Didžiosios įmonės yra įgyvendinusios visus BDAR reikalavimus ir dažniausiai tik tobulina duomenų tvarkymo procesus. Kalbant apie mažas įmones, dar tikrai ne visos tinkamai laikosi reikalavimų arba apskritai apie juos žino labai nedaug.
Smulkioms ir mažoms įmonėms dažnai neaišku, ar jos turi tvarkyti duomenis pagal BDAR. Jeigu įmonėje dirba vienas žmogus ir jis vykdo smulkią prekybą, neretai kyla klausimas, ar jam tikrai taikomas BDAR. Tokių klausimų tiek aš, tiek ir daugelis kitų ekespertų sulaukia nuolatos.
Nėra jokio skirtumo, ar prekybą vykdo didelė, ar maža įmonė, – asmens duomenų apsaugos taisyklės visiems yra vienodos. Bet kokia prekyba – nesvarbu, ar pardavėjas dirba pagal individualios veiklos pažymą, ar yra įsteigęs įmonę, – yra ekonominė veikla, todėl tvarkant asmens duomenis, gautus vykdant tokią veiklą, yra taikomi BDAR reikalavimai.
„Amazon“, „Shopify“ ir kitos platformos pardavėjų problemų neišspręs
Daugiausia problemų yra su smulkiomis el. parduotuvėmis, nes vyrauja nuomonė, kad, vykdant veiklą per didžiąsias el. prekybos platformas, šios pačios už pardavėją tvarko visus duomenis pagal BDAR reikalavimus.
„Amazon“, „Shopify“ ir kitos platformos numato savo santykį su klientu – el. parduotuve ir duomenų tvarkymą pačioje sistemoje, bet įmonės ir individualią veiklą vykdantys asmenys turi nusistatyti, kaip savo veikloje tvarkys klientų asmens duomenis.
Pasitaiko daug atvejų, kai duomenys kopijuojami į programą „Excel“ ir nėra jokios vidinės tvarkos nei kaip jie bus tvarkomi, nei kiek laiko saugomi. Vidinės tvarkos el. prekybos platformos už įmonę nenustato, nes duomenų tvarkymo reglamentavimas ir procesų diegimas – įmonės atsakomybė, todėl ji pati turi užtikrinti, kad jos veikloje būtų laikomasi BDAR reikalavimų.
Duomenų tvarkymo reglamentavimas ir procesų diegimas – įmonės atsakomybė
Gausu nusižengimų
Vien per pirmuosius BDAR taikymo metus visoje Europos Sąjungoje gauta daugiau kaip 144 tūkst. skundų. Už netinkamą asmens duomenų tvarkymą buvo skirta labai daug baudų. Pavyzdžiui, Vokietijoje nubausta įmonė, nes reklamoje naudojo savo darbuotojo atvaizdą be šio sutikimo. Austrijoje sporto lažybų bendrovė beveik 6 tūkst. eurų bauda nubausta už tai, kad saugumo sumetimais filmavo savo patalpas neinformavusi lankytojų. Tokių nusižengimų yra daug ir jie daromi nuolatos.
Be to, 2019 m. buvo skirta ir ne viena šimtamilijoninė bauda. Prancūzijoje bendrovei „Google“ už netinkamą asmens duomenų tvarkymą buvo skirta 50 mln. eurų bauda, viešbučių tinklui „Marriott“ už klientų duomenų atskleidimą trečiosioms šalims – 115 mln. eurų bauda. Tokios didelės baudos yra skiriamos todėl, kad jų dydis priklauso nuo įmonės pajamų ir gali siekti iki 4 proc. metinių pajamų.
Pati didžiausia bauda skirta Didžiosios Britanijos aviakompanijai „British Airways“. 2018 m. rudenį į įmonės sistemą įsilaužę programišiai pavogė šimtų tūkstančių privačių asmenų duomenis. Už saugumo reikalavimų nesilaikymą įmonė buvo nubausta net 183 mln. svarų sterlingų bauda.
Didžiausios baudos yra skiriamos už labai didelio kiekio asmens duomenų praradimą arba atskleidimą trečiosioms šalims.
Didžiausios baudos yra skiriamos už labai didelio kiekio asmens duomenų praradimą arba atskleidimą trečiosioms šalims. „British Airways“ pavyzdys rodo, kad net tokios didelės korporacijos nėra tinkamai susitvarkiusios kibernetinio saugumo sistemų ir procesų. Kaip matyti iš atlikto tyrimo, tokio masto duomenų vagystė buvo tik laiko klausimas.
Tačiau manau, kad smulkių nusižengimų skaičius turėtų mažėti. BDAR reikalavimai yra gana abstraktūs, todėl reglamentui įsigaliojus nebuvo aišku, kaip tinkamai jį interpretuoti. Praėjus daugiau kaip pusantrų metų po truputį formuojama praktika, reikalavimai darosi aiškesni ir verslas gali į tai atsižvelgti ir tobulinti procesus. Prireiks dar kelerių metų, kol procesai bus visiškai aiškūs, bet džiugu, kad padėtis dėl BDAR reikalavimų įgyvendinimo po truputį gerėja.