Skaitiniai „ES Bendrojo duomenų apsaugos reglamento suvokimas”

4.1 BDAR supratimas ir paaiškinimas besimokančioms moterims

Bendrasis duomenų apsaugos reglamentas (BDAR), dėl kurio Europos Parlamentas ir Taryba susitarė 2016 m. balandžio mėnensį, 2018 m. pavasarį pakeitė Duomenų apsaugos direktyvą 95/46/EB ir tapo pagrindiniu teisės aktu, reglamentuojančiu, kaip įmonės saugo ES piliečių asmens duomenis.

BDAR tikslas - visoms ES narėms nustatyti vienodą duomenų apsaugos įstatymą, kad kiekvienai valstybei narei nebereikėtų rašyti savo duomenų apsaugos įstatymų, o visoje ES įstatymai būtų nuoseklūs. Svarbu pažymėti, kad reglamentas taikomas ne tik ES narėms, bet ir visoms įmonėms, kurios parduoda prekes ar teikia paslaugas ES gyventojams, nepriklausomai nuo jų buvimo vietos. Todėl BDAR turės įtakos duomenų apsaugos reikalavimams visame pasaulyje.

Bendrąjį duomenų apsaugos reglamentą sudaro 11 skyrių ir 91 straipsnis. Toliau pateikiami kai kurie skyriai ir straipsniai, kurie gali turėti didžiausią poveikį saugumo procedūroms:

  • 17 ir 18 straipsniai - BDAR 17 ir 18 straipsniuose duomenų subjektams suteikiama daugiau galimybių kontroliuoti automatiniu būdu tvarkomus asmens duomenis. Dėl to duomenų subjektai gali lengviau perkelti savo asmens duomenis iš vieno paslaugų teikėjo į kitą (dar vadinama "teise į perkeliamumą") ir gali nurodyti duomenų valdytojui, tam tikromis aplinkybėmis, ištrinti jų asmens duomenis (dar vadinama "teise į ištrynimą").
  • 23 ir 30 straipsniai. 23 ir 30 straipsniuose reikalaujama, kad įmonės įgyvendintų pagrįstas duomenų apsaugos priemones, skirtas vartotojų asmens duomenims ir privatumui apsaugoti nuo praradimo ar kitokio poveikio.
  • 31 ir 32 straipsniai. 31 ir 32 straipsniai - BDAR tekste didelis vaidmuo tenka pranešimams apie duomenų saugumo pažeidimus. 31 straipsnyje nustatyti reikalavimai dėl pavienių duomenų saugumo pažeidimų: duomenų valdytojai privalo pranešti priežiūrinčioms institucijoms apie asmens duomenų saugumo pažeidimą per 72 valandas nuo tada, kai sužinojo apie pažeidimą, ir pateikti konkrečią informaciją apie pažeidimą, pavyzdžiui, jo pobūdį ir apytikslį duomenų subjektų, kuriems jis buvo padarytas, skaičių. 32 straipsnyje reikalaujama, kad duomenų valdytojai kuo skubiau praneštų duomenų subjektams apie pažeidimus, kai dėl pažeidimų kyla didelis pavojus jų teisėms ir laisvėms.
  • 33 ir 33a straipsniai. 33 ir 33a straipsniuose reikalaujama, kad įmonės atliktų poveikio duomenų apsaugai vertinimus, siekiant nustatytų vartotojų duomenims kylančią riziką, ir duomenų apsaugos atitikties peržiūras, kad užtikrintų, jog ši rizika būtų pašalinta.
  • 35 straipsnis. 35 straipsnyje reikalaujama, kad tam tikros įmonės paskirtų duomenų apsaugos pareigūnus. Konkrečiai, bet kuri įmonė, kuri tvarko duomenis, atskleidžiančius subjekto genetinius duomenis, sveikatą, rasinę ar etninę kilmę, religinius įsitikinimus ir t. t., privalo paskirti duomenų apsaugos pareigūną; šie pareigūnai pataria bendrovėms, kaip laikytis reglamento, ir veikia kaip kontaktinis asmuo su priežiūrinčiomis institucijomis. Kai kurioms įmonėms šis BDAR straipsnis gali būti taikomas vien dėl to, kad jos renka asmeninę informaciją apie savo darbuotojus vykdydamos žmogiškųjų išteklių procesus.
  • 36 ir 37 straipsniai. 36 ir 37 straipsniuose apibūdinama duomenų apsaugos pareigūno pareigos ir jo atsakomybės užtikrinant atitiktį BDAR, taip pat ataskaitų teikimas priežiūrinčioms institucijoms ir duomenų subjektams.
  • 45 straipsnis. 45 straipsnyje aprašomi duomenų apsaugos reikalavimai tarptautinėms įmonėms, kurios renka ar tvarko ES piliečių asmens duomenis, ir joms taikomi tokie patys reikalavimai ir sankcijos kaip ir ES įsikūrusioms įmonėms.
  • 79 straipsnis. 79 straipsnyje nurodytos baudos už BDAR nesilaikymą, kurios, atsižvelgiant į pažeidimo pobūdį, gali siekti iki 4 proc. pažeidimą padariusios įmonės metinių pajamų.

