Pagal BDAR, už jo reikalavimų įgyvendinimo užtikrinimą atsako nacionalinės duomenų apsaugos institucijos (DAI). Kiekviena EEE šalis turi savo nepriklausomą duomenų apsaugos instituciją, kuri prižiūri BDAR taikymą, įskaitant skundų nagrinėjimą. Kai duomenys tvarkomi daugiau nei vienoje EEE šalyje, BDAR nustatyta kompetentingų DAI bendradarbiavimo sistema, kurioje jos bendradarbiauja siekdamos bendro sutarimo. Susipažinkite su DAI apžvalga.
BDAR asmenims suteikia tam tikras teises, įskaitant teisę pateikti skundą kompetentingai institucijai, kai jie mano, kad buvo pažeistos jų duomenų apsaugos teisės.
Duomenų apsaugos institucijų (DAI) užduotys ir įgaliojimai
DAI užduotys
Kiekviena EEE DAI yra atsakinga už BDAR taikymo stebėseną ir vykdymo užtikrinimą bei skatina visuomenės informuotumą ir supratimą apie rizikas, taisykles, apsaugos priemones ir teises, susijusias su asmens duomenų tvarkymu. DAI taip pat turi užduotį konsultuoti nacionalinį parlamentą, vyriausybę ir kitas institucijas bei įstaigas ir teikti informaciją bet kuriam asmeniui apie naudojimąsi savo teisėmis. DAI taip pat skatina duomenų valdytojų ir duomenų tvarkytojų informuotumą apie jų prievoles pagal BDAR. DAI nagrinėja asmenų skundus, atlieka tyrimus dėl tinkamo BDAR taikymo ir bendradarbiauja su kitomis DAI dėl BDAR taikymo. DAI taip pat yra atsakingos už:
- standartinių sutarčių sąlygų priėmimą ir patvirtinimą;
- įmonei privalomų taisyklų patvirtinimą;
- elgesio kodeksų patvirtinimą;
- skatinimą kurti duomenų apsaugos sertifikavimo mechanizmus;
- prisidėjimą prie EDAV veiklos;
- kitų su asmens duomenų apsauga susijusių užduočių atlikimą.
Skaityti daugiau
DAI įgaliojimai
Pagal BDAR, nacionalinės DAI įgijo žymiai didesnius įgaliojimus vykdymo užtikrinimui. BDAR 58 straipsnyje apibrėžiami kiekvienos iš šių nacionalinių institucijų įgaliojimai, aiškiai juos padalijant į tris pagrindines grupes:
- tyrimo įgaliojimai;
- įgaliojimai imtis taisomųjų veiksmų;
- patariamieji įgaliojimai.
Tyrimo įgaliojimai
DAI naudojasi savo tyrimo įgaliojimais, kad nustatytų, ar yra BDAR pažeidimas, tiksli jo mastas ir pobūdis. Be kita ko, DAI gali:
- Nurodyti organizacijoms pateikti visą su tyrimu susijusią informaciją;
- Atlikti tyrimus duomenų apsaugos audito forma ir pranešti organizacijoms apie įtariamą BDAR pažeidimą.
- Pagal ES ir nacionalinę proceso teisę gauti prieigą prie visų organizacijos turimų asmens duomenų ir visos jos užduotims atlikti būtinos informacijos, įskaitant prieigą prie bet kurių organizacijos patalpų, įskaitant bet kokią duomenų tvarkymo įrangą ir priemones.
- Atlikti pagal BDAR 42 straipsnio 7 dalį išduotų sertifikatų peržiūrą
Įgaliojimai imtis taisomųjų veiksmų
Kai atlikus tyrimą nustatomas BDAR nuostatų pažeidimas arba laikoma, kad duomenų tvarkymo operacija kelia riziką arba neatitinka konkrečių reikalavimų, DAI turi teisę imtis vieno ar kelių taisomųjų veiksmų, pavyzdžiui:
- Įspėjimas arba draudimas tvarkyti duomenis: esant pagrįstai rizikai, DAI gali įspėti organizacijas, kad jų duomenų tvarkymo operacijos gali pažeisti BDAR nuostatas. DAI taip pat gali nurodyti laikinai arba galutinai apriboti organizacijų vykdomą duomenų tvarkymo veiklą, taip pat nurodyti joms pranešti susijusiems asmenims apie duomenų saugumo pažeidimus.
