Kas tai? Eksperto įžvalgos

BDAR pakeis požiūrį į klientą ir į verslo kultūrą

Publikuota: 2018-05-15
Renata Jatužytė-Mulevičienė, teisininkų kontoros „Magnusson“ advokatė, pataria visų pirma išsigryninti įmonėse taikomus duomenų tvarkymo procesus ir įrankius, o tik tada spręsti, ką reikia keisti, tobulinti, o ko – atsisakyti. (Bendrovės nuotr.)
Renata Jatužytė-Mulevičienė, teisininkų kontoros „Magnusson“ advokatė, pataria visų pirma išsigryninti įmonėse taikomus duomenų tvarkymo procesus ir įrankius, o tik tada spręsti, ką reikia keisti, tobulinti, o ko – atsisakyti. (Bendrovės nuotr.)

Jei šiųmetį sausį dar buvo vadovų, kurie nežinojo, ką reiškia trumpinys BDAR, įsibėgėjus gegužei tokių tamsuolių nebeliko. Renata Jatužytė-Mulevičienė, teisininkų kontoros „Magnusson“ advokatė, sako, kad Bendrasis duomenų apsaugos reglamentas – nėra vien duomenų apsaugos reforma. Jis žymi naujos verslo kultūros pradžią ir turėtų būti vertinamas kaip proga efektyviau dirbti, kurti skaidrius santykius su parneriais bei klientais.

Verslas skundžiasi, kad Bendrasis duomenų apsaugos reglamentas (BDAR) tėra dar viena sunkiai įgyvendinama prievolė, tačiau  ES akcentuoja visų pirma užsimojusi reikliau ginti piliečių teises.

„BDAR teigia, kad asmuo turi teisę žinoti, kas ir kokiais tikslais tvarko jo duomenis, kur ir kokiais tikslais tie duomenys keliauja, turi teisę su tuo sutikti arba prieštarauti. Duomenų valdytojai įpareigoti imtis visų įmanomų priemonių, kad užtikrintų asmens duomenų valdymo skaidrumą ir saugumą, jie taip pat įpareigojami tvarkyti tik tiek asmens duomenų, kiek iš tiesų būtina. Griežčiau reglamentuojama ir duomenų tvarkytojų veikla, jiems taip pat privalu peržvelgti visus su asmens duomenų tvarkymu susijusius procesus“, - reglamento esmę primena p. Jatužytė-Mulevičienė.

Tačiau kokių apčiuopiamų pokyčių galima tikėtis nuo gegužės 25-osios?

„Idealiu atveju visi ES piliečiai iš savo duomenų valdytojų turėtų gauti pranešimus, kad jie tvarko jų asmeninius duomenis. Turėdamas tokią informaciją asmuo galės pasinaudoti savo teisėmis: prašyti savo duomenų kopijos, paaiškinimo, kokiais tikslais tvarkomi jo duomenys, sužinoti, kam yra atskleidžiama jo asmeninė informacija, taip pat prieštarauti bei ginčytis dėl duomenų tvarkymo pagrįstumo ar teisėtumo ir, ekstremaliausiais atvejais, teikti skundą Duomenų apsaugos inspekcijai, kuri privalės ištirti ir įvertinti situaciją“, - vartotojų galimybes vardija teisininkė.

BDAR – ne etapas

Įmonės, kurios iki šiol BDAR vertino tik kaip teorinę būtinybę turėtų suprasti, kad pasiruošimas reglamentui ir jo laikymasis dabar tampa esmine įmonių kultūros sudedamąja ir neatsiejama verslo dalimi, kurią privalu integruoti į visus veiklos procesus. Nesvarbu, ar esate duomenų valdytojas, ar tvarkytojas, p. Jatužytė-Mulevičienė rekomenduoja visoms įmonėms asmens duomenų apsaugos reformą vertinti rimtai.

„Duomenų apsauga ir iki šiol nebuvo visai apleista sritis. Vis dėlto gegužės 25 d. pradedamas taikyti BDAR labai aiškiai apibrėžia, kas gresia, jei duomenų valdytojai ar tvarkytojai netinkamai apdoros ir saugos asmens duomenis. Tai puiki proga peržiūrėti visus įmonės veiklos procesus, įvertinti duomenų tvarkymui naudojamas priemones, atpažinti neefektyvius veiksmus, atsisakyti perteklinių procesų. Praktika rodo, kad neretai įmonės tvarko pernelyg daug nereikalingos asmeninės informacijos arba tik dėl to, kad taip nori verslo partneris, nors bendradarbiavimas galimas ir be asmens duomenų tvarkymo - pavyzdžiui, paslaugų teikėjas aptarnauja užsakovo klientus ir jų asmens duomenis tvarko tik dėl to, kad taip patogiau užsakovui. Galiu prognozuoti, kad verslas netruks atsisakyti įpročio kaupti kuo daugiau duomenų ir paslaugų tiekėjai tuoj patys siūlys teikti jų kuo mažiau ir kuo rečiau“, - mano pašnekovė.

