Kas tai? Eksperto įžvalgos

Prieš Bendrąjį duomenų apsaugos reglamentą – visi lygūs

Publikuota: 2018-05-02

Nuo 2018 m. gegužės 25 d. įsigaliosiantis Bendrasis duomenų apsaugos reglamentas (BDAR) suvienodins duomenų apsaugos taisykles visose ES šalyse. Specialistai perspėja, kad į pokyčius privalo atsižvelgi ne tik specifiniai verslai, apdorojantys daug asmeninės informacijos, bet ir kiekviena smulkiojo ar vidutinio verslo įmonė, kuriai tenka susidurti su ES piliečių – klientų, tiekėjų, partnerių ar darbuotojų - asmeniniais duomenimis.

ES naujuoju BDAR pasišovė keisti kai kurių įmonių neskaidrius įpročius, pavyzdžiui, pardavinėti klientų el. pašto adresus, netinkamai saugoti duomenis nuo programišių ar pašaliečių. BDAR, sako iniciatoriai, sudarys palankesnes sąlygas žmonėms kontroliuoti jautrią informaciją apie save. Justė Sakalauskaitė, Šiaulių banko atitikties specialistė ir duomenų apsaugos pareigūnė, pabrėžia, kad dabar sunku prognozuoti, ar naujasis reglamentas palengvins duomenų saugos procesus verslui.

„Manau, kad ateityje išaiškės, ar BDAR suteiks daugiau aiškumo, ar įneš daugiau sumaišties. Apskritai pats reglamentas nėra visiška naujovė duomenų apsaugos atžvilgiu: įdiegta tam tikrų naujovių, bet esminiai reikalavimai išlieka. Didžiausia naujiena – didesnės baudos. Būtent dėl baudų reglamentas ir sulaukia tiek daug dėmesio. Tačiau duomenų apsaugos taisyklės galiojo ir iki šiol. Pavyzdžiui, bankai šioje srityje jau dabar yra labai griežtai reglamentuojami. Tačiau ruošiantis BDAR mums reikėjo darsyk pasitikrinti ir iš naujo įsivertinti kai kuriuos procesus“, - pasakoja p. Sakalauskaitė.

Reglamento iniciatoriai tikina, kad vieninga sistema padės sutaupyti ir netgi atneš ekonominės naudos – skaičiuojama, 2,3 mlrd. Eur. Verslas baiminasi, kad patirs nemažai nuostolių ir viliasi, jog BDAR aktualiausias bus tik toms kompanijoms, kurios valdo didžiulius duomenų kiekius.

„Požiūris, kad duomenų apsauga labiau turėtų rūpėti didelėms įmonėms ar specifiniams verslams, tokiems kaip bankai, nėra atsitiktinis. Didelės korporacijos valdo milžinišką duomenų kiekį, todėl ir rizikos, susijusios su duomenų sauga, jos patiria daugiau. Mažesnės įmonės, pavyzdžiui, tokios, kuriose dirba iki 250 darbuotojų, tvarko gerokai mažiau duomenų. Visgi, reikėtų nepamiršti, kad duomenų saugos reikalavimai aktualūs visoms bendrovėms, nepriklausomai nuo jų dydžio. Visoms įmonėms galioja ta pati esminė taisyklė - neprašyti klientų perteklinių duomenų, tvarkyti jų tik tiek, kiek tikrai reikia, ir užtikrinti saugumą“, - pabrėžia banko atstovė.

Ne vien IT reikalas

Pasak p. Sakalauskaitės, pirmasis žingsnis, kurį turėtų žengti iki šiol nedaug dėmesio duomenų saugai skyrusios įmonės – su duomenų sauga tinkamai supažindinti visus darbuotojus.

„Praktikoje pastebime, kad dauguma per siaurai supranta asmens duomenų sąvoką. Asmeniniais duomenimis vadinami visi duomenys, kurie identifikuoja asmenį: vardas, pavardė, asmens kodas, adresas ir t. t., taip pat visi netiesioginiai duomenys, kuriems gauti reikia papildomų priemonių – pavyzdžiui, sutarties numeris, kurį įvedę į sistemą apie asmenį gausime visus reikalingus duomenis. Išsiaiškinus, kas laikoma asmens duomenimis, reikėtų išgryninti, kurie iš jų tvarkomi įmonėje, tada peržiūrėti, kurie darbuotojai dalyvauja tų duomenų tvarkymo procesuose – gali būti, jog darbuotojai patys nė nesusimąsto, kad tvarko jautrią informaciją. Svarbu suprasti, kad daugelis darbuotojų taip pat nežino, kokiais teisiniais pagrindais įmonė kaupia duomenis – šiuos klausimus kolektyvui verta aptarti“, - pataria p. Sakalauskaitė.

Specialistė sako, jog klaidinga manyti, kad duomenų apsaugą privalo užtikrinti tik teisininkai ar IT specialistai.

