Teisininkės patarimai smulkiam ir vidutiniam verslui: kaip išvengti su BDAR susijusių klaidų?

Prieš ketverius metus įsigaliojus Europos Sąjungos (ES) Bendrajam duomenų apsaugos reglamentui (BDAR), verslas į jį reagavo įvairiai: vieniems jis atrodė kaip dar vienas formalumas, kitiems – lyg kasdienių verslo operacijų apribojimas, tad mažai kas tinkamai šioms taisyklėms pasiruošė. O reikėtų – juk už BDAR pažeidimus gresia didžiulės baudos. Tad duomenų apsaugos teisės ekspertė, advokatų kontoros „Ellex Valiunas“ partnerė Miglė Petkevičienė internetinių seminarų ciklo „Telia SVV gyvai“ laidoje aptarė, ko reikėtų imtis smulkiam ir vidutiniam verslui, kad būtų išvengta BDAR pažeidimų ar sumažinti nuostoliai jiems įvykus.
SVV Gyvai seminaras
Vygintas Domarkas - „Telia“ smulkaus ir vidutinio verslo vadovas ir advokatų kontoros „Ellex Valiunas“ partnerė Miglė Petkevičienė / Telia nuotr.

Daugybė ne tik galimybių, bet ir grėsmių

M.Petkevičienė akcentuoja, kad dėmesys asmens duomenų apsaugai turi tapti nuolatiniu ir vienu centrinių bet kokios organizacijos elementų, mat jau atsisakoma formalaus požiūrio į asmens duomenų apsaugą ir vis dažniau reikalaujama realios atitikties praktikoje. Taip pat reikia suprasti, kad atitikimas BDAR reikalavimams gali paliesti kiekvieną identifikuoti asmenį galinčius duomenis (amžių, lytį, vardą, pavardę, e. pašto adresą, finansinius duomenis, išsilavinimą, fizinį adresą, asmens kodą ir panašiai) tvarkančią įmonę. Visiškai nesvarbu, ar tai stambus, ar vidutinis ir smulkus verslas.

„Visgi, į reglamentą reikėtų žiūrėti ne į kaip baubą, o kaip galimybę suvienodinus taisykles laisviau veikti visoje ES. Pavyzdžiui, pradėjus elektroninės komercijos verslą Lietuvoje galima nebijoti, kad Latvijoje ir Estijoje duomenų apsaugos srityje bus galvos skausmo. Be abejo, specifiškumų skirtingose jurisdikcijoje pasitaikyti gali, tačiau esminiai reikalavimai taikomi identiški arba labai panašūs. Taip pat reikalavimus pradeda kopijuoti ir visas pasaulis, tokios ekonomiškai stiprios šalys kaip Japonija ir JAV“, – apie BDAR privalumus kalba „Ellex Valiunas“ partnerė.

Pasistengti įgyvendinti BDAR reikalavimus gali paskatinti ne tik naudos, bet ir ganėtinai didelės nuobaudos. Pažeidus reglamento reikalavimus gali grėsti iki 4 proc. metinės pasaulinės apyvartos arba 20 mln. eurų siekianti bauda. Valstybės ir savivaldybių įstaigoms bei organizacijoms gresia iki 60 tūkst. eurų siekiančios sankcijos. Reikia suprasti, kad baudžiami ne tik tokie pasauliniai gigantai kaip „Google“ ar „Facebook“, bet ir mažesni verslai – štai Lietuvoje baudos skirtos daugiau nei 50 verslų.

„Dažniausiai baudų ir sankcijų dydis priklauso nuo to, kokių teisinių ir techninių priemonių buvo imtasi duomenų apsaugai užtikrinti. Nereikia pamiršti, kad gali grėsti ir privatūs ieškiniai, o Valstybinės duomenų apsaugos inspekcijos patikrinimai taip pat įgauna pagreitį. Atrodytų, pavyzdžiui, duomenų apsaugos pareigūno skyrimas – tik formalumas, tačiau dėl to šalyje šiemet tikrinama jau 30 įmonių“, – pataria teisininkė.

Galima užkliūti ne vienoje vietoje

Nors nemažų baudų skyrimo pavyzdžių pilna ir Lietuvoje, M.Petkevičienė nuogąstauja, kad atsakymus į visus su BDAR susijusius klausimus turinčias ar visiškai reglamentui pasiruošusias įmones galima suskaičiuoti ant rankų pirštų. Tam įtakos turi tai, kad reglamentas neatsako į klausimą, ką konkrečiu atveju reikėtų daryti, ir daugybė duomenų valdytojui priskiriamų pareigų: privaloma ne tik efektyviai valdyti atitiktį BDAR, bet ir vertinti poveikį duomenų saugumui, konsultuotis su priežiūros institucija, užtikrinti jų perkėlimą bei sunaikinimą ir panašiai. Dažnai ant BDAR pažeidimo ribos balansuojama renkant ir saugant vartotojų duomenis. Jie gali būti renkami tik turint vieną šių pagrindų: esant asmens sutikimui, viešajam interesui, gyvybiniams duomenų subjekto ir kitų asmenų, teisėtiems duomenų valdytojo ar trečiųjų šalių interesams, vykdant sutartį ar teisinę prievolę. Šiuo metu vaizdo stebėjimo duomenis paprastai galima saugoti 14-30 dienų, su sutartimi susijusius dokumentus – ir 10 metų, sutikimą naudoti atvaizdą – 3, 5 ar 10 metų, priklausomai nuo aplinkybių ir tvarkymo konteksto.

