Atsakomybė pagal Bendrąjį duomenų apsaugos reglamentą arba kodėl reglamento taikymui ruoštis reikia jau dabar

Straipsnio autorės: Agnė Bilotaitė ir Viktorija Aponavičiūtė

Grožio klinikos pacientų asmens duomenų vagystės bei paviešinimo istorija privertė rimtai suklusti bendroves, kurios tvarkydamos didelius kiekius savo klientų asmens duomenų, duomenų saugumo nelaikė prioritetu. Susirūpinti iš tiesų yra dėl ko – nuo 2018 m. gegužės 25 d. asmens duomenys turės būti tvarkomi laikantis naujų Bendrajame duomenų apsaugos reglamente įtvirtintų taisyklių. Duomenų tvarkytojai ir valdytojai, nespėję tinkamai pasiruošti ir nevykdantys reikalavimų, susidurs su gerokai rimtesnėmis pasekmėmis – gali tekti pakloti milijonines baudų sumas.

Simbolines sankcijas keičia griežtesnės

Pagal šiuo metu galiojantį Administracinių nusižengimų kodeksą už asmens duomenų tvarkymo pažeidimą gali būti paskirta ne didesnė kaip 1 150 Eur, už pakartotinai padarytą tokį patį pažeidimą – ne didesnė kaip 3 000 Eur bauda. Tuo tarpu Bendrajame duomenų apsaugos reglamente nustatyta maksimali baudos riba yra tūkstančius kartų didesnė – didžiausia bauda sieks net 20 mln. Eur arba 4 proc. metinės apyvartos.

Iki 20 mln. Eur arba 4 proc. metinės apyvartos bauda (priklausomai nuo to, kuri suma yra didesnė) galės būti skiriama už šiurkščiausius asmens duomenų tvarkymo pažeidimus – asmens duomenų tvarkymą be teisėto tikslo, neturint duomenų subjekto sutikimo, pažeidus pagrindines duomenų subjekto teises ir pan. Pavyzdžiui, sutarties sudarymo metu neinformuojant duomenų subjekto apie tolimesnį jo asmens duomenų tvarkymą ir teisę susipažinti su savo asmens duomenimis, neinformuojant apie vykdomą vaizdo stebėjimą, socialiniame tinkle paviešinus asmens duomenis (pavyzdžiui, nuotraukas) be asmens sutikimo.

Už švelnesnius asmens duomenų tvarkymo pažeidimus nustatytas dvigubai mažesnis maksimalus baudos dydis – iki 10 mln. Eur arba 2 proc. metinės apyvartos (priklausomai nuo to, kuri suma yra didesnė). Švelnesniais pagal reglamentą laikomi techninio pobūdžio pažeidimai, pavyzdžiui, nedarant asmens duomenų tvarkymo įrašų, nepranešant priežiūros institucijai ir duomenų subjektui apie asmens duomenų saugumo pažeidimus ir pan. Duomenų tvarkytojo pareigų nesilaikymas visais atvejais priskiriamas švelnesniems pažeidimams, jam taikoma mažesnė atsakomybė.

Smulkaus ar vidutinio verslo atstovams, nevaldantiems didelės apimties jautrių asmens duomenų, baimintis, kad už neatsargų reglamento pažeidimą jiems bus taikoma milžiniška finansinė sankcija, nevertėtų. Baudos dydis kiekvienu atveju turės būti proporcingas, ne didesnis nei reikia veiksmingam atgrasymui nuo pakartotinių pažeidimų. Be to, prieš priimdama sprendimą dėl baudos skyrimo, priežiūros institucija privalės įvertinti pažeidimo pobūdį, sunkumą, trukmę, pažeidėjo kaltę, jo bendradarbiavimą su priežiūros institucija ir kitas aplinkybes. Nedidelio pažeidimo atveju ar, jei skiriama bauda sudarytų neproporcingą naštą, gali būti pareikštas papeikimas.

Solidari pareiga atlyginti žalą

Reglamento reikalavimus pažeidusiems duomenų valdytojams ir tvarkytojams taip pat gali tekti atlyginti ir duomenų subjekto dėl pažeidimo patirtą turtinę bei neturtinę žalą. Didesnė rizika ir šiuo atveju tenka duomenų valdytojui, kuris nuo pareigos atlyginti žalą galės apsiginti tik įrodęs, kad jokiu būdu nėra atsakingas už įvykį, dėl kurio patirta žala. Tuo tarpu duomenų tvarkytojui atsakomybė kils tik pažeidus reglamente konkrečiai jam įtvirtintas pareigas (užtikrinti konfidencialumą, pranešti apie asmens duomenų saugumo pažeidimus, pabaigus teikti paslaugas ištrinti visus tvarkytus duomenis ir pan.) arba veikus priešingai teisėtiems duomenų valdytojo nurodymams.

Dėl šios priežasties, sudarydami sutartis su duomenų tvarkytojais, duomenų valdytojai turėtų būti itin atidūs: sutartyse konkrečiai ir aiškiai įtvirtinti reikalavimus duomenų tvarkymui, detalizuoti reglamente įtvirtintas duomenų tvarkytojų pareigas. Tais atvejais, kai su tuo pačiu duomenų tvarkymo atveju yra susiję keli duomenų valdytojai ir (ar) tvarkytojai, reglamentas numato solidarią visų jų atsakomybę, t.y. duomenų subjekto teisę visos žalos atlyginimo reikalauti tiek iš duomenų valdytojo, tiek iš duomenų tvarkytojo.

Siekiant išvengti už reglamento pažeidimus numatytų baudų ir duomenų subjektų ieškinių dėl žalos atlyginimo, patartina kuo anksčiau atlikti asmens duomenų tvarkymo atitikties reglamentui analizę, identifikuoti neatitikimus ir imtis techninių, organizacinių bei teisinių priemonių jiems pašalinti, t.y. peržiūrėti asmens duomenų tvarkymo taisykles, sutikimo tvarkyti asmens duomenis formas, sutartis su duomenų tvarkytojais, parengti asmenų pretenzijų ir paklausimų nagrinėjimo, reagavimo į pažeidimus tvarkas, apmokyti darbuotojus. Visų šių priemonių įgyvendinimas gali užtrukti iki kelių mėnesių, todėl jiems ruoštis reikia pradėti jau dabar.

visos įžvalgos
Sužinokite daugiau

Prenumeruokite mūsų naujienlaiškį

El. pašto adresas *