Penkios didžiausios ir dažniausiai daromos klaidos duomenų apsaugos srityje

Nors Bendrasis duomenų apsaugos reglamentas (toliau – „BDAR“) jau visai ne už ilgo skaičiuos pirmus savo galiojimo metus, vis dar yra daroma daugybė klaidų, kurias daro bendrovės, savo veikloje tvarkydamos asmens duomenis. Šiame straipsnyje apžvelgsime 5 didžiausias ir dažniausiai pasitaikančias klaidas duomenų apsaugos srityje, kurios gali pridaryti nemalonumų jei nebus ištaisytos.

Pirmoji dažnai pasitaikanti klaidą, tai duomenų tvarkymo veiklos įrašų nesudarymas. Duomenų tvarkymo veiklos įrašai padeda atlikti efektyvią valdomų asmens duomenų priežiūrą, kadangi šio dokumento sudarymo metu atliekama savotiška bendrovės valdomų asmens duomenų inventorizacija. Dokumento sudarymas taip pat gali padėti nustatyti ir netikslumus susijusius su duomenų tvarkymo tikslo nustatymu, duomenų saugojimo laikotarpiu bei tinkamo teisinio pagrindo pasirinkimu, kadangi visa ši informacija turi atsispindėti kiekvieno duomenų valdytojo duomenų tvarkymo įrašuose. Dažnai pastebima, kad šis dokumentas bendrovėse nesudaromas, nes bendrovėje dirbą mažiau nei 250 darbuotojų ir nors BDAR yra numatyta, kad šis dokumentas gali būti nesudaromas jei bendrovėje dirba mažiau nei 250 darbuotojų, yra išimčių, kurioms esant duomenų tvarkymo įrašai turi būti sudaryti netgi esant mažesniam nei 250 darbuotojų skaičiui. Šios išimtys yra tokios:

  • dėl vykdomo duomenų gali kilti pavojus duomenų subjektų teisėms ir laisvėms;
  • duomenų tvarkymas yra reguliarus;
  • duomenų tvarkymas apima jautrius duomenis.

Įvertinus šias išimtis galima teigti, kad didžiajai daliai bendrovių vis dėl to tektų sudaryti duomenų tvarkymo įrašus netgi esant žymiai mažesniam darbuotojų skaičiui nei 250.

Antroji dažnai pasitaikanti klaida yra perteklinių asmens duomenų rinkimas. Dažnai bendrovės rinkdamos asmens duomenis neįvertina, kokių duomenų konkrečiai reikia, kad būtų įgyvendintas tikslas, kuriam jie yra renkami. Vienas iš pagrindinių BDAR principų yra duomenų kiekio mažinimo principas, kuris nurodo, turi būti renkami tik tokie duomenys, kurių reikia siekiant tikslų, dėl kurių jie yra tvarkomi. Todėl kiekvienas duomenų valdytojas privalo peržiūrėti, kokiais tikslais duomenys yra renkami ir ar galima pasiekti šiuos tikslus atsisakius rinkti tam tikrus asmens duomenis. Taip pat, reikėtų įvertinti veiklą reguliuojančių įstatymų nuostatas, kurios tiesiogiai ar netiesiogiai gali įpareigoti rinkti tam tikrus asmens duomenis.

Trečioji dažnai pasitaikanti klaida – duomenų saugojimo laikotarpio nenustatymas. Taip pat, kaip ir duomenų kiekio mažinimo principas, saugojimo trukmės apribojimo principas taipogi yra vienas kertinių BDAR principų. Dažnai bendrovėse renkami asmens duomenys yra saugojami neribotą laikotarpį, kas savaime yra laikytina šiurkščiu BDAR pažeidimu. Tokią duomenų saugojimo praktiką derėtų pamiršti. Lietuvoje nemažai duomenų saugojimo terminų yra pateikti teisės aktuose – Lietuvos vyriausiojo archyvaro patvirtintojo Bendrųjų dokumentų saugojimo terminų rodyklėje, taip pat, kituose specialiuosiuose teisės aktuose. Taigi, dažnu atveju netgi nėra būtina sudaryti atskiros vidinės bendrovės duomenų saugojimo politikos. Užtenka vadovautis teisės aktuose nurodytais saugojimo terminais bei duomenų tvarkymo įrašuose nurodytais saugojimo terminais tų duomenų, kurių neapima teisės aktai.

Ketvirtoji klaida, su kuria dažnai susiduriama, tai nepakankamas arba visiškai neatliekamas fizinių asmenų informavimas apie tai, kaip tvarkomi jų asmens duomenys. Lyginant su iki BDAR galiojusiu teisiniu reguliavimu, pareiga informuoti asmenis apie tai kaip tvarkomi jų asmens duomenys gerokai išsiplėtė, t. y. dabar būtina pranešti daugiau informacijos nei anksčiau. Tačiau, skirtingai nei dauguma mano, tokia pareiga galiojo ir anksčiau. Vienintelis pokytis – dabar asmenims reikia pateikti gerokai daugiau informacijos nei anksčiau. Apibendrinant dabartinį reguliavimą, kiekvienas asmuo, kurio duomenis bendrovė renka tiesiogiai iš paties asmens, ar gauna iš kitų subjektų, turi būti informuotas apie tai, kaip bendrovėje bus tvarkomi jo duomenys, t. y. kokie duomenys renkami, kokiu tikslu ir teisiniu pagrindu jie renkami, kiek laiko saugomi, taip pat, nurodyti bendrovės tapatybę bei kontaktinius duomenis, asmens turimas teises ir kitą privalomą informaciją. Bendrovėms būtina pasirengti reikiamus informacinius pranešimus apie asmens duomenų tvarkymą ir pateikti juos asmenims, kurių duomenis bendrovė tvarko.

Penktoji ir viena didžiausių klaidų, su kuriomis tenka susidurti, tai nepakankama bendrovės priežiūra duomenų apsaugos srityje. Ši klaida pasireiškia keletu skirtingų formų – atsakingų už duomenų apsauga bendrovėje ar duomenų apsaugos pareigūnų nepaskyrimu, turimų dokumentų neatnaujinimu, nepakankamu darbuotojų švietimu duomenų apsaugos srityje ir pan. BDAR reikalauja iš bendrovių nuolatinės priežiūros ir bendrovės veiklos kontrolės, be kurios neįmanoma užtikrinti bendrovės atitikties BDAR reikalavimams. Bendrovėse ne tik būtina paskirti atsakingą už duomenų apsaugos reikalavimų įgyvendinimą asmenį ar asmenis, bet ir užsiimti darbuotojų ugdymu duomenų apsaugos srityje, atlikti savalaikį dokumentų atnaujinimą, bendrovės procesų susijusių su asmens duomenimis tikrinimą bei dokumentuoti svarbiausius su asmens duomenų apsauga priimamus sprendimus ar įvykusius įvykius.

Dažnai pasitaikančių klaidų yra ir daugiau, tačiau šios klaidos yra didžiausios ir siekiant tinkamai įgyvendinti BDAR reikalavimus būtina pradėti būtent nuo šių klaidų taisymo. Šiuos aspektus rekomenduojame peržiūrėti net jei savo bendrovėje skiriate didelį dėmesį asmens duomenų apsaugai.

Karolis Sadauskas | Asocijuotas teisininkas, CIPP/E

Pylimo g. 41A, LT–01136, Vilnius, Lietuva

El. paštas: karolis.sadauskas@linden.lt

Tel.: +37052121506