Asmens duomenys — po stipresniu užraktu

Artėja laikas, kai įsigalios ES Bendrasis duomenų apsaugos reglamentas, tačiau daugelis įmonių dar nesuskubo rengtis jį įgyvendinti. Vykdyti minėto reglamento reikalavimus privalės kiekviena organizacija, turinti duomenų, leidžiančių identifikuoti asmenį. Už pažeidimus grės didžiulės baudos – jos gali siekti 2–4% metinės apyvartos ir sudaryti dešimtis milijonų eurų.

Asmens duomenimis laikoma bet kokia informacija apie fizinį asmenį: vardas, telefonas, adresas, buvimo vieta, pajamos, pomėgiai, pirkimo įpročiai, IP adresas, sveikatos informacija, nuotraukos, kliento numeris ir kt. Tad minėtas reglamentas aktualus visoms įmonėms, kurios turi klientų duomenų bazes, taiko tiesioginę rinkodarą (pvz., siunčia naujienlaiškius), atlieka savo patalpų vaizdo stebėjimą, tvarko savo darbuotojų ar kitų organizacijų perduotus duomenis ir pan.

Reglamentas smulkiai nustato asmens teises kontroliuoti savo asmens duomenis – nesutikti su jų tvarkymu, galimybę apriboti duomenų tvarkymą, pateikti skundą, reikalauti žalos atlyginimo ir t. t. Viena ryškiausių naujovių – „teisė būti pamirštam“. Tai reiškia, kad klientas gali pageidauti, jog visi duomenys apie jį būtų pašalinami iš įmonės duomenų bazės. Naujasis reglamentas numato didžiules baudas už pažeidimus: šiuo metu maksimali bauda pirmą kartą padarius pažeidimą asmenims siekia 580 Eur, juridiniams asmenis – 1.150 Eur, o įsigaliojus naujai tvarkai, baudos dydis sieks 2–4% ankstesnių finansinių metų bendros apyvartos. ES Bendrasis duomenų apsaugos reglamentas turi įsigalioti 2018 m. gegužės 25 d.

Dalis duomenų apsaugos reikalavimų galiojo ir iki šiol, tačiau verslas ne visada imdavosi priemonių tokiai apsaugai užtikrinti. Kam vargti, jei baudos – juokingos... Padėtis panaši, kaip ir vykdant prievolę teikti finansines ataskaitas Registrų centrui – šią prievolę ignoruoja didelė dalis įmonių. Priežastis – paprasta: baudos yra minimalios, o ir jų mokėti nereikėdavo niekam. Pažeidus duomenų apsaugos reikalavimus, nukraujuoti gali tekti gana stipriai.

Specialistai tikina, kad naujasis reglamentas nėra revoliucija, o tik evoliucija. „Įmonėms, kurios palaikė tam tikrą duomenų apsaugos lygį, reikės greičiausiai ne tiek ir daug padaryti – atlikti auditą, kaip tvarkomi duomenys, ar nėra kokių spragų, gal kai kurioms įmonėms teks patvirtinti duomenų apsaugos pareigūną“, — šiandien VŽ puslapiuose aiškina Darius Štitilis, Mykolo Romerio universiteto Verslo ir medijų mokyklos profesorius. Daugiau problemų bus toms įmonėms, kurios į duomenų apsaugą žiūrėjo pro pirštus, – joms reikės sukuri visą sistemą: gali tekti įsigyti naujus programų paketus, fiksuoti visus darbuotojų veiksmus, siekiant žinoti, kas prie kokių duomenų jungiasi ir pan.

Su duomenų apsaugos problema itin dažnai rizikuoja susidurti sveikatos priežiūros įstaigos – jos neturi kibernetinio saugumo specialistų. Ši problema ypač opi pacientams. Laimutis Paškevičius, Lietuvos privačių sveikatos priežiūros įstaigų asociacijos prezidentas, teigia, kad reikia atskiros IT programos, kuri turėtų užtikrinti, kad visi duomenys būtų apsaugoti. Saugos sprendimai turėtų būti horizontalūs visoms sveikatos priežiūros įstaigoms, nepriklausomai nuo jų nuosavybės. Pasak p. Paškevičiaus, požiūris turi būti valstybinis: kad pacientų duomenys būtų apsaugoti, turi būti skiriami finansiniai ištekliai. Dabar ES fondų panaudojimas Sveikatos apsaugos ministerijoje stringa.

Iki praktinio naujojo reglamento įgyvendinimo lieka nebe tiek daug laiko. Ar įmonės tam pasirengusios? Teisininkai tikina, kad – ne. VŽ nuomone, įmonėms neverta atidėlioti svarbių sprendimų, – jau dabar derėtų peržiūrėti, kokie asmens duomenys, vykdant veiklą įmonėje, yra tvarkomi ir kokia yra jų apsauga.

Komentarai