„Šiai dienai visoje Europos Sąjungoje (ES) ruošėmės dvejus metus, nes pats reglamentas buvo patvirtintas lygiai prieš 2 metus. [...] Tai yra reglamentas, kuris mums labai reikalingas, ypač – piliečiams Jis vėl piliečiams suteikia savo asmens duomenų kontrolę. Ir tai padeda mums, ES, būti labiau apsaugotai, apdairiai ir geriau pasiruošusiai kibernetiniame pasaulyje“, – LRT RADIJO laidoje „Ryto garsai“ kalbėjo Europos Komisijos atstovybės vadovas Lietuvoje Arnoldas Pranckevičius.
Pasak jo, naujasis reglamentas nėra revoliucija, bet labai svarbus žingsnis, kuris ES ateityje leidžia išlikti lydere skaitmeniniame pasaulyje.
Reglamente, kaip išskiria Valstybinė duomenų apsaugos inspekcija, numatyti tokie svarbiausi pakeitimai:
1. Svarbiausi reglamento pakeitimai susiję su trimis asmens duomenų apsaugos reformos tikslais:
- Duomenų subjektų teisių stiprinimas;
- Duomenų tvarkytojų ir duomenų subtvarkytojų atsakomybės nustatymas;
- Reguliavimo skaidrumas ir patikimumas.
2. Įtvirtinamos naujos duomenų subjekto teisės:
- Teisė į duomenų perkeliamumą (duomenų subjektas turės teisę gauti susijusius su juo asmens duomenis, kuriuos jis pateikė duomenų valdytojui susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu, ir persiųsti tuos duomenis kitam duomenų valdytojui);
- Teisė būti pamirštam.
3. Įtvirtinamas duomenų subjektų atstovavimas – duomenų subjektas turi teisę įgalioti ne pelno įstaigą, organizaciją ar asociaciją, kuri tinkamai įsteigta pagal valstybės narės teisę ir kurios įstatais nustatyti tikslai atitinka viešąjį interesą, kuri veikia duomenų subjekto teisių bei laisvių apsaugos srityje, kiek tai susiję su jų asmens duomenų apsauga, jo vardu pateikti skundą ir jo vardu naudotis jam tam tikromis reglamente numatytomis teisėmis.
4. Sugriežtinami sutikimo reikalavimai – numatoma, kad, kai duomenys tvarkomi gavus duomenų subjekto sutikimą, duomenų valdytojas turi galėti įrodyti, kad duomenų subjektas sutiko su duomenų tvarkymo operacija. Apsaugos priemonėmis turi būti užtikrinama, kad duomenų subjektas suvoktų, kad jis duoda sutikimą ir dėl ko jis jį duoda. Duomenų valdytojo iš anksto suformuluotas sutikimo pareiškimas turi būti pateiktas suprantama ir lengvai prieinama forma, aiškiai ir paprasta kalba, jame neturėtų būti nesąžiningų sąlygų. Sutikimas neturi būti dviprasmiškas.
5. Pirmą kartą Europos Sąjungos teisėje reglamentuojamas nepilnamečio iki 16 m. asmens duomenų tvarkymas. Nustatyta, kad kai vaikas yra jaunesnis negu 16 metų, toks tvarkymas yra teisėtas tik tuo atveju, jeigu tą sutikimą davė arba tvarkyti duomenis leido vaiko tėvų pareigų turėtojas, ir tokiu mastu, kokiu duotas toks sutikimas ar leidimas. Vaikui tapus suaugusiu, jis turi teisę sutikimą atšaukti ir reikalauti duomenis sunaikinti.
6. Reglamentas yra tiesioginio taikymo teisės aktas, todėl nuo 2018 m. gegužės 25 d. duomenų tvarkymas Lietuvoje turės atitikti reglamente nustatytą teisinį reguliavimą ir kiekvienas duomenų valdytojas turi pats pasirūpinti, kad būtų atnaujinti reikiami vidiniai asmens duomenų tvarkymo dokumentai, atsižvelgiant į reglamente nurodytus reikalavimus.
7. Išplėsta teritorinė reglamento taikymo sritis, t. y. reglamentas yra taikomas ne tik tuo atveju, kai asmens duomenis tvarko Europos Sąjungoje įsisteigęs duomenų valdytojas arba duomenų tvarkytojas, vykdydamas savo veiklą, bet ir tuo atveju, kai Europos Sąjungoje esančių duomenų subjektų asmens duomenis tvarko Europos Sąjungoje neįsisteigęs duomenų valdytojas arba duomenų tvarkytojas ir duomenų tvarkymo veikla susijusi su prekių arba paslaugų siūlymu duomenų subjektams Europos Sąjungoje arba elgesio, kai jie veikia Europos Sąjungoje, stebėsena.
8. Pagal naują reglamentavimą atsakomybė už asmens duomenų tvarkymą tenka duomenų valdytojams, reglamentas išplečia pareigų duomenų tvarkytojams ratą. Anksčiau už asmens duomenis buvo atsakingas duomenų valdytojas, o reglamente numatyta, kad atsakomybę turės pagal susitarimą dalytis tiek duomenų valdytojas, tiek duomenų tvarkytojas.
