Reglamentas palengvina įmonių administracinę naštą bei suteikia joms galimybes savarankiškai vertinti su savo veikla susijusias rizikas, tačiau iš kitos pusės – sugriežtina bendrovių pareigas duomenų apsaugos srityje. Numatyti aukšti atskaitomybės standartai, apimantys poveikio vertinimus, duomenų apsaugos pareigūno skyrimą, pranešimą apie duomenų saugumo pažeidimus. Verslui būtina žinoti, kad daugelis ar net dauguma grėsmių duomenų saugumui kyla dėl žmogiškojo faktoriaus ir dėl „minkštųjų“ priemonių nepakankamumo, t.y. neužtikrinimas techninis saugumas arba dar blogiau – jis yra pažeidžiamas.
Kaip rodo praktika, priežastis yra labai paprasta – dėl nepakankamo rizikų supratimo taikomos netinkamos techninės apsaugos priemonės. Šios ir kitos klaidos verslui gali kainuoti itin brangiai – už Reglamento pažeidimus skiriamos administracinės nuobaudos iki 20 000 000 Eur arba iki 4% bendrovės ankstesnių finansinių metų bendros metinės pasaulinės apyvartos.
Vis dėlto, valstybėms narėms yra suteikiama teisė savo viduje nustatyti savo taisykles ir tikrai nėra užkertamas kelias taikyti savo teisę, kurioje nustatomos konkrečios duomenų tvarkymo sąlygos, pavyzdžiui, tiksliau apibrėžiant aplinkybes ir sąlygas, kada asmens duomenų tvarkymas bus pripažįstamas tvarkomu teisėtai ir kada ne. Svarbu pažymėti ir tai, kad Reglamentas nenustato minimalios baudos dydžio, o tai reiškia, kad valstybės narės tai padaryti turės pačios. Atsižvelgus į tai, tikrai negalima teigti, kad reikia visapusiškai laikytis Reglamento nuostatų – labai svarbu įvertinti reikalavimus ir tos šalies, kurioje faktiškai bus tvarkomi asmens duomenys (arba kur faktiškai veikia verslas).
Taigi, svarbūs esminiai pasiruošimo žingsniai:
1. Informavimas.
Kiekviena įmonė, įstaiga ar organizacija privalo įsitikinti, ar darbuotojai, tvarkantys fizinių asmenų duomenis yra informuoti apie pasikeičiantį reglamentavimą, taip pat – ar yra informuoti, kaip būtent šis reglamentavimas keičiasi ir kokių priemonių jie turės imtis po Reglamento įsigaliojimo. Bendrovėse asmenys, atsakingi už asmens duomenų tvarkymą, gali būti ne tik bendrovės administracijos vadovai, personalo vadovai, tačiau šios funkcijos realiai gali būti perduotos ir IT darbuotojams. Dažni atvejai, kad Bendrovės pasitelkia ir išorinius specialistus – konsultantus, teisininkus ar kitas konsultacines firmas. Taigi, keikvienoje Bendrovėje yra labai svarbu atskirti, kas vykdo asmens duomenų tvarkymo funkcijas ir šiuos asmenis informuoti bei apmokyti tinkamai tvarkyti šiuos duomenis.
2. Vidinis bendrovės auditas.
Kiekviena įmonė, įstaiga ar organizacija savo bendrovės viduje privalo išsikelti ir atsakyti į pagrindinius klausimus, padėsiančius lengviau pasiruošti Reglamento įgyvendinimui. Taigi, kiekviena bendrovė turi aiškiai žinoti, kokius asmens duomenis bendrovė tvarko ir kodėl šie duomenys yra tvarkomi (nustatyti tvarkomų duomenų tikslą ir apimtį), taip pat nusistatyti duomenų gavimo šaltinį – ar duomenys gaunami iš pačio subjekto ar iš trečiojo asmens, apsibrėžti duomenų naudojimo paskirtį – ar duomenys naudojami bendrovės viduje, ar siekiant suteikti konkrečią paslaugą, taip pat – duomenų saugojimo vieta ir terminas bei nusistatyti kitas svarbias aplinkybes.
