ASMENS DUOMENŲ APSAUGOS REFORMA
® Rita Vaitkevičienė Trakai, 2017-08-28
ASMENS DUOMENŲ APSAUGOS REFORMA
® Rita Vaitkevičienė Trakai, 2017-08-28
1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl
fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir
kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas arba
Reglamentas (ES) 2016/679)
2. Asmens duomenų teisinės apsaugos įstatymo Nr. XI-1374 pakeitimo įstatymo projektas.
3. Lietuvos Respublikos Vyriausybės 2001 m. rugsėjo 25 d. nutarimo Nr. 1156 „Dėl Valstybinės
duomenų apsaugos inspekcijos struktūrinės reformos, įgaliojimų suteikimo, Valstybinės
duomenų apsaugos inspekcijos nuostatų patvirtinimo ir su tuo susijusių Lietuvos Respublikos
Vyriausybės nutarimų dalinio pakeitimo.“
Dėl duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų
apsaugai vertinimą, sąrašo patvirtinimo;
- Dėl akreditavimo kriterijų patvirtinimo;
- Dėl sertifikavimo kriterijų patvirtinimo;
- Dėl sertifikavimo įstaigų akreditavimo kriterijų patvirtinimo;
- Dėl standartinių duomenų apsaugos sąlygų patvirtinimo.
ASMENS DUOMENŲ APSAUGOS REFORMA
® Rita Vaitkevičienė Trakai, 2017-08-28
1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos direktyva (ES) 2016/680
dėl fizinių asmenų apsaugos kompetentingoms institucijoms tvarkant asmens
duomenis nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo
persekiojimo už jas arba bausmių vykdymo tikslais ir dėl laisvo tokių duomenų
judėjimo, ir kuriuo panaikinamas Tarybos pamatinis sprendimas 2008/977/TVR
(Direktyva)
2.
2. Asmens duomenų teisinės apsaugos įstatymo Nr. XI-1374 pakeitimo įstatymo
projektas.
3. Duomenų apsauga didelės apimties centralizuotose ES duomenų bazėse.
® Rita Vaitkevičienė, 2016 4
Bendruoju duomenų apsaugos reglamentu (Reglamentas (ES) 2016/679) siekiama
padėti užbaigti kurti laisvės, saugumo ir teisingumo erdvę ir ekonominę sąjungą,
skatinti ekonominę ir socialinę pažangą, stiprinti valstybių narių ekonomiką ir
siekti jų ekonomikos konvergencijos vidaus rinkoje ir fizinių asmenų gerovės.
Klausimai:
1. Reglamento (ES) 2016/679 taikymas ir nuoseklumo užtikrinimas, didesnis
pasitikėjimas.
BENDRASIS DUOMENŲ APSAUGOS REGLAMENTAS
3. Duomenų valdytojai ir tvarkytojai;
2. Reglamente (ES) 2016/679 įtvirtinti principai;
4. Atsakomybė ir jos taikymo ypatumai.
Trakai, 2017-08-28
® Rita Vaitkevičienė, 2016 5
BENDRASIS DUOMENŲ APSAUGOS REGLAMENTAS
Reglamento (ES) 2016/679, kaip ES teisės akto, savybės:
5) Reglamentas (ES) 2016/679 priežiūros institucijai (VDAI) nustatytos prievolės, funkcijos,
teisės ir galios kylančios iš ES teisės akto yra to paties turinio, kaip iš nacionalinės teisės aktų.
1) Reglamentas (ES) 2016/679yra tiesioginio veikimo teisės aktas, ŠN jo neįgyvendina
nacionalinėje teisėje;
2) Reglamentas (ES) 2016/679 yra vientisas dokumentas, jis taikomas visa apimtimi,
negalima jo taikyti dalimis, arba kai kuriuos straipsnius ar nuostatas pasirinktinai;
4) Reglamentas (ES) 2016/679 nuostatų pažeidimai individui ar organizacijai sukelia
teisines pasėkmes kaip nacionalinės teisės pažeidimai;
3) Nacionalinė teisė reguliuoja:
- tai, kas pažymėta pačiame Reglamente (ES) 2016/679;
- pažymėta, kada galima nukrypti nuo Reglamento (ES) 2016/679;
- pažymėta, kur galima nesilaikyti Reglamento (ES) 2016/679, kai nacionalinė teisė
reguliuoja skirtingai;
Trakai, 2017-08-28
® Rita Vaitkevičienė6
DUOMENŲ VALDYTOJAS, DUOMENŲ TVARKYTOJASReglamento (ES) 2016/679 4 str. 7 d. ir 8 d.
1. Duomenų valdytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar
kita įstaiga, kuris:
1) vienas ar drauge su kitais nustato duomenų tvarkymo tikslus ir priemones;
2) kai tokio duomenų tvarkymo tikslai ir priemonės nustatyti ES arba valstybės narės
teisės, duomenų valdytojas arba konkretūs jo skyrimo kriterijai gali būti nustatyti ES
arba valstybės narės teisėje.
