Nors Bendrasis duomenų apsaugos reglamentas (BDAR) įsigaliojo jau gegužės 25 d., didžioji dalis organizacijų dar nesijaučia pasiruošusios jo reikalavimams. Tokią išvadą leidžia daryti neseniai vykdyta tarptautinė „Deloitte“ apklausa.
Vos trečdalis respondentų jaučiasi pasiruošę BDAR
2018 m. birželio pabaigoje „Deloitte“ ekspertų atliktoje apklausoje apie organizacijų pasirengimą BDAR dalyvavo daugiau nei 490 specialistų, kurie yra įsitraukę į savo organizacijų pasiruošimo BDAR procesus. Apklausos rezultatai aiškūs – vos trečdalis (t. y. 34,5 proc.) apklaustųjų teigė galintys patvirtinti organizacijos atitiktį BDAR reikalavimams. Trečdalis respondentų (32,7 proc.) tikisi pasiruošti BDAR reikalavimams per 2018 m., o tuo tarpu 11,7 proc. apklaustųjų BDAR reikalavimams ruoštis dar nepradėjo.
Advokatų profesinės bendrijos „Deloitte Legal“ technologijų ir duomenų apsaugos praktikos grupės vadovės Monikos Žlabienės teigimu, tokie apklausos rezultatai nestebina. Anot teisininkės, BDAR yra kompleksinis teisės aktas, kuriuo duomenų valdytojams ir tvarkytojams nustatoma daug naujų pareigų, todėl nenuostabu, kad pasiruošimas šiam teisės aktui užtrunka ir kelia daug klausimų. „BDAR reikalavimų užtikrinimas yra tęstinis, o ne vienkartinis procesas, todėl apie šimtaprocentinę atitiktį BDAR kalbėti, ko gero, neverta“, – teigia Monika Žlabienė. Nenuostabu ir tai, kad beveik 12 proc. paklaustųjų neskuba įgyvendinti BDAR reikalavimų ir laukia, kol skirtingose Europos Sąjungos šalyse atsiras daugiau aiškumo dėl reglamento taikymo praktikos. Nors BDAR valstybėse narėse taikomas tiesiogiai, visgi, kiekvienos valstybės narės priežiūros institucijos praktika skiriasi, todėl, prieš imantis BDAR įgyvendinimo veiksmų, dalis organizacijų tikisi sulaukti aiškesnės BDAR taikymo praktikos. Vis dėlto, teisininkė Monika Žlabienė pabrėžia, kad BDAR nuostatų pažeidimai gali užtraukti ne tik milžiniškas baudas, bet ir pakenkti organizacijos reputacijai, todėl rekomenduotina nedelsti ir imtis veiksmų BDAR įpareigojimams išpildyti.
Organizacijos nežino, kas yra jų valdomų duomenų gavėjai
Apklausa taip pat parodė, kad vienas didžiausių išbandymų verslui duomenų apsaugos srityje – asmenų, kuriems organizacijos atskleidė turimus asmens duomenis, identifikavimas ir kontrolė. Vos 13,6 proc. apklaustųjų nurodė, kad žino, kokius asmens duomenis jų organizacija yra perdavusi kitiems asmenims, ir yra pasitelkę dirbtinio intelekto ar kitas technologijas, siekdami išanalizuoti, ar sutartys su trečiaisiais asmenimis atitinka BDAR reikalavimus, ir jas valdyti. Tuo tarpu didžioji dauguma apklaustųjų, t. y. 56 proc. dar nėra išsiaiškinę, kokius asmens duomenis organizacijos yra perdavusios gavėjams, o 10,2 proc. apklaustųjų dar net nekėlė klausimų, kam ir kokius asmens duomenis perdavė, ar jų organizacijų pasitelkti duomenų tvarkytojai laikosi BDAR reikalavimų ir ar yra sudarę su jais tinkamas sutartis.
Teisininkė Monika Žlabienė pabrėžia, kad žinių apie duomenų gavėjus trūkumas tendencingai pastebimas ir atliekant organizacijų duomenų apsaugos auditus. „Padėdami klientams ruoštis BDAR reikalavimams pastebėjome, kad dažna įmonė nežino, kuriems verslo partneriams kokius duomenis perdavė. Įmonės taip pat negali įvardinti, kokius veiksmus jų verslo partneriai atlieka su perduotais duomenimis, kur juos laiko, kiek laiko saugo“, – teigia M. Žlabienė. Anot teisininkės, vadovaujantis BDAR nuostatomis, duomenų valdytojai tampa atsakingi už pasitelktų duomenų tvarkytojų atitiktį BDAR, todėl įgyvendinant reglamento reikalavimus yra labai svarbu identifikuoti duomenų gavėjus, nustatyti perduotų duomenų apimtį ir atliekamus tvarkymo veiksmus bei užtikrinti, kad su verslo partneriais yra sudarytos tinkamos ir BDAR reikalavimus atitinkančios sutartys, kurios numato efektyvius verslo partnerių kontrolės mechanizmus. Neatlikus šių veiksmų, duomenų valdytojai negalės tinkamai įgyvendinti ir kitų BDAR numatytų pareigų. Pavyzdžiui, jei asmuo pagrįstai pareikalautų ištrinti jo asmens duomenis, duomenų valdytojas turėtų ne tik pats išpildyti šį prašymą, tačiau ir apie tokį prašymą informuoti visus to asmens duomenų gavėjus. Tik žinodama, kam ir kokius duomenis organizacija atskleidė, ji galėtų tinkamai išpildyti šią BDAR numatytą pareigą.