Kokie yra pagrindiniai principai?

  • Skaidrumas: Turite užtikrinti, kad jūsų duomenų rinkimo procesai būtų skaidrūs. Tai reiškia, kad jūsų klientams ir lankytojams turi būti paprasta sužinoti, kur saugote jų duomenis, ką darote su jų duomenimis ir kaip jie gali ištrinti jūsų kopiją arba gauti jos išrašą.
  • Teisėtas rinkimas ir naudojimas: Kai kurie žmonės gali nesuprasti, kad gavę duomenis apie savo klientus galite juos naudoti tik tais tikslais, kuriais jie buvo surinkti. Pavyzdžiui, negalite rinkti duomenų apie savo klientus, kai jie užsiregistruoja į konkretų seminarą, o paskui juos naudoti renginio, kurį organizuojate su kolega kita tema, adresatų sąrašui sudaryti.
  • Leidimas: Vėlgi, tai savaime suprantama, tačiau turite turėti leidimą rinkti kieno nors duomenis. Tai reiškia, kad negalite "nusipirkti" kito asmens adresatų sąrašo arba įtraukti žmonių į savo adresatų sąrašą, kai jie iš tikrųjų užsiregistruoja gauti jūsų nemokamą elektroninę knygą, jų neatsiklausę. Paskutinė dalis yra labai svarbi - visose savo formose PRIVALOTE įtraukti žymimąjį langelį, kuriame būtų konkrečiai prašoma žmonių duoti sutikimą (ir jis negali būti iš anksto pažymėtas).
  • Teisė „išvykti“: Tai padaryti turi būti LENGVA: turite numatyti galimybę žmonėms pašalinti save iš savo pašto adresatų sąrašo ir duomenų bazės.


 

Nuorodos savišvietai

Išsamus atitikties BDAR vadovas

BDAR asmens duomenų tvarkymo principai


4.2. Bendrojo duomenų apsaugos reglamento taikymas mokymuose ir konfidencialumo išlaikymas

Kalbant apie mokymus,  turima informacija neturėtų būti:

  • susieta su išsamesne informacija apie klientus;
  • bet kokių klientų atvaizdų;
  • dalinamasi su kitais.

Kaip suaugusiųjų švietėjai-konsultantai žinokite, kokią informaciją tvarkote, nustatykite ir sumažinkite riziką bei užtikrinkite, kad į savo procesus įtrauktumėte privatumo ir skaidrumo principus.

Jei informacija saugoma popieriniame formate, registruotis pagal BDAR nereikalaujama. Tiems, kurie informaciją laiko kompiuteryje, registruotis vis tiek nereikia, jei bet koks pelnas nenaudojamas kitų asmenų praturtėjimui ir tik:

  • apdoroti informaciją, reikalingą paramai nustatyti arba išlaikyti;
  • dalytis informacija apie klientą su kliento sutikimu;
  • saugoti informaciją tiek laiko, kiek yra būtina.

