Pereiti į pagrindinį turinį

Revoliucija duomenų apsaugos srityje palies visas šalies įmones

2017-11-08 07:58

Teisininkai jau senokai trimituoja, kad kone visoje Europoje asmens duomenys tvarkomi ir saugomi atsainiai, todėl pernai Europos Komisija patvirtino labai griežtą Bendrąjį duomenų apsaugos reglamentą (BDAR), kuris visoje ES įsigalios kitų metų gegužę. Specialistai pastebi, kad kol kas daugelis šalies įmonių apie naujoves net nežino arba joms nesiruošia, o už tokį požiūrį gresia milžiniškos baudų.

Revoliucija duomenų apsaugos srityje palies visas šalies įmones
Revoliucija duomenų apsaugos srityje palies visas šalies įmones / K. Vanago/ BFL nuotr.

Ruošiasi vienetai

Bendrovės „Elsis IS“, teikiančios asmens duomenų tvarkymo vertinimo ir pasiruošimo BDAR paslaugas, Informacinių sistemų saugumo skyriaus vadovas Martynas Miškinis pasakojo, kad asmens duomenų tvarkymas ES reglamentuotas pakankamai senai, griežtai ir aiškiai, tačiau šioje srityje tvyro betvarkė. „Lietuvoje asmens duomenų apsaugos teisinis reguliavimas egzistuoja ilgai. Kai kuriems sektoriams galioja griežtesni reikalavimai, tačiau iš esmės iki šiol dauguma įmonių Lietuvoje asmens duomenų tvarkymą vertino formaliai: neinvestavo į duomenų apsaugą, nes negalvojo kokią žalą gali padaryti duomenų praradimas, o ir numatytos baudos yra nedidelės, kurias sumokėti yra pigiau, nei atitikti nustatytus reikalavimus“, – aiškino M.Miškinis.

Padėtis kardinaliai keisis nuo kitų metų gegužės, kai ir bus pradėtas taikyti BDAR. Apie tai Europos Komisija informavo pernai pavasarį, davė du metus pasiruošti, tačiau pasiruošimo laikotarpį produktyviai išnaudoja ne visi.

Valstybinės duomenų apsaugos inspekcijos (VDAI) direktoriaus pavaduotojos Ritos Vaitkevičienės manymu, nuosekliai ruošiasi tik didžiosios privataus sektoriaus atstovės – užsienio kapitalo įmonės, elektroninių ryšių operatoriai, bankai, IT kompanijos, draudikai.

„Kai kurie netgi specialiai pasamdė teisininkus arba pasiruošė įdarbinti duomenų apsaugos pareigūnus. Mažos ir vidutinio dydžio bendrovės bei savivaldybės, jų įmonės yra sunkiausioje padėtyje, joms reikėtų pasitempti labiausiai“, – įsitikinusi R.Vaitkevičienė.

VDAI Informacijos ir technologijų skyriaus vyriausioji specialistė Raminta Sinkevičiūtė-Šečkuvienė sakė pastebinti, kad nemažai įmonių apskritai nežino apie naujus reikalavimus ir sankcijas. Ypač pasitempti turėtų sveikatos priežiūros, švietimo įstaigos, kurios naujovėms nesiruošia, bet saugo labai daug asmenų duomenų.

Anot M.Miškinio, asmens duomenų apsaugą reglamentuojantys dokumentai dažnai yra padėti į bendrovių atsakingų asmenų stalčius ir dauguma įmonių darbuotojų tikriausiai net neįsivaizduoja, kaip turi būti tvarkomi asmens duomenys. Neretai net nežinoma, kiek ir kokių asmens duomenų įmonė turi sukaupusi.

Duomenų valdytojams ir tvarkytojams, neužtikrinus tinkamos duomenų apsaugos, kils ir teisinė atsakomybė, jie taip pat gali prarasti gerą reputaciją.

Gresia žiaurios sankcijos

Už gegužės 25 d. įsigaliosiančio BDAR pažeidimus grės milijonus eurų galinčios siekti baudos.

„Kibernetinės grėsmės pasaulyje kasmet didėja, o vieni iš kibernetinių nusikaltėlių taikinių yra asmens duomenys. Tam, kad pagaliau priversti įmones laikytis asmens duomenų saugumo reikalavimų ir buvo pasirinktas finansinių sankcijų kelias. Vien gręsiančių baudų dydžiai yra veiksminga priemonė įmonėms, iki šiol mažai kreipdavusioms dėmesį duomenų apsaugai“, – kalbėjo M.Miškinis.

„Duomenų valdytojams ir tvarkytojams, neužtikrinus tinkamos duomenų apsaugos, kils ir teisinė atsakomybė, jie taip pat gali prarasti gerą reputaciją“, –kalbėjo R.Sinkevičiūtė-Šečkuvienė.

