4 mitai susiję su Asmens duomenų apsaugos reforma

Autoriai: Vilius Martišius, METIDA partneris, advokatas; Valdemaras Kovalevskis, METIDA teisininkas, advokato padėjėjas

valdes blogui2018 m. gegužės 25 d. visoje Europos Sąjungoje įsigalios praėjusiais metais priimtas Bendrasis duomenų apsaugos reglamentas, kuris apima taip vadinamą Asmens duomenų apsaugos reformą. Tinkamai pasiruošti Bendrojo duomenų apsaugos reglamento įsigaliojimui laiko lieka vis mažiau, todėl didelis informacijos kiekis ir skubėjimas lėmė, kad visuomenėje jau formuojasi ne vienas klaidingas mitas, susijęs su Asmens duomenų apsaugos reforma.

1 mitas: visi duomenų valdytojai ir tvarkytojai privalo skirti Duomenų apsaugos pareigūną

Duomenų apsaugos pareigūnas tiek Lietuvos, tiek užsienio bendrovėms yra naujovė, todėl įsivyravo mitas, jog praktiškai visi duomenų valdytojai ir tvarkytojai privalės turėti šį pareigūną. Tačiau taip nėra. Duomenų apsaugos pareigūnas privalės būti skiriamas tik šiais atvejais:

  • Kai duomenis tvarko valdžios institucija arba įstaiga, išskyrus teismus (kai jie vykdo teismines funkcijas);
  • Duomenų valdytojo arba duomenų tvarkytojo pagrindinė veikla yra duomenų tvarkymas dėl kurio pobūdžio, aprėpties arba tikslų būtina reguliariai ir sistemingai dideliu mastu stebėti duomenų subjektus;
  • Duomenų valdytojo arba duomenų tvarkytojo pagrindinė funkcija yra ypatingų duomenų tvarkymas dideliu mastu ir asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymas dideliu mastu.

2 mitas: Bendrasis duomenų apsaugos reglamentas taikomas tik bendrovės įsteigtoms ES teritorijoje

Dauguma susidarė klaidingą įspūdį, kad šis reglamentas taikomas tik toms bendrovėms, kurios yra įsteigtos Europos Sąjungos teritorijoje. Visgi Bendrasis duomenų apsaugos reglamentas taikomas ir tokioms bendrovėms, kurios yra įsteigtos už Europos Sąjungos ribų, kai egzistuoja bent viena iš šių sąlygų – vykdoma komercinė veikla, susijusi su prekių ar paslaugų siūlymu (net jeigu siūloma nemokamai) asmens duomenų subjektams Europos Sąjungoje arba vykdomas asmens duomenų subjektų stebėjimas Europos Sąjungoje. Reikėtų atkreipti dėmesį, kad tokios bendrovės privalės skirti savo atstovą Europos Sąjungoje.

3 mitas: asmens duomenų apsaugos reforma aktuali tik didelėms bendrovėms

Labai didelės baudos (iki 10 mln. EUR ar iki 20 mln. EUR arba iki 2 – 4 % bendrosios metinės pasaulinės apyvartos įmonių atveju) už Bendrojo duomenų apsaugos reglamento pažeidimus gali suponuoti, kad Asmens duomenų apsaugos reforma aktuali tik didelėms bendrovėms, tarptautinėms korporacijoms, įmonių grupėms. Tiesa ta, kad Bendrasis duomenų apsaugos reglamentas tiesiogiai taikomas visiems asmens duomenų tvarkytojams ir valdytojams, kurie tvarko asmens duomenis, nepriklausomai nuo jų dydžio, tvarkomų asmens duomenų kiekio ar pobūdžio, o taip pat nepriklausomai nuo to, ar jis yra fizinis ar juridinis asmuo.

4 mitas: tos pačios įmonei privalomos taisyklės (angl. Binding Corporate Rules) galės būti taikomos visoms įmonių grupei priklausančioms bendrovėms, įsteigtoms skirtingose šalyse

Nors Bendrasis duomenų apsaugos reglamentas yra tiesioginio veikimo teisės aktas ir jo nereikia įgyvendinti nacionalinėje teisėje, t. y. jis visa apimtimi tiesiogiai yra taikomas nacionalinėje teisėje, valstybėms narėms suteikta teisė tam tikrus klausimus pačioms susireguliuoti ir nukrypti arba nepaisyti tam tikrų reglamento nuostatų. Pavyzdžiui, nacionalinėje teisėje gali būti numatyta kita atsakomybė nei Reglamente, numatytos konkretesnės reglamento taisyklių taikymo nuostatos. Įmonei privalomos taisyklės yra asmens duomenų apsaugos politikos nuostatos, kurių valstybės narės teritorijoje įsisteigęs duomenų valdytojas arba duomenų tvarkytojas laikosi tvarkydamas asmens duomenis. Šios taisyklės negalės prieštarauti ne tik Bendrajam duomenų apsaugos reglamentui, bet ir konkrečios valstybės nacionalinei teisei. Todėl tos pačios įmonei privalomos taisyklės negalės būti taikomos visoms įmonių grupei priklausančioms bendrovėms, nes jos gali neatitikti tam tikros konkrečios valstybės nacionalinės teisės.