BDAR asmens duomenų tvarkymo principai

  1. Teisėtumas, sąžiningumas ir skaidrumas: Organizacija turi įrodyti teisėtą pagrindą gauti asmens duomenis, kad galėtų juos tvarkyti. Turi atitikti bent vienos (1) iš šešių (6) duomenų tvarkymo sąlygų, vadinamų "teisėtais pagrindais", kriterijus. Asmens duomenys turi būti renkami sąžiningai, užtikrinant, kad jie nebuvo gauti teisėtai. Asmens duomenys turi būti tvarkomi sąžiningai asmens atžvilgiu, tenkinant pagrįstus lūkesčius dėl to, kaip duomenys bus naudojami. Organizacija turi aiškiai ir sąžiningai nurodyti asmenims priežastis, dėl kurių ji renka asmens duomenis ir kaip ketina juos tvarkyti. Skaidrumas, be to, kad jis įtrauktas kaip duomenų tvarkymo principas, dar labiau išplėstas į duomenų subjektų "teisę būti informuotiems". Kad atitiktų šį principą, organizacija turi atitikti lūkesčius, susijusius su visais trimis (3) kriterijais: teisėtumo, sąžiningumo ir skaidrumo.
  2. Tikslo apribojimas: Bet kokiems renkamiems asmens duomenims reikalinga konkreti ir teisėta priežastis. Asmens duomenys gali būti naudojami tik dėl nurodytų priežasčių Išimtys gali būti daromos, jei tolesnis duomenų tvarkymas atliekamas bet kuriuo iš šių tikslų: archyvavimas viešojo intereso labui; moksliniai ar istoriniai tyrimai; statistinės priežastys.
  3. Duomenų minimizavimas: Tai organizacinė praktika, kuria siekiama kaip įmanoma labiau sumažinti bendrą surinktų asmens duomenų kiekį. Rinkti tik tokius asmens duomenis, kurie yra tinkami, aktualūs ir tik tiek, kiek būtina nurodytiems tikslams pasiekti. Asmens duomenų, kurie nebereikalingi arba nereikalingi nurodytiems tikslams atlikti, ištrynimas arba maskavimas. Turi sugebėti įrodyti tinkamą duomenų kiekio mažinimo praktiką. Turėtų būti atliekami periodiniai patikrinimai, siekiant užtikrinti surinktų duomenų tinkamumą ir aktualumą.
  4. Duomenų tikslumas: Organizacijos privalo imtis būtinų ir pagrįstų priemonių, kad užtikrintų iš duomenų subjektų surinktų asmens duomenų tikslumą. Priklausomai nuo duomenų tvarkymo tikslo, organizacijos turi nustatyti esminius veiksmus, kad netikslūs duomenys būtų nedelsiant ištrinti arba ištaisyti. Glaudžiai susiję su duomenų subjektų teise į ištaisymą. Duomenų standarto principas, panašus į standartinius duomenų kiekio mažinimo ir saugojimo apribojimo principus. Pabrėžiami aiškūs asmens duomenų ir istorinių duomenų skirtumai. Asmens duomenys gali keistis, bet neturėtų daryti neigiamo poveikio naudojamiems istoriniams duomenims.
  5. Saugojimo apribojimai: Organizacijos neturėtų saugoti asmens duomenų ilgiau nei reikia. Saugojimo apribojimas yra duomenų standartizavimo forma, panaši į duomenų kiekio mažinimo ir tikslumo principus. Organizacijos turėtų atlikti periodines peržiūras, kad nustatytų ir spręstų, ar duomenys saugomi ne pagal paskirtį. Saugoti asmens duomenis ilgiau nei iš pradžių nurodyta paskirtis leidžiama, jei jie saugomi viešojo intereso archyvavimo, mokslinių ar istorinių tyrimų arba statistikos tikslais. Norint asmens duomenis saugoti ne pagal pradinį tikslą, suderinamais ar kitais tikslais, turėtų būti taikomos įvairios priemonės, pavyzdžiui, anonimizavimas arba pseudonimizavimas, siekiant apsaugoti duomenų subjekto teises.
  6. Vientisumas ir konfidencialumas: Organizacijos (duomenų valdytojai) yra atsakingos už jų renkamų ir saugomų asmens duomenų saugumą. Asmens duomenų saugumui užtikrinti turėtų būti naudojamos arba technologinės, arba organizacinės priemonės. Saugumo priemonės turi apsaugoti nuo: Neįgalioto ar neteisėto duomenų tvarkymo; atsitiktinio duomenų praradimo; duomenų sunaikinimo ar sugadinimo.

