aA
Nors asmens duomenų apsaugai Lietuvoje – jau daugiau nei 20 metų, tik įsigaliojus kur kas griežtesnėms Bendrojo duomenų apsaugos reglamento (BDAR) sankcijoms, dauguma įmonių suprato, kad reikia imtis organizacijos kultūros pokyčių. Vis dėlto tam tikros klaidos linkusios kartotis, o kartais net ir, atrodo, menkas aplaidumas gali lemti šimtais tūkstančių eurų skaičiuojamas baudas.
Arnoldas Gritė
Arnoldas Gritė
© Asmeninins albumas

Sankcijos, numatytos už BDAR nesilaikymą, šiuo metu siekia nuo 2 iki 4 procentų ankstesnių finansinių metų bendros metinės apyvartos arba nuo 10 iki 20 mln. eurų. Tiesa, kad sudėtingi procesai ir permainos nevyksta greitai, tačiau tikslingos investicijos ir laiku skirtas dėmesys ne tik teisininkų, bet ir skaitmenizavimo specialistų įžvalgoms gali padėti apsisaugoti nuo itin nemalonios patirties.

Skundų skaičius išaugo dvigubai

Lietuvoje vien per tris praėjusių metų ketvirčius buvo užregistruota kiek daugiau nei 500 duomenų apsaugos pareigūnų, šiuo metu jų skaičius viršija daugiau nei 2 tūkst. Valstybinė duomenų apsaugos inspekcija suteikė daugiau nei 3,5 tūkst. konsultacijų, atliko daugybę prevencinių tikrinimų.

Savo ruožtu dvigubai padidėjęs (iki 700) privačių asmenų skundų skaičius signalizuoja, kad visuomenė nėra linkusi taikstytis su pažeidimais, todėl mažėja galimybių keliamus reikalavimus nuleisti negirdomis.

Atsižvelgiant į tai, galime daryti išvadą, kad dauguma verslų nežiūri į duomenų apsaugą pro pirštus. Reikia pasidžiaugti, kad tiek įmonės, tiek fiziniai asmenys rimčiau suvokia duomenų saugumo prasmę ir nori ne tik teoriškai atitikti keliamus reikalavimus, bet ir sukurti pasitikėjimo santykį tarp vartotojo ir įmonės, tad situacija Lietuvoje gerėja.

Už pažeidimus Lietuvoje skyrė 67 tūkst. eurų baudų

Vis dėlto Lietuvoje šiuo metu žinomos bent 4 baudos, skirtos už BDAR pažeidimus, iš kurių didžiausia siekia 61,5 tūkst. eurų, o bendra suma – 67,4 tūkst. eurų.

Galima matyti, kad baudų skirti neskubama, tačiau svarbu atsižvelgti į pažeidimo pobūdį ir kokių techninių priemonių buvo imtasi, kad pažeidimo būtų galima išvengti. Be to, reglamentas dar yra palyginti naujas, precedentas – tik formuojamas, tad daugelis ES priežiūros institucijų aktyviai bendradarbiauja siekdamos suformuoti vieningą praktiką reglamento taikymo atžvilgiu.

Teisininko komentaras. Net ir nedidelės klaidos gali lemti įspūdingas baudas
© Shutterstock

Pavyzdžiui, jei įmonė nepažeidžia BDAR sistemingai, užfiksavo nedidelį saugumo pažeidimą ir apie tai tinkamai informavo priežiūros institucijas, yra tikimybė, kad jai bus skirtos kitos poveikio priemonės arba tik minimali bauda. Bet kokiu atveju svarbu maksimaliai užtikrinti duomenų saugumą, integruoti būtinąsias technines saugumo priemones, o įvykus pažeidimui nedelsiant informuoti priežiūros instituciją bei užkirsti kelią tolimesniam duomenų praradimui ar atskleidimui.

Net ir ganėtinai nekaltos klaidos gali lemti dideles baudas

Kalbant apie situaciją pasaulyje, mažiausia žinoma bauda už BDAR pažeidimus buvo skirta Vengrijos ligoninei ir siekė vos 90 eurų, kai didžiausia, kuria buvo nubausta „Google“ korporacija, sudarė net 50 mln. eurų.

