NVO teisės institutas, siekdamas padėti organizacijoms prisitaikyti prie Europos Sąjungos asmens duomenų apsaugos reformos, kreipėsi į Valstybinę duomenų apsaugos inspekciją. Šiame įraše dalinamės jų atsakymais į mūsų klausimus.
Valstybinė duomenų apsaugos inspekcija (toliau – Inspekcija) nėra įgaliota oficialiai aiškinti įstatymų, todėl gali pateikti tik savo nuomonę Jūsų paklausime pateiktais klausimais.
Vienas iš jų:
Ar naujas asmens duomenų reguliavimas darys įtaką asociacijos narių, viešųjų įstaigų bei labdaros ir paramos fondų dalininkų, NVO savanorių ir renginių dalyvių (toliau visi kartu – NVO dalyviai) asmens duomenų tvarkymui (ar yra specifiniai reikalavimai, reikalingos patvirtintos tvarkos ar panašiai) lyginant su šiandieniniu reglamentavimu?
2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL 2016 L 119, p. 1) (toliau – Reglamentas (ES) 2016/679), kuris bus pradėtas taikyti nuo š. m. gegužės 25 d., nenumato atskiro reglamentavimo skirto būtent asociacijos narių, viešųjų įstaigų bei labdaros ir paramos fondų dalininkų, nevyriausybinių organizacijų (toliau – NVO) savanorių ir renginių dalyvių (toliau – NVO dalyviai) asmens duomenų tvarkymui. Tvarkant NVO dalyvių, kaip ir kitų asmenų asmens duomenis turi būti laikomasi asmens duomenų tvarkymo principų, įtvirtintų Reglamento (ES) 2016/679 5 straipsnyje ir NVO dalyvių asmens duomenų tvarkymas turi būti pagrįstas bent viena teisėto asmens duomenų tvarkymo sąlyga, numatyta Reglamento (ES) 2016/679 6 ar 9 straipsnyje (atsižvelgiant į tai, ar tvarkomi specialių kategorijų duomenys ar ne).
Pažymėtina, kad Reglamentas (ES) 2016/679 nebenumato pareigos duomenų valdytojui, taip pat ir NVO, turėti asmens duomenų tvarkymo taisykles, kaip jos yra suprantamos pagal šiuo metu galiojančio Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo (toliau – ADTAĮ) 30 straipsnio 1 dalį ir kurios turi atitikti Bendrųjų reikalavimų organizacinėms ir techninėms asmens duomenų saugumo priemonėms, patvirtintų Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) „Dėl bendrųjų reikalavimų organizacinėms ir techninėms duomenų saugumo priemonėms patvirtinimo“ 8 punktą.
Atkreiptinas dėmesys, kad Reglamento (ES) 2016/679 5 straipsnio 2 dalyje įtvirtintas duomenų valdytojo atskaitomybės principas, kuris reiškia, kad duomenų valdytojas yra atsakingas už tai, kad būtų laikomasi Reglamento (ES) 2016/679 5 straipsnio 1 dalies, ir turi sugebėti įrodyti, kad jos laikomasi. Reglamento (ES) 2016/679 preambulės 82 punkte numatyta, kad duomenų valdytojas arba duomenų tvarkytojas, siekdamas įrodyti, kad laikosi šio reglamento, turėtų tvarkyti tvarkymo veiklos, už kurią yra atsakingas, įrašus. Kiekvienas duomenų valdytojas ir duomenų tvarkytojas turėtų būti įpareigotas bendradarbiauti su priežiūros institucija ir jos prašymu pateikti tuos įrašus, kad pagal juos būtų galima stebėti tas duomenų tvarkymo operacijas. Pažymėtina, kad duomenų tvarkymo veiklos įrašuose turi būti pateikiama visa informacija, nurodyta Reglamento (ES) 2016/679 30 straipsnio 1 dalyje.
Siekdamas įgyvendinti minėtą duomenų valdytojo atskaitomybės principą, duomenų valdytojas gali paruošti ir kitus dokumentus, reglamentuojančius jo atliekamą asmens duomenų tvarkymą (pvz., asmens duomenų tvarkymo taisykles, privatumo politiką ir kt.).
Daugiau asmens duomenų apsaugos klausimais skelbiama čia: http://www.nvoteise.lt
Parengta remiantis NVO Teisės instituto straispniu.