„Sudėtingiau ir dėl to, kad kiekvienas atvejis skirtingas. Sprendžiant dėl duomenų saugojimo laiko, reikia suprasti, kokie tai duomenys, kokiu tikslu jie saugomi. Jei pagrindimo laikotarpiui nerandama įstatymuose, reikia pasitelkti fantaziją ir logiką. Pažeisti BDAR galima neleistinai valdant ir potencialių ar esamų darbuotojų asmens duomenis – pasibaigus atrankai į darbo poziciją būtina iš e. pašto dėžutės ištrinti gyvenimo aprašus, o norint juos toliau naudoti – gauti kandidato sutikimą“, – perspėja specialistė.

Taip pat BDAR pažeidimų pasitaiko esant IT spragoms: nevykdant kompiuterių tinklų duomenų srautų monitoringo ir įsilaužimų aptikimo bei prevencijos, nevaldant veiklos tęstinumo, esant netinkamiems serverio nustatymams ir taisyklėms, neapsaugant komunikacijos kanalų, leidžiant nešifruotų duomenų perdavimą, neatnaujinus pasenusių serverių operacinės sistemų, nevykdant prieigos kontrolės.

„Bendrai, Lietuvos įmonių pasiruošimą BDAR kontekste įvertinčiau stipriu trejetu iš dešimties. Vystosi ne tik įmonės, bet ir programišiai, trūksta švietimo apie paprastas kasdienes patirtis, dabar turime kur kas svarbesnių klausimų koronaviruso ir karo kontekste“, – grėsmes išskiria „Ellex Valiunas“ partnerė.

Atmintinė vadovams: būtina ir komunikuoti

Smulkaus ir vidutinio verslo įmonėms M.Petkevičienė parengė atmintinę, į ką atkreipti dėmesį, kad būtų sumažinama galimybė padaryti BDAR pažeidimus:

Duomenų rinkimas. Kiekvieną kartą rinkdami duomenis atsakykite sau į klausimą, kokių duomenų tiksliai reikia siekiamam tikslui pasiekti. Jokiu būdu nerinkite perteklinių duomenų, ypač jei jų rinkimo būtinybės neįmanoma pagrįsti.

Duomenų tvarkymas. Surinkite sutikimus tvarkyti asmens duomenis, jei norite juos tvarkyti kitu tikslu nei sutarties vykdymas, pavyzdžiui, rinkodaros ar pasiūlymų teikimo tikslais. Nekaupkite atskirų duomenų bazių su klientų kontaktais, nesvarbu, kad tai tiesiog paprastas failas.

Duomenų tvarkymo sutikimas. Norėdami išvengti klientų nusiskundimų dėl vykdomų rinkodaros veiksmų būtina sudaryti tinkamas sąlygas sutikimui. Jis turėtų būti pateiktas aiškia ir paprasta kalba, sutikimą klientas turėtų atlikti laisva valia ir aktyviais veiksmais, bei visad turėti galimybę atšaukti sutikimą.

Darbuotojų stebėjimas. Prašykite sutikimo perduoti kontaktus trečiosioms šalims ir aiškiai jas nurodykite, jokiu būdu nevykdykite slapto darbuotojų stebėjimo – būtinai juos informuokite, kokios sekimo programėlės įdiegtos kompiuteriuose, ar jis stebimas kompiuterio kameromis, ar darbuotojui suteiktas automobilis sekamas globalia padėties nustatymo sistema.

IT sistemų saugumas. Naudokite stiprius slaptažodžius ir dvigubą autentifikavimo mechanizmą, jei tik yra tokia galimybė. Nenaudokite pasenusios operacinės įrangos, nenumokite ranka į atnaujinimus. Svarbu, kad rinkoje yra įrankių, kurie nustato kibernetinio saugumo situaciją įmonėje ir išskiria silpnąsias vietas – pateikiama net ataskaita, kurioje įvertinamas aptiktų spragų lygis, pateikiami pavyzdžiai, kaip jos gali būti išnaudotos, ir, jei įmanoma, ištaisytos.

Savalaikė komunikacija. Informuokite atsakingus asmenis apie bet kokius su asmens duomenų apsauga susijusius paklausimus, incidentus, kelkite klausimus ir konsultuokitės. Svarbiausia, nenuslėpkite ir nenutylėkite – nuo to problema gali tik padidėti.

„Tai savotiškas sniego gniūžtės efektas – jei apie problemą nepasakai čia ir dabar, gniūžtė gali greitai padidėti iki Puntuko dydžio. Įstatymas sako, į pažeidimą sureaguoti reikia per 72 valandas, tad jei pažeidimas padarytas šeštadienį prieš Velykas, pranešimą apie pažeidimą subjektams ir inspekcijai turėsite išsiųsti vėliausiai antradienį ryte“, – apie itin griežtą požiūrį į BDAR pasakoja „Ellex Valiunas“ partnerė.

Visą „Telia SVV gyvai“ internetinio seminaro apie BDAR reguliavimą įrašą galite pažiūrėti čia, o sužinoti daugiau apie „Telia SVV gyvai“ ir užsiregistruoti į kitus vebinarus galite paspaudę čia. Artimiausias virtualus seminaras „Influenceris jūsų smulkiajam verslui – kaip tinkamai pasirinkti?“ vyks rugpjūčio 18 dieną.

Pranešti klaidą

Sėkmingai išsiųsta

Dėkojame už praneštą klaidą
Reklama
Išmanesnis apšvietimas namuose su JUNG DALI-2
Reklama
„Assorti“ asortimento vadovė G.Azguridienė: ieškantiems, kuo nustebinti Kalėdoms, turime ir dovanų, ir idėjų
Reklama
Išskirtinės „Lidl“ ir „Maisto banko“ kalėdinės akcijos metu buvo paaukota produktų už daugiau nei 75 tūkst. eurų
Akiratyje – žiniasklaida: tradicinės žiniasklaidos ateitis