OVH ir asmens duomenų apsauga

Mūsų ekspertas atsako į jūsų klausimus

 

Bendrasis duomenų apsaugos reglamentas (BDAR ar GDPR anglų k.), įsigaliosiantis 2018 m. gegužės 25 d., bus itin reikšmingas visų įmonių informacinėms sistemoms. Iš tiesų, šis reglamentas įpareigoja daugelį įmonių atitikti Europos Sąjungos reikalavimus duomenų apsaugai.

OVH duomenų apsaugos pareigūnas Florent Gastaud atsako į dažniausiai užduodamus klausimus apie šio naujojo reglamento įtaką įmonėms ir kaip jos turi atitikti naujus reikalavimus.

Kas yra BDAR?

Bendrasis duomenų apsaugos reglamentas (BDAR) – tai Europos Parlamento ir Tarybos Reglamentas, priimtas 2016 m. balandžio 27 d. Jo nuostatos taikomos tiesiogiai visose Europos Sąjungos valstybėse narėse. Nepaisant to, jog reglamentas buvo priimtas 2016 m., jis įsigalios ir bus taikomas tik nuo 2018 m. gegužės 25 d. Dvejų metų laikotarpis buvo suteiktas viešosioms ir privačioms įmonėms pasirengimui atitikti reglamento nuostatas.

BDAR tikslas – apsaugoti fizinius asmenis jų asmens duomenų tvarkymo kontekste. Reglamentas apibrėžia teises ir įsipareigojimus, taikomus visiems šiuos duomenis tvarkantiems veikėjams.

BDAR aktualus visoms viešosioms įstaigoms ir privačioms įmonėms, nepriklausomai nuo jų dydžio, jei jos tvarko asmens duomenis.

Ką reiškia BDAR?

BDAR pažodžiui reiškia Bendrąjį duomenų apsaugos reglamentą.

BDAR sąvoka tiesiogiai susijusi su 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos 1>Reglamentu Nr. 2016/679 dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinama Direktyva 95/46/EB.

Kas yra asmens duomenų pažeidimas?

Asmens duomenų pažeidimo sąvoka asocijuotųsi su asmens duomenų nutekėjimu neautorizuotų trečiųjų asmenų naudai (pvz., piktavalio įsilaužimas). Tačiau realybėje ši sąvoka apibrėžiama plačiau nei šis atvejis. G29 (Europos institucija, vienijanti įvairias europines asmens duomenų apsaugos įstaigas) apibrėžia asmens duomenų pažeidimą kaip:

 

  • Prieigos prie asmens duomenų praradimą;
  • Porter atteinte à l’intégrité des données personnelles;
  • Pasikėsinimą į asmens duomenų konfidencialumą.

 

Taigi pažeidimas gali būti ne tik duomenų nutekėjimas, bet ir galutinis duomenų praradimas.

BDAR įpareigoja duomenų valdytojus ir duomenų tvarkytojus laikytis naujų įsipareigojimų, susijusių su pranešimais apie duomenų pažeidimus.

 

Kokie teisės aktai reglamentuoja asmens duomenų apsaugą?

Asmens duomenų apsaugą reglamentuoja daugybė teisės aktų, plataus ar siauresnio taikymo:

 

  •  
  •  
  • Valstybės lygmeniu: daugelis valstybių priėmė nacionalinius reglamentus, susijusius su asmens duomenų apsauga. Pavyzdžiui, tai visos Europos Sąjungos valstybės narės.
Kaip asmens duomenys apibrėžiami BDAR?

Asmens duomenų sąvoka apibrėžta BDAR 4 straipsnyje kaip bet kokie duomenys, susiję su identifikuotu fiziniu asmeniu ar fiziniu asmeniu, kurį galima identifikuoti, tiesiogiai ar netiesiogiai. Kitaip sakant, asmens duomenys – tai duomenys ar duomenų visuma, leidžiantys identifikuoti asmenį, visomis priemonėmis. Duomenis galima identifikuoti netiesiogiai, jei paprastas jų nuskaitymas neleidžia identifikuoti asmens, tačiau papildomas tyrimas leistų identifikuoti. Pavyzdžiui, el. pašto adresas.

Kas yra neskelbtini duomenys?

Sąvoka „neskelbtini duomenys“ susijusi su BDAR „ypatingomis asmens duomenų tvarkymo kategorijomis“. Šiems duomenims taikomos specialiosios taisyklės, kadangi jų tvarkymas iš principo yra draudžiamas.

Šie duomenys apima:

  • Asmens sveikatą ar lytinį gyvenimą;
  • Asmens rasinę ar etninę kilmę;
  • Asmens politines pažiūras, priklausymą profesinėms sąjungoms, religiją ar filosofinius įsitikinimus.

Šie duomenys gali būti tvarkomi taikant išimtis.

 

Ar užsisakęs OVH paslaugas esu garantuotas, jog mano įsipareigijimai atitinka BDAR?

Taip, tam tikra prasme. Duomenų valdytojas įsipareigoja atrinkti duomenų tvarkytojus, teikiančius pakankamas garantijas, jog asmens duomenys bus tvarkomi laikantis reglamento reikalavimų.
Kitaip sakant, OVH kaip duomenų tvarkytojo siūlomos garantijos jums leidžia vykdyti tam tikrus jūsų pačių įsipareigojimus. Tarp šių garantijų - OVH įdiegtos saugumo priemonės, prisiimti įsipareigojimai dėl duomenų tvarkymo lokalizavimo ir t.t.

