Asmens duomenys. Apsauga pagal ES reglamentą

Asmens duomenys. Apsauga pagal ES reglamentą

2016-10-21

Dauguma esame girdėję apie šiemet patvirtintą ES bendrąjį duomenų apsaugos reglamentą (toliau – BDAR). Ši tema vis dažniau narpliojama viešojoje erdvėje, bet ar visi suprantame, kaip šie pakeitimai ir reikalavimai iš tiesų palies kiekvienos įmonės IT? Į svarbiausius klausimus atsako Atea informacinės saugos skyriaus vadovas Andrius Šaveiko.
Prieš pradedant gilintis ir rinkti informaciją šia tema, buvo žinoma tik apie reglamento nesilaikysiančioms organizacijoms gresiančias baudas, o apie jame keliamus reikalavimus – informacijos trūko. Visų pirma reikia atkreipti dėmesį, kad BDAR paskirtis – reguliuoti asmens duomenų apsaugą, t. y. sritį, į kurią iki šiol Lietuvoje buvo žvelgiama tik formaliai.

Atskaitomybė ir pritaikytoji privatumo apsauga (angl. privacy by design)

BDAR organizacijoms numato keblokus įsipareigojimus dėl atitikties įrodymo. Būtina atitikti šiuos reikalavimus:

  • Išsaugoti tam tikrą dokumentaciją.
  • Atlikti duomenų apsaugos poveikio vertinimą rizikingesnių transakcijų atveju.
  • Įgyvendinti pritaikytąją ir numatytąją duomenų apsaugą (angl. data protection by design and by default), pavyzdžiui, sumažinti kaupiamų duomenų kiekį.
Duomenų apsaugos pareigūnas

Tam tikrais atvejais duomenų valdytojai privalės paskirti duomenų apsaugos pareigūną. Jis bus atsakingas už BDAR reikalavimų vykdymą, atskaitomybę, duomenų apdorojimo stebėseną ir kt. Duomenų apsaugos pareigūnas gali būti įdarbintas arba veikti pagal paslaugų sutartį. Įmonių grupės galės įdarbinti vieną duomenų apsaugos pareigūną.

Sąžiningo duomenų apdorojimo pranešimai

Duomenų valdytojai turi aiškiai informuoti duomenų subjektus, kur, kaip bei kokiais tikslais bus naudojami jų pateikti duomenys. Svarbu pabrėžti, kad duomenų surinkimo ir apdorojimo tikslas turi būti numatytas ir aprašytas iš anksto, t. y. duomenys kitais tikslais negalės būti naudojami, nebent bus gautas naujas duomenų subjekto sutikimas. Taip pat svarbu atkreipti dėmesį į tai, kad duomenų naudojimo pranešimai turi atitikti BDAR reikalavimus.

Pranešimai apie duomenų saugumo pažeidimus

Duomenų valdytojai apie galimus asmens duomenų saugumo pažeidimus privalės pranešti kontroliuojančiai institucijai. Tai turės būti atlikta nedelsiant, ne vėliau kaip per 72 val. nuo asmens duomenų saugumo pažeidimo. Deja, šiuo metu saugumo pažeidimai dažnai būna slepiami, nes nėra aiškaus įpareigojimo apie juos pranešti.
Pranešime turi būti:

  • aprašytas asmens duomenų saugumo pažeidimo pobūdis, įskaitant atitinkamų duomenų subjektų kategorijas ir apytikslį skaičių, taip pat atitinkamų asmens duomenų įrašų kategorijos ir apytikslis skaičius;
  • nurodytas duomenų apsaugos pareigūno arba kito kontaktinio asmens, galinčio suteikti daugiau informacijos, vardas ir pavardė (pavadinimas) bei kontaktiniai duomenys;
  • aprašytos tikėtinos asmens duomenų saugumo pažeidimo pasekmės;
  • aprašytos priemonės, kurių ėmėsi arba siūlė imtis duomenų valdytojas, kad būtų pašalintas asmens duomenų saugumo pažeidimas, įskaitant priemones galimoms neigiamoms pasekmėms sumažinti.
Baudos

