Duomenų apsaugos institucija
Duomenų apsaugos institucija
Austrijos duomenų apsaugos institucija (DSB) yra pagrindinė priežiūros institucija, atsakinga už asmens duomenų apsaugą Austrijoje. Ji kontroliuoja Bendrojo duomenų apsaugos reglamento (BDAR) ir Austrijos duomenų apsaugos įstatymo (DSG) laikymąsi, priima sprendimus dėl skundų, inicijuoja patikrinimo procedūras, skiria sankcijas ir atstovauja Austrijai Europos duomenų apsaugos valdyboje. Jos užduotis yra užtikrinti pagrindines teises, užkirsti kelią piktnaudžiavimui ir įpareigoti įmones bei valdžios institucijas laikytis duomenų apsaugos teisinių įsipareigojimų.
Duomenų apsaugos institucija yra valstybinė priežiūros institucija, atsakinga už asmens duomenų apsaugą Austrijoje.
Užduotys ir kompetencijos
Duomenų apsaugos institucija vykdo platų veiklos spektrą, kuris visas skirtas asmens duomenų apsaugai:
- Skundų nagrinėjimas nuo duomenų subjektų
- Ex officio patikrinimo procedūrų vykdymas
- Sprendimų priėmimas administracinių baudų procedūrose ir baudų skyrimas
- Pranešimų apie duomenų apsaugos pažeidimus (duomenų saugumo pažeidimus) priėmimas ir kontrolė
- Patvirtinimo procedūros, pavyzdžiui, elgesio kodeksams ar sertifikavimo įstaigoms
- Nuomonių teikimas dėl teisės aktų projektų
Taigi ji yra pagrindinis kontaktinis taškas tiek duomenų subjektams, tiek įmonėms ir duomenų apsaugos pareigūnams.
Duomenų apsaugos apibrėžimas
Duomenų apsauga yra pagrindinė teisė pačiam nuspręsti, kas kokią informaciją apie asmenį tvarko. Asmens duomenys yra visa informacija, susijusi su konkrečiu asmeniu arba leidžianti identifikuoti asmenį, pavyzdžiui, vardas, pavardė, adresas, telefono numeris, el. pašto adresas, taip pat nuotraukos, IP adresai ar sveikatos duomenys.
Duomenų apsauga nereiškia, kad duomenys negali būti tvarkomi. Tai reiškia, kad tvarkymas leidžiamas tik esant aiškioms teisinėms sąlygoms ir kad duomenų subjektai turi išsamias teises. Šios teisės apsaugo nuo piktnaudžiavimo ir suteikia galimybę kontroliuoti savo duomenis.
Duomenų subjektų teisės
Kiekvienas asmuo gali reikalauti, kad duomenų apsaugos institucija gerbtų jo pagrindines teises. BDAR numato aiškų teisių rinkinį:
- Teisė į informaciją: Prieš bet kokį duomenų tvarkymą duomenų subjektai turi būti aiškiai ir išsamiai informuojami.
- Teisė susipažinti: Kiekvienas duomenų subjektas turi teisę sužinoti, kokie duomenys yra saugomi ir kokiu tikslu.
- Teisė ištaisyti ir ištrinti: Neteisingi duomenys turi būti ištaisyti, neteisėti duomenys turi būti ištrinti.
- Teisė apriboti tvarkymą: Tam tikromis sąlygomis tvarkymas gali būti tęsiamas tik ribotai.
- Teisė nesutikti: Bet kuriuo metu galima prieštarauti tam tikram duomenų tvarkymui.
- Teisė į duomenų perkeliamumą: Duomenų subjektai gali reikalauti, kad jų duomenys būtų perduoti jiems patiems arba kitai įmonei įprastu formatu.
- Teisė į apsaugą nuo automatizuotų sprendimų: Niekas neturėtų būti diskriminuojamas vien dėl automatizuotų procedūrų.
Šios teisės nėra vien teorinės, jas galima įgyvendinti – jei reikia, skundų nagrinėjimo procedūroje duomenų apsaugos institucijoje.
Įmonių pareigos
Įmonės ir valdžios institucijos privalo įgyvendinti duomenų apsaugą ne tik popieriuje, bet ir praktiškai. Pagrindinės pareigos yra šios:
- Tvarkymo teisinis pagrindas: Kiekvienas duomenų tvarkymas turi būti pagrįstas teisiniu pagrindu, pavyzdžiui, sutikimu arba sutartimi.
