Asmens duomenų apsauga yra aktuali tema tiek verslui, tiek individualiems asmenims. Europos Sąjunga 2018 m. gegužės 25 d. įsigaliojusiu Bendruoju duomenų apsaugos reglamentu (GDPR) nustatė griežtas taisykles, skirtas apsaugoti piliečių privatumą. Šis straipsnis aptars GDPR pagrindus, reikalavimus ir kaip organizacijos gali užtikrinti jų laikymąsi.
Kas yra GDPR?
GDPR yra ES reglamentas, kuris nustato asmens duomenų apsaugos standartus. Reglamentas taikomas visoms organizacijoms, kurios renka, saugo ar apdoroja ES piliečių duomenis, nepriklausomai nuo to, kur organizacija yra įsikūrusi. Pagrindiniai GDPR tikslai yra:
- Padidinti asmens duomenų apsaugą ir saugumą.
- Suteikti asmenims daugiau kontrolės savo duomenims.
- Suderinti duomenų apsaugos taisykles visoje ES.
Kokie yra pagrindiniai GDPR principai?
GDPR remiasi šiais principais:
- Teisėtumas, sąžiningumas ir skaidrumas: Duomenys turi būti tvarkomi teisėtai, sąžiningai ir skaidriai.
- Duomenų minimizavimas: Tvarkyti tik tuos duomenis, kurie yra būtini.
- Tikslumo principas: Duomenys turi būti tikslūs ir, jei reikia, atnaujinami.
- Saugumo principas: Užtikrinti tinkamas apsaugos priemones prieš duomenų praradimą ar neteisėtą prieigą.
Kokie yra subjektų teisės pagal GDPR?
GDPR suteikia fiziniams asmenims (duomenų subjektams) šias teises:
- Teisę žinoti, kaip jų duomenys yra naudojami.
- Teisę gauti prieigą prie savo duomenų.
- Teisę reikalauti duomenų ištrynimo („teisė būti pamirštam“).
- Teisę riboti duomenų tvarkymą.
- Teisę gauti duomenis struktūrizuotu, plačiai naudojamu formatu.
- Teisę nesutikti su tam tikrais duomenų tvarkymo būdais.
Ką turėtų daryti organizacijos?
Norint laikytis GDPR, organizacijos turi įgyvendinti šiuos žingsnius:
1. Duomenų apsaugos politika
Kiekviena organizacija turėtų turėti aiškią duomenų apsaugos politiką, kurioje aprašomi duomenų rinkimo, saugojimo ir naudojimo procesai.
2. Duomenų inventorizacija
Organizacijos turėtų nustatyti, kokius duomenis jos renka ir kokiu tikslu. Tai apima informacijos apie duomenų šaltinius, saugojimo vietas ir prieigą.
3. Duomenų apsaugos pareigūnas
Įmonės, tvarkančios didelį kiekį asmens duomenų, privalo paskirti duomenų apsaugos pareigūną, atsakingą už GDPR reikalavimų laikymąsi.
4. Sutikimo gavimas
Svarbu užtikrinti, kad duomenų rinkimas būtų grindžiamas aiškiu, laisvai duotu sutikimu. Organizacijos turi turėti galimybę įrodyti, kad sutikimas buvo gautas.
5. Duomenų saugumo priemonės
Organizacijos privalo įdiegti technines ir organizacines priemones, apsaugančias duomenis nuo nutekėjimo ar neteisėto naudojimo.
GDPR pažeidimų pasekmės
GDPR pažeidimai gali sukelti rimtas finansines ir teisines pasekmes. Baudos gali siekti iki 20 milijonų eurų arba 4% metinės pasaulinės apyvartos, priklausomai nuo to, kuri suma yra didesnė. Be finansinių nuostolių, pažeidimai gali neigiamai paveikti organizacijos reputaciją.
Privalumai laikantis GDPR
Nors GDPR gali atrodyti kaip našta, laikymasis gali suteikti organizacijoms keletą privalumų:
- Padidėjęs klientų pasitikėjimas.
- Geresnis duomenų valdymas.
- Rinkodaros procesų optimizavimas.
- Teisinės atsakomybės sumažinimas.
Išvada
GDPR yra svarbus žingsnis siekiant užtikrinti asmens duomenų apsaugą. Organizacijos, laikydamosi reglamento reikalavimų, ne tik išvengia galimų sankcijų, bet ir stiprina savo reputaciją bei skatina pasitikėjimą tarp klientų. Todėl labai svarbu skirti laiko ir išteklių, kad būtų užtikrintas visų GDPR principų laikymasis.