Šių metų gegužės 25 d. įsigaliojęs Europos Sąjungos Bendrasis duomenų apsaugos reglamentas – vienas didžiausių asmens duomenų apsaugos iššūkių verslui. Reglamentas taikomas įvairiuose sektoriuose veiklą vykdantiems subjektams ir tinkamos asmens duomenų apsaugos užtikrinimas tapo aktualus visiems.
Šių metų gegužės 25 d. įsigaliojęs Europos Sąjungos Bendrasis duomenų apsaugos reglamentas (BDAR) – vienas didžiausių asmens duomenų apsaugos iššūkių verslui. Reglamentas taikomas įvairiuose sektoriuose veiklą vykdantiems subjektams ir tinkamos asmens duomenų apsaugos užtikrinimas tapo aktualus visiems.
„Deloitte Legal“ atliko išsamų tyrimą Vidurio Europos regione, įskaitant Lietuvą, siekiant identifikuoti pagrindinius iššūkius, su kuriais įmonės susidūrė taikydamos BDAR praktikoje per pirmąjį pusmetį po jo įsigaliojimo. „Deloitte Legal“ ekspertų paruoštoje ataskaitoje „BDAR: Pusmetis po įsigaliojimo“ taip pat apžvelgiama geroji praktika, aptariami nacionaliniai teisės aktai, papildantys BDAR reguliavimą skirtingose valstybėse, duomenų apsaugos institucijų vaidmuo, padedant taikyti BDAR nuostatas.
Asmens duomenų apsaugos mechanizmas yra pakankamai sudėtingas ir kompleksinis, todėl organizacijos nuolat susiduria su tam tikrais sunkumais ir neaiškumais. Siekiant tinkamai įgyvendinti BDAR reikalavimus, svarbu, kad įmonių įvairių sričių specialistai, įskaitant teisininkus, IT specialistus, žmogiškųjų išteklių specialistus, privatumo ekspertus ir kt., panaudotų savo srities žinias bei patirtį ir tokiu būdu pasiektų maksimalų atitikties reglamentui rezultatą.
Didžiausi sunkumai kyla dėl gana abstraktaus BDAR nuostatų pobūdžio
Advokatų profesinės bendrijos „Deloitte Legal“ vadovaujančios teisininkės Monikos Žlabienės teigimu, kadangi BDAR - vis dar pakankamai naujas reguliavimas, neretai kyla reali grėsmė klaidingai interpretuoti BDAR nuostatas. „Pavyzdžiui, atlikdami asmens duomenų apsaugos auditus, dažnoje įmonėje pastebėjome tarp darbuotojų vyraujantį įsitikinimą, kad sutikimas tvarkyti asmens duomenis yra esminis ir svarbiausias asmens duomenų tvarkymo teisinis pagrindas“ – sako M. Žlabienė. Atliktas tyrimas parodė, kad ir kai kuriose Vidurio Europos šalyse asmens duomenų valdytojams kyla sunkumų, kai reikia nuspręsti dėl tinkamo duomenų tvarkymo teisinio pagrindo (sutikimas tvarkyti asmens duomenis ar teisėti interesai ir t. t.). Taip pat pastebima, kad daugeliu atveju verslui sudėtinga apibrėžti duomenis tvarkančių subjektų vaidmenis (pavyzdžiui, nustatyti, kuris subjektas yra duomenų valdytojas, duomenų tvarkytojas, bendrasis duomenų valdytojas).
„Deloitte Legal“ atlikto tyrimo duomenimis, tik mažuma apklausoje dalyvavusių šalių priežiūros institucijų apskritai neparengė jokių instrukcijų ar rekomendacijų, susijusių su tinkamu asmens duomenų apsaugos užtikrinimu. Tuo tarpu didžioji dalis jų ruošė gaires, padedančias paprasčiau interpretuoti BDAR nuostatas, taip pat organizavo BDAR viešinimo renginius ir kampanijas, mokymų sesijas bei konferencijas. Kai kuriose Vidurio Europos regiono valstybėse nacionalinės duomenų apsaugos institucijos veikė itin aktyviai. Siekdamos užtikrinti rinkos dalyvių teisinį tikrumą, jos išleido išsamias instrukcijas bei nurodymus.
„Deloitte Legal“ duomenimis, tirtose Vidurio Europos šalyse pirmojo BDAR pusmečio galiojimo laikotarpiu baudos dėl asmens duomenų pažeidimo nebuvo paskirtos. Kai kurios nacionalinės institucijos, įskaitant ir Lietuvos, atliko BDAR atitikties patikrinimus, po kurių tikrintoms organizacijoms davė privalomus BDAR neatitikimų pašalinimo nurodymus.
