Ši reforma, kuri yra vertinama kaip itin pažangi, suteiks daugiau teisių duomenų subjektams. Be to, naujosiomis taisyklėmis bus siekiama atsižvelgti į kiekvieno duomenų tvarkytojo veiklos specifiką, o ne nustatyti visiems tinkamus reikalavimus.
Visų pirma, svarbu pažymėti, kad, priėmus naująjį reglamentą, asmens duomenų teisinis reguliavimas visoje Europos Sąjungoje bus suvienodintas, o tai reiškia, kad duomenų valdytojams, veikiantiems tarptautiniu mastu, skirtingose valstybėse bus taikomas vienodas teisinis reguliavimas. Žinoma, teisės suvienodinimas visuomet yra naudingas verslo subjektams.
Nepaisant to, jog naujasis reglamentas įsigalios dar po 2 metų, verslas jau dabar turėtų atsižvelgti į kai kurias naujoves ir jas įgyvendinti.
10 reikšmingiausių reglamento naujovių:
1. Aiškesnis duomenų subjektų informavimas. Naujosiomis taisyklėmis įtvirtintas minimalus 8 punktų informacijos, kuri turi būti pateikiama duomenų subjektui, sąrašas. Be to, pateikiama informacija turi būti aiški ir suprantama. Naujajame reglamente taip pat įtvirtina duomenų subjektų teisė žinoti, kada jų asmens duomenys buvo „nulaužti“.
2. Duomenų valdytojams suteikiama didesnė technologinė laisvė. Atsižvelgdamas į naujausias technines galimybes ir įdiegimo sąnaudas, duomenų valdytojas turės įdiegti tinkamas technines bei organizacines priemones ir nustatyti procedūras, kad duomenų tvarkymas atitiktų reglamento reikalavimus ir būtų užtikrinta duomenų subjekto teisių apsauga.
3. Įtvirtinta duomenų subjekto teisė į duomenų perkeliamumą, t. y. teisė duomenis persiųsti iš vienos elektroninės tvarkymo sistemos į kitą, duomenų valdytojui netrukdant. Šiuo tikslu duomenų subjektas turės teisę iš duomenų valdytojo gauti tvarkomų duomenų kopiją elektroniniu ir susistemintu bei dažnai naudojamu formatu.
4. Naujuoju reglamentu bus pirmą kartą sureglamentuotas duomenų subjektų profiliavimas bei nustatomos taisyklės, kada tokie veiksmai yra leidžiami.
5. Po plačiai pagarsėjusios bylos prieš Google Europos Sąjungos Teisingumo Teisme, teisė būti pamirštam yra įtvirtinama ir naujosiose taisyklėse, kur teigiama, kad duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas ištrintų jo asmens duomenis ir tokių duomenų daugiau neplatintų, ypač asmens duomenų, kuriuos duomenų subjektas pateikė, kai buvo vaikas.
6. Įgyvendinamas „vieno langelio“ principas. Priežiūros institucijoms bus suteikiama papildoma – atsakingos institucijos – kompetencija, kas reiškia, jog keliose Europos Sąjungos valstybėse narėse įsisteigusi įmonė turės registruotis tik vienoje – atsakingoje – priežiūros institucijoje, kuri ir prižiūrės šios įmonės duomenų tvarkymo veiklą visose valstybėse narėse.
7. Vietoj šiuo metu įtvirtintos pareigos pranešti priežiūros institucijai apie tvarkomus asmens duomenis, bus įtvirtinta pareiga bendradarbiauti su priežiūros institucijomis bei šioms pateikti savo vidinius duomenų tvarkymo dokumentus, kuriems taip pat yra keliami nauji reikalavimai.
8. Mažoms ir vidutinėms įmonėms bus suteikta daug nuolaidų ir palengvinimų, kurie padės jaunam verslui plėtotis, pavyzdžiui, šios įmonės galės imti mokestį už prieigos prie asmens duomenų suteikimą, kai toks prašymas yra akivaizdžiai nepagrįstas ar perdėtas; tuo atveju, jeigu duomenų tvarkymas nėra įmonės pagrindinė veikla, šios įmonės bus atleistos nuo pareigos paskirti atsakingą asmenį už duomenų tvarkymą; be to, jos bus atleistos nuo pareigos atlikti poveikio vertinimą, nebent yra didelė rizika duomenų saugumui.
9. Valdžios institucijos bei įstaigos, įmonės, kurioje yra 250 arba daugiau darbuotojų, ir kitos įmonės, kurių pagrindinė veikla yra duomenų tvarkymo operacijos, dėl kurių pobūdžio, aprėpties ir (arba) tikslų būtina reguliariai ir sistemingai stebėti duomenų subjektus, privalės įsteigti duomenų apsaugos pareigūną.
10. Naujuoju reglamentu nustatomos nepalyginamai didesnės baudos. Įsigaliojus reglamentui, priežiūros institucija galės apsiriboti įspėjimu, tačiau galės skirti baudą iki 20 milijonų EUR ar 4 % proc. visos įmonės apyvartos, skaičiuojamos pasauliniu mastu.
5 aspektai, kuriais reikia pasirūpinti jau dabar:
1. Kiekvienas verslo subjektas turėtų peržiūrėti ir atnaujinti tiek savo vidinius asmens duomenų tvarkymo dokumentus, tiek informaciją, kuri yra pateikiama duomenų subjektams.
2. Įdiegti tokias priemones, kuriomis būtų galima duomenų subjektui pateikti duomenis pagal naujuosius reikalavimus.
3. Įsteigti duomenų apsaugos pareigūno pareigybę, jei tai tokia yra reikalinga pagal naująjį reglamentavimą.
4. Atsižvelgus į naująsias taisykles, gauti tinkamą duomenų subjektų sutikimą dėl jų profiliavimo ir įgyvendinti vidinius naujajam reguliavimui neprieštaraujančius profiliavimo procesus.
5. Įgyvendinti vidinius procesus, susijusius su asmens teise būti pamirštam.