Rinkosi vieną iš dviejų

Nors pasiruošimo proceso finišo tiesioji – čia pat, ne visi suskubo naudotis BDAR skatinimu iš esmės peržiūrėti ir optimizuoti asmens duomenų tvarkymo procesus. Pasak p. Jatužytės-Mulevičienės, dalies Lietuvos institucijų ir verslo atstovų pasiruošimas BDAR nuostatų įgyvendinimui tiesiog liūdina.

„Išskirčiau du kelius, kuriais nuėjo šalies verslas: tinkamą ir lengvąjį. Atsakingesnį kelią rinkosi daugiausia IT, technologijų bendrovės ir užsienio kapitalo kompanijos, kurioms labai rūpi jų reputacija ir kurios laikosi atsakingo požiūrio į klientą. Jos reglamentui ruošėsi ne pora mėnesių ir net ne pusmetį, todėl turi nenuginčijamą pranašumą. Tokios įmonės atliko išsamius duomenų apsaugos procesų auditus, samdėsi konsultantus, sudarė darbo grupes, investavo į informacines sistemas ir jų tobulinimą, diegė papildomas saugumo priemones, kūrė visiškai naujus procesus“, - gerąją praktiką nusako advokatė.

Likusių įmonių pasirengimo BDAR įgyvendinimui ji gerąja praktika nevadina.

„Deja, ne maža dalis bendrovių į duomenų apsaugą pasirinko žvelgti formaliai. Tokios įmonės mano, kad pakanka susirašyti keletą šabloninių, abstrakčių formuluočių ir pateikti jas kaip duomenų apsaugos taisyklių rinkinį, skelbiantį, kad bendrovė asmens duomenis tvarko teisėtai, sąžiningai, užtikrina jų apsaugą ir pan. Iš tiesų nuogi teiginiai nieko nepasako, o tokių taisyklių nuostatos, kai nėra realių duomenų apsaugos procesų, nieko negarantuoja ir neužtikrina“, - perspėja advokatė.

Pasirinkusieji taupyti lėšas ir laiką, įtikėjo reklaminiais skelbimais ir ieškojo jau paruošto taisyklių rinkinio, kurį užtektų pasirašyti, o prireikus įrodymo, kad įgyvendini BDAR reikalavimus, ištraukti jį iš stalčiaus.

„Gaila, bet netrūksta ir paslaugų tiekėjų - teisininkų bei įvairių konsultantų - kurie tokius visiems pritaikytus taisyklių paketus siūlo ir sėkmingai parduoda. Visgi, įsigiję kažkieno iš šalies paruoštą universalų paketą realios duomenų apsaugos neužtikrinsite“, - tikina p. Jatužytė-Mulevičienė.

Atspirties taškas – vidaus procesai

Anot pašnekovės, teisininkai ir IT ekspertai ruošiantis BDAR iš tiesų gali padėti sustyguoti įmonės veiklą bei procesus, tačiau kompanijų vadovai ir kiti jų specialistai patys turi aktyviai dalyvauti kiekviename žingsnyje.

„BDAR nėra paprastas reikalavimų sąrašas, kuriame aiškiai surašyta, ką kiekviena bendrovė turi atlikti iki gegužės 25-osios ir vėliau. Nei IT specialistai, nei teisininkai negali pateikti vieno universalaus recepto, jie tegali būti patariamuoju instrumentu. Užuot pasikliovus tik kažkieno iš šalies parengtu šabloniniu dokumentu, kiekvienai bendrovei pirmiausia reikia įsivertinti konkrečiai būtent savo duomenų tvarkymo veiklos situaciją. Net to paties sektoriaus, kone identišką veiklą vykdančių įmonių pasiruošimo BDAR scenarijai ir jų įgyvendinimas gali būti visiškai skirtingi. Įsitraukimas į BDAR reikalavimų įgyvendinimą turėtų prasidėti nuo aukščiausio lygio įmonės vadovų, sprendimus priimti turi būtent jie, toliau turi būti įtraukiami ir rizikų vertintojai, teisininkai, IT ir duomenų saugos specialistai bei asmens duomenų tvarkymo procesuose nuolat veikiantys darbuotojai. Verslui, kuris to dar nepadarė, siūlyčiau kurti darbo grupes, sudarytas iš specialistų, išmanančių tiek įmonės veiklos procesus, tiek asmens duomenų apsaugos reikalavimus.

Teisininkė pabrėžia, kad konsultantai gali padėti tik tada, kai įmonė pati aiškiai supranta, kas joje su asmens duomenų tvarkymu vyksta.

„Atspirties taškas – pačiai įmonei įsivertinti, kokius procesus ji yra įsidiegusi, kokius duomenų tvarkymo įrankius ir sistemas naudoja, kokiais tikslais ir kokiais teisiniais pagrindais tvarko duomenis, kiek rizikingos atliekamos operacijos, ko dar trūksta, o kas, galbūt visiškai nėra reikalinga. Pagal tai galima spręsti, kurie reglamento reikalavimai bendrovei aktualūs, o į ką galima žvelgti kaip į išimtis. Išsigryninus įmonėje veikiančius procesus, galima tinkamai sudėlioti efektyvų veiksmų planą“, - pataria p. Jatužytė-Mulevičienė.