2. Duomenų tvarkytojas– fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita
įstaiga, kuri duomenų valdytojo vardu tvarko asmens duomenis.
3. Bendri duomenų valdytojai – kai du ar daugiau duomenų valdytojų kartu nustato
duomenų tvarkymo tikslus ir priemones, jie yra bendri duomenų valdytojai.
Jie tarpusavio susitarimu skaidriu būdu nustato:
1) savo atitinkamą atsakomybę už pagal BDAR nustatytų prievolių vykdymą;
2) išskyrus atvejus, kai atitinkama duomenų valdytojų atsakomybė yra nustatyta ES arba
valstybės narės teisėje.
4. ES neįsisteigusieji duomenų valdytojai ar tvarkytojai privalo paskirti atstovus. Išimtys:
kai tvarkymas nereguliarus, netvarko specialių kategorijų duomenų, kai tvarkymas nekelia
pavojaus fizinių asmenų teisėms ir laisvėms.
Trakai, 2017-08-28
® Rita Vaitkevičienė7
DUOMENŲ VALDYTOJO ATSKAITOMYBĖ
t.y. atsakingas už tai, kad:
1) galėtų įrodyti, kad jo vykdoma duomenų tvarkymo veikla atitinka Reglamentą (ES) 2016/679;
2) būtų atsakingas už tinkamų ir veiksmingų priemonių įgyvendinimą;
3) galėtų įrodyti, kad šios priemonės veiksmingos;
4) galėtų įrodyti, kad priemonėmis atsižvelgta į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir
tikslus;
5) galėtų įrodyti, kad pasirenkant priemones atsižvelgta į pavojų fizinių asmenų teisėms ir laisvėms.
Duomenų valdytojas yra atsakingas už bet kokį duomenų valdytojo arba jo vardu vykdomą asmens
duomenų tvarkymą.
Duomenų valdytojas yra atsakingas už tai, kad būtų laikomasi Reglamente (ES) 2016/679
įtvirtintų principų, ir turi sugebėti įrodyti, kad jų laikomasi (atskaitomybės principas)
(Reglamento (ES) 2016/679 5 str. 2 d.):
Trakai, 2017-08-28
8
BENDRASIS DUOMENŲ APSAUGOS REGLAMENTAS
Duomenų valdytojo pareigosDuomenų subjekto teisės
Ką Reglamento 2016/679 pakeitimai reiškia duomenų valdytojams ir tvarkytojams?
® Rita Vaitkevičienė
1) informavimas ir teisė susipažinti su
asmens duomenimis;
2) teisė reikalauti ištaisyti duomenis;
3) teisė reikalauti ištrinti duomenis
(„teisė buti pamirštam“);
4) teisė apriboti duomenų tvarkymą;
5) teisė į duomenų perkeliamumą;
6) teisė nesutikti;
7) teisės, susijusios su automatizuotu
sprendimų priėmimu, profiliavimas.
1) įrašai apie duomenų tvarkymą;
2) duomenų apsaugos poveikio
vertinimas;
3) pritaikytoji duomenų apsauga ir
standartinė duomenų apsauga;
4) duomenų apsaugos pareigūnas;
5) pranešimo apie duomenų saugumo
pažeidimą priežiūros institucijai ir
duomenų subjektui;
6) elgesio kodeksai;
7) sertifikavimas.
9
Duomenų valdytojas ir duomenų tvarkytojas, atsižvelgdamas į :
1) techninių galimybių išsivystymo lygį,
2) įgyvendinimo sąnaudas,
3) duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus,
4) duomenų tvarkymo keliamus įvairios tikimybės ir rimtumo pavojus,
įgyvendina tinkamas technines ir organizacines priemones, <…>, įskaitant, jei reikia:
® Rita Vaitkevičienė
DUOMENŲ SAUGUMAS
a) pseudonimų suteikimą asmens duomenims ir jų šifravimą;
b) gebėjimą užtikrinti nuolatinį duomenų tvarkymo sistemų ir paslaugų
konfidencialumą, vientisumą, prieinamumą ir atsparumą;
c) gebėjimą laiku atkurti sąlygas ir galimybes naudotis asmens duomenimis fizinio ar
techninio incidento atveju;
d) reguliarų techninių ir organizacinių priemonių, kuriomis užtikrinamas duomenų
tvarkymo saugumas, tikrinimo, vertinimo ir veiksmingumo vertinimo procesą.
Asmens duomenų saugumas po 2018 m.
Trakai, 2017-08-28
10
Asmens duomenų saugumo auditas
® Rita Vaitkevičienė
1) Kaip atlikti organizacijos tvarkomų asmens duomenų saugumo auditą?
