Komplikuota? Taip! Ir dar gresia administracinėmis baudomis.
Lietuvos teismai laikosi pozicijos, jog viešai skelbiami bendrovių duomenys yra skirti tik tam, jog interesantai galėtų susisiekti su bendrove ir pasiteirauti, kaip ir kur galima įsigyti jų platinamos produkcijos, bet ne siūlyti savo paslaugas ar produkciją. Tada jeigu planuojate įmonės naujienlaiškį ar net brošiūrą apie paslaugas ar produktus – būkit itin atsargūs, kai sugalvosite jį platinti dideliam ir tiesioginio sutikimo negavusių gavėjų ratui.
Įdomu, jog naujausia Lietuvos vyriausiojo administracinio teismo praktika, panašu, suka kiek kita kryptimi. Precedento reikšmę turinčioje byloje neseniai konstatuota, kad juridinio asmens visgi galima atsiklausti dėl rinkodaros pranešimų siuntimo, tačiau toks paklausimas turi būti itin aiškus ir nedviprasmiškas.
Kita kasdienė situacija – dar didesnis kuriozas. Juk sveikinate darbuotojus su jų gimtadieniais, jubiliejais, šeimos šventėmis? O gal dar apie tai paskelbėte skelbimų lentoje ar darbuotojų grupei skirtu laišku? O rašytinio sutikimo, spėju, neturite? Laba diena, jau galite ruošti pinigus baudai susimokėti...
Liūdna, bet tai tiesa – bet koks sutikimas turi būti išreiškiamas laisva valia. Todėl sveikinti darbuotojus su gimtadieniais, kitų švenčių ar sukakčių proga reikalingas ir sveikinamo asmens sutikimas. Geriausia, kad toks sutikimas būtų rašytinis (arba bent elektroninis, tačiau su galimybe aiškiai identifikuoti sutikimą duodantį asmenį).
Paradoksalu, tačiau net ir apie darbinius pasiekimus galite viešai skelbti tik tada, kai turite sutikimą, išreikštą laisva valia. Ir tai ne tik kalba apie neigiamus, bet net ir apie teigiamus darbo rezultatus.
BDAR darbuotojus laiko silpnesniąja šalimi. O esant pavaldumo santykiams darbuotojo laisva valia visada yra kvestionuojama ir laikoma, kad darbuotojas negali duoti sutikimo laisva valia, nes jis yra tiesiogiai priklausomas nuo darbdavio. Egzistuoja tik kelios išimtys, kaip kad sutikimas dėl atvaizdo naudojimo.
Su vaizdu susijusi kita dažna įmonėse daroma klaida – tai vaizdo stebėjimo sistemos. Asmens duomenys niekada negali būti saugomi ilgiau, negu būtina siekiant tikslų, kuriais tie asmens duomenys renkami ir tvarkomi. Tačiau visais atvejais (nors tai ir brangiau) prioritetas turi būti teikiamas alternatyvioms priemonės. Pavyzdžiui, vietoj vaizdo stebėjimo kamerų įmonės teritorijoje turto apsaugai pirmiau turi būti vertinama, kiek buvo vagysčių, ar tikrai vaizdo stebėjimas yra adekvati priemonė. Esant galimybei, turi būti renkamasi alternatyva – pavyzdžiui, sutartis su saugos tarnyba, apsaugos darbuotojo samdymas, teritorijos tvora ir pan.. Šios priemonės yra gerokai brangesnės nei vaizdo stebėjimo sistemos įrengimas, tačiau BDAR ir duomenų kiekio mažinimo principas yra svarbesnis.
Ir paskutinė dažniausia klaida – tai vėlavimas pranešti apie pažeidimus per 72 valandas. Vos sužinojęs apie įvykusį asmens duomenų saugumo pažeidimą duomenų valdytojas turi pranešti kompetentingai priežiūros institucijai nepagrįstai nedelsdamas ir, jei įmanoma, nuo to laiko, kai apie tai buvo sužinota, praėjus ne daugiau kaip 72 valandoms. Apie duomenų apsaugos pažeidimą turi būti informuojama ne tik priežiūros institucija, bet ir visi asmenys, kurių duomenys buvo atskleisti. Kitaip gresia nuobaudos.
Pavyzdžiui, Nyderlandų asmens duomenų apsaugos tarnyba skyrė 475 tūkst. eurų baudą booking.com dėl to, kad apie pažeidimą buvo pavėluota pranešti net 22 dienas.
Tad kiekvienos įmonės vadovui verta prisiminti. Pirma, net jeigu kontaktus randate „internete“, jų negalite naudoti tiesioginei rinkodarai. Antra, darbuotojų sutikimai dėl visų (!) jų asmens duomenų panaudojimo turi būti duoti laisva valia ir, patartina, rašytine forma. Trečia, vaizdo stebėjimo sistemas galite diegti tik tada, kada išbandėte visas realias alternatyvas. Ketvirta, apie įvykusį incidentą ir galimai prarastus duomenis turite pranešti ne vėliau kaip per 72 valandas.
Kaip lengviausia tai įgyvendinti? Pradėkite prevenciškai stebėti ir vertinti grėsmes, o rizikas identifikavę – pasiruoškite veikti, jeigu jos taptų realia žala. „Debesyse“ duomenis visada kruopščiai ir profesionaliai saugokite. Tam pasitelkite šakinius IT ir kitų sričių specialistus, kurie išbandys ir patikrins ne tik technologines, bet ir socialinės inžinerijos (manipuliavimo) spragas jūsų įmonės veikloje.