„Duomenų apsauga yra verslo kultūros dalis. Laikymasis asmens duomenų apsaugos standartų siunčia žinią investuotojams, darbdaviams ir darbuotojams, kad šioje šalyje yra gerbiamos žmogaus teisės, yra užtikrintas konfidencialumas, joks subjektas dėl prastos duomenų apsaugos nepatirs turtinės ar neturtinės žalos. Netinkama asmens duomenų apsauga sukelia netikrumo aplinką, o nustačius teisės normų pažeidimus, grasia įspūdingos sankcijos“, – kalbėjo R.Vaitkevičienė.

Kaip pasikeis procesas?

Vienas atsainaus požiūrio į asmens duomenų apsaugą pavyzdžių – įmonių apsaugos postuose esančios svečių registracijos knygos, žurnalai. „Juose svečias turi įrašyti savo vardą, pavardę, kam atstovauja. Žurnale bet kas gali pamatyti, kas įmonėje lankėsi. Tai jau yra pažeidimas“, – aiškino M. Miškinis.

Kitas pavyzdys – įdarbinimo proceso metu siunčiamų gyvenimo aprašymų likimas. Ne paslaptis, kad neretai įmonėse jie saugomi neaišku kur, juos vienas kitam siunčia įmonių, skyrių vadovai, informacija saugoma net ir asmeniniuose kompiuteriuose, o oficialiai deklaruojamas konfidencialumas neišsaugomas.

„Gyvenimo aprašymai turėtų būti saugomi tik numatytą ir pagrįstą laikotarpį. Be duomenų subjekto sutikimo tai galima daryti tik kol vyksta įdarbinimo procesas, kurio metu siekiama sudaryti darbo sutartį. Dažniausiai CV pasiliekami saugoti ir tam, kad prireikus potencialų darbuotoją į pokalbį būtų galima pasikviesti ir vėliau. Tačiau tolimesniam asmens duomenų tvarkymui – CV saugojimui ir panaudojimui yra būtinas atskiras žmogaus sutikimas“, - akcentavo M.Miškinis.

Jis teigė, kad didelėms įmonėms pilnai pasiruošti BDAR įgyvendinimui gali prireikti pusmečio. Mažesnėms įmonėms gali pakakti ir mėnesio. Tačiau tik tuo atveju, jei ruošiamasi labai aktyviai, dalyvaujama specialiuose seminaruose, konferencijose, kuriose išaiškinamas visos BDAR subtilybės, kurių yra labai daug. Viena iš tokių konferencijų organizuojama Kaune, lapkričio 29 d. 


Kokios baudos?

BDAR numatyta, kad duomenų valdytojui ir duomenų tvarkytojui, pažeidusiam reglamento nuostatas, gali būti skiriamos administracinės baudos, kurios kiekvienu konkrečiu atveju turi būti veiksmingos, proporcingos ir atgrasomos. Taigi bauda gali siekti nuo 2 iki 4 proc. ankstesnių finansinių metų apyvartos, arba nuo 10 000 000 iki 20 000 000 EUR.

Palyginimui šiuo metu už asmens duomenų apsaugos pažeidimus baudos, numatytos Administracinių nusižengimų kodekse, yra išties nedidelės. Baudos asmenims siekia 150–580 Eur, už pakartotinį pažeidimą 550–1200 Eur, juridinių asmenų vadovams ar kitiems atsakingiems asmenims – 300–1150 Eur, už pakartotinai padarytus nusižengimus – 1100–3000 Eur.

Kam galios reglamentas?

BDAR yra taikomas asmens duomenų tvarkymui, visiškai arba iš dalies atliekamam automatizuotomis priemonėmis, ir asmens duomenų, kurie sudaro susisteminto rinkinio dalį ar yra skirti ją sudaryti, tvarkymui ne automatizuotomis priemonėmis. Taigi, galima sakyti, kad BDAR aktualus juridiniams ir fiziniams asmenims, savo profesinėje veikloje tvarkantiems asmens duomenis.

Reikėtų atkreipti dėmesį, kad šis reglamentas netaikomas asmens duomenų tvarkymui, kai duomenis tvarko fizinis asmuo, užsiimdamas išimtinai asmenine ar namų ūkio veikla ir nesusiedamas to su profesine ar komercine veikla. Tačiau net ir asmeniniais tikslais tvarkant kito asmens duomenis turi būti gerbiamas kito asmens privatumas, nes tai yra viena iš žmogaus teisių, įtvirtintų Lietuvos Respublikos Konstitucijoje.

Naujausi komentarai

Komentarai

  • HTML žymės neleidžiamos.

Komentarai

  • HTML žymės neleidžiamos.
Atšaukti
Komentarų nėra
Visi komentarai (0)

Daugiau naujienų