GDPR (angl. General Data Protection Regulation) – bendrasis duomenų apsaugos reglamentas, kuris nuo 2018 m. gegužės 25 d. įsigalioja Europos Sąjungoje. Jo laikytis turi viso pasaulio verslo subjektai, valdžios institucijos ir privatūs asmenys, kurie renka Europos Sąjungos piliečių asmens duomenis. Trumpai tariant, GDPR – tai šūsnis įstatymų, kuriais stengiamasi apsaugoti žmonių asmens duomenis.
Kas yra „asmens duomenys“?
Asmens duomenys – tai bet kokia informacija, kuri padeda identifikuoti asmenį, pavyzdžiui, žmogaus vardas, pavardė, amžius, lytis, el.pašto adresas, namų ar darbo adresas, IP adresas ir pan.
Net jei jūs renkate tik žmonių el.pašto adresus (su tikslu siųsti naujienlaiškį), tai jau laikoma asmens duomenų kaupimu. Juk iš el.pašto adreso neretai galima nuspėti žmogaus vardą ir net pavardę.
Taigi, jei jūs ar jūsų įmonė gaunate žmonių asmeninius duomenis, pavyzdžiui:
- renkate žmonių el.pašto adresus naujienlaiškiams,
- renkate žmonių vardus, pavardes, adresus ir kt. informaciją, kad galėtumėte išsiųsti užsakytas prekes,
- renkate įvairius asmenų duomenis per anketas ar klausimynus, kuriuose atskleidžiama asmeninė informacija,
- renkate įvairius asmenų duomenis, kad galėtumėte jiems suteikti nuolaidas, lojalumo akcijas ar kt.,
- filmuojate žmones, pavyzdžiui, savo parduotuvėje,
- renkate žmonių nuotraukas, pavyzdžiui, organizuojate nuotraukų konkursus, kuriuose matosi žmonių veidai ar kt.
vadinasi jums ar jūsų įmonei yra taikomas GDPR.
Dėmesio! Yra tam tikri duomenys, kurie laikomi ypatingais. Tai informacija apie žmogaus sveikatos būklę, teistumą, politines pažiūras, religinius klausimus ir kt. Jiems taikomi dar griežtesni reikalavimai. Todėl kurdami apklausos anketas, pasistenkite šių klausimų išvengti.
Atsargiai, nepilnamečiai
Nuo šiol bus draudžiama rinkti jaunesnių nei 16 metų amžiaus asmenų duomenis. Jei prekiaujate jaunimui skirtomis prekėmis, įsitikinkite, kad jūsų pirkėjai vyresni nei 16 metų. Kitu atveju, jų duomenis galima kaupti tik turint tėvų sutikimą. Kita vertus, jei jaunimas užsako prekes, galite jiems išsiųsti užsakymą ir tuomet pašalinti jų duomenis iš savo sistemų.
Aiškus sutikimas duomenų tvarkymui
Jei prašote įvesti asmeninę informaciją, turite pateikti paaiškinimą, kam jums reikia tų duomenų. Negalite prašyti duomenų daugiau, nei būtina paslaugos suteikimui. Pavyzdžiui, jei pardavinėjate skatmeninius produktus, žmogaus adresas jums nebūtinas. Jei prašote el.pašto adreso su tikslu siųsti naujienas, turite būti tikri, kad žmonės supranta, kad nuo šiol gaus naujienas. Tam atvejui, geriausia sukurti laukelį, kur žmogus gali uždėti varnelę, jog sutinka gauti naujienas. Maža to, jūs turite turėti aiškius įrodymus, jog duomenys gauti turint sutikimą.
Dėmesio! Atskiras sutikimas gauti naujienas negalioja pirkėjams, kurie pirko prekes ar paslaugas pas jus. Jūs teisėtai galite siųsti jiems laiškus su informacija apie save. Tik tuose laiškuose turi būti aiški galimybė atsisakyti naujienlaiškio.
Privatumo politika
Šalia bet kokio prašymo pateikti asmens duomenis, turi būti nuoroda į privatumo politiką. Joje turi būti aiškiai ir suprantamai paaiškinta, kokie duomenys ir kodėl jūsų įmonei yra reikalingi, kokiu būdu jie bus saugomi ir tvakomi, kiek laiko jie bus saugomi, ką daryti, jei žmogus nori, kad jo duomenys būtų pašalinti ir pan.
Pagal GDPR bet kuris asmuo gali kreiptis į įmonę su prašymu pateikti informaciją, kurią jūs turite apie jį. Į tokį kreipmąsi turi būti atsakyta ne vėliau kaip per mėnesį laiko.