3.Vidinių taisyklių parengimas
Apsibrėžus 2 punkte nurodytas duomenų tvarkymo sąlygas ir kitas reikšmingas aplinkybes, kiekviena bendrovė privalo aiškiai reglamentuoti taisykles, kokiomis sąlygomis ir tvarka turėtų būti tvarkomi asmens duomenys. Pagrindinis ir privalomas bendrovės dokumentas – Asmens duomenų tvarkymo taisyklės, įvardijant visus kriterijus dėl teisėto duomenų tvarkymo, susipažinimo su duomenims tvarka ir kitomis teisėmis bei pareigomis. Šias Asmens duomenų tvarkymo taisykles būtinai reikia turėti kiekvienoje bendrovėje, tačiau, atsižvelgus į tvarkomų asmens duomenų tikslus, bendrovėje turi būti parengti ir kiti dokumentai.
Kitas ypatingai svarbus dokumentas – Duomenų saugumo pažeidimo tvarkos taisyklės, nustatančios, kas bus atsakingas už informavimą Valstybinei duomenų apsaugos inspekcijai dėl asmens duomenų apsaugos pažeidimų nustatymų, kokie duomenys ir kokia tvarka yra teikiami Valstybinei duomenų apsaugos inspekcijai, taip pat nustatančios ir kitas svarbias aplinkybes.
Jeigu bendrovėje yra vykdomas ir vaizdo stebėjimas, bendrovėje taip pat turi būti parengtas atskiras rašytinis dokumentas ir dėl bendrovėje vykdomo vaizdo stebėjimo, o tiksliau – vaizdo stebėjimo taisyklės, kuriose būtų aprašyta vaizdo stebėjimo trajektorija, nusistatyta vaizdo stebėjimo duomenų naudojimo politika ar kiti aspektai, susiję su teisėtai vykdomu asmens stebėjimu. Svarbu atkreipti dėmesį į tai, kad vaizdo stebėjimas ir garso įrašymas darbo vietoje gali būti vykdomas, kai dėl darbo specifikos būtina užtikrinti asmenų, turto ar visuomenės saugumą ir kitais atvejais, kai kiti būdai ar priemonės yra nepakankami ir (arba) netinkami siekiant išvardytų tikslų, išskyrus atvejus, kai tiesiogiai siekiama kontroliuoti darbo kokybę ir mastą. Apie vaizdo stebėjimą ir garso įrašymą konkrečioje darbovietės vietoje informuojama vaizdiniu žymeniu matomoje vietoje (Lietuvos Respublikos darbo kodekso 27 straipsnio 5 dalis).
Atskiras dokumentas t.y. privatumo politikos taisyklės turi būti parengtos ir turint internetinę bendrovės svetainę. Šiame dokumente privalote nurodyti, kokią informaciją apie internetinės svetainės naudotojus jūs renkate, kaip šie naudotojai gali susipažinti su surinkta informacija, taip pat – nusistatyti ir tokią tvarką, kokioje laikmenoje surinkti duomenys bus saugomi ir, jei bus duomenų subjekto prašymas, kokia tvarka surinktus duomenis perkelsite (perduosite) šiam duomenų subjektui (teisės į duomenų perkeliamumą įgyvendinimas).