- Atitikties užtikrinimo nurodymai: siekiant užtikrinti BDAR laikymąsi arba išspręsti atvejus, kai nesilaikoma tam tikrų kriterijų ar reikalavimų, DAI turi įgaliojimus nurodyti organizacijoms patenkinti asmenų prašymus pasinaudoti savo teisėmis pagal BDAR. Kai tinkama, organizacijoms gali būti nurodyta užtikrinti, kad jų duomenų tvarkymo operacijos atitiktų BDAR nuostatas nustatytu būdu ir per nustatytą laikotarpį.
- Duomenų perdavimo sustabdymas arba sertifikavimo atšaukimas: be to, DAI taip pat gali pasinaudoti savo įgaliojimais sustabdyti bet kokį duomenų perdavimą gavėjams trečiosiose valstybėse arba tarptautinėms organizacijoms. Be to, jos gali atšaukti suteiktą sertifikatą arba nurodyti sertifikavimo įstaigai ašaukti išduotą sertifikatą pagal BDAR 42 ir 43 straipsnius. Tais atvejais, kai nesilaikoma arba toliau nebesilaikoma sertifikavimo reikalavimų, nurodyti sertifikavimo įstaigai neišduoti sertifikato.
- Papeikimai: nustačius pažeidimus, DAI gali papeikti organizacijas.
- Administracinės baudos: Be kitų pirmiau išvardytų priemonių arba vietoj jų, DAI taip pat gali skirti administracines baudas, nurodytas BDAR 83 straipsnyje. Pagal administracinių sankcijų skyrimo tvarką reikalaujama kiekvienu konkrečiu atveju įvertinti kiekvieno atskiro pažeidimo aplinkybes. Vertinant pažeidimo aplinkybes turėtų būti atsižvelgiama į tokius veiksnius kaip pažeidimo pobūdis, sunkumas ir trukmė, tyčią ar aplaidumą, žalos mažinimo veiksmus, kurie galėjo būti įgyvendinti, įgyvendintas technines ir organizacines (t. y. saugumo) priemones ir tai, kaip DAI sužinojo apie pažeidimą.
Didžiausias galimos sankcijos dydis priklausys nuo pažeidimo rūšies:
- ji gali siekti ne daugiau kaip 10 mln. EUR arba 2 proc. visos pasaulinės metinės apyvartos praėjusiais finansiniais metais (pvz., dėl pritaikytosios ir standartizuotosios duomenų apsaugos pažeidimo, pareigos sudaryti duomenų tvarkymo sutartį nesilaikymo, poveikio duomenų apsaugai vertinimo arba duomenų apsaugos pareigūno paskyrimo) pagal BDAR 83 straipsnio 4 dalį; arba
- ji gali siekti ne daugiau kaip 20 mln. arba 4 proc. visos pasaulinės metinės apyvartos praėjusiais finansiniais metais (pavyzdžiui, pažeidus pagrindinius principus, susijusius su duomenų tvarkymu, be teisinio pagrindo neteisėtai tvarkant asmens duomenis arba pažeidus duomenų subjektų teises) pagal BDAR 83 straipsnio 5 dalį.
Daugiau informacijos apie administracines baudas, susijusias su įvairių BDAR straipsnių pažeidimais, pateikta BDAR 83 straipsnyje ir EDAV gairėse dėl administracinių baudų apskaičiavimo pagal BDAR,.
Patariamieji įgaliojimai
Kiekviena DAI turi tam tikrą leidimų išdavimo ir patariamąjį vaidmenį pagal BDAR, kuriais naudodamasi ji gali teikti pagalbą organizacijoms ir (arba) leisti vykdyti konkrečią duomenų tvarkymo veiklą. Keletas pavyzdžių yra:
- Išankstinės konsultacijos: konsultuoti duomenų valdytojus pagal BDAR 36 straipsnyje numatytą išankstinių konsultacijų procedūrą.
- Nuomonės dėl teisėkūros veiklos: savo iniciatyva arba paprašius teikti nuomones savo nacionaliniam parlamentui, vyriausybei arba pagal nacionalinę teisę kitoms institucijoms ir įstaigoms, taip pat visuomenei bet kuriuo su asmens duomenų apsauga susijusiu klausimu.
- Elgesio kodeksai ir sertifikavimas: tvirtinti elgesio kodeksų projektus, akredituoti sertifikavimo įstaigas arba išduoti sertifikatus ir tvirtinti sertifikavimo kriterijus.