Mitai yra tik žmonių vaizduotės kūrinys, todėl jais tikėti neverta. Lygiai  taip pat neverta tikėti nepagrįstais mitais, susijusiais su Asmens duomenų apsaugos reforma. Reikia tiesiog susipažinti, kokie iš tikrųjų yra nauji reikalavimai, ir šią reformą priimti kaip teigiamą iššūkį. Todėl, kad ja yra siekiama kiekvienam asmeniui, individui pozityvaus tikslo – labiau ir realiau saugoti jo asmens duomenis, numatyti griežtą atsakomybę už apsaugos reikalavimų pažeidimus.

Posted in Asmens duomenų apsauga | Protection of Personal Data, Uncategorized | Tagged , , , , | Parašykite komentarą

4 Myths Related to Data Protection Reform

Authors: Vilius Martišius, associated partner, attorney-at-law at METIDA and court mediator;  Valdemaras Kovalevskis,  lawyer and attorney assistant at METIDA

valdes bloguiLast year adopted General Data Protection Regulation, which includes the so-called Data Protection Reform will come into force across the European Union on 25 May 2018. The time for the proper preparation for entry into force of the General Data Protection Regulation is running out, thus a large amount of information and the rush has led that many erroneous myths related to Personal Data Protection Reform have been already prevalent in the society.

Myth 1: all data controllers and processors must appoint a Data Protection Officer

The Data Protection Officer is new for both Lithuanian and foreign companies and therefore a myth that practically all data controllers and processors must have this officer became prevalent. However, that is not the case. The Data Protection Officer must be appointed only in the following cases:

  • the processing is carried out by a public authority or body, except for courts acting in their judicial capacity;
  • the core activities of the controller or the processor consist of processing operations which, by virtue of their nature, their scope and/or their purposes, require regular and systematic monitoring of data subjects on a large scale;
  • the core activities of the controller or the processor consist of processing on a large scale of special categories of data and personal data relating to criminal convictions and offences.

Myth 2: General Data Protection Regulation is applied only to companies established in the EU

Many people have formed unfounded impression that it applies only to companies that are established in the European Union. However, the General Data Protection Regulation is applied to those companies which are established outside the European Union too, where there is at least one of the following conditions – commercial activities related to the offering of goods or services (even if it is offered for free) to personal data subjects in the European Union is carried on or the monitoring of the personal data subjects in the EU is carried on. It should be noted that the company will have to appoint a representative to the European Union.

Myth 3: Data Protection Reform is relevant only for large companies

Very high fines (in the case of a company, up to 10 million Euros or 20 million Euros or 2 – 4% of the total annual worldwide turnover) for breaches of General Data Protection Regulation can presuppose that Data Protection Reform is relevant only for large companies, multinational corporations, groups of companies. The truth is that the General Data Protection Regulation is directly applicable to all personal data processors and controllers who handle personal data, regardless of their size, the amount and nature of personal data and, as well as regardless of whether it is a natural or legal person.

Myth 4: the same binding corporate rules will be applicable to all companies belonging to the group of companies established in different countries

Although the General Data Protection Regulation is a direct effect legal act and does not need to implemented in national law, i.e. it is directly applicable in its entirety in national law, Member States are entitled to regulate themselves certain issues and to deviate or ignore certain provisions of the Regulation. For example, national law may provide for the other liability than the Regulation provides, more specific provisions for the application of the Regulation Rules. Binding Corporate Rules are provisions for personal data protection policies, which the controller or the processor established in the Member State takes during the processing of personal data. These rules will not be able to oppose not only the General Data Protection Regulation, but also specific national legal systems. Therefore, the same Binding Corporate Rules cannot be applied to all companies belonging to the group of companies because they cannot comply with specific national law.

Myths are only the creation of human imagination; thus it is not worth it to believe them. Equally it is not worth it to believe unfounded myths related to Data Protection Reform. It needs just to familiarize with what actually are the new requirements, and to take this reform as a positive challenge. Therefore, it is intended to more realistically protect his personal data and to provide for strict liability for breaches of requirements of personal data protection.

 

Posted in Uncategorized | Tagged , , , | Parašykite komentarą