Kalbant apie konfidencialumo principą, suaugusiųjų švietėjai-konsultantai turėtų laikytis tam tikrų pagrindinių veiksmų.

Pirmas ir esminis žingsnis - atlikti informacijos rizikos vertinimą naudojant duomenų aptikimo įrankius, kad būtų galima ištirti asmens duomenis visose organizacijos duomenų saugyklose.

Duomenų atradimas

  • apibrėžti, kokius asmens duomenis organizacijai reikia tirti.
  • įvardinti visas vietas, kuriose jūsų organizacija saugo duomenis.
  • sudaryti duomenų naudotojų ir prieigos prie jų sąrašą.

Atlikusi duomenų paiešką, organizacija turėtų atidžiai įvertinti rezultatus, kad pašalintų verslo pažeidžiamumą, susijusį su neskelbtinais asmens duomenimis.

Ištaisymas

  • vykdyti naudotojų prieigos kontrolę pagal duomenų aptikimo rezultatus.
  • neskelbtiniems asmens duomenims taikyti šifravimą arba duomenų maskavimą.

Ištaisiusi esamus asmens duomenis, organizacija turėtų taikyti nuolatinės stebėsenos priemones, kad užtikrintų, jog organizacijos duomenims taikomos saugumo priemonės išliktų nepažeistos.

Nuolatinis stebėjimas

  • taikyti stebėsenos priemones, kad būtų užtikrinta naujų ir esamų duomenų apsauga.
  • įgalinti pažeidimų aptikimo įrankius įspėti apie įtartiną veiklą.

Kokių organizacinių priemonių turėtumėte imtis?

Organizacijos turėtų pradėti nuo informacijos rizikos vertinimo, naudodamos duomenų aptikimo priemones, kad nustatytų ir pašalintų asmens duomenų pažeidžiamumą. Paskirkite asmenį (pavyzdžiui, duomenų apsaugos pareigūną, DAP), kuris rūpintųsi kasdieniu informacijos saugumo valdymu. Užtikrinkite, kad paskirti grupės nariai turėtų tinkamus išteklius ir įgaliojimus įgyvendinti duomenų saugumo priemones. Galiausiai, siekite, kad organizacijoje būtų diegiama bendra sąmoningo saugumo kultūra.

Į kokius veiksnius turėtumėte atsižvelgti nustatydami reikalingą duomenų saugumo lygį?

Su kiekvienais duomenimis susijusi rizika turi atitikti saugumo priemonių, kurios turėtų būti taikomos šiems duomenims, pobūdį.

Taip pat turėtumėte atsižvelgti į šiuos veiksnius:

  • jūsų organizacijos patalpų ir kompiuterinių sistemų pobūdį ir apimtį.
  • jūsų darbuotojų skaičius ir jiems suteiktos prieigos prie asmens duomenų mastą.
  • bet kokius asmens duomenis, kuriuos turi arba naudoja jūsų vardu veikiantis duomenų tvarkytojas.

 

Nuorodos savišvietai

BDAR poveikis suaugusiųjų švietėjams-konsultantams

GDPR trumpai apie terapeutus, rašytojus ir gyvenimo suaugusiųjų švietėjai-konsultantai

Ką suaugusiųjų švietėjai-konsultantai turi žinoti apie BDAR

Ką suaugusiųjų švietėjai-konsultantai turi žinoti apie BDAR Geriausia duomenų rinkimo praktika: Pagrindai

Duomenų apsaugos atitikties kontrolinis sąrašas

Duomenų apsaugos mokymai: Ko reikia išmokyti kiekvieną darbuotoją