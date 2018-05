Šį penktadienį išauš Bendrojo duomenų apsaugos reglamento (BDAR) įsigaliojimo diena. Specialistai pataria vėluojantiems skubiai imtis duomenų tvarkymo procesų inventorizacijos. Iš nežinojimo kilusi savotiška psichozė pamažu rimsta, tačiau duomenų valdytojai ir tvarkytojai turėtų būti budrūs – griežtėja ne tik pareigos, bet ir atsakomybė.

Gegužės 25 d. įsigaliosiantis BDAR įtvirtino griežtus duomenų tvarkymo saugumo reikalavimus – verslo subjektai turi pranešti apie asmens duomenų saugumo pažeidimus ir kt. Įmonės, kurios neatitiks naujojo reglamento reikalavimų, gali gauti baudų, rizikuoja verslo tęstinumu. Lietuvoje tai prižiūrės Valstybinė duomenų apsaugos inspekcija – už reglamento pažeidimus galės skirti baudas, siekiančias iki 4% visos bendrovės apyvartos, tačiau bauda negalės būti didesnė nei 20 mln. Eur.

Specialistai atkreipia dėmesį, kad kai kurie duomenų valdytojai jau dabar daro klaidų, tad pataria: pradėti reikia ne nuo dokumentų kūrimo, o nuo kompleksinio įmonėje tvarkomų asmens dokumentų inventorizavimo – turimų duomenų tvarkymo procesų peržiūrėjimo ir įvertinimo, kokių dar papildomų procesų bei procedūrų reikia tinkamam BDAR įgyvendinimui. Tai gali būti palyginti nesudėtingi veiksmai – patikrinti, kiek ir kokius klientų bei darbuotojų duomenis įmonės kaupia, kur juos laiko. Taip pat peržiūrėti sistemas, sutartis ir kitus dokumentus, kuriuose gali būti asmens duomenys, įsitikinti, kad renkami tik būtini duomenys ir laikomi saugiai.

Verta atsižvelgti ir į teisininkų patarimus. Jie aiškina, kad asmens dokumentų tvarkymas yra teisėtas tik tada, kai tam yra teisėtas pagrindas: jei duomenų subjektas yra davęs sutikimą, tai daryti būtina vykdant sutartį, įstatymai nustato pareigą tvarkyti konkrečius dokumentus ir kt. Sklaidomas tarp vadovų populiarus mitas, kad geriausia pasirengimą BDAR patikėti teisininkams. Iš tikrųjų jų pagalba naudinga, tačiau jie negali vieni atlikti visų darbų – efektyviai pritaikyti įmonę naujajam BDAR galima tik įtraukus įmonės informacinių technologijų (IT) specialistų. Tinkamai įvertinus savo padėtį ir IT skyriaus pajėgumą, nemažą dalį BDAR reikalavimų galima išspręsti be papildomų išlaidų – naudojant jau turimų IT sistemų galimybes. Verslininkai turėtų nepamiršti, kad naujasis reglamentas vienareikšmiškai stoja vartotojų pusėn, todėl turėtų pasistengti būti tokie, kuriems vartotojai patikės savo duomenis.

Be to, BDAR brėžia aiškesnes ribas tarp darbuotojo privatumo ir darbdavio intereso. Darbuotojai turi būti informuoti, kokiu pagrindu ir kokie renkami jų asmens duomenys, kam jie bus naudojami, kam teikiami, kiek laiko saugomi ir kt. Įvedama naujovė – darbuotojo teisė būti pamirštam: ja galima pasinaudoti tik tuo atveju, jeigu, pvz., darbuotojas nustato, kad jo duomenys tvarkomi neteisėtai arba jie darbdaviui yra nebereikalingi. Tačiau tai nereiškia, kad asmuo visais atvejais privalo būti pamirštas, vos paprašo. Daugiau apribojimų taikoma darbuotojų buvimo vietos stebėjimui etc.

Iš tikrųjų kilusi panika labiau primena audrą vandens stiklinėje – juk duomenų apsaugos reikalavimai galiojo ir anksčiau. Tačiau praktikoje viskas klostėsi atvirkščiai: vieni piliečiai neatsakingai dalijo asmeninius duomenis į kairę ir dešinę, kiti, kur kas apsukresni, piliečiai (ar įmonės) tuo pasinaudojo ir pradėjo tuos duomenis pardavinėti. Paaiškėjo, kad duomenis naudoja kas nori ir kokiems nori tikslams. Beje, kai kuriose valstybėse vykę rinkimai parodė, kad duomenys nukeliauja ne tik gerovės kūrimo keliu.

VŽ nuomone, džinas iš butelio buvo paleistas ir nesiliovė vis labiau siautėti. Todėl iš esmės BDAR ateina pačiu laiku. Duomenų valdytojus ir tvarkytojus jis turėtų sudrausminti, o piliečius – labiau domėtis, kur ir kaip naudojami jų asmens duomenys.