Duomenų valdytojo įsipareigojimai neapsiriboja reikalavimus atitinkančio paslaugų teikėjo atranka. Šie įsipareigojimai taikomi ne tik OVH kaip IT paslaugų teikėjo veiklos ribose. Jūs kaip duomenų valdytojas negalite teigti, jog atitinkate BDAR vien todėl, kad pasirinkote duomenų tvarkytoją. Jūs taip pat turite laikytis jums tenkančių įsipareigojimų: gerbti asmens teises ar, pavyzdžiui, atlikti poveikio privačiam gyvenimui analizę.

Kokie įsipareigojimai tenka OVH kaip cloud paslaugų teikėjui?

OVH kaip debesijos (cloud) paslaugų teikėjas veikia kaip duomenų tvarkytojas. Todėl OVH prisiima šiuos įsipareigojimus:

  1. Nenaudoti pakartotinai duomenų, talpinamų mūsų paslaugose: OVH įsipareigoja tvarkyti kliento asmens duomenis tik paslaugų teikimo sutarčių vykdymo tikslais ir tik pagal savo instrukcijas.
  2. Įgalinti jūsų duomenų atkuriamumą: 100 proc. OVH cloud sprendimų paremti standartais, kai kurie atviro kodo (open source) technologijomis. Taigi jūs galite nesunkiai atkurti savo duomenis: atkuriamumas ir interoperabilumas galimi.
  3. Suteikti jums tikslią informaciją apie tai, kur talpinami ir tvarkomi jūsų duomenys.
  4. Užtikrinti visišką skaidrumą kalbant apie duomenų tvarkytojų (subtiekėjų) paslaugų naudojimą.
  5. Pranešti jums apie jūsų duomenų pažeidimus.
  6. Paruošti visapusišką dokumentaciją apie įvairias mūsų paslaugas: OVH įsipareigoja jums pateikti adekvačią dokumentaciją, pvz., jūsų paslaugose įdiegtų saugumo priemonių aprašymą, patvirtinimą apie jūsų duomenų talpinimo lokaciją ir t.t.
  7. Garantuoti sutartinius įsipareigojimus: OVH įsipareigojimai – tai ne gražūs pažadai. Jie integruoti į mūsų Duomenų tvarkymo sutartį (DT sutartis). Šis dokumentas kaip priedas papildo mūsų sutartis. Jis prieinamas pateikus užklausą visiems mūsų klientams.
Kokie įsipreigojimai tenka OVH kalbant apie duomenų lokalizavimą?

Jums renkantis paslaugą turinio, įskaitant asmens duomenų, talpinimui, prieinamo(-ų) duomenų centro(-ų) lokacija ar geografinė zona patikslinama OVH interneto svetainėje. Jei prieinamos kelios lokacijos ar geografinės zonos, jūs galite rinktis sau tinkamą užsakymo pateikimo metu.

Tačiau „domenų saugojimas“ nėra „duomenų tvarkymo“ sinonimas. BDAR nustato taisykles, taikomas „tvarkymui“, bet ne tik „saugojimui“. Taigi šios dvi sąvokos turi būti vartojamos itin atidžiai.

Jums pasirinkus duomenų saugojimo (talpinimo) zoną, esančią Europos Sąjungoje, OVH garantuoja, kad jūsų duomenys nebus tvarkomi už Europos Sąjungos ar valstybės, Europos Komisijos pripažintos kaip turinčios pakankamą asmens duomenų apsaugos lygį (kalbant apie privataus gyvenimo, laisvių bei pagrindinių asmenų teisių apsaugą ir atitinkamų teisių įgyvendinimą [sprendimas dėl adekvatumo]), ribų. Be to, mes įsipareigojame netvarkyti jūsų duomenų JAV.

Ar OVH gali pakartotinai panaudoti mano duomenis?

OVH įsipareigoja tvarkyti kliento asmens duomenis tik paslaugų teikimo sutarčių vykdymo tikslais ir tik pagal savo instrukcijas.

Duomenys, kuriuos klientas talpina mūsų paslaugose, lieka kliento nuosavybė.

Mes draudžiame sau bet kokį šių duomenų perpardavimą, įskaitant naudojimą komerciniais tikslais (pvz., profiliavimui ar tiesioginei rinkodarai).

Kaip OVH man garantuoja šių įsipareigojimų laikymąsi?

Siekiant, kad OVH įsipareigojimai jums leistų įgyvendinti kai kuriuos jūsų įsipareigojimus, šie įsipareigojimai turi būti įforminti sutartimi ar kitu teisės aktu, įpareigojančiu OVH jūsų atžvilgiu.

OVH jums suteikia šias garantijas dvigubai:

  • Pagrindinės OVH paslaugų teikimo sutarties sąlygos, reglamentuojančios visų OVH paslaugų naudojimą, apibrėžia asmens duomenų apsaugos sąlygas;
  • Pateikus užklausą, OVH jums siūlo pasirašyti specialųjį priedą prie jūsų sutarties – Duomenų tvarkymo sutartį. Šis dokumentas apibrėžia asmens duomenų tvarkymo garantijas, kurias siūlo OVH.