Teisininkė sako pastebinti, kad įmonių vadovai dažnai menkai išmano duomenų valdymo procesus, todėl pradėję ruoštis BDAR atitikties įgyvendinimui blaškosi ir panikuoja.

„Pagrindinė bendrovės užduotis – tiksliai suvokti, kokiais tikslais ir pagrindais ji tvarko asmens duomenis bei kokias duomenų apsaugos priemones reikia įgyvendinti. Neretai įmonės imasi visko: ir gauti visų klientų sutikimus naudoti duomenis, ir įsidiegti visas įmanomas procedūras, nors nei sutikimo, nei tam tikrų procedūrų joms galbūt visai nereikia. Pavyzdžiui, jeigu bendrovė sutarties pagrindu atlieka ūkines operacijas ir tvarko jų apskaitos duomenis, tvarkyti klientų duomenis jai reikia dėl to, kad galėtų sudaryti ir vykdyti tas sutartis, taip pat tvarkyti asmens duomenis apskaitos tikslais ją įpareigoja ir mokesčių įstatymai. Tokiu atveju asmens duomenų tvarkymas yra ir teisinė prievolė. Prašydami asmens sutikimo jūs ne tik apkraunate save pertekliniais procesais, bet ir klaidinate duomenų subjektą, nes pateikiate neteisingą informaciją apie jo duomenų tvarkymo teisinį pagrindą. Tokiu atveju pakanka asmeniui pranešti, kad įmonė tvarko jo duomenis, nes turi įgyvendinti sutarties sąlygas, taip pat informuoti, kokius duomenis ir kiek laiko ji tvarkys, o duomenų subjektui belieka patvirtinti, kad jis susipažino su pateikta informacija“, - pataria p. Jatužytė-Mulevičienė.

Aktualu visiems, bet nevienodai

Anot teisininkės, siekdamos, kad jų veikla atitiktų BDAR reikalavimus įmonės turėjo ir turės investuoti nemažai lėšų ir laiko, tačiau ilgas ir brangus procesas atsipirks su kaupu: sąžiningai ir tinkamai įgyvendinęs reglamento reikalavimus verslas galės džiaugtis ilgalaike nauda.

„Tai ilgalaikė investicija į verslo informacijos procesų tvarkymą, taip pat ir konfidencialios informacijos apsaugą. Taip pat galimybė įtvirtinti savo kaip patikimo, nepriekaištingos reputacijos, skaidraus verslo poziciją. Kai kurie subjektai jau dabar akcentuoja savo pranašumą rinkoje ir skelbia siūlantys produktus, atitinkančius reglamento reikalavimus. Tokių produktų ir paslaugų neabejotinai atsiras dar daugiau – pavyzdžiui, tinkamai duomenų apsaugai pritaikytų naujienlaiškių siuntimo platformų, skambučių centrų, programų ir t.t. Kuo toliau, tuo labiau dėmesio realiai duomenų apsaugai neskiriančiam verslui bus gėda, jei jo valdomus, menkai apsaugotus vartotojo duomenis kažkas paprasčiausiai pasisavins, arba jis nesugebės paaiškinti, kas apskritai įmonė daro su asmens duomenimis. Akivaizdu, kad išmintingai valdomas, ilgalaikių tikslų siekiantis verslas reglamento reikalavimų negali ignoruoti“, - sako p. Jatužytė-Mulevičienė.

Rašyti komentarą

Rašyti komentarą

Gauk nemokamą VERSLO naujienlaiškį į savo el.pašto dėžutę:

Pasirinkite Jus dominančius NEMOKAMUS savaitraščius:















Svarbiausios dienos naujienos trumpai:



 
BDAR pakeis požiūrį į klientą ir į verslo kultūrą Rėmėjo turinys 1

Jei šiųmetį sausį dar buvo vadovų, kurie nežinojo, ką reiškia trumpinys BDAR, įsibėgėjus gegužei tokių...

2018.05.15
Pasiruošėte BDAR? Pasitikrinkite Rėmėjo turinys 4

Netrukus įsigalios Bendrasis duomenų apsaugos reglamentas. Dalis įmonių atliko namų darbus ir ramiai laukia...

2018.05.09
Prieš Bendrąjį duomenų apsaugos reglamentą – visi lygūs Rėmėjo turinys 4

Nuo 2018 m. gegužės 25 d. įsigaliosiantis Bendrasis duomenų apsaugos reglamentas (BDAR) suvienodins duomenų...

2018.05.02
SVV – gardus kąsnis kibernetiniams nusikaltėliams Rėmėjo turinys

Jau ne pirmus metus kibernetinės atakos karaliauja nusikaltimų topuose. Ekspertai skaičiuoja, kad  būtent...

2018.04.24

Verslo žinių pasiūlymai

Siekdami pagerinti Jūsų naršymo kokybę, statistiniais ir rinkodaros tikslais šioje svetainėje naudojame slapukus (angl. „cookies“), kuriuos galite bet kada atšaukti.
Sutinku Plačiau