Asmens duomenų pašalinimas
Žmogus turi turėti galimybę pašalinti save iš prenumeratorių, pirkėjų ar kitų duomenų bazių sąrašo. Ta galimybė turi būti lengvai pasiekiama, o ne užslėpta.
Ar reikia duomenų apsaugos specialito?
Mažose įmonėse samdyti duomenų apsaugos specialisto tikrai nereikia. Už duomenų apsaugą galite būti atsaskingi patys ar paskirti šią pareigybę administratoriui. Įsteigti atskirą etatą reikia tuo atveju, jei jūsų įmonės pagrindinė veikla yra būtent asmens duomenų rinkimas arba kai jūs renkate žmonių duomenis dideliu tikrai mąstu. Asmens duomenų apsaugos specialistas gali eiti ir kitas su šia veikla nesikertančias pareigas.
Kas bus nesilaikant GDPR įstatymų?
Lietuvoje administracines sankcijas skirs Valstybinė duomenų apsaugos inspekcija. Bauda už taisyklių pažeidimus gali siekti 4 proc. metinės įmonės apyvartos. Žinoma, didelės baudos bus skiriamos tik šiurkščiai pažeidusiems įstatymą, pavyzdžiui, renkant žmogaus asmens duomenis be jo sutikimo ar kitaip pažeidus esminius privatumo užtikrinimo principus dideliu mąstu.
Veiksmai, kuriuos būtina atlikti su jau turimais duomenimis
- Sudarykite sąrašą asmens duomenų, kuriuos tvarkote. Pažymėkite, iš kur tuos duomenis gavote ir kokiu tikslu juos naudojate.
- Jei turite sukaupę el.paštų duombazę, įsitikinkite, kad visi tie adresai gauti su leidimu siųsti jiems naujienas. Jei nesate tikri, dabar išsiųskite laišką su prašymu patvirtinti savo narystę jūsų duombazėje.
- Jei turite sukaupę asmens duomenis, kurių nenaudojate arba neturite teisinio pagrindo juos naudoti, pašalinkite juos.
Veiksmai, kuriuos būtina atlikti prieš renkant naujus duomenis
- Jei renkate žmonių el.pašto adresus naujienlaiškiui, būtinai sukurkite papildomą laukelį, kur žmonės patys turi uždėti varnelę, jog sutinka gauti jūsų laiškus (varnelė negali būti uždėta iš anksto, ją turi uždėti žmogus).
- Kai gaunate žmogaus duomenis, turite turėti aiškų įrodymą, jog žmogus sutiko savo duomenis pateikti. Įsitikinkite, kad naudojate sistemą, kuri palaiko šią galimybę.
- Prie sutikimo gauti laiškus varnelės turi būti nuoroda į privatumo politiką. Peržiūrėkite, kaip atrodo “Verslo sparnų” privatumo politika (bus greitai).
- Asmens duomenys turi būti kaupiami centralizuotoje CRM, o ne siunčiami jums į el.paštą ar kitaip. Jei turite el.parduotuvę, tai visi duomenys turi būti saugomi vienoje vietoje (pavyzdžiui, WooCommerce sistemoje), jei renkate el.pašto adresus, jie turi būti vienoje duomenų bazės lentelėje ir pan.
- Įsitikinkite, kad jūsų naudojamos registracijos formos prašo tik tų duomenų, kurių jums reikia. Jei pardavinėjate skaitmeninius produktus, jums turbūt nėra būtinas žmogaus adresas. Jei renkate el.pašto adresus, jums turbūt nereikai žmogaus pavardės ir pan.
- Jei yra tikimybė, kad jūsų klientais gali tapti vaikai neturintys 16 metų, apgalvokite strategiją, kuri tikrintų jų amžių ir informuotų, jog negalite jiems suteikti paslaugų be tėvų leidimo. Taip pat, apgalvokite, kaip galėtumėte saugoti tėvų sutikimą, jei jie duotų.
- Jei naudojate slapukus, jūsų svetainėje turi atsirasti iššokantis langelis (pop-up) su informacija apie tai bei sutikimo prašymu. Tai galioja, jei naudojate Google Analytics, Facebook Pixel ir kt. remarketingo slapukus. Taip pat, sutikimo prašymas turi atsirasti, jei vartotojui rodote personalizuotą turinį pagal jo pateiktus atsakymus į klausimus ar naršymo patirtį.
Daugiau apribojimų šiems verslams
Toliau pateikiu sąrašą verslų, kuriems aktualūs ir kiti GDPR įstatymai. Jei jūsų verslas yra viename iš šių sektorių, pasidomėkite apie jums taikomas sąlygas plačiau:
- Turizmo agentūra
- Nekilnojamo turto agentūra
- Personalo atrankos ir valdymo agentūra
- Automobilių verslas
- Finansų sektorius
- Sveikatos įmonės