BDAR griežtina asmens duomenų apsaugos teisinį reguliavimą, nustato naujas pareigas duomenų valdytojams ir tvarkytojams ir grasina milžiniškomis baudomis. Retas verslas taip stipriai remiasi asmens duomenimis kaip el.rinkodaros verslas. Duomenys yra šio verslo kraujas ir valiuta. Iki šiol tiek “publisheriai”, tiek adtech’as pro pirštus žiūrėjo į asmens duomenų apsaugą. Ar galės taip pat elgtis ir įsigaliojus BDAR?
2. Teritorinis taikymas
Direktyva fokusavosi į ES verslą, tuo
tarpu BDAR taikomas ir už ES ribų
esantiems valdytojams
72 val. pranešimui apie
pažeidimą
BDAR reikalauja pranešti apie AD
saugumo pažeidimą per 72 val.
Atskaitomybė
Duomenų valdytojas yra atsakingas
už tai, kad būtų laikomasi visų kitų
principų, ir turi sugebėti įrodyti, kad
jų laikomasi
Išlieka principai
BDAR pakeičia nemažai svarbių
dalykų, tačiau dauguma tikslų ir
principų išlieka
Sutikimas
Gauti AD sutikimą bus sudėtingiau.
Dažnu atveju sutikimas nebus
tinkamas pagrindas valdyti AD
Tvarkytojų pareigos
BDAR nustato daugiau pareigų AD
tvarkytojams
BDAR 101
3. Sąvokos
Asmens duomenys (AD) – bet
kokie duomenys apie asmenį,
kurio tapatybę galima nustatyti
Ypatingi AD – duomenys, susiję su
fizinio asmens rasine ar etnine
kilme, politiniais, religiniais,
filosofiniais ar kitais įsitikinimais,
naryste profesinėse sąjungose,
sveikata, lytiniu gyvenimu, taip pat
informacija apie asmens teistumą
Asmens duomenys (AD) – bet kokie
duomenys apie asmenį, kurio
tapatybę galima nustatyti +
genetiniai ir vietos duomenys
Ypatingi AD – duomenys, susiję su
fizinio asmens rasine ar etnine kilme,
politinėmis pažiūromis, religiniais ar
filosofiniais įsitikinimus ..., taip pat
tvarkyti genetinius duomenis,
biometrinius duomenis, sveikatos
duomenys, duomenys apie fizinio
asmens lytinį gyvenimą ir lytinę
orientaciją
4. Sąvokos
AD tvarkymas – bet kuris su
asmens duomenimis atliekamas
veiksmas: rinkimas, užrašymas,
kaupimas, saugojimas,
klasifikavimas, grupavimas,
jungimas, keitimas (papildymas ar
taisymas), teikimas, paskelbimas,
naudojimas, loginės ir (arba)
aritmetinės operacijos, paieška,
skleidimas, naikinimas ar kitoks
veiksmas arba veiksmų rinkinys
Anoniminiai duomenys –
neapibrėžti, bet netaikoma
AD tvarkymas – bet kokia
automatizuotomis arba
neautomatizuotomis priemonėmis su
AD atliekama operacija, kaip antai
rinkimas, įrašymas, rūšiavimas,
sisteminimas, saugojimas,
adaptavimas ar keitimas, išgava,
susipažinimas, naudojimas,
atskleidimas persiunčiant, taip pat
sugretinimas ar sujungimas su kitais
duomenimis, apribojimas, ištrynimas
arba sunaikinimas
Anoniminiai duomenys – BDAR
netaikomas, nes tai ne AD
5. Sąvokos
AD tvarkytojas - asmuo, duomenų
valdytojo įgaliotas tvarkyti AD
AD valdytojas – asmuo, kuris
vienas arba drauge su kitais
nustato AD tvarkymo tikslus ir
priemones
AD tvarkytojas – asmuo, kuris
duomenų valdytojo vardu tvarko AD
AD valdytojas – asmuo, kuris vienas
ar drauge su kitais nustato AD
tvarkymo tikslus ir priemones
Kompanija pasamdo kitą įmonę
tvarkyti pirmosios buhalteriją ir darbo
užmokestį. Buhalteriją tvarkanti įmonė
bus duomenų tvarkytojas, nes tikslus
nustatė pirmoji kompanija
Savivaldybė drauge su policija
įdiegia stebėjimo kameras ir
drauge jomis naudojasi. Kadangi
abi nusprendžia, kaip bus
tvarkomi duomenys, abi yra
duomenų valdytojai
6. Sąvokos
Sutikimas – savanoriškas DS valios
pareiškimas tvarkyti jo AD jam
žinomu tikslu
Sutikimas – bet koks laisva valia
duotas, konkretus ir nedviprasmiškas
tinkamai informuoto duomenų
subjekto valios išreiškimas
pareiškimu arba vienareikšmiais
veiksmais kuriais jis sutinka, kad būtų
tvarkomi jo AD
7. Teritorinis taikymas
Direktyva taikoma organizacijoms,
kurios:
• įsisteigusios ir tvarko AD ES
BDAR taikomas organizacijoms,
kurios:
• įsisteigusios ir tvarko AD ES
• nors ir neįsisteigusios ES, tačiau
• tvarko ES subjektų AD
siūlydama prekes ar
paslaugas
• Stebi ES subjektų elgesį
8. AD turi būti tvarkomi tiksliai,
sąžiningai ir teisėtai
AD tvarkymo principai
AD turi būti tvarkomi teisėtu, sąžiningu ir
skaidriu* būdu
AD turi būti renkami apibrėžtais ir
teisėtais tikslais ir toliau nebūti
tvarkomi tikslais, nesuderinamais su
nustatytaisiais prieš renkant AD
AD turi būti renkami nustatytais, aiškiai
apibrėžtais bei teisėtais tikslais ir toliau
netvarkomi su tais tikslais nesuderinamu
būdu
AD turi būti tapatūs, tinkami ir tik
tokios apimties, kuri būtina jiems
rinkti ir toliau tvarkyti
AD turi būti adekvatūs, tinkami ir tik tokie,
kurių reikia siekiant tikslų, dėl kurių jie
tvarkomi
AD turi būti saugomi ne ilgiau, negu
to reikia tiems tikslams, dėl kurių šie
AD buvo surinkti ir tvarkomi
AD turi būti laikomi ne ilgiau, nei tai yra
būtina tais tikslais, kuriais AD yra tvarkomi
9. AD turi būti tvarkomi pagal šiame ir
kituose atitinkamą veiklą
reglamentuojančiuose įstatymuose
nustatytus aiškius ir skaidrius
asmens duomenų tvarkymo
reikalavimus.
