Nauja duomenų apsaugos tvarka – kaip jai pasiruošti?

Įmonėms pirmiausia derėtų išsamiai susipažinti su reglamento nuostatomis, įtvirtinančiomis naujas klientų teises, o tuo pačiu – ir naujas verslininkų pareigas. Pavyzdžiui, reglamente numatyta kliento teisė savo asmens duomenis bet kada perduoti kitai įmonei, todėl tam turi būti sudarytos sąlygos – duomenys turi būti laikomi susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu, kad prireikus juos perduoti kitam duomenų valdytojui nekiltų nesklandumų.

Naujas reglamentas panaikinama reikalavimą pranešti apie asmens duomenų tvarkymą priežiūros institucijoms. Vietoje jo, įmonės turės atlikti poveikio duomenų apsaugai vertinimą – patys įvertinti privatumo rizikas, susijusias su asmens duomenų rinkimu, naudojimu ir atskleidimu. Identifikavę pavojus, verslininkai vertinime turės nurodyti apsaugos priemones ir mechanizmus, kuriais tas pavojus būtų sumažinamas. Konsultuotis su Valstybine duomenų apsaugos inspekcija reikės tik tuomet, kai vertinime bus įžvelgta didelių pavojų privatumui. Belaukdamos reglamento įsigaliojimo, įmonės gali jau dabar nusimatyti standartinį privatumo poveikio vertinimo procesą ir jį taikyti visiems naujiems projektams.

Apie asmens duomenų saugumo pažeidimus įmonės Valstybinei duomenų apsaugos inspekcijai turės pranešti ne vėliau kaip per 72 valandas Be to, esant didelio pavojaus fizinių asmenų teisėms ir laisvėms tikimybei, įmonės papildomai turės informuoti ir klientus. Todėl iki reglamento taikymo dienos svarbu numatyti detalią pažeidimo identifikavimo ir valdymo bei informavimo tvarką ir aiškiai apibrėžti atsakingų pareigybių funkcijas. Turint omenyje pranešime būtinos informacijos apimtį ir pobūdį (pradedant pažeidimo pobūdžiu ir baigiant tikėtinomis pažeidimo pasekmėmis), patartina į informavimo procesus įtraukti ne tik už asmens duomenų tvarkymą atsakingus įmonės darbuotojus, bet ir IT bei teisės specialistus.

Naujasis reglamentas numato griežtesnes pareigas įmonėms, todėl rekomenduotina peržiūrėti su asmens duomenų tvarkytojais (IT paslaugų arba debesų kompiuterijos paslaugų teikėjais) sudarytas sutartis ir prisiimtas sąlygas, atkreipiant dėmesį į sąlygas dėl atsakomybės pasidalijimo. Šiose sutartyse turi būti aptarti visi reglamente aiškiai įvardinti duomenų tvarkytojų ir duomenų valdytojų susitarimams privalomi punktai. Be to, susitarimai turėtų detaliau reglamentuoti tarpusavio teises ir pareigas bei aiškiai apibrėžti duomenų tvarkytojų atsakomybių ribas.

Įmonės turėtų įvertinti, ar joms atsiras pareiga sukurti naują pareigybę, atsakingą už duomenų apsaugą. Jei toks specialistas būtinas, renkantis vertėtų atkeipti dėmesį į žmogaus duomenų apsaugos teisės ir praktikos ekspertines žinias bei gebėjimą atlikti reglamente jam pavestas funkcijas.

Iki reglamento įsigaliojimo liko daugiau nei pusantrų metų, tačiau turint omenyje visus duomenų tvarkymo suderinimo procesus (vykdomos reformos apimtis ir mastas didžiulis), rekomenduojama pradėti ruoštis jau dabar.