Dėl technologinių pasiekimų pasaulyje sukurtų, apdorotų ir dalijamų duomenų kiekis pastaraisiais metais pasiekė nenumatytas proporcijas. Tyrimų kompanija IDG prognozuoja, kad iki 2025 m. pasaulyje kasmet bus sukuriama po 163 zetabaitus duomenų – t. y. 163 trilijonus gigabaitų. Šis fenomenas iki šiol nebuvo tinkamai atspindėtas duomenų valdymo įstatymuose, tačiau kitąmet įsigaliosiantis ES Bendrasis duomenų apsaugos reglamentas (GDPR) atneš daug naujovių į duomenų apsaugos sritį.
Pasak saugumo ekspertų, GDPR įnešami pokyčiai yra didžiausia privatumo teisės aktų reforma per pastaruosius dvidešimt metų, paveiksianti visas, visų dydžių įmones, kurios tvarko Europos gyventojų asmens duomenis, nepriklausomai nuo jų buvimo vietos.
„Įsigaliosiančios griežtesnės duomenų apsaugos taisyklės bus susijusios su asmenų duomenų rinkimu, jų valdymu ir saugojimu. Įmonės privalės gauti aiškų savo klientų sutikimą valdyti jų duomenis. Taip pat reglamentas įpareigos įmones užtikrinti asmens duomenų apsaugą, pranešti atitinkamas institucijas dėl šių duomenų pažeidimo ir saugumo incidentų. Tai apims ne tik skaidrų duomenų apdorojimą, bet ir jų šifravimą, pseudonimų įvedimą siekiant apsaugoti asmenų privatumą“, – komentuoja pažangių programinių sprendimų platintojos „Baltimax“ pardavimų vadovas Deividas Pelenis.
Atitikti GDPR reikalavimus įmones skatins didesnės baudos, galinčios siekti iki 4 proc. metinės pasaulinės apyvartos arba 20 milijonų eurų (atsižvelgiant, kuri suma yra didesnė) už itin rimtus asmens duomenų apsaugos pažeidimus.
Vartotojų atžvilgiu GDPR suteiks jiems daugiau teisių ir galimybę kontroliuoti savo duomenų apsaugą. Tarp naujų teisių – galimybė „būti pamirštiems“, kuri užtikrins, kad vartotojų prašymu įmonės privalės ištrinti nebenaudojamus jų duomenis. Taip pat vartotojai turės teisę susipažinti su savo duomenimis, kuriuos įmonės saugo ir valdo, prieštarauti savo duomenų apdorojimui.
„Vartotojams, t. y., kiekvienam iš mūsų, tai bus puiki galimybė pasitikrinti, kokius duomenis apie mus turi įmonės, bankai ar net valstybinės įstaigos. Norint tai sužinoti, pakaks raštu kreiptis į organizaciją, o kilus bet kokiai abejonei dėl netikslumų bus galima kreiptis į atitinkamas tarnybas dėl detalesnio patikrinimo, ar tikrai nėra kaupiami pertekliniai duomenys ir ar jie saugomi pagal reikalavimus“, – teigia ESET Lietuva atstovas Tomas Parnarauskas.
Tad nieko keisto, kad daugiausia nerimo GDPR kelia toms įmonėms, kurios šiuo metu atsainiai valdo sukauptus duomenis, naudoja netinkamus saugumo sprendimus ir nėra pasiruošusios užtikrinti reglamento laikymosi. Joms gali tekti diegti naują duomenų apsaugos politiką, peržiūrėti duomenų apdorojimo sistemas ir sutartis su trečiosiomis šalimis, kurios apdoroja duomenis, diegti šifravimo sprendimus ir t. t.
„Verslas turi atsižvelgti į tai, kad visų pakeitimų įgyvendinimas iki GDPR įsigaliojimo gali pareikalauti daugiau laiko, negu planuojama. Naujų organizacinių ar techninių priemonių diegimas ir įsisavinimas turėtų būti atliktas bent jau iki šių metų pabaigos, kad GDPR įsigaliojimo dieną įmonės galėtų užtikrinti nepriekaištingą asmens duomenų apsaugą“, – priduria D. Pelenis.