Duomenų apsauga – kiauras rėtis

Bendrasis duomenų apsaugos reglamentas (BDAR), dar prieš įsigaliodamas ilgą laiką bauginęs duomenų tvarkytojus, teoriškai veikia jau daugiau nei pusmetį, tačiau realiai jo įgyvendinimas stringa – pirmiausia dėl to, kad pats reglamentas yra itin neapibrėžtas, nemaža dalis įmonių tiesiog numojo į jį ranka.

BDAR vadinamas svarbiausiu asmens duomenų apsaugos projektu ES per pastaruosius du dešimtmečius. Juo siekiama suvienodinti asmens duomenų apsaugos nuostatas skirtingose Europos šalyse ir geriau apsaugoti ES piliečių duomenis. Reglamentas įpareigoja verslo subjektus pranešti apie asmens duomenų saugumo pažeidimus ir kt. Įmonės, kurios neatitiks naujojo reglamento reikalavimų, gali gauti baudų, rizikuoja verslo tęstinumu. Už reglamento pažeidimus gresia baudos, siekiančios iki 4% visos bendrovės apyvartos, tačiau bauda negalės būti didesnė nei 20 mln. Eur.

Artėjant BDAR įsigaliojimo dienai (gegužės 25 d.), buvo girdėti savotiškos isterijos ženklų – panašių, kokie sklido laukiant 2000-mečio ribos. Reglamento taikymas kėlė nemažai klausimų – duomenų valdytojai ir tvarkytojai baiminosi, kad duomenų saugumas ar jo pažeidimas gali būti įvairiai interpretuojamas. Praėjus pusmečiui, nerimas lyg ir atslūgo – su juo atslūgo ir realus rūpinimasis duomenų apsauga. Specialistai teigia, kad didžioji dalis verslo BDAR reikalavimus įgyvendino pro forma – paviršutiniškai ir minimaliai: realiai apie 40%, o gal ir daugiau Lietuvos įmonių per šį pusmetį apskritai nieko nepadarė.

Pastebėta, kad rimčiau į BDAR pažvelgė stambios bendrovės, kurias ir anksčiau teisės aktai įpareigojo rimtai rūpintis duomenų apsauga – jos šioje srityje turi ir kompetencijų, ir specialistų. Konsultantai aiškina, kad visas kitas verslas iki šiol nelabai žino, nuo ko reikia pradėti, ką praktiškai reikia daryti, kartais net neįsivaizduoja reglamento apimties.

Nedidelis verslas per daug sau galvos nesuka – jam BDAR yra tik viena iš nedaugelio teisės aktų, prie kurių reikia prisitaikyti. Aktualūs kasdieniai klausimai dažniausiai nustumia į šalį „ne tokius aktualius“. Didelė dalis įmonių tiesiog lūkuriuoja ir nieko nedaro. Verslui ne tik trūksta kompetencijų šioje srityje – duomenų apsaugą išmanančių specialistų trūksta ir rinkoje. Smulkios ir vidutinės įmonės gali būti prasčiau pasirengusios naujovėms, todėl yra labiau pažeidžiamos, nes rizikuoja susilaukti baudų. Tiesa, kol kas Valstybinė duomenų apsaugos inspekcija dar nėra skyrusi nė vienos baudos, nors nurodymų dėl netinkamo asmens duomenų tvarkymo jau pateikė kelioms įmonėms. Specialistai išskiria vieną dažniausiai pasitaikančių BDAR pažeidimų – asmens duomenų tvarkymą, pagrindu nurodant teisėtą bendrovės interesą. Būtent teisėtas interesas šiuo atveju nėra iki galo apibrėžtas, todėl vyrauja nuomonė, kad teisėtas interesas apima beveik viską. Tuo ir vadovaujasi didžioji dalis įmonių, kurios tvarko asmens duomenis. Kitas pažeidimas – perteklinių duomenų reikalavimas iš klientų.

„BDAR nepadidino žmonių privatumo. Reklamuotojai, skolų išieškotojai ir kiti „duomenų verslininkai“ toliau mūsų duomenis tvarko kaip tvarkę ir yra įsitikinę, kad turi „teisėtą verslo interesą“, – teigia Mindaugas Kiškis, Mykolo Romerio universiteto profesorius, advokatų kontoros „Invent“ vadovaujantysis partneris. Pasak jo, lietuviškų brukalų srautai ir toliau atakuoja žmones. Teisininkas prognozuoja, kad asmens duomenų apsaugos reikalai pagerės tik tada, kai atsiras realios sankcijos už pažeidimus – pagrūmojimo pirštu neužtenka: teisės normos be sankcijų neveikia.

VŽ nuomone, vien užfiksuoti reglamento įsigaliojimą negana – jis turėtų būti apibrėžtas, aiškus, nes painiavoje paliekama erdvės interpretacijoms. Net ir baudos – ne panacėja: realų asmens duomenų apsaugos veikimą stabdo poįstatyminių aktų, išaiškinimų, praktikos nebuvimas.

Komentarai