Praėjus dviem metams po ES Bendrojo duomenų apsaugos reglamento (BDAR) įsigaliojimo, panašu, kad pirmaisiais įstatymo taikymo metais versle kilusi suirutė pamažu rimsta. Pasak prof. dr. Dariaus Štitilio, MRU Kibernetinio saugumo valdymo studijų programos vadovo, įmonės daug atsakingiau vertina įstatymo reikalavimus, tačiau į jų įgyvendinimą žiūri kaip į vienkartinę praktiką, o ne nuolatinį procesą. Ekspertas sako, kad BDAR atitikties lūkesčiai verslui kasmet auga, tačiau šis vis dar atideda esminius veiksmus – asmens duomenų valdymo rizikų vertinimą bei darbuotojų ugdymą.
Gegužės 25 d. BDAR Lietuvoje suėjo dveji. Nuo reglamento taikymo pradžios Valstybinė duomenų apsaugos inspekcija (VDAI) išnagrinėjo daugiau nei 1,7 tūkst. skundų, atliko 238 patikrinimus savo iniciatyva, įvertino 303 gautus pranešimus apie duomenų saugumo pažeidimus, skyrė 283 nurodymus, 121 papeikimą, 8 rekomendacijas ir 9 baudas, kurių bendra suma – daugiau nei 80 tūkst. eurų. 2020 m. VDAI toliau atliks prevencinius tikrinimus ne mažiau kaip 50 organizacijų – finansų sektoriaus įmonėse, švietimo įstaigose, ministerijose ir joms pavaldžiose institucijose bei e. parduotuvėse.
Teisininko, asmens duomenų apsaugos ir kibernetinio saugumo eksperto D. Štitilio teigimu, praėjus dar vieniems metams po BDAR įsigaliojimo, pastebima, kad vystosi geroji verslo praktika ir įmonės kur kas atsakingiau vertina įstatymo reikalavimus, tačiau dažnai į jų įgyvendinimą žiūri kaip į vienkartinį etapą – reikiamų dokumentų paruošimą ir jų pritaikymą, tuo tarpu VDAI požiūris griežtėja, lūkesčiai verslui – didėja.
„Nors reglamentas nepakito, griežtėja jo aiškinimo taisyklės. Anksčiau įmonės pritaikydavo abstrakčias privatumo politikas, dabar turi išvardinti duomenų tvarkymo tikslus ir konkrečius saugojimo terminus, tvarkomus asmens duomenis pagal kiekvieną duomenų tvarkymo tikslą, aprašyti sąsajas su socialinėmis medijomis ir pan. Taip pat griežtėja duomenų tvarkymo sutarčių sąlygos, tam tikrais atvejais prireikia ir rimto poveikio duomenų apsaugai vertinimo bei teisėtų interesų vertinimo (balanso testo). Atsiranda tiek naujų priežiūros institucijų išaiškinimų, tiek naujos teismų praktikos (pavyzdžiui, dėl sutikimo, slapukų). Visa tai reikia įvertinti ir adaptuoti esamas duomenų tvarkymo procedūras. Tie duomenų valdytojai, kurie pasidarė auditus 2018 m. ir nebejudėjo į priekį, galima sakyti, šiandien žengė žingsnį atgal“, – komentuoja jis.
Reikalauja nuolatinės priežiūros
Pasak D. Štitilio, rinka nuolat keičiasi, todėl akcentuotina, kad duomenų apsauga – ne standartinių dokumentų parengimas, bet ilgalaikis procesas – nuolatinis asmens duomenų tvarkymo rizikų vertinimas, periodiniai auditai bei priežiūra.
„Šiandien daugelis verslų yra dinamiški ir visus procesus atlieka greitai, todėl jiems dažnai kyla daug įvairiausių iššūkių. Pandemijos metu nemažai jų teko aktyviai reaguoti į rinkos pokyčius ir kurti naujas prieigos galimybes e. erdvėje, kur ypač aktuali duomenų apsauga, o užtikrinti BDAR atitiktį reikia nemažai laiko, resursų ir nuolatinio indėlio į šią sritį“, – kalba pašnekovas.
