ES bendrasis duomenų apsaugos reglamentas – kaip jam pasiruošti?

2018 m. gegužės 25 d. įsigalios ES bendrojo duomenų apsaugos reglamentas, kuris palies visas organizacijas, turinčias duomenų, leidžiančių identifikuoti asmenį. Po ketverius metus trukusių debatų ir diskusijų dėl 2012 m. paskelbto ES bendrojo duomenų apsaugos reglamento (Reglamentas) projekto, 2016 m. Reglamentas pagaliau buvo patvirtintas. Nors Reglamento tekstas paskelbtas jau seniai, o iki jo įsigaliojimo liko metai laiko, daugeliui įmonių būtina pradėti ruoštis praktiniam jo įgyvendinimui.
 
Asmens duomenys yra bet kokia informacija apie fizinį asmenį – vardas, telefonas, adresas, buvimo vieta, pajamos, pomėgiai, pirkimo įpročiai, IP adresas, sveikatos informacija, nuotraukos, kliento numeris ir t. t. Tad atitinkamai, Reglamentas aktualus visoms įmonėms, kurios turi klientų duomenų bazes, taiko tiesioginę rinkodarą (pavyzdžiui, siunčia naujienlaiškius), vykdo savo patalpų vaizdo stebėjimą, tvarko savo darbuotojų ar kitų organizacijų perduotus duomenis ir pan. Pažeidus jo reikalavimus, gresiančios baudos gali siekti iki 4 proc. metinės pasaulinės apyvartos arba 20 mln. eurų.
 
Reglamentu įtvirtinamas visoje Europos Sąjungoje vienodas aukštas privatumo apsaugos standartas – kone kiekvienos organizacijos veiklos poveikis asmens duomenų apsaugai turi tapti nuolatiniu ir vienu iš pagrindinių bet kokios veiklos planavimo ir įgyvendinimo elementų.
 
Reglamentas detaliai nustato:
  • asmens teises kontroliuoti savo asmens duomenis (pvz., teisė susipažinti su tvarkomais asmens duomenimis, teisė perkelti duomenis, nesutikti su jų tvarkymu, teisė „būti pamirštam“, pateikti skundą, reikalauti atlyginti žalą);
  • organizacijos pareigas renkant, naudojant ir perduodant asmens duomenis (pvz., nerinkti duomenų be pagrindo, draudimas siųsti reklamą, pareiga informuoti, ištrinti, tinkamai saugoti, reguliuoti procesus, per 72 val. informuoti apie saugumo pažeidimus);
  • teisių ir pareigų įgyvendinimo kontrolės mechanizmą (patikrinimai ir sankcijos).
 
Nors teisės ir pareigos Reglamente detalizuojamos itin smulkiai, tačiau Reglamentas – ne tik teisinio pobūdžio dokumentas. Ne mažiau svarbius reikalavimus Reglamentas kelia techninėms sistemoms ir įmonių naudojamiems IT sprendimams, taip pat Reglamentas reikalauja atitinkamo darbuotojų supratimo apie Reglamentu reguliuojamus procesus. Atitinkamai, kiekviena įmonė turi pasirūpinti, kad visos šios trys dedamosios – teisė (dokumentai), IT (techniniai sprendimai) bei žmogiškieji ištekliai (darbuotojai) – būtų tinkamai paruoštos Reglamento įsigaliojimui.
 
Tiesa, kol kas Reglamento taikymo srityje yra tam tikrų nežinomųjų. Reglamentas turi tam tikrų „pilkų“ zonų, kurių taikymas dar nėra aiškus. Pavyzdžiui, Reglamentas nustato, kad kiekvienas asmuo turės teisę į duomenų perkeliamumą, tai reiškia, kad kiekvienas galės prašyti jo asmens duomenis tvarkančių įmonių pateikti apie jį turimus duomenis skaitomu formatu bei turės galimybę juos „persinešti“ į kitą įmonę. Tačiau nėra aišku, kaip tai vyks praktiškai – ar visada bus galimybė perduoti duomenis tokiu skaitomu formatu, ar kita įmonė juos privalės priimti būtent tokiu formatu, kuriuo jie yra pateikiami ir kt.
 
Taip pat nėra aišku, kaip veiks baudų taikymo mechanizmas ir kokia formuosis praktika dėl skiriamų baudų dydžio. Nors Reglamente nustatytos baudos yra milžiniškos, tačiau praktika rodo, kad dažnai jų skyrimas gali priklausyti nuo pačių kontroliuojančiųjų institucijų požiūrio. Vienokia praktika gali formuotis, jei institucija imsis ir prevencinės bei šviečiamosios veiklos ir bendradarbiaus su verslu, o visiškai kitokia – jei institucija imsis vien kontroliuojančio vaidmens.
 
Reglamento taikymo srityje yra nuolat išleidžiamos tam tikros gairės ir komentarai ES lygmeniu, tačiau vis dar lieka neaiškių sričių, kuriose reikia detalesnių paaiškinimų.
 
Nepriklausomai nuo to, pradėti ruoštis Reglamento įsigaliojimui reikėtų jau dabar. Kol išaiškės visi su Reglamentu susiję nežinomieji, kiekviena įmonė turėtų bent jau atlikti vidinį auditą, kad suprastų, kokius asmens duomenis ir kaip naudoja, bei įvertintų galimas rizikas duomenų apsaugos srityje. Audito atlikimo ir tolimesniais su Reglamentu susijusių pareigų vykdymo tikslais kiekviena įmonė turėtų paskirti atsakingus asmenis bei užtikrinti tinkamas savo personalo žinias, susijusias su asmens duomenų apsauga. Taip pat vertėtų pradėti rengti atitinkamas asmens duomenų tvarkymo taisykles, procedūras bei formas, kaip kiekviena įmonė užtikrins asmens teisių įgyvendinimą ir reaguos į duomenų saugumo pažeidimus, pritaikyti tinkamas technines ir organizacines priemones.
 
Pradėjus ruoštis jau dabar galima tinkamai pasirengti visiems su Reglamentu susijusiems iššūkiams.
 
Reikia eksperto patarimo?
4 1Jums patars asocijuotoji teisininkė Miglė Petkevičienė
+370 52681828