Nors BDAR sąvoka verslams tikrai ne naujiena, vis dar pasitaiko tokių, kurie į šią sritį žiūri atsainiai. Nesilaikantys nustatytų reikalavimų ir nesekantys šios srities pokyčių, rizikuoja ne tik baudomis, bet ir klientų pasitikėjimo praradimu.
Nors BDAR sąvoka verslams tikrai ne naujiena, vis dar pasitaiko tokių, kurie į šią sritį žiūri atsainiai. Nesilaikantys nustatytų reikalavimų ir nesekantys šios srities pokyčių, rizikuoja ne tik baudomis, kurios gali siekti iki 2–4 proc. ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, arba iki 10 000 000–20 000 000 eurų, bet ir klientų pasitikėjimo praradimu.
Asociatyvi „Pixabay“ nuotr.
Kaip teigia „Motieka ir Audzevičius“ teisininkė Raminta Girtavičiūtė, tikėtina, jog šiemet duomenų apsaugos priežiūros institucijos ir toliau gana griežtai vertins BDAR principų pažeidimus.
Tarp jų, tokie kaip skaidrumas, duomenų kiekio mažinimas ar saugojimo trukmės apribojimas. Teisininkė pastebi, jog pastaruoju metu institucijos vis griežčiau baudžia už netinkamą teisinio pagrindo identifikavimą ir gerokai daugiau dėmesio skiria duomenų perdavimui už ES ribų.
BDAR atitiktis – kelionė, o ne vienkartinis projektas
Anot R. Girtavičiūtės, dauguma verslų BDAR atitiktį vertina kaip vienkartinį projektą. Įsigaliojus Bendrajam duomenų apsaugos reglamentui, daugelis įmonių pasirūpino BDAR dokumentacija, tačiau daugiau niekuomet jos taip ir neatnaujino. Tokiu atveju duomenų subjektai dažnai nežino, kokie jų duomenys yra renkami, ką įmonė su jais daro, kiek juos saugo, todėl natūralu, kad duomenų subjekto teisės pažeidžiamos.
„Atsižvelgus į tai, kad BDAR yra gana „jaunas“ dokumentas, jo nuostatų interpretavimas vis kinta – kas tiko tik įsigaliojus BDAR, nebūtinai tinka dabar po įvairių teismo ar Europos duomenų apsaugos valdybos pateiktų išaiškinimų. Verslai dažnai net nežino, jog buvo pateiktas naujas išaiškinimas ir tuo labiau, jog atsirado prievolė koreguoti dokumentaciją ar taikyti papildomas su BDAR atitiktimi susijusias priemones“, – teigia Raminta Girtavičiūtė.
Dažna klaida – klientų duomenų rinkimo formos neatitinka numatytų reikalavimų
Skaitmenoje klientų duomenų rinkimas prasideda vos vartotojui įžengus į įmonės internetinį puslapį ir savo sutikimu patvirtinus, jog verslas gali naudoti jo asmeninius duomenis. Tačiau svarbu suvokti, jog net ir įmonės, kurios iškart vartotojui pristato savo sutikimo formą nebūtinai atliepia visus Bendrojo duomenų apsaugos reglamento reikalavimus.
„Reikia suprasti koks visgi reikšmingas verslui yra „sutinku“ klavišo paspaudimas ir kokią atsakomybę jis prisiima gaudamas ir apdorodamas vartotojų duomenis. Slapukų pagalba gauname delikačią informaciją tokią kaip IP adresas, informacija apie kliento naršymo kelionę, tinklalapyje praleistą laiką ir kt. Šią informaciją vėliau naudojame savo rinkodaros procesuose siekdami tokių tikslų kaip pardavimai“, – dalinasi Remigijus Kuliešius, skaitmeninės rinkodaros agentūros „Raibec“ vadovas.
Eksperto teigimu prieš pradėdamas rinkti klientų duomenis verslas turėtų įsitikinti, jog naudoja tinkamą, sertifikuotą klientų duomenų rinkimo platformą. Taip pat, dažnas neįsigilina į standartų gaires ir savo sutikimo formoje nekonkrečiai apibrėžia kokiais tikslais duomenys renkami, pradeda juos rinkti vartotojui nepateikus sutikimo, nepristato galimybės atsisakyti tam tikrų slapukų ar vizualiai manipuliuoja kliento pasirinkimų galimybėmis taip bandydamas gauti didžiausią naudą sau.
Tačiau sutikimas dėl slapukų yra galiojantis tik tada, kai atitinka visus BDAR keliamus reikalavimus ir yra duodamas laisva valia. Asmuo, kuris nusprendžia sutikimo neduoti, privalo turėti galimybę laisvai naršyti internetinėje svetainėje ir galėti naudotis visomis jos funkcijomis.
Vis daugiau įmonių pradeda suprasti BDAR svarbą ir jo nepaisymo grėsmes
Situacija Lietuvoje gerėja, atsiranda vis daugiau verslų, kurie nenori rizikuoti ir nelaukdami įspėjimo kreipiasi pagalbos dar iki pažeidimų užfiksavimo, sako teisininkė Raminta. Skirstydama verslus į tris grupes: tuos, kurie kreipiasi norėdami pasitikrinti, ar jų turima dokumentacija vis dar užtikrina BDAR atitiktį, taip pat tuos, kurie išgirdę apie kitoms įmonėms skirtas baudas skuba pasitikrinti ar atitinka visus reikalavimus ir, žinoma, gana nemaža dalis tų, kurie kreipiasi jau gavę VDAI nurodymus pateikti paaiškinimą ar ištaisyti tam tikrus pažeidimus.
R.Kuliešius sako, jog taip pat nemažai verslų suklūsta supratę ir tai kokie svarbūs duomenys ir jų rinkimas yra reklaminių kampanijų našumui. Jei informacijos, apie vartotojų elgesį tinklalapyje, rinkimas yra netikslus, jis iškreipia statistiką. Dėl klaidingos statistikos blogai pradeda veikti ir pačios reklaminės kampanijos, ko pasekoje įmonės netenka pardavimų, investuoja į skaitmenines reklamas kurios neatsiperka.
Pamačiusios, jog kažkas neveikia, jos kreipiasi ieškodamos atsakymų, o esama situacija dažnu atveju parodo, jog duomenų rinkimo spragų yra daugiau nei įmonė tikėjosi. Tačiau reikiamu metu apčiuopus problemą, galop ją išsprendus, galima apsisaugoti ne tik nuo neveiksnių skaitmeninės reklamos kampanijų, bet ir nuo skaudžių finansinių baudų.
