„Egzistuoja nemažai įsitikinimų, susijusių su BDAR. Dėl specifinės veiklos rūšies kai kurioms įmonėms paprastai taikoma mažiau reikalavimų, bet iš esmės šis reglamentas paveikia visus verslus. Todėl būtina žinoti, kada ir kaip vykdant įmonės veiklą yra naudojami asmens duomenys ir tinkamai pasirūpinti teisinius reikalavimus atitinkančia jų apsauga“, – pabrėžia advokatų bendrijos „Linden“ partneris Justinas Jurkonis.
Kai kurie verslo sektoriai mano, kad tai jų neliečia
Apklausus daugiau nei šimtą nevyriausybinių organizacijų ir skirtingų verslo sektorių įmonių atstovų, kaip BDAR įsigaliojimas paveikė jų veiklą, paaiškėjo, kad apie 10 proc. apklaustųjų nepajuto jokios BDAR įtakos savo veiklai.
„Net dešimtadalis apklaustųjų mano, kad BDAR jų verslo nepaveikė. Tai lemia mitas, kad verslams, kurie veikia B2B (angl. business to business) principu, BDAR nėra aktualus, nes paslaugos yra teikiamos ne fiziniams asmenims, o verslui. Deja, praktikoje šį mitą tenka griauti kiekvieną kartą dirbant su šio verslo atstovais“, – pasakoja J. Jurkonis.
Advokatas primena, kad net ir B2B principu veikiantys verslai turi pareigą sudaryti duomenų tvarkymo sutartis su tam tikrais teikėjais, pvz.: buhalterijos ir įvairių IT paslaugų. Be to, būtina pasirūpinti savo darbuotojų ir savarankiškai dirbančių specialistų, kurie įmonei teikia paslaugas, duomenų apsauga.
Pamirštamos gretutinės įmonės veiklos
„Beveik pusė apklaustųjų, 45 proc. organizacijų atstovų, teigė, kad reglamentas jų verslą paveikė nežymiai. Vis tik reikia turėti omenyje, kad iš pirmo žvilgsnio paprastos, tačiau praktikoje neretai pamirštamos asmens duomenų tvarkymo operacijos sukelia daugiausiai iššūkių siekiant tinkamai įgyvendinti BDAR reikalavimus. Verslas susikoncentruoja tik į pagrindines savo veiklas ir pamiršta kitas, tiesiogiai nesusijusias su teikiamomis paslaugomis“, – sako advokatas.
Bendrasis duomenų apsaugos reglamentas taip pat apibrėžia tokias veiklos sritis kaip vaizdo stebėjimas, telefoninių pokalbių įrašymas, praėjimo kontrolės vykdymas, svečių akreditacija ir pan. Svarbu atsiminti, kad ir tokių veiklų metu yra renkami, naudojami bei saugomi asmens duomenys. „Linden“ atstovas atkreipia dėmesį, kad šios ir panašios asmens duomenų tvarkymo operacijos yra laikomos didesnės rizikos asmens duomenų tvarkymu. Tam reikia specifinių teisinių dokumentų, privaloma pasirūpinti surenkamų duomenų saugumu, atlikti poveikio duomenų apsaugai vertinimą. Neretai tai kelia iššūkių smulkiajam verslui, kuriam vidinės duomenų apsaugos kompetencijų sudėtingiems teisiniams klausimams spręsti pakanka ne visada, o finansiniai resursai pasitelkti išorės teisininkų pagalbą yra riboti.
Visgi, praktika rodo, kad Lietuvos verslai vis dažniau susiduria su asmens duomenų apsaugos pažeidimais, kurių suvaldymas reikalauja didelių resursų. Kaip pavyzdį advokatas pateikia atvejį, kai dėl galimo asmens duomenų apsaugos pažeidimo bendrijos klientas per vieną dieną gavo raštus iš trijų skirtingų valstybės institucijų, o tolimesnis bendravimo procesas tęsėsi ne vieną mėnesį. „Jeigu su BDAR reglamentu susiję namų darbai yra atlikti laiku, tokių krizių suvaldymas tampa žymiai paprastesnis“, – tvirtina advokatas.
Iššūkis ir dažna klaida – duomenų perdavimas trečiosioms šalims
Beveik pusė apklausoje savo nuomonę pateikusių organizacijų atstovų vis tik teigia pajutę stiprų BDAR poveikį. 22,5 proc. nurodė, kad BDAR įsigaliojimas jų verslą paveikė reikšmingai, tokia pati dalis respondentų atsakė, kad griežtesni duomenų apsaugos įstatymai jų verslui kelia sudėtingų iššūkių.
Advokatas J.Jurkonis pasakoja, kad didžiausi sunkumai ir įmonių klaidos bei nusižengimai BDAR reikalavimams yra susiję su įvairių skaitmeninių platformų, pavyzdžiui, el. pašto rinkodaros sistemų, duomenų saugyklų, pardavimo ir klientų valdymo sistemų naudojimu. Pasak jo, itin atidžios įmonės turėtų būti dėl asmens duomenų perdavimo iš Europos ekonominės erdvės (apimančios ES valstybes nares ir Norvegiją, Islandiją, Lichtenšteiną) valstybių į kitas, trečiąsias valstybes – reglamentas labai griežtai reguliuoja tokių duomenų apsaugą. Su ja susijusios nuostatos dažnai pažeidžiamos, kai naudojamasi debesų kompiuterijos programomis, mat šių paslaugų teikėjų serveriai gali būti laikomi trečiosiose šalyse, tad būtina į tai atkreipti dėmesį.
„2020 m. negaliojančiu pripažinus privatumo skydo (angl. privacy shield) susitarimą, kuris leisdavo perduoti asmens duomenis JAV bendrovėms, besilaikančioms numatytų įsipareigojimų, su tuo susijusių pažeidimų skaičius taip pat gerokai ūgtelėjo“, – pastebi advokatas.
Duomenų apsauga – tęstinis procesas, o ne vienkartinis projektas
Anot J.Jurkonio, kartais verslai į asmens duomenų apsaugą žiūri kaip į vienkartinį reikalingų dokumentų pasirengimą, o ne tęstinį procesą, nors parengus dokumentus BDAR numatytos pareigos nepasibaigia. Jis pabrėžia, kad tęstinis jų naudojimas bei atnaujinimas pritaikant juos prie pokyčių, įvykstančių tiek verslo aplinkoje, tiek vidaus procesuose, yra būtinas.
„Nesvarbu, kokį verslą vykdote, teks nuolat atnaujinti BDAR atitiktį užtikrinančius dokumentus bei procesus, taip pat diegti, tobulinti ir atnaujinti techninio ir organizacinio saugumo priemones. Tinkamas BDAR reikalavimų laikymasis įmanomas tik operatyviai reaguojant į įvairius verslo procesų pokyčius, rūpinantis įvairiomis saugumo priemonių naujovėmis, atsižvelgiant į aktualias asmens duomenų apsauga besirūpinančių institucijų gaires ir rekomendacijas“, – teigia „Linden“ atstovas.