Pirmiau minėtiems DAI įgaliojimams įgyvendinti taikomos tinkamos apsaugos priemonės, įskaitant veiksmingas teismines teisių gynimo priemones ir tinkamą procesą, kaip nustatyta ES ir nacionalinėje teisėje pagal ES pagrindinių teisių chartiją. Kiekviena DAI turi įgaliojimus atkreipti teisminių institucijų dėmesį į BDAR pažeidimus ir prireikus pradėti arba kitaip dalyvauti teismo procese, kad būtų užtikrintas BDAR nuostatų vykdymas. Papildomi įgaliojimai DAI gali būti suteikti pagal jų nacionalinę teisę.
Skaityti daugiau
Bendradarbiavimas ir vieno langelio principas
BDAR taikomas visoje EEE, visoms šalims taikant vieną duomenų apsaugos taisyklių rinkinį. Šiuo požiūriu remiamos ne tik tarptautinės įmonės, bet ir MVĮ, kurios siekia vystytis ir augti, siūlydamos savo paslaugas daugiau nei vienoje EEE šalyje.
Siekiant sumažinti administracinę asmens duomenų tvarkymo naštą dviejose ar daugiau EEE šalių, BDAR nustatyta duomenų apsaugos institucijų bendradarbiavimo sistema – vadinamasis vieno langelio mechanizmas, kad būtų pasiektas daugelio DAI sutarimas.
Jei organizacija tvarko duomenis dviejose ar daugiau EEE šalių, skundą ar duomenų saugumo pažeidimą nagrinėjanti kompetentinga institucija, pavyzdžiui, yra tos šalies, kurioje yra pagrindinė duomenų valdytojo verslo vieta, kompetentinga institucija. Duomenų valdytojams dėl to yra lengviau, nes jie neprivalo laikytis skirtingų kiekvienos šalies, kurioje jie vykdo veiklą, įstatymų. Be to, jie turi bendrauti tik su viena DAI. Priklausomai nuo jūsų verslo rūšies ir siūlomų produktų bei paslaugų, tarpvalstybinis duomenų tvarkymas taip pat gali būti taikomas jūsų MVĮ. Daug mažesnių įmonių, pavyzdžiui, internetinės parduotuvės, e. prekybos svetainės, mobiliosios ir kompiuterinės taikomosios programos, siūlo paslaugas keliose šalyse.
Jei jūsų MVĮ tvarko skirtingų EEE šalių asmenų duomenis, turite nustatyti, kuri institucija yra kompetentinga DAI arba vadovaujanti institucija. Paprastai tai yra DAI, esanti EEE šalyje, kurioje yra jūsų organizacijos būstinė ir kurioje priimami sprendimai dėl asmens duomenų tvarkymo tikslų ir būdų.
Pavyzdžiai
- Internetu prekiaujantys mažmenininkai, pavyzdžiui, parduodantys drabužius per savo internetines parduotuves klientams keliose EEE šalyse, gali ir dažnai tvarko asmens duomenis. Tokiu tarpvalstybiniu atveju kompetentinga institucija yra interneto mažmenininko pagrindinės buveinės šalyje („pagrindinėje verslo vietoje“).
Kai nuspręsite, kuri DAI yra vadovaujanti, jums reikia bendrauti su ja. Vadovaujanti DAI bendradarbiauja ir dalyvauja diskusijose su kitomis susijusiomis EEE DAI.
Jeigu tarpvalstybinio pobūdžio skundą reikia nagrinėti bendradarbiaujant su kita DAI, imamasi šių bendradarbiavimo priemonių:
- Jei skundą gavo kita DAI, ji privalo informuoti vadovaujančią DAI apie bylą;
- Susijusi DAI gali dalyvauti rengiant sprendimą dėl skundo;
- Rengdama sprendimą vadovaujanti DAI turi atsižvelgti į susijusios DAI nuomonę.
Vadovaujančios duomenų apsaugos institucijos nustatymas
Pagrindinės sąvokos
Tarpvalstybinis asmens duomenų tvarkymas
Remiantis BDAR, vadovaujančios duomenų apsaugos institucijos nustatymas yra svarbus tik organizacijoms, vykdančioms tarpvalstybinį asmens duomenų tvarkymą.
BDAR „tarpvalstybinis duomenų tvarkymas“ apibrėžiamas kaip:
- asmens duomenų tvarkymas, vykdomas daugiau nei vienoje EEE šalyje, kurioje duomenų valdytojas arba duomenų tvarkytojas yra įsisteigęs daugiau nei vienoje EEE šalyje; arba
- asmens duomenų tvarkymas, kuris vykdomas viename organizacijos padalinyje EEE, tačiau kuris daro arba gali turėti didelį poveikį asmenims daugiau nei vienoje EEE šalyje.