2) ISO 27001:2013 ir ISO 27002:2013 standartų reikalavimų taikymas, vertinant įmonės
vykdomos asmens duomenų tvarkymo praktikos atitiktį Reglamentui 2016/697;
3) Duomenų saugumo būklės nustatymas, galimų rizikų duomenų saugumui
identifikavimas bei didelės rizikos tikimybės nustatymas;
4) Rekomendacijos dėl organizacinių ir (arba) techninių priemonių įgyvendinimo,
užtikrinant Reglamente 2016/697 nustatytų reikalavimų įgyvendinimą.
ASMENS DUOMENŲ SAUGUMO AUDITAS
Trakai, 2017-08-28
11
Sritys, kurios gali būti audituojamos:
® Rita Vaitkevičienė
1) Duomenų apsaugos valdymas, klientų ir darbuotojų duomenų tvarkymas;
2) Duomenų bazių struktūra, duomenų tvarkymo procedūros;
3) Duomenų tvarkymo veiklos elektroniniai ir rankiniai įrašai;
4) Duomenų perdavimo procesai, prieigos teisių suteikimo tvarka;
5) Duomenų gavimas ir teikimas;
6) Techninės ir organizacinės saugumo priemonės pagal tikslus, pagal duomenų pobūdį;
7) Rizikų nustatymas (duomenų naudojimo, duomenų saugumo pažeidimų, duomenų vagystės
ar praradimo, atskleidimo trečiosioms šalims, administravimo, prieigų suteikimo);
8) Darbuotojų mokymo ir informuotumo apie duomenų apsaugą didinimas.
ASMENS DUOMENŲ SAUGUMO AUDITAS
Trakai, 2017-08-28
12
Poveikio vertinimas - procesas, kuris padeda organizacijoms nustatyti ir sumažinti
pavojų duomenų saugumui, kuriant naujus projektus ar strategijas.
Poveikio vertinimas apima darbo su įmonės (įstaigos) darbuotojais, su partnerių
organizacijomis ir su jų darbuotojais santykius ir priemones, skirtas nustatyti ir
sumažinti pavojų duomenų saugumui.
Poveikio vertinimas padės užtikrinti, kad galimos problemos būtų identifikuotos
ankstyvame etape, kai sprendimo būdai yra paprastesni ir pigesni.
Atlikti poveikio vertinimą turėtų būti naudinga organizacijoms gerinant tarpusavio
santykius.
® Rita Vaitkevičienė
POVEIKIO VERTINIMAS
Trakai, 2017-08-28
13
Poveikio vertinimas privalomas, kai:
1) Planuojama tvarkyti specialių kategorijų duomenis;
2) Planuojama tvarkyti didelį duomenų kiekį;
3) Duomenų tvarkymas kelia riziką privatumui dėl duomenų apimties
ir (arba) pobūdžio;
4) Planuojama vykdyti profiliavimą;
5) Dideliu mastu arba sistemingai stebėti viešai prieinamą zoną.
® Rita Vaitkevičienė
POVEIKIO VERTINIMAS
Vilnius, 2017-06-27
14
Rizika, didelė rizika
® Rita Vaitkevičienė
POVEIKIO VERTINIMAS
Trakai, 2017-08-28
RIZIKOS NUSTATYMAS:
1) rizikos vertinimus ir didelės rizikos nustatymas yra kontekstinis ir universalus;
2) organizacijos turi turėti galimybę parengti rizikos vertinimo sistemas ir metodikas,
kurios joms yra tinkamos;
3) gali būti naudojama ta pati metodika siekiant įvertinti kelias duomenų tvarkymo
operacijas, jeigu yra tikimybė, kad rizika bus panaši;
4) didelės rizikos nustatymo kriterijai – sąrašas veiklų, tame tarpe ir duomenų tvarkymas,
kai nustatoma didelė rizika;
5) atvejai, kai negali būti didelės rizikos ir aplinkybės, kurioms atsiradus ar pasikeitus
rizika padidėtų;
6) išankstinio konsultavimosi su VDAI būtinumas kai rizika yra didelė ir duomenų valdytojas
pripažįsta, kad ji negali būti sumažinta.
ASMENS DUOMENŲ APSAUGA PAGAL REGLAMENTĄ 2016/679
® Rita Vaitkevičienė Trakai, 2017-08-28
ICANN negeneruoja, bet renka, naudoja ir saugo užklausų
rezultatus ir juos atskleidžia vieninteliam tikslui - padėti
naudotojams gauti informacijos apie domeno vardo
registracijos įrašus realiu laiku. Naudotojas sutinka naudoti
šiuos duomenis tik teisėtais tikslais.
Realaus laiko duomenų bazių apsauga. Duomenų saugumo Tikslas – duomenų konfidencialumo užtikrinimas.
