaguoti teoriškai iškart arba per 24 val.), taip pat jis praktiškai yra duomenų reglamento atitikties koordinatorius.
Duomenų saugumo pažeidimas – saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami, persiunčiami duomenys, taip pat jei be leidimo gaunama prieiga prie duomenų. Įmonėms rekomenduojame turėti iš anksto numatytą duomenų saugumo pažeidimo procedūrą, kuria vadovaudamiesi galėtumėte įvertinti kylančios rizikos mastą ir dydį, nes nuo to priklauso, ar papildomai turėsite informuoti prižiūrinčias institucijas bei patį duomenų subjektą per 72 val. nuo pažeidimo atsiradimo. Bet kokiu atveju kiekviena įmonė turi turėti duomenų saugumo pažeidimų žurnalą, jį pildyti nepaisant to, kokio dydžio yra pažeidžiamumas.
Poveikio asmens duomenų apsaugai vertinimas (naujas vertinimas, reikalingas tik naujoms sistemoms ar procesams, negaliojantis esamiems patvirtintiems įmonių ar veiklos procesams) – tai procesas, skirtas apibūdinti, įvertinti būtinumą ir proporcingumą bei padėti valdyti rizikas, galinčias kilti dėl fizinių asmenų teisių ir laisvių tvarkant asmens duomenis. Tinkamai atliktas vertinimas gali padėti lengviau įrodyti savo tiesą įvykus incidentui ar atitiktį BDAR reikalavimams. Vertinimą privaloma atlikti tuomet, kai kalbama apie specializuotas kategorijas (sveikatos sritis ir kt.), vykdomas didelio masto stebėjimas ir duomenų rinkimas, vykdomos nacionaliniu lygiu nurodytos operacijos, kurioms būtinas vertinimas, ir kt.
Teisėtumo, sąžiningumo ir skaidrumo principas – klientas informuojamas apie renkamus duomenis opt-in, o ne opt-out principu
Tikslo apribojimo principas – kiekvienam duomenų rinkiniui ar kiekvienam asmens duomenų tvarkymui reikalingas aiškus apibrėžtas tikslas. Negalima naudoti tų pačių surinktų duomenų kitam tikslui, jeigu tam tikslui tvarkyti duomenų nedavė asmuo, kurio duomenys yra tvarkomi.
Duomenų kiekio mažinimo principas – nebereikalingi ir nebenaudojami duomenys teoriškai turėtų būti iškart trinami ir nebesaugomi. Įdomus jau anksčiau aprašytas pavyzdys: telefono numerio ir vardo bei pavardės saugojimas telefone ruošiant, tarkime, pasiūlymą. Iš principo tai taip pat yra duomenys, kurie yra reglamentuojami ir aprašytuose pavyzdžiuose. Iš esmės netęsdami darbo su klientu (pateikę pasiūlymą, bet jo nelaimėję), tuos duomenis turėtumėte ištrinti.
Tikslumo principas – duomenys naudojami tik tam, kam buvo leidžiama juos naudoti.
Saugojimo trukmės apribojimo principas – duomenų valdytojas aiškiai nustato ir informuoja asmenį, kiek ilgai saugos duomenis savo sistemose, o po to – kaip ir kada juos pašalins.
Vientisumo ir konfidencialumo principas
Sutarties įvykdymas – rekomenduojama remtis tuomet, kai duomenis tvarkyti būtina, kad įvykdytumėte sutarties įsipareigojimus.
Sutikimas – rekomenduojama remtis tuomet, kai duomenų subjektas davė sutikimą, kad jo asmens duomenys būtų tvarkomi vienu arba keliais konkrečiais tikslais. Sutikimas privalo būti įrodytas (opt-in, ne opt-out), privalo būti atšaukiamas paties vartotojo ir tai turi būti atliekama ne sudėtingiau, nei sutinkama, bei sutikimas turi būti savanoriškas bei atskiriamas nuo tikslo.
Teisėti interesai – rekomenduojama remtis tuomet, kai duomenis tvarkyti būtina siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų, išskyrus tuos atvejus, kai tokie duomenų subjekto interesai, teisės ir laisvės, dėl kurių būtina užtikrinti asmens duomenų apsaugą, yra viršesni, pavyzdžiui, kalbant apie mažus vaikus ir pan.
Atskirai išskiriami ir specialių kategorijų duomenų tvarkymo pagrindai: sutikimas, teisinė prievolė, gynybiniai interesai, viešai paskelbtų duomenų tvarkymas, medicinos įrašai ir kt.
Jeigu teikiate duomenis už EEE ribų, būtinas bent vienas iš specialių pagrindų:
Rekomenduojame susikurti duomenų struktūrą, pavyzdžiui, Excel faile, kurioje Jūs atsirinksite ir susirasite visą informaciją, kurią saugote apie savo vartotoją (vėliau tai galite išplėsti iki darbuotojų ir kt.). Iš esmės turite aprašyti ir kategorizuoti kiekvieną laukelį ar duomenis, saugomus apie vartotoją sistemoje, vėliau tuos sistemiškai sujungtus duomenis panaudoti tikslams išskirti. Juos turės patvirtinti (sutikti) Jūsų el. parduotuvės lankytojas ir naudotojas.
Turėdami aiškius tikslus, kam naudosite lankytojų informaciją ir kokią informaciją saugosite, galėsite ruoštis pačiam BDAR integravimui į savo el. parduotuvę bei tinkamai aprašyti privatumo politiką bei paslaugų naudojimo sąlygas.
Domitės PrestaShop integracija? Rasite daugiau informacijos paspaudę šią nuorodą.
Ši informacija yra programuotojų surinkta informacija iš šaltinių ir neturi jokios teisinės galios. Tai nėra teisinė konsultacija, todėl dėl kiekvieno punkto kilus abejonių ir papildomai primygtinai rekomenduojame konsultuotis su savo įmonės advokatu.