Yra pavyzdžių, kai sankcijų įmonės sulaukia ir neįvykus jokiam saugumo incidentui, o tiesiog neatsakiusios ar ignoravusios asmens užklausimą dėl apie jį turimų duomenų. Todėl ir į tokius paklausimus reikia reaguoti, operatyviai pateikti visą informaciją. Kai aptariama informacija nėra sistemizuota, tai padaryti gali būti sudėtinga. Todėl rekomenduojame pagalvoti apie IT sprendimus, kurie leistų vos kelių mygtukų paspaudimu eksportuoti visą turimą informaciją apie subjektą, nepriklausomai nuo jos kiekio.

Galiausiai, kartais net ir ganėtinai nekaltos klaidos gali lemti dideles baudas. Pavyzdžiui, viena iš Olandijos miesto Hagos ligoninių nebuvo integravusi tinkamų IT sprendimų, kurie leistų atriboti skirtingam ligoninės personalui pasiekiamą tik jų gydomų pacientų informaciją. Informacija, susijusi su ligos istorija ir sveikata, yra priskiriama prie ypatingų asmens duomenų kategorijos, todėl ir sankcijos už šiuos pažeidimus – kur kas griežtesnės. Toks aplaidumas ligoninei kainavo daugiau kaip 460 tūkst. eurų. Tikriausiai net neverta diskutuoti, kad tam tikrų techninių saugumo priemonių integravimas leistų ramiai jaustis ne tik pacientams, bet ir organizacijai.

Didžiausios klaidos ir kaip jų išvengti skaitmenizacijos priemonėmis

Viena iš dažniausiai pasitaikančių su BDAR susijusių klaidų – perteklinis asmens duomenų rinkimas. Nors šio kone pamatinio reguliavimo nesilaikymas vertinamas kaip itin griežtas reglamento pažeidimas, dalis įmonių vadovų vis dar mano, kad verslui naudinga turėti kuo daugiau informacijos apie savo klientus ir retai apsvarstoma, kiek duomenų išties reikia.

Antroji dažnai pasitaikanti klaida – duomenų saugojimas per ilgą arba nenustatytą laikotarpį. BDAR aiškiai numato, kad asmens duomenys turi būti saugomi aiškiai apibrėžtą ir protingą laikotarpį. Nors Lietuvoje daliai asmens duomenų yra taikomi teisės aktų nustatyti saugojimo terminai, įmonėse dažnai to nesilaikoma. Tvarkant didelius duomenų kiekius, skaitmenizacijos priemonės gali automatiškai pašalinti nebereikalingus arba per ilgai laikomus duomenis, sekti duomenų tvarkymo terminus bei apriboti prieigos teises, kad asmenys, kuriems tai nebūtina, neturėtų techninės galimybės juos pasiekti.

Teisininko komentaras. Net ir nedidelės klaidos gali lemti įspūdingas baudas
© Shutterstock

Taip pat verta paminėti, kad ne visos įmonės skiria pakankamai dėmesio darbuotojų švietimui bei technologinių sistemų priežiūrai. Susiformavusi nuomonė, kad lengviausias kelias į BDAR atitikties užtikrinimą – patikėti dokumentaciją tvarkyti teisininkams. Teisininkų žinios yra labai naudingos, tačiau vien dokumentacija, taisyklėmis ir aprašais saugumo neužtikrinsime. Kritinė rolė šiame procese tenka ir IT specialistui, kuris turi įvertinti, kokias technologines priemones naudoti tam, kad būtų tinkamai apsaugoti turimi duomenys.

Kiekvienas klientas – labai individualus, tad ir sprendimai reikalingi skirtingi

Pavyzdžiui „Baltic Amadeus“ ne tik kuria naujausiomis debesijos („Cloud“), dirbtinio intelekto (AI) ir daiktų interneto (IoT) platformų tendencijomis pagrįstus skaitmeninimo sprendimus bei konsultuoja skaitmenizavimo klausimais, bet ir teikia individualizuotos programinės įrangos kūrimo paslaugas.