- Skaidrumo pareigos: Duomenų subjektai turi būti aiškiai informuojami apie tai, kas vyksta su jų duomenimis.
- Techninės ir organizacinės priemonės (TOP): IT saugumas ir organizacinės procedūros turi būti sukurtos taip, kad duomenys būtų apsaugoti nuo praradimo, piktnaudžiavimo ar neteisėtos prieigos.
- Duomenų tvarkymo veiklos įrašai: Įmonės privalo pateisinamai dokumentuoti, kokius duomenis jos tvarko.
- Pranešimas apie duomenų apsaugos pažeidimus: Apie saugumo incidentus turi būti pranešta duomenų apsaugos institucijai per 72 valandas.
- Poveikio duomenų apsaugai vertinimo atlikimas: Rizikingam tvarkymui turi būti atlikta išsami analizė.
Asmens duomenų apsaugos pažeidimas
Pagal BDAR, asmens duomenų apsaugos pažeidimai įvyksta, kai dėl nepakankamo saugumo duomenys yra neteisėtai pakeičiami, ištrinami, atskleidžiami arba prarandami. Tai gali įvykti dėl:
- Asmens duomenų sunaikinimo, praradimo ar pakeitimo
- Neteisėtos prieigos ar atskleidimo – pavyzdžiui, dėl įsilaužimų, duomenų laikmenų išsiuntimo neteisingiems gavėjams arba nesaugaus saugojimo
- Netyčinio duomenų atskleidimo – pvz., dėl nesaugaus saugojimo ar perdavimo
- Tai galioja nepriklausomai nuo to, ar incidentas įvyko tyčia ar netyčia
Pavyzdžiai, kurie gali būti laikomi tokiu pažeidimu:
- Duomenų praradimas dėl neužšifruotų failų ar USB atmintinių
- Įsilaužimas į klientų duomenų bazes
- Klaidingai nukreipti el. laiškai su asmens duomenimis
- Netyčia viešai prieinami asmeniniai dokumentai
Šie faktai gali tiesiogiai sukelti riziką, įskaitant tapatybės vagystę, reputacijos žalą ar finansinius nuostolius duomenų subjektams
Procedūros duomenų apsaugos institucijoje
Procedūra duomenų apsaugos institucijoje yra formalizuota ir gali turėti įvairias formas:
Skundų nagrinėjimo procedūra
Duomenų subjektai gali pateikti skundą duomenų apsaugos institucijai, jei mano, kad kas nors neteisėtai tvarko jų asmens duomenis. Ši procedūra yra palyginti paprasta.
Eiga:
- Duomenų subjektas raštu pateikia skundą – naudodamas formą, el. paštu arba paštu.
- Duomenų apsaugos institucija patikrina, ar skundas formaliai priimtinas.
- Skundo adresatas – dažniausiai įmonė ar valdžios institucija – yra prašomas pateikti savo poziciją.
- Toliau vyksta faktų nustatymas, prireikus užduodami papildomi klausimai arba rengiami klausymai.
- Galiausiai duomenų apsaugos institucija priima sprendimą, kuriuo ji arba atmeta skundą, arba jį patenkina ir nurodo taikyti taisomąsias priemones.
Duomenų subjektams ši procedūra yra svarbiausia galimybė įgyvendinti savo teises pagal BDAR.
Patikrinimai ex officio
Duomenų apsaugos institucija ne tik nagrinėja skundus, bet ir gali veikti savo iniciatyva. Tai ypač daroma tais atvejais, kai yra požymių, kad sistemingai pažeidžiami reikalavimai arba yra saugumo spragų.
Ypatumai:
- Procedūra pradedama be duomenų subjekto prašymo.
- Pranešantys asmenys neturi šalies statuso ir nėra informuojami apie rezultatą.
- Duomenų apsaugos institucija savarankiškai tikrina, ar yra pažeidimų, ir prireikus nurodo taikyti priemones.
Ex officio patikrinimai turi stiprų prevencinį poveikį, nes jie didina spaudimą įmonėms ir valdžios institucijoms užtikrinti duomenų apsaugą ne tik reaguojant, bet ir nuolat.
