Bendrasis duomenų apsaugos reglamentas: kodėl keičiasi ir ką verta žinoti?

Publikuota: 2018-01-05
Juditos Grigelytės (VŽ) nuotr.
Juditos Grigelytės (VŽ) nuotr.
„Oracle“ generalinis direktorius Baltijos šalims

Vos už kelių mėnesių, šių metų gegužės 25-ąją, visoje Europos Sąjungoje (ES) įsigalios Bendrasis duomenų apsaugos reglamentas (BDAR). ES šalims buvo suteiktas 2 m. pasirengimo laikotarpis, tad nuo pat 2016-ųjų „Oracle“ korporacija, bendraudama su valstybės institucijomis ir verslo įmonėmis, daug dėmesio skiria aiškinimui, kas ir kodėl keičiasi, kokių priemonių reikėtų imtis. Laiko pasiruošti liko labai nedaug, tačiau pastebime, kad supratimo apie griežtinamą duomenų apsaugą vis dar trūksta.

Verslui ir viešosioms paslaugoms persikėlus į skaitmeninę erdvę, joje cirkuliuoja vis didesni duomenų kiekiai. Tarp jų – ir kiekvienam iš mūsų ypač svarbūs duomenys, tokie kaip pavardės, vardai, asmens kodai, gyvenamieji adresai, bankų sąskaitos, įrašai apie sveikatą, pajamas ir kiti. Derama tokių duomenų apsauga tampa esmine kiekvieno piliečio bendrojo saugumo dalimi. Bet kuri įmonė ar organizacija kaupia ir tvarko duomenis apie darbuotojus ir klientus. Kasdien bendraujame su įvairiomis institucijomis pačiais įvairiausiais elektroniniais kanalais ir socialiniuose tinkluose, perkame prekes internetu.

Tad ES įsigaliojančiu BDAR siekiama pagerinti ES piliečių teisių ir laisvių apsaugą, užtikrinti laisvą ir saugų duomenų judėjimą visoje Europoje, taip pat didinti įmonių ir organizacijų atsakomybę už deramą asmens duomenų tvarkymą, nustatyti vieningus duomenų apsaugos reikalavimus ir suteikti asmenims daugiau galimybių kontroliuoti, kur ir kaip naudojami jų duomenys. Įsigaliojantis BDAR pakeičia skirtingose šalyse galiojančius duomenų apsaugos nacionalinius įstatymus ir sukuria vieną bendrą, aiškų reglamentų rinkinį. Visoje ES prekėms ir paslaugoms garantuojamas laisvas judėjimas, tad su naujuoju reguliavimu ši nuostata įtvirtinama ir duomenims.

Prie teigiamų pasekmių priskirčiau tai, kad laikydamiesi naujojo reglamento mes geriau apsaugosime asmeninius darbuotojų, klientų ir šalies piliečių duomenis, taip pat sumažinsime rizikas patirti žalą ar laisvių suvaržymą. Tuo pačiu šis reguliavimas leidžia geriau apsaugoti intelektinę nuosavybę, o saugumą paversti natūralia bet kurio IT sprendimo dalimi.

Prie neigiamų aspektų galima priskirti įmonių prievolę investuoti į duomenų apsaugą ir atitiktį reguliavimui, juk kiekvienas pokytis reikalauja tiek žmogiškųjų, tiek finansinių resursų. Be to, smarkiai išauga įmonių atsakomybė už tinkamą duomenų apsaugą, ir užfiksuoti trūkumai ar incidentai gali ne tik apriboti įmonės veiklą, bet ir ją nutraukti. ES už duomenų apsaugos pažeidimus nustatė itin aukštas baudas, kurios gali siekti 20 mln. Eur arba sudaryti iki 4% įmonės bendrosios metinės apyvartos.

Galiausiai, kiekviena įmonė privalo pranešti klientams ir darbuotojams apie duomenų apsaugos incidentus, o tai gali atsiliepti įmonės reputacijai ir mažinti klientų lojalumą. Kaip žinome, pasitikėjimas, reputacija ir geras prekės ženklo vardas yra neįkainojamas turtas, tad neigiamas viešumas gali atnešti ne mažiau žalos, nei mokėtinos baudos.

Išlaidas, susijusias su pasirengimu BDAR, galima būtų išskirti į dvi grupes: išlaidas, skirtas BDAR atitikties įgyvendinimui - projektų parengimui, konsultacijų pirkimui, programinės įrangos įsigijimui, procesų sukūrimui ir pan., bei išlaidas, kurias gali tekti patirti už neatitikimą naujajam reguliavimui (kaip minėjau, baudos gali siekti iki 20 mln. Eur arba 4% metinių pajamų). Reikėtų paminėti, kad daugeliu atvejų įmonių investicijos, skirtos duomenų apsaugai, būna tiesiogiai proporcingos įmonių dydžiui. Dažnu atveju gali pakakti tik peržiūrėti įmonėje taikomas duomenų apsaugos procedūras.

