BDAR metai: kas nuveikta ir ko pasimokėme?

Švenčiant pirmąjį Bendrojo duomenų apsaugos reglamento (BDAR) gimtadienį, įdomu apžvelgti pokyčius, kurie įvyko per šiuos metus. Pokyčių buvo nemažai, nes BDAR numatyta milijoninių baudų taikymo galimybė privertė sunerimti ir dideles, ir mažas įmones. Verslas elgėsi įvairiai: vienos įmonės suskubo įgyvendinti BDAR dar iki jo taikymo pradžios, kitos – nusprendė įgyvendinti laipsniškai, laukdamos didesnio aiškumo ir stebėdamos, kuria linkme klostysis institucijų praktika.

Nacionaliniai teisės aktai vėlavo ir buvo keičiami

Institucijos skubėti linkusios nebuvo tiek Lietuvoje, tiek ir kitose ES šalyse. Nepaisant dvejų metų pereinamojo laikotarpio, tik po Reglamento taikymo pradžios, ES šalių nacionaliniai parlamentai ėmėsi priimti nacionalinius teisės aktus (pavyzdžiui, Lietuvoje Asmens duomenų teisinės apsaugos įstatymas priimtas 2018 m. birželio 30 d., Latvijoje – 2018 m. liepos 6 d., o Estijoje – tik 2019 m. sausio 15 d.). Tik jau pradėjus taikyti BDAR, Lietuvoje buvo nuspręsta išbraukti darbuotojų asmens duomenų apsaugą reglamentuojančias normas iš vos metus laiko galiojusio naujojo Darbo kodekso. Tuo buvo siekiama visas duomenų apsaugą reglamentuojančias nuostatas įtvirtinti viename teisės akte –Asmens duomenų teisinės apsaugos įstatyme. Toks žingsnis yra logiškas ir suprantamas, tačiau apie tai galėjo būti pagalvota dar iki Darbo kodekso įsigaliojimo, nesukeliant bereikalingos painiavos.

Didžiausias sambrūzdis – dėl tiesioginės rinkodaros

Tuo tarpu verslas nusprendė veikti. Artėjant Reglamento taikymo pradžiai ir iškart po jos, įmonės suskubo iš naujo rinkti duomenų subjektų sutikimus dėl tiesioginės rinkodaros pranešimų ir bet kokio kito asmens duomenų tvarkymo. Tokie veiksmai buvo gana desperatiški, o svarbiausia – dažnu atveju- visai nereikalingi. Šis įmonių elgesys sudarė prielaidas duomenų subjektams manyti, kad įsigaliojus BDAR turi būti gautas pakartotinis jų sutikimas dėl asmens duomenų tvarkymo. Nors iš tikrųjų, jei sutikimas buvo gautas iki 2018 m. gegužės 25 d., pradėjus taikyti BDAR jis galioti nenustojo. Tai lėmė nepagrįstų skundų Valstybinei duomenų apsaugos inspekcijai antplūdį.

Prie naujų pareigų vykdymo – palaipsniui

Kiek nurimus aistroms dėl tiesioginės rinkodaros, verslas ėmėsi kitų BDAR nustatytų pareigų vykdymo: pagal VDAI pateikiamus duomenis, po reglamento įsigaliojimo iki 2018 m. pabaigos, 1470 organizacijų pranešė apie paskirtą duomenų apsaugos pareigūną, per tą patį laikotarpį buvo pranešta apie 93 asmens duomenų saugumo pažeidimus.

Valstybinė duomenų apsaugos inspekcija (VDAI) iki BDAR taikymo pradžios ir po jos tvirtinusi, kad nėra įgaliota aiškinti Reglamentą, vėliau tokia griežta nebebuvo. 2018 m. liepos pabaigoje pasirodė labai konkreti ir daugeliui įmonių reikalinga rekomendacija, kaip duomenų valdytojas turi tinkamai informuoti apie vykdomą vaizdo stebėjimą. Taip pat vasarai baigiantis VDAI pateikė išaiškinimą apie tai, ar BDAR taikomas juridinio asmens valdymo organų asmens duomenų tvarkymui. Rudenį sulaukėme techninių ir organizacinių duomenų saugumo priemonių įgyvendinimo gairių.

VDAI, įgyvendindama Reglamente jai nustatytus įpareigojimus, 2019 m. pavasarį pateikė duomenų tvarkymo operacijų sąrašą, dėl kurių turės būti atliekamas poveikio duomenų apsaugai vertinimas. Paskelbus minėtą sąrašą neliko abejonių, kad poveikio vertinimas yra būtinas daugeliui įmonių, neatsižvelgiant į asmens duomenų tvarkymo įmonėje apimtį.

Pradėti įmonių patikrinimai

Itin daug dėmesio sulaukė 2019 m. vasario pradžioje paskelbtas prevencinių patikrinimų planas, kuris ne tik privertė susirūpinti, bet ir pateikė aiškumo, ką VDAI tikrins ir į ką reikia atkreipti dėmesį.
„Pagal tikrinimo objektus matyti, kad Inspekcija, ypač kreipia dėmesį į tai, kaip laikomasi duomenų kiekio mažinimo principo, kaip įgyvendinama duomenų subjektų informavimo pareiga, į biometrinių asmens duomenų tvarkymo teisėtumą. Patikrinimų metu taip pat vertinama sutarčių, sudaromų su asmens duomenų tvarkytojais, atitiktis BDAR,“ – sako Agnė Bielskienė, JUREX advokatė, partnerė.

Patikrinimai gali būti atliekami ne tik prevenciniu tikslu, bet ir gavus duomenų subjekto skundą. VDAI duomenimis 2018 m. gauta 859 duomenų subjektų skundai, kas yra 78 proc. daugiau nei 2017, o vien per 2019 m. I ketvirtį Inspekcija fiksuoja rekordinį skundų skaičių – 584.
Tokia skundų gausa lėmė, kad VDAI 2019 m. gegužės pradžioje išleido paaiškinimą, kokiais atvejais pateikti skundai pripažįstami nepagrįstais. Tai, viena vertus, rodo didelį skundų kiekį, kita vertus – kad duomenų subjektai dažnai netinkamai supranta savo teises.

„Kai kuriais atvejais skundai teikiami siekiant tiesiog „nubausti“ prekių ar paslaugų tiekėją, jei kilus nesutarimų ginčo nepavyksta išspręsti geranoriškai“ – sako A.Bielskienė.

Pirmoji bauda – signalas, kad „pereinamasis“ laikotarpis baigėsi

Praėjus beveik metams po BDAR taikymo pradžios buvo skirta pirmoji ženkli bauda dėl Reglamento nuostatų pažeidimo. Pasak JUREX advokatės, partnerės Agnės Bielskienės, tai yra rimtas signalas susirūpinti toms įmonėms, kurios BDAR įgyvendinimui neteikė didelės reikšmės arba jį įgyvendino tik formaliai. Dabar jau tapo akivaizdu, kad svarbu ne tik turėti parengtus asmens duomenų apsaugos dokumentus, bet ir juos realiai taikyti, užtikrinti technines bei organizacines saugumo priemones, vykdyti reguliarius personalo mokymus ir tinkamai reaguoti į saugumo pažeidimus.

visos įžvalgos
Sužinokite daugiau

Prenumeruokite mūsų naujienlaiškį

El. pašto adresas *
Pateikdama(s) savo elektroninio pašto adresą sutinkate, kad Advokatų profesinė bendrija Judickienė ir partneriai JUREX, kodas 3005573017, T. Kosciuškos 24, Vilnius, jį tvarkys tiesioginės rinkodaros tikslu.