BDAR
Bendrasis duomenų apsaugos reglamentas
Apžvalga
Bendrasis duomenų apsaugos reglamentas (BDAR) yra ES duomenų apsaugos teisės kertinis akmuo. Jis pakeitė Duomenų apsaugos direktyvą 95/46/EB ir žymiai sustiprino asmenų teises savo asmens duomenims, tuo pačiu įvedant išsamias pareigas duomenų valdytojams ir tvarkytojams.[1]
BDAR taikomas bet kuriai organizacijai, tvarkančiai ES asmenų asmens duomenis, nepriklausomai nuo to, kur ta organizacija įsteigta. Šis teritorinis taikymo sritis padarė BDAR faktiškai pasauliniu duomenų apsaugos standartu.[2]
Kas privalo laikytis
- Duomenų valdytojai: Organizacijos, kurios nustato asmens duomenų tvarkymo tikslus ir būdus
- Duomenų tvarkytojai: Organizacijos, kurios tvarko asmens duomenis valdytojų vardu
- Ne ES subjektai: Bet kuri organizacija, siūlanti prekes/paslaugas ES gyventojams arba stebinti jų elgesį
- Visi sektoriai: Taikoma visose pramonės šakose, išskyrus ribotas išimtis teisėsaugai ir nacionaliniam saugumui
Pagrindiniai reikalavimai kūrėjams
Teisėtas tvarkymo pagrindas
Kiekviena tvarkymo operacija turi turėti galiojantį teisinį pagrindą pagal 6 straipsnį:[3]
- Sutikimas: Laisvai duotas, konkretus, informuotas ir neabejotinas
- Kontraktas: Būtinas sutarties su duomenų subjektu vykdymui
- Teisinė prievolė: Reikalaujama ES arba valstybės narės teisės
- Gyvybiniai interesai: Gyvybės apsauga duomenų subjektui arba kitam asmeniui
- Viešasis interesas: Būtina viešojo intereso užduočiai ar oficialiai valdžios funkcijai
- Legitimus interesai: Subalansuoti su duomenų subjekto teisėmis (negalioja viešosioms institucijoms)
Techniniai reikalavimai
- Duomenų minimalizavimas: Rinkti tik tai, kas būtina nurodytam tikslui
- Laikymo apribojimas: Laikyti asmens duomenis tik tiek, kiek būtina
- Integralumas ir konfidencialumas: Įgyvendinti tinkamas saugumo priemones
- Privatumas pagal dizainą ir pagal numatytuosius nustatymus: Duomenų apsaugą įtraukti į sistemas nuo pat pradžių (25 straipsnis)[4]
Duomenų subjekto teisės
Programos turi palaikyti šias teises:
| Teisė | Aprašymas | Atsakymo laikas |
|---|---|---|
| Prieiga (15 str.) | Pateikti asmens duomenų kopiją ir tvarkymo informaciją | 1 mėnuo |
| Taisymas (16 str.) | Ištaisyti netikslius asmens duomenis | Be nereikalingo delsimo |
| Ištrynimas (17 str.) | Ištrinti duomenis, kai jie nebėra reikalingi | Be nereikalingo delsimo |
| Apribojimas (18 str.) | Apriboti tvarkymą tam tikromis aplinkybėmis | Be nereikalingo delsimo |
| Perkeliamumas (20 str.) | Pateikti duomenis mašininiu būdu skaitomu formatu | 1 mėnuo |
| Prieštaravimas (21 str.) | Prieštarauti tvarkymui, pagrįstam legitimiu interesu | Be nereikalingo delsimo |
Pažeidimų pranešimas
- Priežiūros institucijai: Per 72 valandas nuo sužinojimo (33 straipsnis)[5]
- Duomenų subjektams: Be nereikalingo delsimo, kai kyla didelė rizika teisėms ir laisvėms (34 straipsnis)
- Dokumentacija: Vesti visų pažeidimų įrašus, nepriklausomai nuo pranešimo reikalavimo
Baudos
BDAR nustato laipsnišką baudų struktūrą:
- Žemesnis lygis: Iki 10 mln. € arba 2 % metinės pasaulinės apyvartos, priklausomai, kuris didesnis
- Aukštesnis lygis: Iki 20 mln. € arba 4 % metinės pasaulinės apyvartos, priklausomai, kuris didesnis[6]
Pagrindinės paskirtos baudos:
- Amazon (Liuksemburgas, 2021): 746 mln. €
- Meta/Facebook (Airija, 2023): 1,2 mlrd. €
- Google (Prancūzija, 2022): 90 mln. €
Įgyvendinimo kontrolinis sąrašas
- Nustatyti visas asmens duomenų tvarkymo veiklas
- Nustatyti teisėtą pagrindą kiekvienai tvarkymo operacijai
- Įdiegti sutikimų valdymą, jei taikoma
- Sukurti privatumo pranešimus, atitinkančius skaidrumo reikalavimus
- Sukurti duomenų subjektų užklausų tvarkymo mechanizmus
- Įgyvendinti tinkamas saugumo priemones
- Nustatyti pažeidimų aptikimo ir pranešimo procedūras
- Atlikti duomenų apsaugos poveikio vertinimus didelės rizikos tvarkymui
- Paskirti duomenų apsaugos pareigūną, jei reikia
- Vesti tvarkymo veiklų registrą (RoPA)
Šaltiniai ir nuorodos
[1]
Reglamentas (ES) 2016/679 Europos Parlamento ir Tarybos. EUR-Lex: BDAR oficialus tekstas
[2]
BDAR teritorinis taikymas, 3 straipsnis. GDPR.eu: Teritorinis taikymas
[3]
Tvarkymo teisėtumas, 6 straipsnis. GDPR-Info: 6 straipsnis
[4]
Duomenų apsauga pagal dizainą ir pagal numatytuosius nustatymus, 25 straipsnis. GDPR-Info: 25 straipsnis
[5]
Asmens duomenų pažeidimo pranešimas, 33 straipsnis. GDPR-Info: 33 straipsnis
[6]
Administracinės baudos, 83 straipsnis. GDPR-Info: 83 straipsnis