Bendrasis duomenų apsaugos reglamentas (BDAR)
DOKUMENTAS, KURIO SANTRAUKA PATEIKIAMA:
Reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo
KOKS ŠIO REGLAMENTO TIKSLAS?
- Bendruoju duomenų apsaugos reglamentu (BDAR) užtikrinama asmenų apsauga, kai jų duomenis tvarko privatusis sektorius ir dauguma viešojo sektoriaus subjektų. Atitinkamų institucijų vykdomam duomenų tvarkymui teisėsaugos tikslais taikoma Duomenų apsaugos teisėsaugos srityje direktyva (žr. santrauką).
- Šiuo reglamentu fiziniams asmenims sudaroma galimybė geriau kontroliuoti savo asmens duomenis. Taip pat atnaujinamos ir suvienodinamos taisyklės, leidžiant įmonėms sumažinti biurokratizmą ir užsitikrinti didesnį vartotojų pasitikėjimą.
- Sukuriama visiškai nepriklausomų priežiūros institucijų, atsakingų už atitikties stebėseną ir vykdymo užtikrinimą, sistema.
- Tai yra Europos Sąjungos (ES) duomenų apsaugos reformos dalis, kartu su Duomenų apsaugos teisėsaugos srityje direktyva ir Reglamentu (ES) 2018/1725 dėl fizinių asmenų apsaugos ES institucijoms, organams, tarnyboms ir agentūroms tvarkant asmens duomenis (žr. santrauką).
PAGRINDINIAI ASPEKTAI
Fizinių asmenų teisės
BDAR sustiprinamos galiojančios teisės, numatomos naujos teisės ir suteikiama galimybė fiziniams asmenims geriau kontroliuoti savo asmens duomenis. Tarp šių teisių yra:
- lengvesnė prieiga prie savo duomenų. Fiziniai asmenys turės daugiau aiškios ir suprantamos informacijos apie tai, kaip tvarkomi jų duomenys;
- nauja teisė į duomenų perkeliamumą, kad būtų paprasčiau persiųsti asmens duomenis tarp paslaugos teikėjų;
- patikslinta teisė reikalauti ištrinti duomenis („teisė būti pamirštam“). Kai asmuo nebenori, kad jo duomenys būtų tvarkomi, ir nėra teisinio pagrindo jų laikyti, duomenys turi būti ištrinti;
- teisė sužinoti, jei jų asmens duomenys buvo pažeisti. Įmonės ir organizacijos turi informuoti atitinkamą duomenų apsaugos priežiūros instituciją, o rimtų duomenų pažeidimų atvejais – ir nukentėjusius asmenis.
Taisyklės įmonėms
BDAR sukuriamos vienodos sąlygos visoms ES vidaus rinkoje veikiančioms įmonėms, taikomas technologijų atžvilgiu neutralus požiūris ir įvairiais būdais, įskaitant toliau nurodytus, skatinamos inovacijos.
- Vienas ES taisyklių rinkinys. Bendras visoje ES taikomas duomenų apsaugos teisės aktas padidina teisinį tikrumą ir sumažina administracinę naštą.
- Duomenų apsaugos pareigūnas. Už duomenų apsaugą atsakingą asmenį turi paskirti valdžios institucijos ir įmonės, kurios tvarko duomenis dideliu mastu arba kurių pagrindinė veikla yra specialių kategorijų duomenų, pavyzdžiui, su sveikata susijusių duomenų, tvarkymas.
- Vieno langelio principas. Įmonės turi bendrauti tik su viena priežiūros institucija (ES valstybėje narėje, kurioje yra jų pagrindinė buveinė). Tarpvalstybiniais atvejais atitinkamos priežiūros institucijos bendradarbiauja su Europos duomenų apsaugos valdyba.
- ES taisyklės ES nepriklausančių šalių įmonėms. Ne ES įsisteigusios įmonės turi taikyti tas pačias taisykles dėl prekių ar paslaugų ir dėl ES gyvenančių asmenų elgesio stebėsenos.