Kiekvienas atvejis (kaip ir kiekvienas klientas) yra labai individualus, tad sprendimai taip pat reikalingi labai skirtingi. Kas kartą atliekamas individualus privalomas teisinis ir techninis auditai, parengiama duomenų valdymo strategija bei jos įgyvendinimo gairės. Įgyvendinant sprendimus yra užtikrinami ir išpildomi visi saugumo reikalavimai.

Susipažinę su kliento sistema galime įvertinti išeities kodą, sistemos komponentų pažeidžiamumą, našumą ir pan. Viena iš populiaresnių naudojamų praktikų – socialinė inžinerija. Pasitelkiamos skirtingos šio modelio technikos leidžia efektyviai identifikuoti galimas BDAR spragas ir užkirsti kelią pažeidimams.

Informacinėms technologijoms ir dirbtiniam intelektui sparčiai tobulėjant, o duomenų kiekiams didėjant, atsirado poreikis sustiprinti asmens duomenų saugumą ir pagarbą žmogaus teisėms, kadangi brovimasis į asmeninę žmogaus erdvę pradėjo kelti pavojų ne tik asmens privatumui, tačiau ir tapatybei. Neabejojama, kad šio reglamento poreikis tik stiprės, tad žiūrėti į duomenų apsaugą aplaidžiai – didelė klaida.

Komentaro autorius – Arnoldas Gritė, verslo skaitmenizavimo paslaugas teikiančios įmonės „Baltic Amadeus“ teisininkas, duomenų apsaugos pareigūnas.

www.DELFI.lt
Griežtai draudžiama DELFI paskelbtą informaciją panaudoti kitose interneto svetainėse, žiniasklaidos priemonėse ar kitur arba platinti mūsų medžiagą kuriuo nors pavidalu be sutikimo, o jei sutikimas gautas, būtina nurodyti DELFI kaip šaltinį.
|Populiariausi straipsniai ir video
Įvertink šį straipsnį
Norėdami tobulėti, suteikiame jums galimybę įvertinti skaitomą DELFI turinį.
(3 žmonės įvertino)
3.6667

Top naujienos

Valdžia nepatenkintų lietuvių nuotaikos: sovietmečio nebesiilgi ir Putinu netiki (1)

Lietuviai skeptiškai vertina demokratijos veikimą šalyje, dalis vis dar ilgisi tvirtos rankos ir...

Atlyginimų padidėjimą pajus ne visi: gali tekti palaukti kitų metų

Seimas pritarė prezidento Gitano Nausėdos siūlymui ir nusprendė padidinti neapmokestinamąjį...

Miestelio šventė baigėsi tragiškai – žmogų užmušė kunigo akivaizdoje (111)

Kėdainių rajone, Krakių miestelyje prieš metus vykusią šventę bei atlaidus vainikavo beprasmė...

„Bloomberg“: Eva – didžiausia grėsmė Lukašenkai (142)

Jos rankos sukryžiuotos, o lūpos sardoniškai pravertos – Eva netikėtai tapo protesto...

Grįžo iš emigracijos ir įkūrė ramybės oazę: lankytojų netrūksta ir darbo dienomis (102)

Greta ir Algirdas Šaumanai iš emigracijos Norvegijoje grįžo prieš trejus metus, tačiau šiandien...

Vilnietis savo istorija nori perspėti kitus: viskas prasidėjo nuo noro „nuskausminti“ jausmus, bet baigėsi kur kas blogiau (87)

Įveikęs priklausomybę nuo narkotikų vilnietis Ruslanas šiandien drąsiai priima gyvenimo...

Garsiausi keliautojai gūžčioja pečiais: Nida – brangiausias planetoje kurortas, pasaulyje tokių mokesčių nėra (411)

Neringa ypatinga ne tik savo gamtos perlais, bet ir mokesčiais, norintiems patogiai ilsėtis jos...

Su mylimąja Deimante susitaikęs reperis Mad Money: nebeliko jokių klausimų (86)

Praėjusių metų sausio 31-ąją, kai ant raudonojo M.A.M.A apdovanojimų kilimo pozavo tik su...

Į Barseloną atvykęs Jasikevičius: darbai jau pradėti (149)

Buvęs Kauno „Žalgirio“ vyriausiasis treneris Šarūnas Jasikevičius sekmadienį atvyko į...

|Maža didelių žinių kaina