Mobiliųjų programėlių valdytojus ragina registruotis, artėja milijoninės baudos

Pasak jų, registruojantis atlikti namų darbai pravers prisitaikant prie 2018 m. gegužę įsigaliosiančių naujų, gerokai griežtesnių duomenų apsaugos reikalavimų.

Sparčiai tobulėjant mobiliosioms technologijoms, dauguma prekybininkų ar paslaugų teikėjų savo vartotojams sudaro galimybę prekes ar paslaugas įsigyti naudojant mobiliąsias aplikacijas.

Egzistuoja mobiliosios programėlės, teikiančios vartotojams vežimo ar automobilių nuomos paslaugas, leidžiančios virtualiai apsipirkti vaistinėse, maisto parduotuvėse, restoranuose ar kavinėse, taip pat užsakyti prekių pristatymą, ir t.t.

Programėlės renka asmens duomenis

Goda Sukackaitė, advokatų profesinės bendrijos „Triniti LT“ asocijuota teisininkė, ragina tokių mobiliųjų programėlių valdytojus nepamiršti, jog pagal dabartinius įstatymus jie privalo registruotis VDAI.

Mat iš esmės visas mobiliąsias programėles vienija vienas ir tas pats principas – vartotojas, norėdamas pasinaudoti konkrečia paslauga, privalo registracijoje ar kitokiu būdu mobiliojoje programėlėje pateikti savo asmens duomenis pardavėjui ar paslaugos teikėjui.

„Visi duomenų valdytojai, automatiniu būdu tvarkantys asmens duomenis, turi registruotis VDAI ir laikytis Asmens duomenų apsaugos įstatyme numatytų reikalavimų, kitaip gali sulaukti nemalonumų. Pagal dabartinius įstatymus, už pažeidimus asmenimis gresia bauda nuo 150 iki 580 Eur, o įmonių vadovams – nuo 300 iki 1.150 Eur, už pakartotinį pažeidimą asmenims gresia 550–1.200 Eur dydžio bauda, o įmonių vadovams – nuo 1.100 – 3.000 Eur“, – perspėja teisininkė.

Ji primena, kad tam tikrais atvejais pagal dabartinę tvarką duomenų valdytojui gali būti privaloma atlikti duomenų tvarkymo veiksmų patikrinimą, t.y. išankstinę patikrą.

Išankstinė patikra yra privaloma tiems mobiliosios programėlės valdytojams, kurie renka ypatingus asmens duomenis, pvz., duomenis, susijusius su vartotojo sveikata, rasine kilme, politiniais ar filosofiniais įsitikinimais ir kita.

„VDAI tokiais atvejais per du mėnesinius privalo atlikti duomenų valdytojo vertinimą ir įsitikinti, ar duomenų valdytojas duomenis tvarkys teisėtai, įgyvendins tinkamas organizacinės ir techninės asmens duomenų saugumo priemonės, nepažeidinės teisės aktų ir duomenų subjektų – vartotojų – teisių“, – dėsto p. Sukackaitė.

2018 m. verslo laukia iššūkiai

Teisininkė ragina mobiliųjų aplikacijų valdytojus įsivertinti situaciją dėl duomenų apsaugos jau dabar, nes 2018 m. gegužės 25 d. įsigaliosiančiame ES Bendrajame duomenų apsaugos reglamente nustatyta dar daugiau sugriežtintų pareigų duomenų valdytojams ir duomenų tvarkytojams, kurias bus privalu užtikrinti visiems, nenorintiems sulaukti tūkstantinių ar milijoninių baudų, kurios tam tikrais atvejais gali reikšti net verslo pabaigą.

Pasak p. Sukackaitės, įsigaliojus naujajam reglamentui, dabartinės pareigos tvarkantiems duomenis automatiniu būdu privalomai registruotis VDAI nebeliks. Nepaisant to, užsiregistruoti VDAI jau dabar programėlių valdytojams yra naudinga ir rengiantis dirbti pagal naujus, gegužę įsigaliosiančius reikalavimus.

„Juk tam, kad šiuo metu tvarkingai užsiregistruotumėte VDAI, pirmiausiai reikia įsivertinti savo duomenų tvarkymo veiklą, t.y. kokius duomenis renkate, kokiu tikslu, kaip renkate, kur tie duomenys vaikšto ir pan. Kitaip tariant, reikia atlikti įmonėje tvarkomų duomenų auditą, be to, kartu turite įvertinti įmonėje naudojamas ir jūsų duomenų tvarkymo veikloje reikalingas technines ir organizacines duomenų tvarkymo priemones. Tam tikrais atvejais, jeigu prieš duomenų tvarkymą reikalinga atlikti išankstinę patikrą, priežiūros institucija ateis pas jus ir „pabaksnos pirštu“, nurodydama, kas yra negerai, ką reikėtų pakeisti, reglamentuoti ar įsidiegti. Tai jau savaime yra naudinga reglamento įsigaliojimo kontekste“, – aiškina teisininkė.

Anot jos, siekiant atitikti naujojo reglamento reikalavimus, bet kuriuo atveju reikės atlikti tiek savo dokumentacijos, tiek naudojamų priemonių auditą.

„Kuo anksčiau pradėsite tą daryti, tuo tvirčiau jausitės dėl duomenų tvarkymo teisėtumo jūsų veikloje. Reglamente išlieka beveik visi reikalavimai, numatyti dabartiniame duomenų apsaugos įstatyme, ir jeigu jau dabar atitinkate šį įstatymą, VDAI keliamus reikalavimus duomenų valdytojams ir tvarkytojams, esate įdiegę atitinkamas technines ir organizacines saugumo priemones, tai reiškia, bent jau dalinę atitiktį ir naujojo reglamento reikalavimams“, – teigia p. Sukackaitė.

Grės milžiniškos baudos

2018 m. gegužės 25 d. įsigaliosiantis Bendrasis duomenų apsaugos reglamentas žada iššūkių ne tik programėlių valdytojoms, bet ir daugumai Lietuvos įmonių bei organizacijų.

VŽ rašė, kad vykdyti minėto reglamento reikalavimus privalės kiekviena organizacija, turinti duomenų, leidžiančių identifikuoti asmenį. Už pažeidimus grės didžiulės baudos – jos gali siekti 2–4% metinės apyvartos ir sudaryti dešimtis milijonų eurų.

Asmens duomenimis laikoma bet kokia informacija apie fizinį asmenį: vardas, telefonas, adresas, buvimo vieta, pajamos, pomėgiai, pirkimo įpročiai, IP adresas, sveikatos informacija, nuotraukos, kliento numeris ir kt. Tad minėtas reglamentas aktualus visoms įmonėms, kurios turi klientų duomenų bazes, taiko tiesioginę rinkodarą (pvz., siunčia naujienlaiškius), atlieka savo patalpų vaizdo stebėjimą, tvarko savo darbuotojų ar kitų organizacijų perduotus duomenis ir pan.