- Inovacijoms palankios taisyklės. Užtikrinama, kad nuo pat produktų ir paslaugų kūrimo pradžios būtų atsižvelgiama į duomenų apsaugos priemones (pritaikytoji ir standartizuotoji duomenų apsauga).
- Privatumo apsaugos būdai. Pavyzdžiui, siekiant apriboti duomenų tvarkymo atgrasumą, skatinama naudoti pseudonimus (kai atpažinimo sritys duomenų įraše keičiamos vienu ar keliais dirbtiniais identifikatoriais) ir šifravimą (kai duomenys koduojami taip, kad neturinčiam leidimo susipažinti asmeniui jie būtų nesuprantami).
- Pranešimų atsisakymas. BDAR panaikinamos dauguma pranešimo prievolių ir sumažinamos su tuo susijusios išlaidos. Vienas iš jo tikslų yra panaikinti kliūtis laisvam asmens duomenų judėjimui ES. Tai palengvins verslo plėtrą bendrojoje skaitmeninėje rinkoje.
- Duomenų apsaugos poveikio vertinimai. Įmonės atlieka poveikio vertinimą tik tuomet, kai vykdant duomenų tvarkymo operacijas gali kilti didelis pavojus asmenų teisėms ir laisvėms.
- Veiklos įrašai. Mažosios ir vidutinės įmonės neprivalo tvarkyti duomenų tvarkymo veiklos įrašų, jei duomenų tvarkymas yra nereguliarus ir jei dėl duomenų tvarkymo negali kilti pavojus asmens, kurio duomenys yra tvarkomi, teisėms ir laisvėms arba jei nėra apimami neskelbtinų kategorijų duomenys.
- Šiuolaikinės priemonės tarptautiniam duomenų perdavimui. BDAR siūloma įvairių priemonių duomenims perduoti už ES ribų, įskaitant Europos Komisijos priimtus tinkamumo sprendimus, kai ES nepriklausanti šalis užtikrina tinkamą apsaugos lygį, iš anksto patvirtintas (standartines) sutarties sąlygas, privalomas įmonių taisykles, elgesio kodeksus ir sertifikavimą.
Peržiūra
2020 m. birželio mėn. Komisija pateikė reglamento vertinimo ir peržiūros ataskaitą. Kitas vertinimas turi būti atliktas 2024 m.
NUO KADA TAIKOMAS ŠIS REGLAMENTAS?
BDAR taikomas nuo 2018 m. gegužės 25 d.
KONTEKSTAS
Daugiau informacijos žr.:
Po COVID-19 protrūkio ir įvedusi kovos su krizės padariniais priemones Europos Komisija priėmė:
PAGRINDINIS DOKUMENTAS
2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL L 119, 2016 5 4, p. 1–88).
Vėlesni Reglamento (ES) 2016/679 daliniai pakeitimai buvo įterpti į pradinį tekstą. Ši konsoliduota versija yra skirta tik informacijai.
SUSIJĘ DOKUMENTAI
2016 m. balandžio 27 d. Europos Parlamento ir Tarybos direktyva (ES) 2016/680 dėl fizinių asmenų apsaugos kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo tikslais ir dėl laisvo tokių duomenų judėjimo, ir kuria panaikinamas Tarybos pamatinis sprendimas 2008/977/TVR (OL L 119, 2016 5 4, p. 89–131).
Žr. konsoliduotą versiją.
2018 m. spalio 23 d. Europos Parlamento ir Tarybos reglamentas (ES) 2018/1725 dėl fizinių asmenų apsaugos Sąjungos institucijoms, organams, tarnyboms ir agentūroms tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinamas Reglamentas (EB) Nr. 45/2001 ir Sprendimas Nr. 1247/2002/EB (OL L 295, 2018 11 21, p. 39–98).
2002 m. liepos 12 d. Europos Parlamento ir Tarybos direktyva 2002/58/EB dėl asmens duomenų tvarkymo ir privatumo apsaugos elektroninių ryšių sektoriuje (Direktyva dėl privatumo ir elektroninių ryšių) (OL L 201, 2002 7 31, p. 37–47).
Žr. konsoliduotą versiją.
paskutinis atnaujinimas 07.01.2022