Iki ES Bendrojo duomenų apsaugos reglamento (BDAR arba GDPR) įsigaliojimo likus aštuoniems mėnesiams, visiškai jam pasiruošusių įmonių yra labai mažai. Duomenų apsaugos ekspertų nuomone, verslo laukia dar daug neatliktų „namų darbų“.
Ilgametę patirtį IT teisės srityje turintis Mykolo Romerio universiteto profesorius, Kibernetinio saugumo valdymo studijų programos vadovas, vienas iš dpssolutions.eu įkūrėjų, dr. Darius Štitilis tvirtina, kad verslas tik pradeda apie tai galvoti. „Kai kurios įmonės jau atlieka arba atliko savo turimų asmens duomenų inventorizaciją, pradedami asmens duomenų apsaugos auditai, kurie parodo silpnąsias vietas prieš įgyvendinant reikalavimus. Deja, tokių įmonių, kurios imasi aktyvių veiksmų, siekiant įgyvendinti BDAR, nėra daug“, – teigia dr. D. Štitilis.
Sankcijos didės 6,6 tūkst. kartų
Pagrindinis darbas įmonėms, tvarkančioms asmens duomenis – peržiūrėti vidinius dokumentus, atitinkamas sutartis, vykdomus asmens duomenų tvarkymo veiksmus, šių duomenų apimtis, jų subjektų teisių įgyvendinimą bei taikomas saugumo priemones ir pan. Kitoms teks paplušėti stipriau: samdyti duomenų apsaugos pareigūną, atlikti poveikio duomenų apsaugai vertinimą ir kt.
„Lietuvoje verslas vis dar atsilieka asmens duomenų apsaugos srityje. Praktiškai pas bet kurį asmens duomenų valdytoją yra trūkumų, kurie turi būti šalinami. Ką jau kalbėti apie tas įmones, kurios visai neskiria dėmesio asmens duomenų apsaugai, pvz., net neturi pasitvirtinusios reikiamų dokumentų, nėra įregistravusios asmens duomenų tvarkymo tikslų“, – komentuoja dr. D. Štitilis.
Pasak profesoriaus, įgyvendinant BDAR reikalavimus, svarbu atminti, kad šis reglamentas yra esamo asmens duomenų apsaugos reguliavimo tąsa. Tad įmonėms, kurios šiuo metu užtikrina asmens duomenų apsaugą, pasiruošti naujoms nuostatoms bus gerokai lengviau. Iššūkis kyla toms, kurios šia apsauga rūpinasi nepakankamai – juo labiau, kad sankcijos už asmens duomenų apsaugos pažeidimus nuo kitų metų gegužės 25 d. didėja 6,6 tūkstančius kartų.
BDAR numato, kad baudos dydis už asmens duomenų apsaugos pažeidimus gali siekti iki 2–4 proc. ankstesnių finansinių metų bendros metinės pasaulinės apyvartos arba iki 10–20 mln. Eur. Palyginimui, šiuo metu bauda pirmą kartą padarius pažeidimą privatiems asmenims yra nuo 150 iki 580 eurų, juridinių asmenų vadovams ar kitiems atsakingiems asmenims – nuo 300 iki 1 150 eurų. Už pakartotinį pažeidimą asmenims gali tekti pakloti nuo 550 iki 1 200 eurų, o įmonių vadovams – nuo 1 100 iki 3 000 eurų.
Dažniausiai verslo daromos klaidos
Tarp minėtinų pavydžių, kur verslas dažniausiai atsilieka, yra ne tik nepatvirtinti ar nekokybiškai parengti vidiniai dokumentai, bet ir netinkamai įgyvendinamos arba iš viso neįgyvendinamos duomenų subjektų teisės, neužtikrinamos organizacinės ir techninės asmens duomenų saugumo priemonės (pvz., nėra valdomos prieigos prie asmens duomenų teisės ir pan.), nėra paskirto atsakingo už asmens duomenų apsaugą asmens ir kt.
„Esminė verslo klaida – manyti, kad, jei incidentų dėl asmens duomenų neįvyko, tai jų turėtų nebūti ir ateityje. Tokios įmonės, kaip įprasta, skiria mažiau dėmesio asmens duomenų apsaugai, arba visai jo neskiria ir tiesiog naiviai tikisi, kad viskas bus gerai“, – teigia dr. D. Štitilis.
Verslas skiria per mažai dėmesio ir darbuotojų švietimui bei mokymams, tad šlubuoja ir įmonių darbuotojų supratimas apie asmens duomenų apsaugą: daromos grubios klaidos, duomenys tvarkomi neatsakingai.
Valstybinės institucijos intensyviai ruošiasi BDAR
Tuo tarpu duomenų apsaugos reformai besiruošiančios Valstybinės duomenų apsaugos inspekcijos (VDAI) laukia dar nemažai darbų: iki 2016 m. balandžio 30 d. ji privalės parengti ir patvirtinti ne vieną įsakymo projektą, reikalingą taikyti BDAR Lietuvoje. Pasak VDAI direktoriaus pavaduotojos Dijana Šinkūnienės, asmens duomenų apsaugos reformai Lietuvoje turi pasirengti ir ją įgyvendinti ne tik VDAI, bet ir duomenų valdytojai bei duomenų tvarkytojai.
„Valstybinėms institucijoms, kaip ir verslui, taip pat svarbu atitikti naujo reglamento reikalavimus. Visos organizacijos turi įsivertinti dabartinę atliekamą asmens duomenų tvarkymo veiklą, paskirti už duomenų apsaugą atsakingą asmenį ar padalinį, kuris padėtų institucijai pasirengti taikyti BDAR, bei atlikti kitus veiksmus“, – komentuoja D. Šinkūnienė.
Viena iš naujovių įmonėms – įsigaliojus BDAR nebeliks pareigos pranešti VDAI apie asmens duomenų tvarkymą, bet bus įtvirtintas atskaitomybės principas. Taigi, duomenų valdytojams suteikiama daugiau laisvės veikti be išankstinės priežiūros institucijos kontrolės, tačiau kartu tai reiškia ir didesnę atsakomybę.
Daugiau informacijos apie BDAR iššūkius verslui ir valstybinėms institucijoms bus galima išgirsti konferencijoje „ESET Security Day Lietuva 2017“, kuri vyks rugsėjo 7 d. Vilniuje. Renginio metu pranešimus skaitys „BSA | The Software Alliance“ atstovas Lietuvoje Andrius Pranckevičius, VDAI direktoriaus pavaduotoja Dijana Šinkūnienė, Mykolo Romerio universiteto profesorius dr. Darius Štitilis, Europos Komisijos atstovybės Lietuvoje vadovas Arnoldas Pranckevičius, ESET Nyderlandai vykdomasis direktorius Dave Maasland ir „Safetica“ atstovas Miloš Blata.