5 didžiausios ir dažniausiai pasitaikančias BDAR klaidos
Viena iš dažniausių klaidų po naujojo BDAR įsigaliojimo perteklinių asmens duomenų rinkimas. Įmonės rinkdamos asmens duomenis neįvertina, kokių duomenų konkrečiai reikia, kad būtų įgyvendintas tikslas, kuriam jie yra renkami, todėl surenkami duomenys niekur nėra panaudojami ir tiesiog saugomi.
Perteklinių asmens duomenų rinkimo draudimas yra viena pamatinių asmens duomenų apsaugos reguliavimo, o kartu ir BDAR, idėjų, kurios nepaisymas laikomas itin griežtu pažeidimu. Deja, tačiau įmonėse vis dar vyrauja požiūris, kad geresnis variantas yra rinkti daugiau asmens duomenų nei reikia ir galimai juos kaip nors panaudoti ateityje, o ne griežtai apsibrėžti kokių asmens duomenų tikrai reikia, o kokių – ne.
Kita klaida duomenų tvarkymo veiklos įrašų nesudarymas. Duomenų tvarkymo veiklos įrašai padeda atlikti efektyvią valdomų asmens duomenų priežiūrą, nes šio dokumento sudarymo metu atliekama tam tikra bendrovės valdomų asmens duomenų inventorizacija – jame aiškiai atspindimi konkrečių duomenų panaudojimo tikslai bei teisiniai pagrindai, kuriais yra remiamasi.
Dažnai pastebima, kad šis dokumentas įmonėse nesudaromas, nes jose dirba mažiau nei 250 darbuotojų. Tačiau nors BDAR ir yra numatyta, kad šis dokumentas gali būti nesudaromas, jei bendrovėje dirba mažiau nei 250 darbuotojų, nepriklausomai nuo darbuotojų skaičiaus, jei įmonės atliekamos duomenų tvarkymo operacijos gali kelti pavojų asmenų teisėms ir laisvėms (pvz., vykdant vaizdo stebėjimą, įrašinėjant telefoninius pokalbius ir pan.), šioms duomenų tvarkymo operacijoms turi būti sudaryti duomenų tvarkymo veiklos įrašai.
Dar viena pamatinė asmens duomenų apsaugos reguliavimo, o kartu ir BDAR, idėja – asmens duomenys turi būti saugomi aiškiai apibrėžtą laikotarpį. Nors Lietuvoje nemažai daliai asmens duomenų (dokumentų, kuriuose yra asmens duomenys) yra taikomi teisės aktų nustatyti saugojimo terminai, vis dėlto, įmonėse dažnai jų nėra paisoma.
Taip pat neretai tokiems asmens duomenims, kurių saugojimo terminai nėra apibrėžti teisės aktais, saugojimo terminai nėra nustatyti arba nustatomi remiantis ne laikotarpiu, kuriuo asmens duomenys yra reikalingi, o atsižvelgiant į technines galimybes saugoti duomenis kaip įmanoma ilgiau. Akivaizdu, kad toks pažeidimas laikomas vienu šiurkščiausių BDAR pažeidimų.
Pastebimas ir nepakankamas arba visiškai neatliepiamas fizinių asmenų informavimas apie tai, kaip tvarkomi jų asmens duomenys. Kiekvienas asmuo, kurio duomenis įmonė renka tiesiogiai iš paties asmens, ar gauna iš kitų subjektų, turi būti informuotas apie tai, kaip bendrovėje bus tvarkomi jo duomenys, nurodant jam, kokie jo asmens duomenys yra renkami, koks tų asmens duomenų rinkimo tikslas, teisinis pagrindas, saugojimo laikotarpis bei kiti svarbūs aspektai.
Šios pareigos nesilaikymo mastą puikiai parodo tai, kad informavimo pareiga galiojo dar iki BDAR įsigaliojimo (nors ir buvo siauresnės apimties), tačiau iki BDAR jos praktinio įgyvendinimo neteko matyti. BDAR privertė prisiminti šią pareigą, o jos įgyvendinimo praktinių pavyzdžių jau galima rasti, tačiau tai labiau yra reti atvejai.
Galiausiai, verta paminėti, kad dauguma įmonių neskiria pakankamai dėmesio bendrovės priežiūrai, kaip laikomasi duomenų apsaugos reikalavimų. Tai pasireiškia keletu skirtingų formų: atsakingų už duomenų apsauga bendrovėje ar duomenų apsaugos pareigūnų nepaskyrimu, turimų dokumentų neatnaujinimu, nepakankamu darbuotojų švietimu duomenų apsaugos srityje, nustatytų procedūrų peržiūros ar papildymo nebuvimu ir pan.