AD tvarkymo principai
Duomenų valdytojas yra atsakingas už tai,
kad būtų laikomasi 1 dalies, ir turi
sugebėti įrodyti, kad jos laikomasi*
10. AD tvarkymo principai
Atskaitomybės principas apima:
• reikiamos dokumentacijos parengimą,
• poveikio duomenų apsaugai vertinimo atlikimą
• išankstines konsultacijas su VDAI
• duomenų apsaugos pareigūno paskyrimą
• „data protection by design and by default“ principo įgyvendinimą
11. AD gali būti tvarkomi, jei DS duoda
sutikimą
AD teisėto tvarkymo kriterijai
AD gali būti tvarkomi, jei DS davė
sutikimą, kad jo AD būtų tvarkomi vienu
ar keliais konkrečiais tikslais
Sutikimas – savanoriškas DS valios
pareiškimas tvarkyti jo AD jam
žinomu tikslu
Sutikimas – bet koks laisva valia duotas,
konkretus ir nedviprasmiškas tinkamai
informuoto duomenų subjekto valios
išreiškimas pareiškimu arba
vienareikšmiais veiksmais kuriais jis
sutinka, kad būtų tvarkomi jo AD
Duomenų tvarkymas yra teisėtas tik tuo atveju, jeigu taikoma bent viena iš nurodytų
sąlygų
12. Sutikimas
Laisvas
Nebus laikoma laisvu sutikimu, jei
DS neturi realaus pasirinkimo ar
negali atsisakyti be neigiamų
pasekmių
Aiškus
Prašymas duoti sutikimą turi būti
aiškiai atskirtas nuo kitų klausimų,
pateiktas suprantama ir lengvai
prieinama forma, aiškia ir paprasta
kalba
Specifinis
Sutikimas turi būti duotas
konkrečiam AD tvarkymo tikslui
Nesusietas
Nebus laikoma laisvu toks
sutikimas, kuris susietas su
paslaugos teikimu
Informuotas
Prieš duodamas sutikimą DS turi
būti tinkamai informuotas, kas,
kokiais tikslais tvarkys AD
Atsekamas
DV turi sugebėti įrodyti, kad DS
davė sutikimą
14. Sutikimas
Skirtingi tvarkymo tikslai OBA:
1. Siekiant informuoti reklamdavius, kad vartotojas apsilankė svetainėje
2. Siekiant nustatyti, ar vartotojas yra toks, kokio reikia reklamdaviui
3. Siekiant susieti vartotojo naršymo duomenis su jau turima informacija
apie šį vartotoją ir parinkti jam tinkamą reklamą
4. Siekiant surinkti vartotojo naršymo duomenis, susieti su jau turima
informacija ir šią informaciją parduoti
5. Siekiant nustatyti, ar vartotojas reagavo į reklamą
6. Siekiant nustatyti, ar vartotojas įsigijo prekę/paslaugą
7. Siekiant nustatyti, kad žmogus, o ne robotas lanko puslapį
8. Siekiant suskaičiuoti, kiek kartų vartotojas pamatė reklamą
9. Siekiant susieti vartotojo naršymo duomenis su jau turima informacija
apie šį vartotoją ir įvertinti, kaip vartotoja ir į jį panašūs vartotojai elgiasi
svetainėje
15. Sutikimas
Kas naudoja AD:
• Publisheris
• Ad exchange
• DSP
• DMP
• Reklamuotojas
• Analitika
• Reklamos serveris
Kiekvienas iš jų gali naudoti vienu ar keliais
tikslais
24. Advokatas Andrius Iškauskas
AAA LAW
J. Jasinskio g. 16 A, LT-01112, Vilnius, Lietuva
Tel. (8 5) 252 6676, faks. (8 5) 252 6670
el. paštas: a.iskauskas@AAALaw.EU
Ačiū