Pavyzdžiai
- Tais atvejais, kai organizacija turi padalinių Vokietijoje ir Kroatijoje, ir vykdant veiklą yra tvarkomi asmens duomenys, tai bus laikoma tarpvalstybiniu duomenų tvarkymu.
- Kita vertus, organizacija gali turėti tik padalinį Vokietijoje. Tačiau jei duomenų tvarkymo veikla daro arba gali turėti didelį poveikį asmenims Vokietijoje ir Kroatijoje, tai taip pat bus laikoma tarpvalstybiniu duomenų tvarkymu.
Kaip suprantamas „didelis poveikis“
Tai, kad organizacija keliose EEE šalyse tvarko asmenų asmens duomenis, net ir didelį kiekį, nebūtinai reiškia, kad duomenų tvarkymas turi arba gali turėti didelį poveikį. Duomenų tvarkymas, turintis nedidelį poveikį arba jo neturintis, nėra tarpvalstybinis duomenų tvarkymas, neatsižvelgiant į tai, kokiam skaičiui asmenų jis daro poveikį.
DAI kiekvienu konkrečiu atveju vertina sąvoką „didelis poveikis“, atsižvelgdama į duomenų tvarkymo kontekstą, duomenų rūšį, tvarkymo tikslą ir tokius veiksnius, kaip antai, ar duomenų tvarkymas:
- sukelia arba gali sukelti žalą, nuostolius ar kančią asmenims;
- turi arba gali turėti realų poveikį, susijusį su asmenų teisių apribojimu arba atsisakymu suteikti galimybę jomis pasinaudoti;
- veikia arba gali paveikti asmenų sveikatą, gerovę ar ramybę;
- daro arba gali turėti įtakos asmenų finansinei ar ekonominei padėčiai ar aplinkybėms;
- asmenys gali būti diskriminuojami arba patirti nesąžiningą elgesį;
- apima specialių kategorijų asmens duomenų ar kitų jautrių duomenų, ypač vaikų asmens duomenų, analizę;
- lemia arba gali paskatinti asmenis iš esmės pakeisti savo elgesį;
- turi mažai tikėtinų, nenumatytų ar nepageidaujamų pasekmių asmenims;
- sukelia gėdą ar kitus neigiamus padarinius, įskaitant žalą reputacijai; arba apima platų asmens duomenų tvarkymą.
Vadovaujanti duomenų apsaugos institucija
Paprastai tariant, „pagrindinė duomenų apsaugos institucija“ arba vadovaujanti DAI yra DAI, kuriai tenka pagrindinė atsakomybė už tarpvalstybinę duomenų tvarkymo veiklą, pavyzdžiui, kai asmuo pateikia skundą dėl savo asmens duomenų tvarkymo. Vadovaujanti DAI koordinuoja visus tyrimus ir bendradarbiauja su „susijusiomis“ DAI. Vadovaujančios DAI nustatymas priklauso nuo duomenų valdytojo „pagrindinės buveinės“ arba „vienintelės buveinės“ vietos ES nustatymo.
Jei organizacija įsteigta tik vienoje EEE šalyje, ji turi vienintelę buveinę EEE ir tos šalies DAI bus vadovaujanti DAI.
Jei organizacija įsteigta daugiau nei vienoje EEE šalyje, būtina nustatyti jos pagrindinę buveinę, kad būtų galima nustatyti vadovaujančią DAI.
Skaityti daugiau
Pagrindinė buveinė
Siekiant nustatyti, kur yra pagrindinė buveinė, pirmiausia reikia nustatyti organizacijos centrinės administracijos vietą EEE (centrinės administracijos vieta; būstinė), jei tokia yra. Tai vieta, kurioje priimami sprendimai dėl asmens duomenų tvarkymo tikslų ir priemonių.
Tais atvejais, kai su skirtinga tarpvalstybine duomenų tvarkymo veikla susiję sprendimai priimami centrinėje administracijoje, už įvairią tarptautinės bendrovės vykdomą duomenų tvarkymo veiklą EEE bus atsakinga viena vadovaujanti DAI. Tačiau gali būti atvejų, kai buveinė, kuri nėra centrinės administracijos vieta, savarankiškai priima sprendimus dėl konkrečios duomenų tvarkymo veiklos tikslų ir priemonių. Tokiais atvejais įmonėms bus labai svarbu tiksliai nustatyti, kur priimami sprendimai dėl duomenų tvarkymo tikslų ir priemonių. Teisingas pagrindinės buveinės identifikavimas yra duomenų valdytojų ir duomenų tvarkytojų interesas, nes taip aiškiai nurodoma, kokią DAI jie turi informuoti, vykdydami įvairias BDAR nustatytas atitikties užtikrinimo pareigas.