Naująjį reguliavimą kiekviena įmonė gali vertinti ir kaip galimybę peržiūrėti reikalavimus savo pačios duomenų saugumui. Diegdamos atitinkamas priemones įmonės sustiprins ir savo interesų apsaugą – tiek intelektinės nuosavybės, tiek gamybinių ar komercinių paslapčių. Aukštas duomenų apsaugos lygis sumažins verslo rizikas, todėl siūlome įmonėms išnaudoti šią galimybę.

Atitikimas BDAR reikalauja visapusiškos įmonės veiklos strategijos peržiūros, įtraukiant darbo organizavimą, procesus, politikas, tvarkas, technologijas ir personalo parengimą. Kaip pirmąjį būtiną žingsnį rekomenduotume atlikti IT saugumo auditą ir identifikuoti esamas spragas, atitinkamai sudarant jų šalinimo planą, įskaitant tokias priemones, kaip duomenų šifravimas, anonimiškumo užtikrinimas, prieigos kontrolę.

Nė vienai įmonei nepatartume pažeidinėti įstatymų. Vertinant BDAR kompleksiškumą ir aukštas baudas už neatitikimą, atkreipčiau dėmesį į kitas reikšmingas pasekmes. Visose ES šalyse institucijos, atsakingos už duomenų apsaugos priežiūrą, konsultuoja ir edukuoja BDAR klausimais. Kita vertus, jos privalės atidžiai ir labai rimtai vertinti bet kuriuos duomenų apsaugos pažeidimus. Įvertinant aukščiau paminėtus teigiamus aspektus ir labai aukštas numatytas baudas, įmonėms labiau apsimokės įgyvendinti reikalaujamą duomenų apsaugą.

Ragintume nedelsti ir neatidėlioti pasiruošimo darbų paskutinėms savaitėms. Pastebėjome, kad dar ne visos įmonės įvertina, jog pasirengimas užtrunka. Tai, beje, ne vien Lietuvos problema. Prieš keletą mėnesių „Gartner“ atliktas tyrimas parodė, kad net ir didžiosiose ES šalyse nemažai įmonių pripažino galinčios pavėluoti su BDAR įgyvendinimu. Tokių nugąstavimų Vokietijoje ir Prancūzijoje turi net 91% įmonių, ir net 70% įmonių dar nebuvo pradėjusios pasirengimo darbų. Dabartinėmis „Gartner“ prognozėmis, visoje ES daugiau nei 50% verslo bendrovių gali nespėti pasiruošti BDAR, nors liko mažiau nei 5 mėn.

Reikšmingiausiu iššūkiu įvardintume tai, kad daugumai įmonių teks iš esmės patobulinti duomenų valdymo ir apsaugos procedūras. Toms įmonėms, kurios duomenų apsaugą ir iki šiol vertino rimtai bei atitiko Lietuvoje galiojančius reikalavimus, šoko patirti neteks. Vis tik, kiekviena organizacija savarankiškai, arba padedant kompetentingiems konsultantams, turės atlikti šiuos technologinius uždavinius:

  • Garantuoti duomenų tvarkymo saugumą, kuris yra esminė naujojo reguliavimo dalis ir kelia aukštesnius reikalavimus IT sistemų architektūrai bei diegimui;
  • Užtikrinti duomenų savininkams teisę spręsti, kaip duomenys turi būti tvarkomi; ir tai, atitinkamai, gali pareikalauti kai kurių sistemų pertvarkymo;
  • Galiausiai, įgauti reikiamų kompetencijų, kaip kurti ir diegti duomenų tvarkymo ir valdymo IT sistemas ir kaip jas panaudoti tinkamam duomenų įrašymui ir saugojimui.

Naujasis reglamentas bus taikomas visoms be išimties įmonėms, įskaitant ir viešojo sektoriaus institucijas, kurios renka ir savo veikloje naudoja asmens duomenis (darbuotojų, klientų ar kitų asmenų). Tačiau kruopščiausiai savo klientų duomenis turėtų tvarkyti tos bendrovės, kurios parduoda produkciją ar teikia paslaugas privatiems asmenims.

Autoriaus nuomonė nebūtinai sutampa su redakcijos pozicija.
Rašyti komentarą

Rašyti komentarą

Gauk nemokamą VERSLO VALDYMO savaitraštį į savo el.pašto dėžutę:

Pasirinkite Jus dominančius NEMOKAMUS savaitraščius:















Svarbiausios dienos naujienos trumpai:



 
Patvirtinti BDAR reikalavimus įdiegiantys Lietuvos įstatymai

Nors jau prieš daugiau kaip mėnesį visoje Europos Sąjungoje įsigaliojo naujus reikalavimus duomenų apsaugos...

Verslo aplinka
2018.06.30

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Sutinku Plačiau