„Duomenų apsauga nėra vien Teisės ar IT skyrių prerogatyva, ji turėtų rūpėti visiems darbuotojams, kurie dirba su klientų duomenimis. Duomenų apsauga svarbi nuo pirmosios akimirkos, kai tik paimate kliento duomenis ir vedate juos į sistemą. Jūs turite užtikrinti, kad tie duomenys nenutekės, jų nepamatys pašaliniai asmenys. Dažnai pirmieji su asmens duomenimis susiduria vadinamieji „front-desk“ darbuotojai, tarkime, klientų aptarnavimo vadybininkai. Jie ypač gerai turi būti  supažinę su duomenų saugos principais, - mano pašnekovė. – Naujasis BDAR aktualus visiems darbuotojams, kurie tvarko, sistemina, peržiūrinėja ar perleidžia duomenis. Gali būti, kad tam tikrose įmonėse tokių žmonių bus mažiau – pavyzdžiui, kepėjui nėra reikalo gilintis į reglamentą. Tačiau tos pačios kepyklos buhalteriui tai naudinga. Labai svarbus ir vadovo vaidmuo: jis turi pabrėžti duomenų saugos svarbą, teisingai sudėlioti prioritetus ir strategiją, užtikrinti, kad būtų pakankamai resursų  planams įgyvendinti.“

Naudingiausia, anot p. Sakalauskaitės, parengti mokymus ir juose ne tik papasakoti apie BDAR, bet ir pateikti pavyzdžių, kaip viską įgyvendinti praktiškai.

„Net jei įmonė neturi daug finansinių resursų, naudingos medžiagos ir praktinių pavyzdžių visada galima rasti internete“, - siūlo specialistė.

Kaupti nebeleis

Anot p. Sakalauskaitės, reikėtų keisti ir senais laikais susiformavusį požiūrį, kad geriau saugoti kuo daugiau duomenų, nes galbūt jų prireiks - šis reglamento aspektas, sako pašnekovė, kelia nemažai diskusijų.

„Duomenų minimizavimas reiškia, kad negalima tvarkyti daugiau duomenų negu būtina. Iki šiol tik menka dalis verslo įmonių naikindavo asmens duomenis – viską tik kaupdavo, dažniausiai motyvuodamos tuo, kad tam tikros informacijos gali prireikti ateityje. Dabar reglamentas numato ribas, kiek laiko bus galima saugoti duomenis. Kita vertus, kontraversijos situacijai teikia tai, jog valstybės institucijos kaip tik dažnai prašo pateikti kuo daugiau duomenų“, - problemą įvardija Šiaulių banko atstovė.

Perteklinių duomenų, anot specialistės, verslas neturėtų prašyti ir kitos žmonių kategorijos – darbuotojų, kandidatų į darbą ar praktikantų.

„Duomenys turi būti saugomi, jų negalima naudoti kitiems tikslams, visomis apsaugos priemonėmis privaloma užtikrinti, kad duomenys nebūtų nutekinti ar atskleisti, - perspėja duomenų apsaugos pareigūnė. - Jau priimant žmogaus gyvenimo aprašymą, reikėtų nurodyti, kiek laiko jį saugosite. Pasibaigus atrankos periodui neturite pagrindo toliau tvarkyti neatsirinkto kandidato asmens duomenų, jo gyvenimo aprašymo. Yra įmonių, kurios nori kaupti tam tikrą potencialių kandidatų duomenų bazę, kad ateityje jiems galėtų pasiūlyti kitą darbo vietą. Nuo šiol sugalvojus kaupti tokius duomenis, abiem pusėms būtina aiškiai dėl to susitarti. Vis dėlto net ir gyvenimo aprašymų per ilgai saugoti negalima: jie sensta, o kaupti ir tvarkyti leidžiama tik aktualius duomenis“.

BDAR - dar ne viskas

Specialistė siūlo nepamiršti, kad svarbu ne vien sėkmingai pasiruošti BDAR, bet ir užtikrinti nuolatinį duomenų apsaugos procesą bendrovėje.

„Reglamentas skelbia, kad didesnės įmonės (nuo 250 darbuotojų) privalės turėti duomenų apsaugos pareigūnus, kurie padės užtikrinti duomenų apsaugos tęstinumą. Viena iš jų atsakomybių bus reguliariai tikrinti, ar išties laikomasi susitarimų dėl duomenų apsaugos, ar visos taisyklės, kurios buvo patvirtintos ruošiantis BDAR, veikia praktikoje, ar darbuotojai tinkamai jas taiko. Tai lyg kontrolė ir užtikrinimas, kad įmonės veikla atitinka reglamentą ir laikosi visų jo principų bei nuostatų. Mažesnėms įmonėms tokie pareigūnai nereikalingi, tačiau joms taip pat privalu sekti rinkos pulsą, stebėti priežiūros institucijas, pavyzdžiui, Valstybinė duomenų inspekcija, kuri dažnai skelbia informaciją apie patikrinimus – iš jos galima spręsti, kokia yra šios įstaigos pozicija konkrečiu klausimu. Tai svarbu, nes paprastai priežiūros institucijų pozicija yra griežtesnė nei rinkos dalyviai yra linkę interpretuoti patys. Verta ir reguliariai įsivertinti, ar neatsirado naujų duomenų apsaugos rizikų“, - pataria p. Sakalauskaitė.

Rašyti komentarą

Rašyti komentarą

Gauk nemokamą VERSLO naujienlaiškį į savo el.pašto dėžutę:

Pasirinkite Jus dominančius NEMOKAMUS savaitraščius:















Svarbiausios dienos naujienos trumpai:



 
8 teisininkų įžvalgos smulkiajam ir vidutiniam verslui Rėmėjo turinys 3

Smulkusis ir vidutinis verslas pamažu mokosi, kad teisinis įžvalgumas privalo tapti verslo strategijos...

2018.11.27
Kelyje į skaitmeninį amžių: IT atmintinė smulkiajam verslui Rėmėjo turinys 1

Prognozuodami didžiulius pokyčius, gyvenime ir versle naudojame vis trumpesnius terminus. Tyrimų kompanija...

2018.11.20

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Sutinku Plačiau