BDAR nustato pakopines bausmes už pažeidimus ir leidžia prižiūrinčiai institucijai už kai kuriuos pažeidimus skirti baudas net iki 4 % metinės apyvartos arba iki 20 mln. EUR. Kiti specifiniai pažeidimai gali užtraukti iki 2 % metinės apyvartos arba iki 10 mln. EUR dydžio baudą. Skiriamos baudos dydis priklauso nuo pažeidimo pobūdžio, sunkumo ir trukmės. Padidintomis baudomis siekiama atkreipti aukščiausio lygio vadovų dėmesį į duomenų apsaugos svarbą.

Kokia padėtis yra šiuo metu?

Viešojoje erdvėje dažnai kalbama, kad ruoštis BDAR įsigaliojimui 2018 m. reikia pradėti jau dabar. Įsigilinus į dokumento turinį ir įvertinus Lietuvoje vyraujantį požiūrį į asmens duomenų apsaugą, akivaizdu, kad ruoštis reikėjo pradėti kur kas anksčiau. Mūsų šalyje reikalavimai lig šiol nebuvo labai griežti, o Asmens duomenų inspekcija labiau pataria ir vykdo šviečiamąją veiklą, tačiau įsigaliojus BDAR šios institucijos įgaliojimai ir veiklos pobūdis turėtų keistis. Lietuvoje nemažai organizacijų yra tik formaliai aprašiusios asmens duomenų tvarkymo procedūras, kad atitiktų asmens duomenų valdytojams keliamus reikalavimus, ir, tenka pripažinti, dažnai jų net nėra laikomasi.

Svarbiausia aspektai: kaip tinkamai pasirengti pokyčiams?
  • Saugos pažeidimai. Iki šiol Lietuvoje kiekviena įmonė individualiai spręsdavo, ar pranešti apie saugumo incidentus. Įsigaliojus BDAR, organizacijos bus įpareigotos apie juos pranešti visais atvejais, tad saugos priemones įmonių viduje verta aptarti iš anksto. Tai svarbu ne tik dėl gresiančių sankcijų, bet ir dėl organizacijos reputacijos paviešinus šią informaciją. Patikimo partnerio reputacijos praradimas gali sukelti didesnių nuostolių nei gresiančios baudos.
  • Atskaitomybė. Būtina peržiūrėti įmonės vidaus tvarką, procedūras, susijusias su asmens duomenimis, įvertinti jų atitiktį naujiems teisės aktams, sukurti sistemingą tvarką darbui su duomenimis, įgyvendinti stebėjimo ir apsaugos priemones, realizuoti atskaitomybės mechanizmus. Taip pat svarbu įvertinti rizikos poveikį ir užtikrinti priemones problemoms spręsti. Nederėtų pamiršti ir personalo mokymų, kad visi žinotų savo įsipareigojimus ir galimas grėsmes.
  • Teisinė bazė. Būtina įvertinti vykdomo duomenų apdorojimo atitiktį teisės aktams. Šiuo atveju svarbu aprašyti duomenų apdorojimo tikslus, priemones, procedūras ir kitus veiksmus – ši informacija reikalinga tiek atskaitomybei užtikrinti, tiek duomenų subjektui informuoti. Pagal BDAR reikalavimus visas duomenų tvarkymas turi būti vykdomas skaidriai ir tik pagal iš anksto aprašytas taisykles. BDAR reglamentuoja, kad turi būti surenkama tik tiek duomenų, kiek būtina užtikrinti paslaugą vartotojui. Trumpiau tariant, „galbūt kada nors prireiks“ požiūris – negalimas

Reikia pažymėti, kad buvo apžvelgta tik dalis BDAR reikalavimų. Kiekviena įmonė turi atsakingai pasirengti 2018 m., kada įsigalios reglamentas, kad reikalavimai ir atnaujintos taisyklės neužgriūtų netikėtai, kaip netikėtai atšalus kelininkus užklumpa žiema.