asmens duomenŲ apsaugos reforma - litnet · asmens duomenŲ apsaugos reforma ® rita...

ASMENS DUOMENŲ APSAUGOS REFORMA

® Rita Vaitkevičienė Trakai, 2017-08-28



1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl

fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir

kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas arba

Reglamentas (ES) 2016/679)

2. Asmens duomenų teisinės apsaugos įstatymo Nr. XI-1374 pakeitimo įstatymo projektas.

3. Lietuvos Respublikos Vyriausybės 2001 m. rugsėjo 25 d. nutarimo Nr. 1156 „Dėl Valstybinės

duomenų apsaugos inspekcijos struktūrinės reformos, įgaliojimų suteikimo, Valstybinės

duomenų apsaugos inspekcijos nuostatų patvirtinimo ir su tuo susijusių Lietuvos Respublikos

Vyriausybės nutarimų dalinio pakeitimo.“

Dėl duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų

apsaugai vertinimą, sąrašo patvirtinimo;

- Dėl akreditavimo kriterijų patvirtinimo;

- Dėl sertifikavimo kriterijų patvirtinimo;

- Dėl sertifikavimo įstaigų akreditavimo kriterijų patvirtinimo;

- Dėl standartinių duomenų apsaugos sąlygų patvirtinimo.



1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos direktyva (ES) 2016/680

dėl fizinių asmenų apsaugos kompetentingoms institucijoms tvarkant asmens

duomenis nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo

persekiojimo už jas arba bausmių vykdymo tikslais ir dėl laisvo tokių duomenų

judėjimo, ir kuriuo panaikinamas Tarybos pamatinis sprendimas 2008/977/TVR

(Direktyva)

2.

2. Asmens duomenų teisinės apsaugos įstatymo Nr. XI-1374 pakeitimo įstatymo

projektas.

3. Duomenų apsauga didelės apimties centralizuotose ES duomenų bazėse.

® Rita Vaitkevičienė, 2016 4

Bendruoju duomenų apsaugos reglamentu (Reglamentas (ES) 2016/679) siekiama

padėti užbaigti kurti laisvės, saugumo ir teisingumo erdvę ir ekonominę sąjungą,

skatinti ekonominę ir socialinę pažangą, stiprinti valstybių narių ekonomiką ir

siekti jų ekonomikos konvergencijos vidaus rinkoje ir fizinių asmenų gerovės.

Klausimai:

1. Reglamento (ES) 2016/679 taikymas ir nuoseklumo užtikrinimas, didesnis

pasitikėjimas.

BENDRASIS DUOMENŲ APSAUGOS REGLAMENTAS

3. Duomenų valdytojai ir tvarkytojai;

2. Reglamente (ES) 2016/679 įtvirtinti principai;

4. Atsakomybė ir jos taikymo ypatumai.

Trakai, 2017-08-28

® Rita Vaitkevičienė, 2016 5


Reglamento (ES) 2016/679, kaip ES teisės akto, savybės:

5) Reglamentas (ES) 2016/679 priežiūros institucijai (VDAI) nustatytos prievolės, funkcijos,

teisės ir galios kylančios iš ES teisės akto yra to paties turinio, kaip iš nacionalinės teisės aktų.

1) Reglamentas (ES) 2016/679yra tiesioginio veikimo teisės aktas, ŠN jo neįgyvendina

nacionalinėje teisėje;

2) Reglamentas (ES) 2016/679 yra vientisas dokumentas, jis taikomas visa apimtimi,

negalima jo taikyti dalimis, arba kai kuriuos straipsnius ar nuostatas pasirinktinai;

4) Reglamentas (ES) 2016/679 nuostatų pažeidimai individui ar organizacijai sukelia

teisines pasėkmes kaip nacionalinės teisės pažeidimai;

3) Nacionalinė teisė reguliuoja:

- tai, kas pažymėta pačiame Reglamente (ES) 2016/679;

- pažymėta, kada galima nukrypti nuo Reglamento (ES) 2016/679;

- pažymėta, kur galima nesilaikyti Reglamento (ES) 2016/679, kai nacionalinė teisė

reguliuoja skirtingai;

Trakai, 2017-08-28

® Rita Vaitkevičienė6

DUOMENŲ VALDYTOJAS, DUOMENŲ TVARKYTOJASReglamento (ES) 2016/679 4 str. 7 d. ir 8 d.

1. Duomenų valdytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar

kita įstaiga, kuris:

1) vienas ar drauge su kitais nustato duomenų tvarkymo tikslus ir priemones;

2) kai tokio duomenų tvarkymo tikslai ir priemonės nustatyti ES arba valstybės narės

teisės, duomenų valdytojas arba konkretūs jo skyrimo kriterijai gali būti nustatyti ES

arba valstybės narės teisėje.

