Gegužės 25-ąją visoje Europoje įsigalios Bendrasis duomenų apsaugos reglamentas (BDAR). Kadangi praktiškai kiekviena įmonė vienokiu ar kitokiu būdu kaupia savo klientų ar darbuotojų duomenis, tiems, kas dar nesuskubo, liko vos mėnuo susipažinti su nauja tvarka ir ją įsidiegti.
Kas keičiasi?
Teisininkė, teismo mediatorė ir lektorė Raimonda Joskaudienė sako, jog tai, apie ką dabar kalbama kaip apie naują tvarką, visiškai nėra naujiena. „Beveik visus dokumentus įstaigos jau turėjo būti pasiruošusios, pagal šiai dienai galiojančius teisės aktus. Bendrajame duomenų apsaugos reglamente įtvirtinta tai, kas jau seniai žinotina, ir kas seniai turėtų būti sutvarkyta kiekvienoje įmonėje. Tačiau, žinoma, šiuo atveju kai kas patikslinama, įvedamos tam tikros naujovės, na ir, atitinkamai, padidinamos atsakomybės už Reglamento nesilaikymą“, – sako teisininkė.
Pasak R. Joskaudienės, tai, kad BDAR išprovokavo tiek šurmulio ir kalbų, rodo, jog dauguma įmonių vis tik nesilaiko dabar galiojančios tvarkos. Galima svarstyti, dėl kokių priežasčių tai vyksta. Galbūt žmonės nežino savo teisių ir kreiptis į atsakingas institucijas dėl reklaminio laiško ar skambučio jiems atrodo per menka priežastis. Bet kuriuo atveju, tikėtina, kad nuo gegužės 25-osios situacija keisis, nes šia tema kalbama daug ir garsiai.
Paklausta, kas nutiks, jei atėjus gegužės 25-ajai asmens duomenų apsaugos politika įmonėje neatitiks Reglamento nuostatų, teisininkė sako, kad iš principo nieko tokio, iškart suėjus šiam terminui, gali ir nenutikti, tačiau yra tokia galimybė, kad nepatenkintas klientas pateiks skundą arba įvyks incidentas dėl duomenų nutekėjimo / pasisavinimo (provokacijos šiuo klausimu taip pat labia tikėtinos) Dar vienas variantas – Asmens duomenų apsaugos inspekcija nuspręs atlikti patikrinimą. Visais šiais atvejais, jei bus aptikta, kad nesilaikoma BDAR, įstaigai grės administracinės baudos, kurios gali siekti iki 20 mln. Eur arba iki 4 proc. bendrovės metinės apyvartos.
Nuo ko pradėti?
Teisininkė R. Joskaudienė, jau daugiau nei 5 metus profesionaliai besidominti asmens duomenų apsauga ir vedanti šia tema mokymus, dalijasi patarimais, nuo ko pradėti ruoštis Reglamento įgyvendinimui.
#1 Pirmiausia patartina įsivertinti, kokius duomenis mes tvarkome, ar nėra perteklinių duomenų, kuriuos reiktų atsisakyti tvarkyti. Pagalvokite, ar visiems duomenims tvarkyti turite tikslą ir pagrindą. Galbūt jums visai nereikalingas vartotojo telefono nr. ar namų adresas, nes niekaip šių duomenų nenaudojate.
#2 Kitas žingsnis – persižiūrėti ir atsinaujinti dokumentaciją, t. y. peržiūrėti, ar turime pasitvirtinę asmens duomenų apsaugos taisykles, ar yra patvirtinta asmens duomenų apsaugos politika, techninių ir organizacinių saugos priemonių aprašas, ar esame pasiruošę ir gebėsime atlikti tvarkomų duomenų veiklos įrašus, ar esame pasiruošę / atsinaujinę kitus dokumentus, pagal atskiros įstaigos veiklą, mastą bei pobūdį.
#3 Ir dar vienas svarbus aspektas – paskirti atsakingus asmenis, kurie įstaigoje rūpinsis asmens duomenų apsauga. Kai kuriais atvejais įmonei gali prireikti net atskiro asmens duomenų apsaugos pareigūno.
Apibendrinant, visų pirma R. Joskaudienė siūlo įmonės viduje atlikti veiklos ir duomenų mini auditą, įsivertinti, ką tvarkome, ką turime, ką reikia pasiruošti ir / ar atsinaujinti. Konkrečių veiksmų atlikimas, tokių kaip IT ir techninės priemonės, kurias reikia įsidiegti – vėlesni žingsniai.
Ką reikia žinoti e-verslo atstovams?
Vieni iš ryškiausiai pokyčius pajusiančių verslo atstovų – e-verslo atstovai. Kadangi e-verslo sektoriuje neretai duomenys tvarkomi asmenų sutikimo ar sutarties pagrindu, pirmiausia elektroninėje erdvėje veikiančioms parduotuvėms ir kitoms įstaigoms, pasak R. Joskaudienės, patartina peržiūrėti, ar esama sutikimo / sutarties forma atitinka Reglamento reikalavimus: „Pagal šiai dienai pastebimas tendencijas, kaip iš asmenų gaunami, renkami sutikimai, koks jų turinys, galima sakyti, kad bene 80–90 proc. jų neatitinka elementarių reikalavimų. Sutikimai prišliejami prie kitų susitarimų, neaiškiai pateikiant tikslus, saugojimo terminą, nenurodant, kur kreiptis, kaip atsisakyti, o neretai renkami duomenys, kurių net negalime rinkti.“
Teisininkė pataria įmonėms, kurios turi internetines svetaines, peržiūrėti savo administruojamą svetainę ir įsitikinti, ar vartotojui aišku, kokie jo duomenys kaupiami, kur jie keliauja, kiek laiko yra saugomi, ar vartotojui aiškus asmens duomenų profiliavimas, ar vartotojas gali lengvai įgyvendinti savo teisę būti pamirštas, ar gali atsisakyti reklamos. Kitas klausimas – techninės ir organizacinės saugos priemonės. Labai svarbu įsitikinti, jog jos įdiegtos tinkamai.
Daugiau informacijos teisininkės ir lektorės Raimondos Joskaudienės video mokyme „Asmens duomenų apsauga. Ką reikia žinoti e-verslo atstovams?“
Taip pat Jums gali būti aktualus video mokymas „Asmens duomenų apsauga švietimo įstaigose. Kaip pasiruošti?“