Įmonėse turėtų egzistuoti nuolatinis stebėjimas, kaip yra laikomasi reglamento reikalavimų ir vykti nuolatinė prevencija, kad tokie pažeidimai neatsirastų. Tam puikiai gali padėti duomenų apsaugos pareigūno ar kito atsakingo darbuotojo paskyrimas, tačiau pastebima, kad privataus sektoriaus bendrovės ganėtinai vangiai skiria duomenų apsaugos pareigūnus, o ir privačiame sektoriuje yra matoma, kad duomenų apsaugos pareigūnų nėra tiek, kiek jų turėtų būti.
Kvalifikuotų asmenų paskyrimas padeda išvengti ir teisinio pagrindo pasirinkimo klaidų, kurių pasitaiko neretai, pvz., prašoma darbuotojo sutikimo stebėti vaizdą, pervesti atlyginimą, įrašyti pokalbius, vadovaujantis teisėtu bendrovės interesu siunčiamos reklaminės trumposios SMS žinutės ir pan.
Dažniausiai pasitaikančios klaidos – kodėl verta jų išvengti?
Atsakymas, kodėl verta išvengti klaidų taikant reglamentą, yra labai paprastas – klaidos taikant BDAR, blogiausiu atveju, gali užtraukti baudas. Valstybinės duomenų apsaugos inspekcijos duomenimis, po BDAR įsigaliojimo asmenų skundų dėl galimų pažeidimų susijusių su asmens duomenų teisiniu reguliavimu padidėjo beveik dvigubai.
Tai rodo, kad asmenys yra linkę pranešti apie pastebėtus pažeidimus, tad ignoruojant reikalavimus duomenų apsaugos srityje egzistuoja didesnė tikimybė, kad Valstybinė duomenų apsaugos inspekcija atkreips dėmesį į tokią įmonę. Taip pat didesnė tikimybė, kad tokia bendrovė gali papulti į Valstybinės duomenų apsaugos inspekcijos planinius patikrinimus.
Europos Sąjungoje jau yra buvę atvejų, kai įmonės gavo baudas po BDAR atnaujinimo. Didžiausia bauda šiuo metu ES yra paskirta Google, kurią paskyrė Prancūzijos priežiūros institucija už nepakankamą asmenų informavimą bei galimybių valdyti savo asmens duomenis nesukūrimą. Baudos dydis siekė 50 milijonų eurų.
Pažymėtina, kad nors ir susidaro įvaizdis, kad Lietuvoje Valstybinė duomenų apsaugos inspekcija nėra linkusi mėtytis baudomis už BDAR pažeidimus, o kaip tik suteikia galimybę ištaisyti klaidas, vis dėlto, pirmoji bauda jau buvo paskirta. Jos dydis siekė 61 500 eurų. Toks Valstybinės duomenų apsaugos inspekcijos žingsnis rodo, kad ji yra pasiruošusi bausti už BDAR pažeidimus ir kad su BDAR pažeidėjais taikstomasi nebus. Ši bauda buvo paskirta už tris BDAR pažeidimus – perteklinį asmens duomenų rinkimą, netinkamų techninių ir organizacinių saugumo priemonių pasirinkimą bei nuslėpto duomenų saugumo pažeidimą.
Taigi įžvelgiama ir naudingų aspektų, praktikoje taikant BDAR. Jei įmonė paiso BDAR reikalavimų, informuoja asmenis apie tvarkomus jų asmens duomenis, tokiu būdu gali būti sukuriamas pasitikėjimo santykis tarp kliento ir verslo, išvengiama baudų tikimybė.
Kokia BDAR ateitis? Ar įmonės, kurios susitvarkė BDAR galės gyventi ramiai?
Įsigaliojus BDAR, įmonės turėtų nuolat vykdyti priežiūrą ir stebėti, kaip jo yra laikomasi. Nebus taip, kad pasirengus tam tikrus dokumentus juos bus galima padėti į stalčių ir ištraukti tik patikrinimo, jei toks būtų, metu. Turi egzistuoti nuolatinė priežiūra, nuolat šviečiami darbuotojai, nuolat peržiūrimos bei tobulinamos procedūros egzistuojančios procedūros. Tik tokiu atveju bus galima jaustis saugiam.
Bet kokiu atveju, BDAR ateitis nusimato ganėtinai šviesi. Europos Sąjunga yra pirmoji, priėmusi tokios apimties ir pobūdžio teisės aktą, kuris pasižymi svarbiausiomis taisyklėmis duomenų apsaugos srityje bei griežta atsakomybe už šių taisyklių nesilaikymą. Paskui Europos Sąjungą duomenų apsaugos srityje seka ir kitos valstybės, atsiranda teisėkūros projektai ir JAV, Kanadoje, Australijoje bei kitose valstybėse, o kai kurie iš jų netgi ganėtinai panašūs. Todėl būtų galima teigti, kad Europos Sąjunga davė impulsą asmens duomenų apsaugos reguliavimo griežtėjimui kitose valstybėse.