2. Duomenų tvarkytojas– fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita

įstaiga, kuri duomenų valdytojo vardu tvarko asmens duomenis.

3. Bendri duomenų valdytojai – kai du ar daugiau duomenų valdytojų kartu nustato

duomenų tvarkymo tikslus ir priemones, jie yra bendri duomenų valdytojai.

Jie tarpusavio susitarimu skaidriu būdu nustato:

1) savo atitinkamą atsakomybę už pagal BDAR nustatytų prievolių vykdymą;

2) išskyrus atvejus, kai atitinkama duomenų valdytojų atsakomybė yra nustatyta ES arba

valstybės narės teisėje.

4. ES neįsisteigusieji duomenų valdytojai ar tvarkytojai privalo paskirti atstovus. Išimtys:

kai tvarkymas nereguliarus, netvarko specialių kategorijų duomenų, kai tvarkymas nekelia

pavojaus fizinių asmenų teisėms ir laisvėms.

Trakai, 2017-08-28

® Rita Vaitkevičienė7

DUOMENŲ VALDYTOJO ATSKAITOMYBĖ

t.y. atsakingas už tai, kad:

1) galėtų įrodyti, kad jo vykdoma duomenų tvarkymo veikla atitinka Reglamentą (ES) 2016/679;

2) būtų atsakingas už tinkamų ir veiksmingų priemonių įgyvendinimą;

3) galėtų įrodyti, kad šios priemonės veiksmingos;

4) galėtų įrodyti, kad priemonėmis atsižvelgta į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir

tikslus;

5) galėtų įrodyti, kad pasirenkant priemones atsižvelgta į pavojų fizinių asmenų teisėms ir laisvėms.

Duomenų valdytojas yra atsakingas už bet kokį duomenų valdytojo arba jo vardu vykdomą asmens

duomenų tvarkymą.

Duomenų valdytojas yra atsakingas už tai, kad būtų laikomasi Reglamente (ES) 2016/679

įtvirtintų principų, ir turi sugebėti įrodyti, kad jų laikomasi (atskaitomybės principas)

(Reglamento (ES) 2016/679 5 str. 2 d.):

Trakai, 2017-08-28

8


Duomenų valdytojo pareigosDuomenų subjekto teisės

Ką Reglamento 2016/679 pakeitimai reiškia duomenų valdytojams ir tvarkytojams?

® Rita Vaitkevičienė

1) informavimas ir teisė susipažinti su

asmens duomenimis;

2) teisė reikalauti ištaisyti duomenis;

3) teisė reikalauti ištrinti duomenis

(„teisė buti pamirštam“);

4) teisė apriboti duomenų tvarkymą;

5) teisė į duomenų perkeliamumą;

6) teisė nesutikti;

7) teisės, susijusios su automatizuotu

sprendimų priėmimu, profiliavimas.

1) įrašai apie duomenų tvarkymą;

2) duomenų apsaugos poveikio

vertinimas;

3) pritaikytoji duomenų apsauga ir

standartinė duomenų apsauga;

4) duomenų apsaugos pareigūnas;

5) pranešimo apie duomenų saugumo

pažeidimą priežiūros institucijai ir

duomenų subjektui;

6) elgesio kodeksai;

7) sertifikavimas.

9

Duomenų valdytojas ir duomenų tvarkytojas, atsižvelgdamas į :

1) techninių galimybių išsivystymo lygį,

2) įgyvendinimo sąnaudas,

3) duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus,

4) duomenų tvarkymo keliamus įvairios tikimybės ir rimtumo pavojus,

įgyvendina tinkamas technines ir organizacines priemones, <…>, įskaitant, jei reikia:


DUOMENŲ SAUGUMAS

a) pseudonimų suteikimą asmens duomenims ir jų šifravimą;

b) gebėjimą užtikrinti nuolatinį duomenų tvarkymo sistemų ir paslaugų

konfidencialumą, vientisumą, prieinamumą ir atsparumą;

c) gebėjimą laiku atkurti sąlygas ir galimybes naudotis asmens duomenimis fizinio ar

techninio incidento atveju;

d) reguliarų techninių ir organizacinių priemonių, kuriomis užtikrinamas duomenų

tvarkymo saugumas, tikrinimo, vertinimo ir veiksmingumo vertinimo procesą.

Asmens duomenų saugumas po 2018 m.

