Bendrajam duomenų apsaugos reglamentui – pusė metų. Dažniausiai pasitaikančios klaidos

2018 m. lapkričio 25 d. suėjo lygiai pusė metų nuo Bendrojo duomenų apsaugos reglamento (toliau – BDAR) taikymo pradžios. Gegužės mėnesį tvyrojusi įtampa baiminantis milžiniškų baudų atslūgo – Valstybinė duomenų apsaugos inspekcija atliko keletą patikrinimų, pateikė rekomendacijas verslo subjektams, tačiau kol kas baudų neskyrė. Tačiau verslas supranta, kad griežtesnius duomenų apsaugos reikalavimus įgyvendinti teks, jeigu to iki šiol dar nepadarė.

Praėjus pusei metų po BDAR taikymo pradžios, jau galima išskirti dažniausiai daromas klaidas:

Klaidingas įsitikinimas, kad sutikimas yra tinkamiausias darbuotojų asmens duomenų tvarkymo teisinis pagrindas. Praktikoje dažnai pasitaiko atvejų, kai verslui yra sudėtinga atskirti, kada asmens duomenų tvarkymui reikalingas darbuotojo sutikimas, o kada pakanka darbuotoją tik informuoti apie jo asmens duomenų tvarkymą. Darbdaviams svarbu žinoti, kad darbo santykių kontekste sutikimas yra naudojamas ypač retai – tik tais atvejais, kai asmens duomenų tvarkymo negalima pagrįsti kitais teisiniais pagrindais. BDAR sutikimui numato tam tikrus reikalavimus, kurių nesilaikant sutikimas tampa negaliojantis. Tam, kad duomenų subjekto duotas sutikimas būtų galiojantis, jis turi būti duotas laisva valia ir duomenų subjektui turi būti sudarytos sąlygos jį bet kada atšaukti. Akivaizdu, kad darbo teisiniuose santykiuose sunku įgyvendinti abi šias sąlygas. Pirma, darbuotojas ir darbdavys nėra lygiavertės šalys. Antra, darbuotojui atšaukus savo sutikimą darbdaviui taptų neįmanoma vykdyti teisės aktais jam numatytas pareigas ir (arba) įsipareigojimus darbuotojui pagal darbo sutartį.

Tiesioginės rinkodaros sąvoka suprantama per siaurai. Vis dar populiarus mitas, kad, tiesioginę rinkodarą vykdant juridinių, o ne fizinių asmenų atžvilgiu, nereikalingas duomenų subjekto sutikimas. Taip pat neįvertinama, kad tiesioginė rinkodara yra ne tik tiesioginis prekių ar paslaugų siūlymas, bet ir pasitenkinimo prekėmis ar paslaugomis tyrimai, apklausos bei kvietimai į mokymus ar kitus renginius. Atkreipiame dėmesį, kad išankstinis sutikimas dėl tiesioginės rinkodaros yra nereikalingas tik vienu atveju – jei prekės ar paslaugos yra siūlomos jau esamiems klientams, siūlant tik savo paties panašias prekes ar paslaugas, jeigu klientams yra suteikiama aiški, nemokama ir lengvai įgyvendinama galimybė nesutikti arba atsisakyti tokio duomenų naudojimo ir jeigu klientas iš pradžių neprieštaravo dėl tokio duomenų naudojimo teikiant kiekvieną pasiūlymą.

Nustatomi per ilgi asmens duomenų saugojimo terminai. Gana dažnai girdimas įsitikinimas, kad tam tikrus asmens duomenis yra būtina saugoti nuolat, argumentuojant tuo, kad jų gali kada nors prireikti. Tačiau tai yra iliuzija. Duomenys per tam tikrą laiką „pasensta“, t. y. tampa nebeaktualūs. Todėl reikia realiai įsivertinti, kiek laiko tam tikri duomenys gali būti reikalingi, nustatyti saugojimo terminus, o jiems suėjus – asmens duomenis naikinti. Siekiant duomenis išlaikyti kuo ilgiau, dažnai nustatomi nepaprastai ilgi jų saugojimo terminai. Svarbu turėti omenyje, kad visus terminus duomenų valdytojas turi galėti pagrįsti, t. y. nurodyti objektyvias priežastis, kodėl yra numatytas būtent toks asmens duomenų saugojimo laikotarpis.

Per mažai įsitraukiama į BDAR įgyvendinimą įmonėje. Įgyvendinant BDAR svarbu, kad parengti dokumentai būtų aktualūs ir pritaikyti konkrečios įmonės veiklai, todėl yra būtinas įmonės vadovo ir darbuotojų įtraukimas į BDAR įgyvendinimą. Įgyvendinimo darbus patikėjus išorės ekspertui, svarbu teikti jam visą reikalingą informaciją, nebandant pagražinti realios situacijos, nes tik tokiu būdu jo pateiktos rekomendacijos bus naudingos. Taip pat svarbu suprasti, kad BDAR įgyvendinimas yra tęstinis procesas, reikalaujantis nuolatinio vadovų ir darbuotojų dėmesio. Rekomenduojama kartą per metus peržiūrėti patvirtintas taisykles, kartą per pusę metų peržiūrėti ir atnaujinti duomenų tvarkymo veiklos įrašus bei periodiškai atnaujinti darbuotojų žinias, susijusias su BDAR taikymu.

Per mažai dėmesio skiriama darbuotojų mokymui. Didžiąją dalį duomenų saugumo pažeidimų, už kuriuos įmonei gali būti skirta bauda, padaro jos darbuotojai. Dažniausiai pažeidimai padaromi netyčia, dėl žinių stokos. Būtent dėl šios priežasties būtina rimtai žiūrėti į darbuotojų mokymus, ypač tų, kurie turi prieigą prie asmens duomenų.

Teikiamas per mažas dėmesys techninių, organizacinių ir administracinių saugumo priemonių įgyvendinimui. Tinkamas šių priemonių įgyvendinimas gali užkirsti kelią asmens duomenų saugumo pažeidimui arba padėti išvengti baudos, tokiam pažeidimui įvykus. Itin svarbu skirti laiko ir apibrėžti darbuotojų prieigos teises prie asmens duomenų, nustatyti aiškias duomenų naudojimo taisykles bei su jomis supažindinti darbuotojus, investuoti į teisėtą programinę įrangą bei antivirusinių programų naujausias versijas. Kuo aukštesnio lygio apsauga taikoma asmens duomenims, tuo mažesnė tikimybė prarasti, atskleisti asmens duomenis ar kitaip pažeisti asmens duomenų saugumą.

Neteisingai ar formaliai įgyvendintas BDAR gali sukelti verslui skaudžias pasekmes: sugadintą reputaciją, ilgą bylinėjimąsi su žalą patyrusiais asmenimis ar finansines sankcijas. Norint to išvengti, būtina ne tik kruopščiai laikytis BDAR nustatytų reikalavimų, bet ir nepamiršti, kad BDAR įgyvendinimas yra tęstinis procesas ir tvarkomi asmens duomenys turi būti peržiūrimi nuolat.

visos įžvalgos
Sužinokite daugiau

Prenumeruokite mūsų naujienlaiškį

El. pašto adresas *
Pateikdama(s) savo elektroninio pašto adresą sutinkate, kad Advokatų profesinė bendrija Judickienė ir partneriai JUREX, kodas 3005573017, T. Kosciuškos 24, Vilnius, jį tvarkys tiesioginės rinkodaros tikslu.