Šimtus pažangiausių įmonių jungiančios asociacijos „Infobalt“ ir „Žinių ekonomikos forumas“ įspėja apie pavojų: Lietuvos įmonėms gresia milžiniškos baudos ir teisinės bylos. Likus mažiau nei pusmečiui, kai visoje Europos Sąjungoje įsigalios sugriežtinta asmens duomenų apsauga, didžioji dauguma įmonių net nepradėjo tam rengtis.
Teisinių ir IT paslaugų bendrovės perspėja, kad palikus šiuos darbus paskutiniams mėnesiams tinkamai pasirengti nebeliks galimybių. Todėl valstybės institucijos ir verslo įmonės pakviestos operatyviai parengti ir įgyvendinti bendrą veiksmų planą, kuris leistų išvengti vis dažnėjančių kibernetinių incidentų ir jų sukeliamų nuostolių.
Jau nuo ateinančių metų gegužės 25 d. šalies gyventojai galės kreiptis į bet kurią įmonę ir prašyti raštu paaiškinti, kaip ji užtikrina asmens duomenų apsaugą. Tai numato visoje ES netrukus įsigaliosiantis Bendrasis duomenų apsaugos reglamentas (BDAR). Tačiau duomenų saugumo klausimais konsultuojantys ekspertai pastebi, kad tik menka įmonių dalis jau pradėjo ruoštis naujiesiems reikalavimams. Kaip Lietuvoje vyksta pasirengimas įgyvendinti naujuosius duomenų apsaugos reikalavimus, aptarė į diskusiją pakviestos įgyvendinimą ir priežiūrą vykdančios valstybės institucijos, taip pat verslo atstovai.
Suskubo tik didesnės organizacijos
Vertinant esamą pažangą, kiek daugiau yra nuveikusios didžiosios šalies bendrovės, pvz. bankai ar telekomunikacijų bendrovės, taip pat dalis valstybės institucijų.
„Didelius asmens duomenų kiekius tvarkančios įmonės pasirengimą pradėjo anksčiau ir įsitikino, kad IT infrastruktūros ir taisyklių parengimas užtrunka mažiausiai keletą mėnesių. Pasirengimo laiką ištęsia ir būtinybė susiplanuoti lėšas papildomiems IT sprendimams, kurie didelėse organizacijoje yra tiesiog būtini“, – sakė Andrius Skunčikas, pasaulinės IT korporacijos „Oracle“ vadovas Baltijos šalims.
Smulkesnės ir vidutinės įmonės net nežino
Tuo tarpu duomenų apsaugos situaciją smulkiajame ir vidutiniame versle specialistai vadina tiesiog apverktina.
„Aktyviai bendraujame su šimtais įmonių ir pastebime, kad dauguma jų net nėra girdėjusios apie griežtėjančius reikalavimus duomenų apsaugai, o atliekami auditai rodo, kad praktiškai kiekvienai įmonei privalomi atlikti darbai užtruks keletą mėnesių. Jau dabar galima prognozuoti, kad jei įmonės nepradės pasirengimo nedelsdamos, jos rizikuoja nespėti pasiruošti“, – komentuoja Martynas Bieliūnas, IT sprendimų bendrovės „Squalio Lietuva“ vadovas.
Griežta atsakomybė ir 4 proc. metinės apyvartos siekiančios baudos
Teisininkų vertinimais, viena iš priežasčių, dėl kurių įmonės nesuskubo laiku pradėti ruoštis, yra menkas informuotumas ir nežinojimas apie griežtą atsakomybę.
„Baudos, kurių gali sulaukti įmonės už netinkamą asmens duomenų tvarkymą, gali siekti 20 mln. eurų arba sudaryti 4 procentus jos ankstesnių metų bendrosios pasaulinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė. Skirti baudoms tokias sumas Lietuvoje daugeliui įmonių reikštų veiklos nutraukimą“, – aiškino Irma Kirklytė, advokatų kontoros „Sorainen“ teisininkė.
Specialistės vertinimu, kuo didesnė įmonė (įmonių grupė) ir jos turimų darbuotojų ir klientų skaičius, tuo ilgiau užtrunka parengti procedūras, apmokyti darbuotojus ir sukurti tinkamas kontrolės priemones.
Sukūrė pasirengimo tinkamai duomenų apsaugai grupę
Siekiant sujungti turimas kompetencijas duomenų apsaugos srityje bei jomis dalintis, asociacijoje „Infobalt“ suburta BDAR (angl. – GDPR) grupė.
„Inicijuodami diskusiją su valstybės institucijų atstovais mes siekėme atkeipti dėmesį, kad netinkama duomenų apsauga gali sukelti ženklius nuostolius ir neigiamai paveikti tiek pavienių įmonių, tiek visos Lietuvos konkurencingumą“, – sakė Paulius Vertelka, asociacijos „Infobalt“ direktorius.
Jei nori parduoti internetu, apsaugok klientų duomenis
Mindaugas Glodas, „Žinių ekonomikos forumo“ tarybos pirmininkas, teigė, kad būtina iš esmės keisti požiūrį į duomenų apsaugą, kurios lygis Lietuvoje šiuo metu neatitinka reikalavimų.
„Masiškai susiduriame su nuomone, kad duomenų apsauga turi rūpintis tik bankai ar didelės įmonės, tačiau ir mažos įmonės kaupia duomenis apie darbuotojus, taip pat – klientus. Daug verslų aktyviai prekiauja internetu ir surenka iš pirkėjų itin daug jautrios informacijos, kurią turi labai atsakingai tvarkyti, o netrukus šie reikalavimai dar gerokai sugriežtės“, – sakė M. Glodas.
Kviečia sujungti kompetencijas ir išreikšti politinę valią
Griežtesni reikalavimai duomenų apsaugai Europos Sąjungoje buvo priimti 2016 m. gegužės 4 d., nustatant dvejų metų pasirengimo laikotarpį, kad įmonės ir organizacijos spėtų pasiruošti. Ypač griežtos duomenų kaupimo, saugojimo ir šalinimo taisyklės tampa privalomos atsižvelgiant į visame pasaulyje dažnėjančius kibernetinius nusikaltimus, duomenų vagystes, taip pat augančius gyventojų ir įmonių patiriamus nuostolius. Vien per šių metų devynis mėnesius Lietuvoje CERT-LT užfiksavo daugiau kaip 50 tūkstančių kibernetinių incidentų, kurių pagrindinis tikslas buvo suklastoti ar užvaldyti duomenis, taikantis į gyventojų ar įmonių lėšas.
Atsižvelgiant į tai, kad kasmet tokių incidentų tik daugėja, ir atitinkamai auga rizika patirti vis didesnių nuostolių, asociacijos „Infobalt“ ir „Žinių ekonomikos forumas“ kreipėsi į Lietuvos Vyriausybės kanceliariją, Valstybinės asmens duomenų apsaugos inspekciją, Teisingumo ir Ūkio ministerijas, taip pat Valstybės kontrolę su raginimu apjungti valstybės institucijų ir verslo asociacijų kompetencijas bei nedelsiant sudaryti veiksmų planą, kaip iki gegužės 25 d. Lietuva turėtų pasiruošti ES reikalavimus atitinkančiai duomenų apsaugai.