Trakai, 2017-08-28

10

Asmens duomenų saugumo auditas


1) Kaip atlikti organizacijos tvarkomų asmens duomenų saugumo auditą?

2) ISO 27001:2013 ir ISO 27002:2013 standartų reikalavimų taikymas, vertinant įmonės

vykdomos asmens duomenų tvarkymo praktikos atitiktį Reglamentui 2016/697;

3) Duomenų saugumo būklės nustatymas, galimų rizikų duomenų saugumui

identifikavimas bei didelės rizikos tikimybės nustatymas;

4) Rekomendacijos dėl organizacinių ir (arba) techninių priemonių įgyvendinimo,

užtikrinant Reglamente 2016/697 nustatytų reikalavimų įgyvendinimą.

ASMENS DUOMENŲ SAUGUMO AUDITAS

Trakai, 2017-08-28

11

Sritys, kurios gali būti audituojamos:


1) Duomenų apsaugos valdymas, klientų ir darbuotojų duomenų tvarkymas;

2) Duomenų bazių struktūra, duomenų tvarkymo procedūros;

3) Duomenų tvarkymo veiklos elektroniniai ir rankiniai įrašai;

4) Duomenų perdavimo procesai, prieigos teisių suteikimo tvarka;

5) Duomenų gavimas ir teikimas;

6) Techninės ir organizacinės saugumo priemonės pagal tikslus, pagal duomenų pobūdį;

7) Rizikų nustatymas (duomenų naudojimo, duomenų saugumo pažeidimų, duomenų vagystės

ar praradimo, atskleidimo trečiosioms šalims, administravimo, prieigų suteikimo);

8) Darbuotojų mokymo ir informuotumo apie duomenų apsaugą didinimas.

ASMENS DUOMENŲ SAUGUMO AUDITAS

Trakai, 2017-08-28

12

Poveikio vertinimas - procesas, kuris padeda organizacijoms nustatyti ir sumažinti

pavojų duomenų saugumui, kuriant naujus projektus ar strategijas.

Poveikio vertinimas apima darbo su įmonės (įstaigos) darbuotojais, su partnerių

organizacijomis ir su jų darbuotojais santykius ir priemones, skirtas nustatyti ir

sumažinti pavojų duomenų saugumui.

Poveikio vertinimas padės užtikrinti, kad galimos problemos būtų identifikuotos

ankstyvame etape, kai sprendimo būdai yra paprastesni ir pigesni.

Atlikti poveikio vertinimą turėtų būti naudinga organizacijoms gerinant tarpusavio

santykius.


POVEIKIO VERTINIMAS

Trakai, 2017-08-28

13

Poveikio vertinimas privalomas, kai:

1) Planuojama tvarkyti specialių kategorijų duomenis;

2) Planuojama tvarkyti didelį duomenų kiekį;

3) Duomenų tvarkymas kelia riziką privatumui dėl duomenų apimties

ir (arba) pobūdžio;

4) Planuojama vykdyti profiliavimą;

5) Dideliu mastu arba sistemingai stebėti viešai prieinamą zoną.


POVEIKIO VERTINIMAS

Vilnius, 2017-06-27

14

Rizika, didelė rizika


POVEIKIO VERTINIMAS

Trakai, 2017-08-28

RIZIKOS NUSTATYMAS:

1) rizikos vertinimus ir didelės rizikos nustatymas yra kontekstinis ir universalus;

2) organizacijos turi turėti galimybę parengti rizikos vertinimo sistemas ir metodikas,

kurios joms yra tinkamos;

3) gali būti naudojama ta pati metodika siekiant įvertinti kelias duomenų tvarkymo

operacijas, jeigu yra tikimybė, kad rizika bus panaši;

4) didelės rizikos nustatymo kriterijai – sąrašas veiklų, tame tarpe ir duomenų tvarkymas,

kai nustatoma didelė rizika;

5) atvejai, kai negali būti didelės rizikos ir aplinkybės, kurioms atsiradus ar pasikeitus

rizika padidėtų;

6) išankstinio konsultavimosi su VDAI būtinumas kai rizika yra didelė ir duomenų valdytojas

pripažįsta, kad ji negali būti sumažinta.

ASMENS DUOMENŲ APSAUGA PAGAL REGLAMENTĄ 2016/679


ICANN negeneruoja, bet renka, naudoja ir saugo užklausų

rezultatus ir juos atskleidžia vieninteliam tikslui - padėti

naudotojams gauti informacijos apie domeno vardo

registracijos įrašus realiu laiku. Naudotojas sutinka naudoti

šiuos duomenis tik teisėtais tikslais.