Beveik visose šiame tyrime dalyvavusiose šalyse daugelis ūkio sektorių inicijavo įvairius veiksmus tinkamai duomenų apsaugai užtikrinti. Kaip aktyviausias, būtų galima išskirti bankininkystės, draudimo, finansų ir medicinos sritis, kur atsirado iniciatyvų parengti išsamius BDAR elgesio kodeksus.
Tyrimo duomenys rodo, kad dauguma nacionalinių valdžios institucijų dar nėra paskelbusios galutinio veiksmų sąrašo dėl privalomo poveikio duomenų apsaugai vertinimo (DPIA). Tais atvejais, kai sąrašai buvo paskelbti, tokie veiksmai kaip, pavyzdžiui, automatizuotas sprendimų priėmimas, stebėjimas vaizdo kameromis, didelės apimties geografinių duomenų stebėsena, specialių kategorijų duomenų (pvz. sveikatos) tvarkymas, buvo priskirti prie privalomo DPIA.
Pagrindiniai BDAR taikymo Lietuvoje iššūkiai
„Deloitte Legal“ partneris, advokatas Tomas Davidonis teigia, kad dėl iki BDAR įsigaliojimo Lietuvoje vyravusio mažo dėmesio duomenų apsaugai ir apskritai privatumo temoms, šalies verslui buvo ir yra sunku priimti griežtus asmens duomenų apsaugos reikalavimus, numatytus BDAR. Tačiau supratęs naujojo reglamentavimo svarbą, verslas imasi atsakingai ir nuosekliai ruoštis BDAR nuostatų įsigaliojimui. Įmonėms tai yra svarbus etapas, į pasirengimo procesus įtraukiami teisės, personalo, rinkodaros, IT, verslo sričių specialistai. Darbo rinkoje atsirado pakankamai paklausi asmens duomenų pareigūno specialybė.
Praktika rodo, kad klausimai, keliantys daugiausiai neaiškumo įmonėms, yra susiję su informacijos pateikimo duomenų subjektams apimtimi ir forma, trečiųjų asmenų kontrole (pavyzdžiui, įmonėse trūko duomenų tvarkymo sutarčių, o jas sudarant, nelengva rasti abi šalis tenkinantį sprendimą), taip pat iššūkių sukėlė asmens duomenų, esančių įmonių IT sistemose, inventorizavimas, duomenų saugojimo terminų nustatymas ir šių terminų laikymosi užtikrinimas.
Priežiūros institucijos veiksmai ir rinkos iniciatyvos
Valstybinės duomenų apsaugos inspekcijos (VDAI) duomenimis, per pirmuosius tris 2018 m. ketvirčius VDAI sulaukė 644 skundų dėl asmens duomenų tvarkymo. Dauguma jų – dėl duomenų tvarkymo tiesioginės rinkodaros tikslais, taip pat dėl duomenų tvarkymo internete. VDAI atliko 139 duomenų valdytojų patikrinimus, taip pat pateikė vieno patikrinimo santrauką. Patikrinimas buvo atliktas dėl lojalumo programų ir tiesioginės rinkodaros veiksmų, kurių ėmėsi stambios įmonės, veikiančios maisto, namų apyvokos reikmenų parduotuvių ir vaistinių sektoriuose. VDAI šiose įmonėse nustatė asmens duomenų tvarkymo pažeidimus, tačiau baudų neskyrė, o nurodė nustatytus pažeidimus pašalinti.
„Deloitte Legal“ tyrime nurodoma, kad kai kurios Lietuvoje veikiančios verslo asociacijos ėmėsi veiksmų dėl BDAR reikalavimus atitinkančio elgesio kodekso rengimo. Rinkoje matyti ir kitų sektorinių su BDAR susijusių iniciatyvų. Pavyzdžiui, viena pirmųjų iniciatyvos ėmėsi Lietuvos advokatūra, kuri parengė rekomendacijas advokatams dėl asmens duomenų tvarkymo advokato profesinėje veikloje.
Nacionalinis reglamentavimas, papildantis BDAR reikalavimus
Po BDAR įsigaliojimo 2018 m. gegužės 25 d. LR Asmens duomenų teisinės apsaugos įstatymas buvo drastiškai pakeistas, o nauja įstatymo redakcija įsigaliojo liepos 16 d. Įstatymas nustato kelis specifinius aspektus dėl asmens kodų tvarkymo ir apsaugos, asmens duomenų tvarkymo, susijusio su teise į saviraiškos ir informacijos laisvę, nustato konkrečius reikalavimus, taikomus asmens duomenų tvarkymui darbo santykių kontekste ir pan.
„Deloitte Legal“ ekspertų atliktas tyrimas atskleidė, kad per pastarąjį pusmetį, įsigaliojus BDAR reikalavimams, verslui vis dar kyla nemažai iššūkių dėl tinkamo asmens duomenų apsaugos užtikrinimo, tačiau akivaizdu, jog verslas vis aktyviau įsitraukia į šį procesą, inicijuodamas įvairius veiksmus.
