Akivaizdu, kad kitais metais įsigaliosiančios griežtesnės duomenų apsaugos taisyklės paveiks visas įmones ir viešas institucijas, tačiau ar visi reglamento niuansai yra žinomi ir suprantami verslui? Duomenų praradimo prevencijos (DLP) sprendimų kūrėja „Safetica“ atkreipia dėmesį, kad smulkios įmonės jau dabar klaidingai interpretuoja ES Bendrojo duomenų apsaugos reglamento (GDPR) nuostatas.
Mažos įmonės, kurios nekaupia jautrių klientų duomenų, kaip asmens kodas ar banko sąskaitos numeris, klysta manydamos, kad GDPR jų neliečia. Reglamente yra detaliai nurodyta, kokių privačių asmens duomenų apsaugą įmonės privalės užtikrinti: tai ir asmens vardas bei pavardė, el. pašto ar namų adresas, kiti kontaktiniai duomenys, kurie leidžia identifikuoti fizinius asmenis.
Tokiu atveju GDPR palies ir elektroninių parduotuvių valdytojus, kurie apdoroja didelius kiekius klientų duomenų – nesvarbu, kad el. parduotuvė yra nedidelė ir ją valdo tik vienas darbuotojas. Beje, į privačių duomenų sampratą įeina ir asmens darbo telefono numeris, darbo el. pašto adresas ar verslo IP adresas, jei tik šie duomenys leidžia identifikuoti konkretų asmenį.
„Svarbu pabrėžti, kad įmonės privalės gauti aiškų klientų sutikimą tvarkyti ir valdyti jų asmens duomenis. Tačiau šie duomenys turi būti kaupiami tikslingai: jei klientas nesutinka gauti reklaminių pasiūlymu el. paštu, tai nereiškia, kad el. parduotuvė galės atšaukti pateiktą užsakymą prekių įsigijimui, esą klientas neduoda sutikimo valdyti jo duomenis“, – komentuoja „Safetica“ sprendimus platinančios įmonės „Baltimax“ pardavimų vadovas Deividas Pelenis.
GDPR įvedama kliento teisė būti pamirštam taip pat nėra absoliuti – kliento prašymu įmonė privalės ištrinti jo duomenis, tačiau tik tuo atveju, jei šių duomenų nebereikės tam veiksmui, dėl kurio jie buvo renkami. Pavyzdžiui, klientas užsakęs prekę ir iškart paprašęs pašalinti jo duomenis, negali to tikėtis, kol parduodanti įmonė neįvykdė užsakymo. Išimčių numato ir teisiniai reikalavimai – sveikatos priežiūros ir kitos įstaigos, kurias įstatymai įpareigoja saugoti asmens duomenis nustatytą laiką, negalės jų pašalinti, net jei to bus prašoma.
Reglamentas taip pat įpareigos įmones informuoti atitinkamas institucijas apie įvykusius saugumo pažeidimus, kurių metu buvo pakenkta saugomiems asmens duomenims. Pasak „Safetica“, atsakomybė dėl pažeistų duomenų guls tiek ant užsakovo, tiek ant vykdytojo pečių, tad įmonės, samdančios išorinius tiekėjus savo duomenų valdymui, turi sutartyse numatyti aiškias tokių situacijų pasekmes.
„Siekiant užtikrinti GDPR laikymąsi, įmonėms teks pasitelkti ne tik sustiprintą saugumo politiką, bet ir tinkamas technines priemones. Šiuo atžvilgiu aktualūs tampa duomenų nutekėjimo prevencijos (DLP), apsaugos ir audito programiniai sprendimai, kurie leidžia realiu laiku įvertinti, kaip įmonėje užtikrinama duomenų apsauga, ir automatiškai praneša apie neleistinus veiksmus ir saugumo taisyklių pažeidimus“, – teigia „Safetica Technologies“ vyresnysis saugumo sprendimų konsultantas Miloš Blata.
Daugiau apie GDPR keliamus iššūkius įmonėms bus galima išgirsti IT konferencijoje verslui „ESET Security Day Lietuva 2017“, kuri vyks rugsėjo 7 d. Vilniuje. Konferencijoje pranešimus skaitys žinomas advokatas ir „BSA | The Software Alliance“ atstovas Lietuvoje Andrius Pranckevičius, Valstybinės duomenų apsaugos inspekcijos direktoriaus pavaduotoja Dijana Šinkūnienė, Mykolo Romerio universiteto profesorius dr. Darius Štitilis, ESET Nyderlandai vykdomasis direktorius Dave Maasland, Europos Komisijos atstovybės Lietuvoje vadovas Arnoldas Pranckevičius ir „Safetica“ atstovas Miloš Blata.