Realaus laiko duomenų bazių apsauga. Duomenų saugumo Tikslas – duomenų konfidencialumo užtikrinimas.

Potencialios neteisėto duomenų atskleidimo grėsmės – duomenų valdytojo ar

tvarkytojo išorėje ir viduje.

Siekiama apsaugoti duomenis minimaliai įtakojant taikomųjų sistemų

funkcionalumą.

http://www.icann.org/

http://www.icann.org/



Elgesio kodekse įtvirtinti principai yra orientyras, skirtas padėti organizacijoms

sąžiningai ir skaidriai tvarkyti asmens duomenis vystant verslą.

Elgesio kodekso struktūra:

1) misija;

2) organizacijos vertybės;

3) ieškoma problemų sprendimo būdų atsižvelgiant į etikos kodekse įtvirtintus

principus, organizacijos vertybes ir standartus;

4) nustatomos duomenų valdytojų ir duomenų tvarkytojų prievolės, atsižvelgiant į

pavojų, kuris tvarkant duomenis gali kilti fizinių asmenų teisėms ir laisvėms; (98

preambulės straipsnis).

Elgesio kodeksai



Asociacijos ar kitos įstaigos, atstovaujančios įvairių kategorijų duomenų valdytojams

arba duomenų tvarkytojams, turėtų būti skatinamos <...> parengti elgesio kodeksus,

atsižvelgiant į:

1) tam tikruose sektoriuose atliekamo duomenų tvarkymo ypatumus;

2) konkrečius labai mažų, mažųjų ir vidutinių įmonių poreikius. (98 preambulės ir

BDAR 40 straipsniai);

3) rengdamos elgesio kodeksą, jį keisdamos ar išplėsdamos, asociacijos ir kitos

įstaigos, atstovaujančios duomenų valdytojams arba duomenų tvarkytojams, turėtų

konsultuotis su:

a) suinteresuotaisiais subjektais;

b) su duomenų subjektais (99 preambulės straipsnis).

Elgesio kodeksai

ASMENS DUOMENŲ APSAUGA PAGAL BDAR 2016/679


Elgesio kodekso ypatumas tai, kad jo turi laikytis:

1) verslo ar kt. organizacijų darbuotojai ar nariai;

2) Kodekso nuostatų pažeidimas gali būti santykių nutraukimo arba atleidimo priežastimi;

3) Kodekse aiškiai nustatytos elgesio taisyklės ir pateikiami įspėjimai;

4) nepriklausomai nuo organizacijos dydžio, darbuotojams nustatomas elgesio standartas;

5) kai duomenų valdytojas ar tvarkytojas įsipareigoja laikytis etikos kodekso, jis siunčia

žinutę, kad atitikties tikėtis kiekvienas klientas ar darbuotojas.

19

Duomenų apsaugos pareigūno funkcija – duomenų valdytojo ar duomenų tvarkytojo

pavedimu stebėti, kaip laikomasi Reglamento 2016/679 reikalavimų.

Reikalavimai:

1) Pareigūnas privalo turėti ekspertinių duomenų apsaugos teisės ir praktikos žinių;

2) jo pagrindinė veikla turi būti susijusi su įstaigos (organizacijos) svarbiausia veikla;

3) nesusijusi su asmens duomenų tvarkymu kaip papildoma veikla;

4) būtinas ekspertinių žinių lygis nustatomas atsižvelgiant į atliekamas duomenų

tvarkymo operacijas ir duomenų valdytojo arba duomenų tvarkytojo tvarkomų

asmens duomenų reikiamą apsaugą.

Duomenų apsaugos pareigūnas savo pareigas ir užduotis turėtų galėti atlikti

nepriklausomai .

Reglamento 2016/679 Preambulės 97 straipsnis.


DUOMENŲ APSAUGOS PAREIGŪNAS

Trakai, 2017-08-28

43 str. 1 d.

• Standartas EN-ISO/IEC 17065/2012 ir kt.

• VDAI arba kitos ES šalies duomenų apsaugos valdybos nustatyti reikalavimai

43 str. 2 d.

• Nepriklausoma ekspertizė

• Sertifikavimo kriterijai

• Sertifikatų valdymas

• Skundų nagrinėjimo procedūra

• Vengimas interesų konflikto

43 str. 3 d.• Priežiūros institucijos patvirtinti kriterijai;

• Valdybos patvirtinti kriterijai.

SERTIFIKAVIMAS

21

Ačiū už kantrybę


NEŽINOTE? KLAUSKITE, KLAUSKITE, KLAUSKITE

asmens duomenŲ apsaugos reforma - litnet · asmens duomenŲ apsaugos reforma ® rita...

Documents