Skaityti daugiau
Pavyzdžiai
- Drabužių mažmenininko būstinė (t. y. „centrinės administracijos vieta“) yra Sofijoje, Bulgarijoje. Ji turi padalinių įvairiose kitose EEE šalyse, kurios palaiko ryšius su jose esančiais asmenimis. Visi padaliniai naudoja tą pačią programinę įrangą klientų asmens duomenims tvarkyti rinkodaros tikslais. Visi sprendimai dėl klientų asmens duomenų tvarkymo rinkodaros tikslais tikslų ir priemonių priimami jos būstinėje Sofijoje. Tai reiškia, kad vadovaujanti bendrovės DAI dėl šios tarpvalstybinio duomenų tvarkymo veiklos yra Bulgarijos DAI.
EEE neįsisteigusios organizacijos
Jei jūsų organizacija nėra įsisteigusi EEE, tačiau jai taikomas BDAR, nes ji patenka į BDAR teritorinę taikymo sritį, jai gali tekti paskirti atstovą vienoje iš EEE šalių.
Tačiau, jei organizacija neturi buveinės EEE, „vieno langelio“ mechanizmas nepradedamas taikyti vien dėl atstovo buvimo vienoje iš EEE šalių. Tai reiškia, kad organizacijos, neturinčios jokios buveinės EEE, turi kreiptis į vietos DAI kiekvienoje EEE šalyje, kurioje jos veikia, per savo vietinį atstovą.
Skaityti daugiau
Europos duomenų apsaugos valdybos vaidmuo
EDAV yra nepriklausoma Europos įstaiga, turinti juridinio asmens statusą, padedanti nuosekliai taikyti duomenų apsaugos taisykles visoje EEE ir skatinanti EEE duomenų apsaugos institucijų bendradarbiavimą. EDAV sudaro duomenų apsaugos institucijų vadovai ir Europos duomenų apsaugos priežiūros pareigūnas (EDAPP) arba jų atstovai.
Duomenų apsaugos institucijos EDAV bendradarbiauja siekdamos:
- teikti bendras gaires (įskaitant gaires, nuomones, rekomendacijas ir geriausią praktiką) dėl duomenų apsaugos teisės, visų pirma BDAR;
- konsultuoti Europos Komisiją visais asmens duomenų apsaugos klausimais ir naujais siūlomais ES teisės aktais;
- priimti sprendimus ir nuomones dėl nuoseklumo tarpvalstybiniais duomenų apsaugos atvejais.
Užuot atsakiusi į konkrečius individualius prašymus, EDAV pateikia bendras gaires.
EDAV priėmė keletą gairių, kurios yra tiesiogiai susijusios su įmonėmis, įskaitant MVĮ. Šiose gairėse paaiškinamos skirtingos BDAR sąvokos, pavyzdžiui, pagrindiniai duomenų tvarkymo principai, pritaikytoji ir standartizuotoji duomenų apsauga, tarptautinis duomenų perdavimas ir duomenų subjektų teisės. Šių dokumentų apžvalgą galite rasti čia.
Nuoseklumo užtikrinimo mechanizmas
Nuoseklumo užtikrinimo mechanizmas gali turėti tiesioginį poveikį MVĮ. Pirmiausia nuoseklumo užtikrinimo mechanizmas gali būti pradėtas taikyti, kai vadovaujanti DAI ir susijusios DAI negali pasiekti bendro sutarimo dėl konkrečios tarpvalstybinės bylos. Tokiais atvejais byla bus perduota EDAV, kuri priims privalomą sprendimą ginčui išspręsti.
Be to, EDAV teikia nuomones dėl nuoseklumo dėl kai kurių EEE DAI parengtų sprendimų projektų, kurie turi tarpvalstybinį poveikį (pvz., dėl naujo standartinių sutarčių rinkinio arba dėl elgesio kodeksų).
EDAV taip pat gali teikti nuomones dėl nuoseklumo bet kuriuo bendro BDAR taikymo klausimu arba bet kuriuo klausimu, turinčiu poveikį daugiau nei vienoje EEE šalyje. Šiuo būdu siekiama užtikrinti, kad BDAR būtų suprantamas ir nuosekliai taikomas skirtingose EEE šalyse.