Potencialios neteisėto duomenų atskleidimo grėsmės – duomenų valdytojo ar
tvarkytojo išorėje ir viduje.
Siekiama apsaugoti duomenis minimaliai įtakojant taikomųjų sistemų
funkcionalumą.
ASMENS DUOMENŲ APSAUGA PAGAL REGLAMENTĄ 2016/679
® Rita Vaitkevičienė Trakai, 2017-08-28
Elgesio kodekse įtvirtinti principai yra orientyras, skirtas padėti organizacijoms
sąžiningai ir skaidriai tvarkyti asmens duomenis vystant verslą.
Elgesio kodekso struktūra:
1) misija;
2) organizacijos vertybės;
3) ieškoma problemų sprendimo būdų atsižvelgiant į etikos kodekse įtvirtintus
principus, organizacijos vertybes ir standartus;
4) nustatomos duomenų valdytojų ir duomenų tvarkytojų prievolės, atsižvelgiant į
pavojų, kuris tvarkant duomenis gali kilti fizinių asmenų teisėms ir laisvėms; (98
preambulės straipsnis).
Elgesio kodeksai
ASMENS DUOMENŲ APSAUGA PAGAL REGLAMENTĄ 2016/679
® Rita Vaitkevičienė Trakai, 2017-08-28
Asociacijos ar kitos įstaigos, atstovaujančios įvairių kategorijų duomenų valdytojams
arba duomenų tvarkytojams, turėtų būti skatinamos <...> parengti elgesio kodeksus,
atsižvelgiant į:
1) tam tikruose sektoriuose atliekamo duomenų tvarkymo ypatumus;
2) konkrečius labai mažų, mažųjų ir vidutinių įmonių poreikius. (98 preambulės ir
BDAR 40 straipsniai);
3) rengdamos elgesio kodeksą, jį keisdamos ar išplėsdamos, asociacijos ir kitos
įstaigos, atstovaujančios duomenų valdytojams arba duomenų tvarkytojams, turėtų
konsultuotis su:
a) suinteresuotaisiais subjektais;
b) su duomenų subjektais (99 preambulės straipsnis).
Elgesio kodeksai
ASMENS DUOMENŲ APSAUGA PAGAL BDAR 2016/679
® Rita Vaitkevičienė Trakai, 2017-08-28
Elgesio kodekso ypatumas tai, kad jo turi laikytis:
1) verslo ar kt. organizacijų darbuotojai ar nariai;
2) Kodekso nuostatų pažeidimas gali būti santykių nutraukimo arba atleidimo priežastimi;
3) Kodekse aiškiai nustatytos elgesio taisyklės ir pateikiami įspėjimai;
4) nepriklausomai nuo organizacijos dydžio, darbuotojams nustatomas elgesio standartas;
5) kai duomenų valdytojas ar tvarkytojas įsipareigoja laikytis etikos kodekso, jis siunčia
žinutę, kad atitikties tikėtis kiekvienas klientas ar darbuotojas.
19
Duomenų apsaugos pareigūno funkcija – duomenų valdytojo ar duomenų tvarkytojo
pavedimu stebėti, kaip laikomasi Reglamento 2016/679 reikalavimų.
Reikalavimai:
1) Pareigūnas privalo turėti ekspertinių duomenų apsaugos teisės ir praktikos žinių;
2) jo pagrindinė veikla turi būti susijusi su įstaigos (organizacijos) svarbiausia veikla;
3) nesusijusi su asmens duomenų tvarkymu kaip papildoma veikla;
4) būtinas ekspertinių žinių lygis nustatomas atsižvelgiant į atliekamas duomenų
tvarkymo operacijas ir duomenų valdytojo arba duomenų tvarkytojo tvarkomų
asmens duomenų reikiamą apsaugą.
Duomenų apsaugos pareigūnas savo pareigas ir užduotis turėtų galėti atlikti
nepriklausomai .
Reglamento 2016/679 Preambulės 97 straipsnis.
® Rita Vaitkevičienė
DUOMENŲ APSAUGOS PAREIGŪNAS
Trakai, 2017-08-28
43 str. 1 d.
• Standartas EN-ISO/IEC 17065/2012 ir kt.
• VDAI arba kitos ES šalies duomenų apsaugos valdybos nustatyti reikalavimai
43 str. 2 d.
• Nepriklausoma ekspertizė
• Sertifikavimo kriterijai
• Sertifikatų valdymas
• Skundų nagrinėjimo procedūra
• Vengimas interesų konflikto
43 str. 3 d.• Priežiūros institucijos patvirtinti kriterijai;
• Valdybos patvirtinti kriterijai.
SERTIFIKAVIMAS
21
Ačiū už kantrybę
® Rita Vaitkevičienė
NEŽINOTE? KLAUSKITE, KLAUSKITE, KLAUSKITE