Asmens duomenų apsauga yra žmogaus teisių gynimo sritis, kurios pagrindinis tikslas – apsaugoti ir ginti žmogaus privataus gyvenimo neliečiamumo teisę tvarkant asmens duomenis. Dauguma renkamų asmens duomenų yra privatūs, o neretai ir jautrūs, todėl fizinis asmuo turi būti užtikrintas, jog tie duomenys nepaklius į netinkamas rankas ir kad jie nebus panaudoti kokiais nors neteisėtais tikslais. Pavyzdžiui, kad pasinaudojus jais nebūtų pavogta asmens tapatybė. Taip pat duomenų subjektui svarbu, jog būtų renkami tik būtini jo duomenys. Kitaip tariant, kad jis būtų apsaugotas nuo perteklinės informacijos apie jį rinkimo. Todėl verslams, vykdantiems bet kurią veiklą, svarbu atsižvelgti į šiuos duomenų subjektų apsaugos aspektus.

Lietuvoje asmens duomenų teisinę apsaugą reglamentuoja Lietuvos Respublikos Konstitucija ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas. Pagrindinė šalyje asmens duomenų apsaugą prižiūrinti institucija yra Valstybinė duomenų apsaugos inspekcija. Ji prižiūri asmens duomenų tvarkymą ir panaudojimą verslo, taip pat profesiniais tikslais.

Asmens duomenys yra neatsiejama verslo dalis. Vis tik, savo veikloje norint rinkti ir tvarkyti asmens duomenis, būtina nustatyti tinkamus teisinius pagrindus ir užtikrinti, kad fiziniai asmenys, kurių duomenys yra renkami, žinotų, jog jų duomenys yra tvarkomi, ir galėtų gauti informacijos apie kitas savo teises. Lygiai taip pat verslas turi siekti apsaugoti savo teisėtus interesus.

Įmonė turi įrodyti, kad duomenis tvarko pagal taisykles, todėl patvirtintos duomenų apsaugos tvarkymo taisyklės yra būtinos. Šios taisyklės tarnauja trims pagrindiniams tikslams: 1) suteikia teisinį pagrindą duomenų tvarkymui; 2) padaro duomenų tvarkymą suprantamą darbuotojams ir nustato pastarųjų už asmens duomenų tvarkymą; 3) įrodo, kad organizacija yra patvirtinusi savo pareigą duomenis tvarkyti tinkamai ir teisėtai. Duomenų apsaugos priemonės iš esmės yra grindžiamos duomenų saugumo politika ir su tuo susijusiais dokumentais.

Duomenų valdytojas, turėdamas aiškiai apibrėžtus tikslus ir teisinį pagrindą tiems tikslams įvykdyti, turi teisę rinkti bei tvarkyti asmens duomenis, taip pat juos perduoti tretiesiems asmenims pagal galiojančius teisės aktus. Asmens duomenis tam tikrais atvejais galima tvarkyti atstovaujant savo įmonės teisėtiems interesams, jeigu duomenų subjekto pagrindinėms teisėms ir laisvėms nedaromas didelis poveikis. Taip pat duomenų tvarkytojas turi teisę tvarkyti asmens duomenis, siekiant įvykdyti sutartinius įsipareigojimus tam asmeniui, ar prireikus apsaugoti fizinio asmens gyvybiškai svarbius interesus.

BDAR išskiria naujus duomenų apsaugos reikalavimus, kurie apima šias sritis:

• organizacijos asmens duomenų tvarkymo taisykles ar privatumo politiką;
• tinkamą asmens duomenų saugojimą, tvarkymą bei valdymą;
• duomenų subjektų teises ir jų įgyvendinimą;
• duomenų subjekto sutikimą tvarkyti jo asmens duomenis;
• asmens duomenų saugumo pažeidimus;
• pritaikytą duomenų apsaugą ir poveikio duomenų apsaugai vertinimą;
• asmens amžiaus patikrinimo sistemas ir tėvų arba teisėtų atstovų sutikimą dėl nepilnamečių asmens duomenų tvarkymo;
• duomenų subjekto prašymo dėl teisės susipažinti su savo asmens duomenimis įgyvendinimą;
• duomenų apsaugos priežiūros institucijos pasirinkimą, jei dirbate tarptautiniu mastu.

Verslai, tvarkydami duomenų subjekto duomenis, privalo įrodyti, kad bendradarbiauja su duomenų tvarkytojais ir darbuotojais, siekiant užtikrinti, kad būtų laikomasi Europos Sąjungos Bendrojo asmens duomenų apsaugos reglamento (BDAR, angl. GDPR). Tai grindžiama tiek vidaus duomenų apsaugos taisyklėmis, tiek susitarimais dėl asmens duomenų tvarkymo su trečiosiomis šalimis, konfidencialumo susitarimais bei kitais išoriniais mechanizmais.

Europos Sąjungos Bendrasis duomenų apsaugos reglamentas įsigaliojo 2018 m. gegužės 25 d. Pagal šią asmens duomenų apsaugos reformą duomenų valdytojas arba duomenų tvarkytojas turi įgyvendinti tinkamas technines bei organizacines priemones, kad užtikrintų ir galėtų įrodyti, jog asmens duomenys yra tvarkomi laikantis šio reglamento. Minėtos priemonės prireikus yra peržiūrimos ir atnaujinamos.

Už Bendrojo duomenų apsaugos reglamento nesilaikymą gresia didelės baudos. Baudos dydis už asmens duomenų apsaugos pažeidimus gali siekti iki 2–4 proc. ankstesnių įmonės finansinių metų bendros metinės pasaulinės apyvartos arba iki 10–20 mln. eurų.

Be to, BDAR įpareigoja organizacijas esant poreikiui paskirti duomenų apsaugos pareigūną ar kitą asmenį iš išorės, kuris būtų atsakingas už asmens duomenų apsaugos reikalavimų laikymąsi.

Duomenų apsaugos pareigūnas gali būti reikalingas, jei įmonės tvarko ypatingus asmens duomenis. Tokiais duomenimis apibrėžiama didelė dalis asmens duomenų kategorijų pagal Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymą. Bendrasis duomenų apsaugos reglamentas juos įvardija kaip specialių kategorijų asmens duomenis. Tokiais laikomi duomenys, kurie atskleidžia rasinę ar etninę fizinio asmens kilmę, jo politines pažiūras, religinius ar filosofinius įsitikinimus. Tarp tokių specialių kategorijų asmens duomenų yra ir genetiniai, biometriniai fizinio asmens duomenys, sveikatos duomenys, taip pat informacija apie fizinio asmens lytinį gyvenimą ir jo lytinę orientaciją. Tokių specialių kategorijų asmens duomenų valdytojai arba tvarkytojai, tvarkantys šiuo duomenis dideliu mastu, turi paskirti duomenų apsaugos pareigūną.

Bendrojo duomenų apsaugos reglamento apsauga asmens duomenims yra suteikiama neatsižvelgiant, kokios technologijos yra pasirenkamos tiems duomenims tvarkyti. Taigi asmens duomenų apsauga galioja duomenų tvarkymui tiek automatizuotomis, tiek ir neautomatizuotomis priemonėmis, jeigu duomenys yra rūšiuojami pagal iš anksto nustatytus kriterijus. Taip pat nesvarbu, kokia forma duomenys yra saugomi – IT sistemoje, stebint vaizdo kameromis ar popierine forma – jiems visiems galioja BDAR apsauga.