Jis pažymi, kad rūpintis duomenų apsauga svarbu ne tik veiklos pradžioje, bet per visą duomenų tvarkymo laikotarpį, žinoti ne tik savo prievoles, rizikas, bet ir įsivardinti duomenų tvarkymo tikslus, numatyti jų apsaugos priemones, o tuo pačiu ir suvokti duomenų subjektų teises bei kaip tinkamai jas įgyvendinti.
„Rizikų įsivertinimas pasitelkiant kompetentingą šios srities specialistą ir sistemingas įstatymo taikymas padeda išvengti pažeidimų, o atsiradus duomenų subjektų ar darbuotojų pretenzijoms dėl duomenų tvarkymo, stebėjimo bei duomenų praradimo įrodyti, kad įmonės procesai vykdyti pamatuotai ir tinkamai“, – sako D. Štitilis.
Svarbu ugdyti darbuotojus
VŽ rašyta, kad dėl BDAR pažeidimų pasaulyje didžiausios skirtos baudos – nuo piktavalių nukentėjusioms pasaulinėms įmonėms, tokioms kaip skrydžių bendrovė „British Airways“ ir „Marriott“ viešbučių tinklas. Tarp didžiausių baudų gavėjų – ir JAV milžinė „Google“, Bulgarijos VMI bei Portugalijos ir Nyderlandų ligoninės. Baudų priežastys – prarasti klientų asmens duomenys ir kiti duomenų prieigos ir tvarkymo pažeidimai. Kol kas didžiausia Lietuvoje, 61,5 tūkst. eurų, bauda pernai skirta FinTech įmonei „MisterTango“ dėl perteklinio asmens duomenų tvarkymo, jų paviešinimo ir nepranešimo apie pažeidimą VDAI.
D. Štitilis teigia, kad nemažai asmens duomenų saugumo pažeidimų pasitaiko ne tik tarptautinėse korporacijose, bet ir vietinėje rinkoje, o dažniausias Lietuvoje pažeidimų veiksnys – ne reikiamos saugumo infrastruktūros nebuvimas ar jos neatitikimas. Remiantis VDAI veiklos ataskaita, pernai 61 proc. visų duomenų saugumo pažeidimų įvyko dėl žmogiškosios klaidos. Praktika rodo, kad jei žmogus pats nesugeba užtikrinti saugumo, jokios apsaugos priemonės to nepadarys, taigi kiekviena įmonė (matuojant ne dydžiu, bet tvarkomų duomenų kiekiu ir jų jautrumu) turėtų imtis darbuotojų sąmoningumo duomenų apsaugos klausimu didinimo.
„Dažnai įmonėse pasitaiko atvejų, kada darbuotojai nesupranta pagrindinių duomenų tvarkymo principų – kokį kiekį jų ir kuriam laikui reikia kaupti, nesupranta, kad prieš pradedant naujus projektus, susijusius su asmens duomenų tvarkymu, reikia pasikonsultuoti su už šią sritį atsakingu asmeniu. Ne kiekvienas įmonės darbuotojas privalo tapti teisininku, bet turi bent jau žinoti pagrindinius duomenų tvarkymo principus ir sąlygas, – pabrėžia D. Štitilis. – Taip pat kiekvienas jų turėtų prisidėti ir prie įmonės duomenų apsaugos – pasirūpinti savo kompiuterio, skirto darbui, apsauga, o tai pradėti stirpiu prisijungimo prie darbo aplinkos slaptažodžio susikūrimu.“
Aut. teisės: https://www.vz.lt/mru/2020/06/04/bdar-paiso-taciau-daznai-praleidzia-esminius-zingsnius
