6 žingsniai, kuriuos būtina atlikti siekiant pasirengti naujajam duomenų apsaugos reglamentui

Kaip žinia, nuo 2018 m. gegužės 25 d. pradės būti taikomas Bendrasis duomenų apsaugos reglamentas (toliau – BDAR). Šis reglamentas, daugiau ar mažiau, palies visas įmones, kadangi visos bendrovės tvarko tam tikrų asmenų duomenis, pvz.: klientų, interneto puslapio lankytojų ar darbuotojų. Kadangi iki gegužės 25 d. lieka vis mažiau laiko, daugumai bendrovių kyla klausimas, ką reikia padaryti, kad būtų tinkamai pasiruošta reglamento taikymui. Atsižvelgiant į tai, toliau bus pateikiami svarbiausi žingsniai, kuriuos derėtų atlikti iki BDAR taikymo pradžios.

1. Atlikite asmens duomenų apsaugos auditą

BDAR nustato detalius reikalavimus, kokiais pagrindais gali būti renkami asmens duomenis, kokie duomenys gali būti renkami ir kam jie gali būti naudojami, taip pat, kokios yra asmenų apie kuriuos renkami duomenys, teisės bei kaip jas turi įgyvendinti bendrovės.

Taigi, asmens duomenų apsaugos audito atlikimas yra pirmas žingsnis, padėsiantis nustatyti kaip ir kokie duomenys jau yra surinkti apie asmenis, ar jie galės būti naudojami bei kaip šie duomenys galės būti renkami ateityje.

Taip pat, audito metu bus susipažįstama su visais bendrovės dokumentais, kuriuose minima asmens duomenų apsauga, tad bus galima atsakyti į klausimus, kurie BDAR reikalavimai konkrečios bendrovės atveju yra keliantys problemų, o su kuriais yra viskas gerai.

Didesnėms organizacijoms arba organizacijoms, kurių pagrindinė veikla susijusi su asmens duomenų tvarkymu toks auditas padės sudaryti organizacijos turimų asmens duomenų „žemėlapį“, kuris leis tinkamai suprasti asmens duomenų rinkimo bei naudojimo apimtis bei leis efektyviai nustatyti kurios asmens duomenų tvarkymo operacijos nusipelno daugiausiai dėmesio asmens duomenų apsaugos požiūriu.

2. Duomenų apsaugos pareigūno paskyrimas

BDAR įpareigoja nemažą dalį bendrovių apskirti duomenų apsaugos pareigūną, kuris užtikrintų, kad bendrovė laikosi BDAR keliamų reikalavimų ir būtų atsakingas už visas operacijas susijusias su asmens duomenimis. Duomenų apsaugos pareigūnu gali būti tiek įmonės darbuotojas, tiek iš išorės samdomas ekspertas.

Asmens duomenų apsaugos auditas padės atsakyti ar pagal BDAR reikalavimus konkrečiai bendrovei yra būtina paskirti duomenų apsaugos pareigūną, tačiau vien aplinkybė, kad BDAR tam tikrai bendrovei leidžia neskirti duomenų apsaugos pareigūno, nereiškia, kad jo tikrai nereikia paskirti.

Bendrovės, kurios savo veikloje naudoja asmens duomenis turėtų tinkamai apsvarstyti ar joms tikrai nėra reikalingas duomenų apsaugos pareigūnas, turintis ekspertinių žinių asmens duomenų apsaugos srityje, kadangi galimo pažeidimo atveju, bendrovėms grės baudos iki 20 mln. eurų arba 4 proc. bendrovės praėjusių metų apyvartos. Duomenų apsaugos pareigūno paskyrimas padėtų ženkliai sumažinti riziką atlikti tokį pažeidimą, o jį atliktus padėtų kiek įmanoma sumažinti tokio pažeidimo padarinius, kas galimai apsaugotų nuo baudos paskyrimo arba įtakotų gerokai mažesnės baudos paskyrimą.

3. Duomenų apsaugos politika ir procedūros

Duomenų apsaugos politikos parengimas su detaliomis procedūromis kaip rinkti asmenų duomenis bei kaip elgtis su surinktais asmenų duomenimis kasdieninėje bendrovės veikloje, padės bendrovėms sumažinti diskomfortą dirbant su asmens duomenimis, panaikins galimą nerimą, pridės saugumo bei apsaugos nuo finansinės žalos ar kitokių pavojų. Svarbiausia, kad duomenų apsaugos politikoje numatytų procedūrų būtų realiai laikomasi.

Tokioje politikoje turėtų būti aptarti visi veiksmai, kurių darbuotojai turėtų imtis dirbdami su asmens duomenimis, t.y. turėtų būti aptarta kaip elgtis tam tikromis situacijomis (pvz.: gavus prašymą „pamiršti“ tam tikro asmens duomenis, pataisyti duomenis, patogiu formatu išeksportuoti asmens pateiktus duomenis ar įvykus saugumo pažeidimui), kaip greitai ir kas turi reaguoti bei pan. Jei bendrovė šiuos klausimus bus išsprendusi bei sukūrusi atitinkamas procedūras kaip spręsti tokius klausimus, BDAR jiems nesukels didesnių problemų. Svarbu, kad šių procedūrų realiai būtų laikomasi.

4. Reikalingų dokumentų parengimas

BDAR reikalauja atnaujinti esamus duomenų apsaugos dokumentus naująjį reguliavimą atitinkančiomis nuostatomis, tokius kaip duomenų tvarkymo taisyklės, vaizdo stebėjimo taisyklės, sutikimų formos, pranešimai apie slapukus, sutartys su paslaugų tiekėjais ir pan.

Bendrovės turėtų turėti duomenų apsaugos sutarties forma su skirtingais paslaugų tiekėjais, pvz.: IT, rinkodaros, finansų ir kitais paslaugų tiekėjais, kurie turi prieigą prie bendrovės saugomų duomenų, Taip pat, gali tekti pasirengti ne vieną, o net keletą sutikimo formų, kurie neturėtų būti integruoti į kitus dokumentus, t.y. sutikimai turėtų būti paprasti bei aiškus.

5. Pasiruošti techniniams reikalavimams

BDAR reikalauja užtikrinti tinkama techninę tvarkomų asmens duomenų apsaugą, t.y. asmens duomenų bazių atsarginių kopijų darymą, šifravimą, tam tikrais atvejais, pseudonimų sutiekimą. Būtina sugebėti techniškai įgyvendinti asmenų, kurių duomenys yra tvarkomi, teises, pvz.: teisė į duomenų perkeliamumą ar teisę būti pamirštam. Galiausiai, svarbu techniškai užtikrinti, kad nebūtų renkama daugiau asmens duomenų nei reikia numatytam tikslui pasiekti bei užtikrinti, kad būtų įmanoma techniškai įgyvendinti visus kitus BDAR reikalavimus.

6. Darbuotojų mokymas

Darbuotojai, ypač tie, kurie atlikdami savo tiesiogines pareigas susiduria su asmens duomenimis, turėtų žinoti apie naujuosius duomenų apsaugos reikalavimus. IT, žmogiškųjų išteklių, klientų aptarnavimo, marketingo bei kiti specialistai turėtų būti nuolat apmokomi kaip atpažinti asmens duomenis, taip pat, ką su jais galima daryti ir ko negalima.

Karolis Sadauskas | asocijuotas teisininkas

Mob. tel: +37062993365 | El. paštas: karolis.sadauskas@linden.lt

Tel.: +37052121506 | www.linden.lt