Svarbu atkreipti dėmesį ir į Lietuvos Respublikos darbo kodekso 27 straipsnio 3 dalyje nustatytu reikalavimu supažindinti darbuotojus su informacinių ir komunikacinių technologijų naudojimo bei darbuotojų stebėsenos ir kontrolės darbo vietoje tvarka (toliau – Tvarka). Šioje Tvarkoje turi būti nustatytos informacinių ir komunikacinių technologijų naudojimo darbo vietoje darbo metu taisyklės, taip pat darbuotojų stebėsenos ir kontrolės darbo vietoje taisyklės ir mastas. Pavyzdžiui, gali būti nurodytas informacinių ir komunikacinių technologijų naudojimas – kas suteikia informacines ir komunikacines technologijas (toliau – Technologijos) ir kam jos priklauso, kokios būtent Technologijos yra suteikiamos, kas gali jomis naudotis, taip pat galima apibrėžti, kokie darbuotojo veiksmai, naudojantis Technologijomis bus pripažįstami draudžiamais ir kitas reikšmingas aplinkybes.
Stebėsenos ir kontrolės darbo vietoje skyriuje svarbu apibrėžti stebėsenos ir kontrolės tikslus ir principus, kuriais remiantis bus vykdoma stebėsena ir kontrolė darbo vietoje, taip pat nusistatyti tvarką, kokia būtent stebėsena ir kontrolė bus vykdoma t.y. ar bendrovė vykdys tik Technologijų stebėseną ir kontrolę ar (ir) bus bendrovėje atliekamas ir vaizdo-garso stebėjimas, taip pat nusistatyti, kam ši Tvarka yra taikoma. Šie išvardyti aspektai yra tik vieni iš daugelio aspektų, kuriuos bendrovė gali nusistatyti Tvarkoje.
Ne mažiau svarbus yra ir Lietuvos Respublikos darbo kodekso 27 straipsnio 7 dalies reikalavimas, nustatantis, jog „darbdavys, kurio vidutinis darbuotojų skaičius yra daugiau kaip penkiasdešimt, privalo priimti ir įprastais darbovietėje būdais paskelbti darbuotojų asmens duomenų saugojimo politiką ir jos įgyvendinimo priemones“. Šios Darbuotojų asmens duomenų saugojimo politikos ir jos įgyvendinimo priemonių tvarkos aprašas (toliau – Aprašas) turėtų nustatyti darbuotojų asmens duomenų rinkimo, naudojimo ir saugojimo principus, nustatyti darbuotojų asmens duomenų tvarkymo tikslus ir priemones, nustatyti, kas ir kokiais tikslais gali susipažinti su darbuotojų asmens duomenimis ir juos tvarkyti.
Pažymėtina, kad šiame skyriuje nurodytų dokumentų sąrašas nėra baigtinis, kiekvienu konkrečiu atveju bendrovė privalo atsižvelgti į tvarkomų asmens duomenų tikslus ir parengti šiai bendrovei privalomus dokumentus.
4. Supažindinimas
Akivaizdu, kad kiekviena įmonė, įstaiga ar organizacija privalo su 3 punkte nurodytomis taisyklėmis supažindinti visus asmens duomenų subjektus t.y. tiek darbuotojus, tiek klientus, tiek ir trečiuosius asmenis (asmenys, kurių duomenis tvarkote).
5. Duomenų apsaugos pareigūnų paskyrimas.
Bendrovė gali įsivertinti, ar jai reikia skirti duomenų apsaugos pareigūną, kuris stebėtų, kaip yra laikomasi Reglamento reikalavimų, bendradarbiautų su Valstybine duomenų apsaugos inspekcija ir būtų kontaktiniu asmeniu.
Primenu, kad verslas turi suskubti ir įsivertinti tvarkomų asmens duomenų operacijas ir jų atitiktį galiojančių teisės aktų reikalavimams arba patikėti tai specialistams, nusimanantiems šios ypatingai jautrios srities specifiką. Mažais, bet užtikrintais žingsniais mes galime padėti Jums įteisinti ir padėti teisėtai tvarkyti asmens duomenis, parengiant ne tik visus privalomus turėti dokumentus, bet patariant dėl tinkamų priemonių, siekiant apsaugoti duomenis, bei, padedant suprasti reglamente numatytus pakeitimus ir patariant dėl Reglamento reikalavimų įgyvendinimo.
Dr. Vilius Nikitinas yra kontoros „BITA LAW“ advokatas.
