Asmens duomenų apsaugos reforma: ką privalo atlikti kiekviena įmonė?
Miglės Petkevičienės, advokatų kontoros „Ellex Valiunas“ asocijuotosios teisininkės komentaras
Bendrasis duomenų apsaugos reglamentas įsigalios kitų metų gegužės 25 dieną, tačiau daug įmonių dar nėra pradėjusios jam rengtis. Kai kuriais atvejais tai reiškia, kad dalis bendrovių taip ir nespės pasiruošti pokyčiams, kai kurioms, tikėtina, spėti bus labai sunku.
Svarbu prisiminti, kad Bendrasis duomenų apsaugos reglamentas (BDAR) nustato reikalavimus asmens duomenų apsaugai, kurie bus aktualūs kone kiekvienai įmonei. Kiek tie reikalavimai bus aktualūs konkrečiai bendrovei, priklauso nuo jos veiklos pobūdžio, sektoriaus, kuriame ji veikia, renkamų ir tvarkomų duomenų masto bei jautrumo, dabartinio asmens duomenų reikalavimų laikymosi ir kitų aspektų.
Todėl gali skirtis ir žingsniai, kuriuos kiekviena įmonė privalo atlikti ruošdamasi BDAR įsigaliojimui. Kita vertus, yra tam tikrų darbų, kurių verčiau nepraleisti pro akis:
Žinojimas. Verslas privalo susipažinti su nauju reguliavimu bei įvertinti, kiek konkrečiai tam tikrai bendrovei yra aktualūs pakeitimai bei BDAR įtvirtintos naujovės. Labai svarbu, kad į naująjį reguliavimą dėmesį atkreiptų ne tik vadovybė, tačiau ir asmenys, įmonėje atsakingi už procesus, kuriuose asmens duomenys cirkuliuoja, pvz., rinkodaros vadovas, žmogiškųjų išteklių vadovas, IT ar saugumo vadovas ar pareigūnas, atitikties procesų vadovas ar pareigūnas ir pan.
Inventorizacija. Šį etapą galima vadinti skirtingai – nepriklausomai nuo to, vadinsite tai auditu, inventorizacija ar bet kokiu kitu žodžiu, šio etapo esmė yra suvokti, kokius duomenis tvarko konkreti įmonė, iš kokių šaltinių juos gauna, kam juos perduoda, kiek juos saugo.
Dokumentacijos ir procesų peržiūra bei korekcijos. Priklausomai nuo to, kokius duomenis įmonė tvarko, reikėtų pasirengti atitinkamą dokumentaciją bei peržiūrėti procesus, kad jie atitiktų BDAR reikalavimus. Tokia dokumentacija bei procesai turėtų apimti bent jau asmens duomenų tvarkymo vidaus tvarką, išorės privatumo politiką, sutarčių su esamais klientais, tiekėjais ir kitais trečiaisiais asmenimis, sutikimų dėl asmens duomenų tvarkymo, darbuotojų darbo tvarkos ir darbo sutarčių bei kitų susijusių dokumentų peržiūrą.
IT sistemų ir duomenų saugumo (kibernetinės saugos) peržiūra. BDAR reikalavimus turi atitikti ne tik įmonės veiklą reglamentuojanti dokumentacija, tačiau juos turi atliepti ir įmonėje naudojamos IT sistemos. Jos turi būti saugios bei suteikiančios galimybę veiksmingai įgyvendinti duomenų apsaugos principus.
Duomenų apsaugos pareigūnas. Kiekviena įmonė privalo įvertinti, ar jai bus reikalingas asmuo, atsakingas už duomenų apsaugą. Duomenų apsaugos pareigūnas yra asmuo, kuris įmonės mastu yra atsakingas už asmens duomenų tvarkymą, bendrovės praktikas, stebėjimą, kaip įmonėje laikomasi BDAR, komunikavimą su priežiūros institucijomis duomenų apsaugos srityje ir kt. Šiam pareigūnui konkretūs kompetencijos ir išsilavinimo reikalavimai nėra keliami, tačiau sakoma, kad jis paskiriamas remiantis profesinėmis savybėmis, visų pirma, duomenų apsaugos teisės ir praktikos ekspertinėmis žiniomis, taip pat gebėjimu atlikti jam priskirtas užduotis.
Darbuotojų mokymai. BDAR įpareigojimai nėra vien tik teisinio ar techninio pobūdžio reikalavimai. BDAR nuostatomis siekiama, kad kiekviena įmonė kasdieninėje savo veikloje galvotų apie tai, kaip įmonėje vykstantys procesai veikia asmens duomenų tvarkymą, o kartu – siekiama kelti asmens duomenų apsaugos kultūrą versle ir ne tik. Asmens duomenų apsaugos kultūros kėlimą galima pasiekti tik šviečiant darbuotojus, kaip konkrečiai jų kasdieninėje veikloje turėtų būti elgiamasi su duomenimis.
Kaip ir minėta, priklausomai nuo tokių faktorių kaip įmonės veiklos pobūdžio ar įmonėje cirkuliuojančių asmens duomenų masto bei jautrumo, gali prireikti imtis ir papildomų veiksmų. Pavyzdžiui, tada, kai bendrovė tvarko nepilnamečių duomenis, asmenų sveikatos ar kitus jautrius duomenis, jei keičiasi duomenimis su kitomis įmonėmis ES ribose ar už jų ir kitais panašiais atvejais.
Reikia turėti omenyje, kad įvykus asmens duomenų saugumo pažeidimui ar nutikus bet kokiam kitam incidentui, susijusiam su duomenų apsauga, ir kilus baudos (kuri, beje, gali siekti ir 20 mln. eurų arba 4% įmonės pasaulinės metinės apyvartos) taikymo grėsmei, reguliuojančioji institucija privalės atsižvelgti į tai, kokių veiksmų bendrovė ėmėsi, siekdama apsaugoti asmens duomenis. Tad įmonės požiūris bei atliktų veiksmų, siekiant pasirengti BDAR įsigaliojimui, skaičius ir tikslingumas gali tapti lengvinančia aplinkybe, svarstant skirtinos baudos dydį.