9. Nustatomas „vieno langelio“ principas, t. y. duomenų valdytojo arba duomenų tvarkytojo pagrindinės buveinės arba vienintelės buveinės priežiūros institucija turi kompetenciją veikti kaip vadovaujanti priežiūros institucija, kai tas duomenų valdytojas arba duomenų tvarkytojas vykdo tarpvalstybinį duomenų tvarkymą. Vadovaujanti priežiūros institucija yra vienintelė institucija, su kuria duomenų valdytojas arba duomenų tvarkytojas palaiko ryšius, kai jie vykdo tarpvalstybinį duomenų tvarkymą.
10. Stiprinamas priežiūros institucijų bendradarbiavimas. Visais atvejais, kai bus atliekamas tarpvalstybinis duomenų tvarkymas, t. y. kai asmens duomenų tvarkymas lies kelių valstybių narių gyventojus, skirtingų šalių priežiūros institucijos bus kompetentingos spręsti dėl asmens duomenų tvarkymo atitikimo reglamentui. Siekiant užtikrinti vienodą praktiką, vadovaujanti priežiūros institucija bendradarbiaus su atitinkamų valstybių narių priežiūros institucijomis atliekant bendrus tyrimus, priimant bendrą sprendimą bei taikant sankcijas.
Nustatoma pareiga vadovaujančiai priežiūros institucijai pateikti sprendimo projektą kitoms susijusioms priežiūros institucijoms, kad jos pateiktų savo nuomonę. Susijusios priežiūros institucijos per keturias savaites turės pareikšti tinkamą ir pagrįstą prieštaravimą dėl sprendimo projekto arba jam pritarti. Jeigu į prieštaravimą nėra atsižvelgiama, klausimas toliau sprendžiamas Europos duomenų apsaugos valdyboje. Europos duomenų apsaugos valdybos sprendimas vadovaujančiai priežiūros institucijai yra privalomas. Nepriklausomai nuo to, ar buvo kreiptasi į Europos duomenų apsaugos valdybą ar ne, vadovaujančios priežiūros institucijos priimtas sprendimas, apie kurį informuojamos susijusios valstybių narių priežiūros institucijos, gali būti skundžiamas teismui.
11. Reglamentas remiasi atitikties logika, kuri grindžiama duomenų valdytojų ir duomenų tvarkytojų skaidrumu ir atskaitomybe (kitaip negu Direktyvoje 95/46/EB, kuri numatė atitiktis asmens duomenų tvarkymo teisiniam reguliavimui grindžiama tam tikrais išankstiniais formalumais (pranešimais, leidimais).
- Naujasis reguliavimas numato, kad duomenų valdytojas, prieš pradėdamas tvarkyti duomenis, atlieka numatytų duomenų tvarkymo operacijų poveikio asmens duomenų apsaugai vertinimą (ypač tais atvejais, kai numatoma tvarkyti jautrius duomenis ar atlikti profiliavimą).
- Numatyta pareiga pranešti duomenų subjektui apie asmens duomenų saugumo pažeidimą.
- Tiek duomenų valdytojui, tiek duomenų tvarkytojui numatoma pareiga paskirti duomenų apsaugos pareigūną.
- Reglamentas taip pat numato tokius naujus atitikties vertinimo kriterijus kaip elgesio kodeksų laikymasis bei sertifikavimą.
- Reglamente numatomos išankstinės konsultacijos tais atvejais, kai duomenų valdytojas, atlikęs poveikio duomenų apsaugai vertinimą, nustato, kad tvarkant duomenis kiltų didelis pavojus, jei duomenų valdytojas nesiimtų priemonių pavojui sumažinti.
12. Reglamentas numato pareigą rengiantiems pasiūlymus dėl teisėkūros priemonių, kurias priima nacionalinis parlamentas, arba tokia teisėkūros priemone grindžiamos reguliavimo priemonės, susijusios su asmens duomenų tvarkymu, konsultuotis su priežiūros institucija.
13. Duomenų valdytojai ir duomenų tvarkytojai gali perduoti asmens duomenis į trečiąją valstybę tik tuo atveju, jeigu duomenų valdytojas arba duomenų tvarkytojas yra nustatęs tinkamas apsaugos priemones, su sąlyga, kad suteikiama galimybė naudotis vykdytinomis duomenų subjekto teisėmis ir veiksmingomis duomenų subjektų teisių gynimo priemonėmis, t. y. reglamento nuostatos bus taikomos ne tik asmens duomenų perdavimui, bet ir vėlesniam asmens duomenų tvarkymui.
14. Kaip ir anksčiau, duomenų apsaugos priežiūros institucijai (Lietuvoje ši institucija yra Valstybinė duomenų apsaugos inspekcija (VDAI)) suteikta teisė tikrinti duomenų valdytojus dėl galimų asmens duomenų apsaugos pažeidimų, tiek savo iniciatyva, tiek pagal galimai nukentėjusiųjų skundus.
15. Reglamente numatytas baudų dydis priverčia suklusti esamus ir būsimus duomenų valdytojus ir pažvelgti asmens duomenų apsaugą labai atsakingai. Duomenų valdytojui ir duomenų tvarkytojui, pažeidusiam reglamento nuostatas, gali būti skiriamos administracinės baudos, kurios kiekvienu konkrečiu atveju turi būti veiksmingos, proporcingos ir atgrasomos. Priklausomai nuo reglamento pažeidimo pobūdžio bauda gali siekti nuo 2 iki 4 proc. ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, arba nuo 10 iki 20 milijonų euru