Administracinių baudų procedūra
Jei duomenų apsaugos institucija nustato pažeidimą, ji gali pradėti administracinių baudų procedūrą. Tikslas – įpareigoti įmones ir viešąsias institucijas pašalinti pažeidimus ir skirti juntamas sankcijas.
Galimos sankcijos yra:
- Baudos iki 20 milijonų eurų arba 4 % pasaulinės metinės apyvartos,
- Nurodymai nutraukti arba pritaikyti duomenų tvarkymą,
- Įspėjimai ir reikalavimai.
Baudos dydis priklauso nuo pažeidimo sunkumo, trukmės ir tyčinio pobūdžio. Taip pat svarbūs ankstesni pažeidimai arba bendradarbiavimas procedūros metu.
Peter HarlanderHarlander & Partner Rechtsanwälte „Wer Verfahren vor der Datenschutzbehörde auf die leichte Schulter nimmt, riskiert nicht nur hohe Geldbußen, sondern auch den Verlust von Vertrauen und Reputation.“
Teisinės priemonės
Duomenų apsaugos institucijos sprendimai priimami nutarimu. Duomenų subjektai gali apskųsti šiuos nutarimus Federaliniam administraciniam teismui (BVwG).
- BVwG peržiūri sprendimą teisiniu ir faktiniu požiūriu.
- Prieš šį sprendimą tam tikromis aplinkybėmis galima pateikti skundą Aukščiausiajam administraciniam teismui (VwGH) arba Konstituciniam Teismui (VfGH).
Tai užtikrina, kad duomenų apsaugos institucijos sprendimai būtų kelių lygių teisminės kontrolės objektas.
Pasirinkite pageidaujamą laiką dabar:Nemokama pirmoji konsultacijaTarptautinis aspektas
Duomenų apsauga nebėra vien nacionalinis klausimas. Duomenų apsaugos institucija bendradarbiauja su kitomis Europos priežiūros institucijomis ir yra Europos duomenų apsaugos valdybos (EDAV) dalis. Ji dalyvauja tarpvalstybinėse bylose, derina sprendimus nuoseklumo mechanizmo kontekste ir teikia nuomones dėl tarptautinio duomenų perdavimo, pavyzdžiui, į JAV.
Informacijos laisvė
Be duomenų apsaugos, vis didesnę reikšmę įgyja ir informacijos laisvė. Pagal naująjį Informacijos laisvės įstatymą (ILĮ), duomenų apsaugos institucija ateityje prisiims kontaktinio asmens vaidmenį skaidrumo klausimais ir dėl prieigos prie oficialios informacijos.
Šios pareigos nėra pasirinktinės. Jų nesilaikymas reguliariai veda prie tyrimų ir kraštutiniais atvejais – prie didelių baudų.
Jūsų privalumai su teisine pagalba
Procesas duomenų apsaugos institucijoje yra susijęs su dideliais iššūkiais tiek paveiktiems asmenims, tiek įmonėms. Paveikti asmenys rizikuoja visiškai neįgyvendinti savo teisių be profesionalios pagalbos. Įmonės, savo ruožtu, susiduria ne tik su didelėmis baudomis, bet ir su žala reputacijai bei brangiais procesų pritaikymais. Be to, procedūros yra labai formalizuotos ir apima sudėtingus teisinius reikalavimus, kuriuos sunku įvykdyti be profesionalios pagalbos.
Teisinė pagalba iš specializuotos advokatų kontoros suteikia saugumo ir užtikrina, kad jūsų interesai būtų profesionaliai atstovaujami nuo pat pradžių. Jūs gaunate naudos iš gilios patirties duomenų apsaugos teisėje ir nuoseklaus atstovavimo prieš instituciją.
- patikrina, ar atitinkama teisinė tema taikoma jūsų atveju
- lydi jus per visą procesą arba jo vykdymą
- užtikrina teisiškai saugų visų būtinų žingsnių planavimą ir įgyvendinimą
- padeda apskaičiuoti, įgyvendinti arba ginti reikalavimus
- gina jūsų teises ir interesus visų dalyvių atžvilgiu
Sebastian RiedlmairHarlander & Partner Rechtsanwälte „Datenschutz wird oft unterschätzt, dabei entscheidet die richtige Strategie im Umgang mit der Datenschutzbehörde über Erfolg oder Misserfolg.“
