Bendrasis duomenų apsaugos reglamentas 2018 m.

Bendrasis duomenų apsaugos reglamentas (toliau - BDAR) įsigaliojo 2018 m. gegužės 25 d. Organizacijos įdėjo nemažai pastangų, kad atitiktų naujai įsigaliojusius BDAR reikalavimus. Kai kurios didžiosios bendrovės paruošiamuosius darbus pradėjo dar gerokai iki BDAR įsigaliojimo, dalis gali didžiuotis visiškai atitinkančios BDAR reikalavimus. Smulkus ir vidutinis verslas dažnu atveju tik iš dalies atitinka BDAR reikalavimams, prašo daugiau laiko pokyčiams įgyvendinti.

Duomenų apsaugos institucijų veikla

Europos Sąjungos narių duomenų apsaugos institucijos skuba paskui jų pačių paleistą traukinį. Duomenų apsaugos institucijų veikla apima ne tik BDAR reikalavimų ar gairių nustatymą, bet ir skundų dėl fizinių asmenų duomenų apsaugos pažeidimų administravimą bei tyrimus. Europos Sąjungos institucijos yra gavę nemažai skundų dėl didelių korporacijų veiklos, pavyzdžiui,  Google, Facebook, Instagram ir WhatsApp taikomas priverstinis fizinio asmens sutikimas su duomenų tvarkymu.

Valstybinė duomenų apsaugos inspekcija (toliau - VDAI) duomenimis, 2018 m. gauta 87 pranešimai apie pažeidimus iš juridinių asmenų, t.y. daugiau nei 12-a kartų daugiau nei 2017 m. 2018 m. daugiausia tokių pranešimų gauta dėl duomenų paviešinimo, praradimo, vagystės ir nukopijavimo. 2017 m. VDAI iš viso yra gavusi 480 skundus, per nepilnus 2018-uosius - beveik dvigubai daugiau. Europos Sąjungoje duomenų apsaugos institucijos 2018 m. gavo per 95 tūkst. skundų. 2018 m. daugiausia tokių skundų gauta dėl tiesioginės rinkodaros, skolininkų duomenų, specialių kategorijų asmens duomenų, asmens kodo, vaizdo duomenų tvarkymo teisėtumo, paslaugų sektoriaus, valstybės registrų. Artimiausiu trejų metų laikotarpiu VDAI didžiausią dėmesį skirs priežiūros veiklos tobulinimui, visuomenės informuotumo didinimui ir tarptautinio bendradarbiavimo stiprinimui.

Pagalba smulkiam ir vidutiniam verslui

VDAI 2018 m. pabaigoje paviešino bazinius rekomenduojamus 20 minimalių organizacinių ir techninių duomenų saugumo reikalavimus, kurie paaiškinti atsižvelgiant į du itin aktualius skaitmeninės erdvės saugumo dokumentus – informacinių technologijų saugumo standartą LST EN ISO/IEC 27001:2017 ir Bendrąjį duomenų apsaugos reglamentą. VDAI parengtose “Tinkamų organizacinių ir techninių duomenų saugumo priemonių įgyvendinimo gairėse asmens duomenų valdytojams ir tvarkytojams” nurodoma privalomai kiekvienu atveju atlikti rizikos vertinimą ir nustatyti asmens duomenų apsaugos priemones organizacijoje. Rizikos vertinimo kriterijų ar pavyzdinio asmens duomenų saugumo priemonių rinkinio VDAI nepateikia.

Paulius Šatkauskas, UAB Sabelija Vilniaus skyriaus direktorius pabrėžia, kad pateiktos gairės padeda visiškai užtikrinti Bendrojo duomenų apsaugos reglamento atitiktį tik toms organizacijoms, kuriose atliktas asmens duomenų apsaugos rizikos vertinimas yra žemas. VDAI oficialiame pranešime teigia, kad VDAI atliekant tikrinimus organizacijose, nepriklausomai nuo organizacijų dydžio ar sektoriaus, bus svarbu, ar įgyvendintos bent jau šios minimalios priemonės, prisidedančios prie asmens duomenų ir privatumo apsaugos užtikrinimo.

Sankcijos ir baudos

Europos Sąjungoje 2018 m. buvo gana ramūs baudų ir sankcijų požiūriu. Duomenų apsaugos specialistų nuomone, tokios didelės apimties pokyčiams įsigalėti reikia laiko. Normalu, kad šalių narių duomenų apsaugos institucijos leido organizacijoms apsiprasti su BDAR reikalavimų sąrašu.

Keletas svarbių asmens duomenų apsaugos pažeidimų bylų yra nagrinėjamos. Jei būtų įvykdyti reikšmingi pažeidimai, galimos baudos iki 4% metinės organizacijos apyvartos. Spaudoje iki šiol garsiau nuskambėjo trys baudų atvejai: Vokietijoje socialinių tinklų operatorius gavo 20 tūkst. eurų baudą už vartotojų asmens duomenų apsaugos neužtikrinimą; Austrijoje sporto lažybų kavinė gavo 5,28 tūkst. eurų baudą už neteisėta video stebėjimą; Prancūzijoje Google gavo 50 mln. eurų baudą už nepakankamą vartotojų duomenų tvarkymo sutikimą reklamose.

Ko galima tikėtis 2019 m.?

Duomenų apsaugos specialistų teigimu, Europos Sąjungos duomenų apsaugos institucijos sparčiai didina ekspertų skaičių ir kompetencijų spektrą reaguodamos į gaunamų skundų skaičių. Ekspertų teigimu, geranoriškas pusmečio periodas baigėsi ir reiktų ruoštis griežtesniems duomenų apsaugos institucijų veiksmams pažeidėjų atžvilgiu. Duomenų apsaugos institucijos aiškiai atskyrė požiūrį į organizacijas, kurios bando atitikti bent minimalius BDAR reikalavimus, ir tas organizacijas, kurios nededa pastangų įgyvendinti BDAR atitikties.

2019 m. Europos Sąjungoje taip pat galime tikėtis naujų teisinių reguliavimo priemonių, pavyzdžiui elektroninio privatumo klausimu (angl. e-privacy). Naujas teisinis reguliavimas galimai išplės sausainius ir naujų technologijų, pvz. IoT, naudojimo taisykles.

Taip pat laukiama organizacinės kultūros pokyčių. Iš organizacijų BDAR reikalavimuose tikimasi, kad savo veikloje ir procesuose jos vadovausis duomenų apsaugos bei privatumo užtikrinimo principais. Pagal nutylėjimą reikalaujama, kad parduodant prekes arba paslaugas iš vartotojų bus imama tik būtinas asmens duomenų kiekis prekei parduoti ar paslaugai suteikti. Taip pat pagal nutylėjimą organizacijos įpareigojamos duomenis laikyti tik tokį laiką, kuris yra būtinas, ne ilgiau.

VDAI svetainėje publikuojama, kad 2019–2021 m. laikotarpiu inspekcija ir toliau vykdys Duomenų apsaugos valdymo programą. Ją įgyvendinant siekiama užtikrinti asmens duomenų tvarkymo teisėtumo kontrolę, ginti asmenų teisę į asmens duomenų apsaugą, plėsti duomenų valdytojų ir tvarkytojų supratimą apie pareigas duomenų apsaugos srityje, užtikrinti reglamente įtvirtinto atskaitomybės principo taikymą, gerinti visuomenės informuotumą dėl duomenų subjektų teisių ir duomenų apsaugos priemonių taikymo, skatinti visuomenės nepakantumą pažeidimams, susijusiems su asmens duomenimis, ir ginti savo pažeistas teises.