Bendrojo duomenų apsaugos reglamento (BDAR) reikalavimai dažnam verslui vis dar tampa didesne ar mažesne kliūtimi. Atliepdamas augančio verslo poreikius, žinių centras „bzn start“ inicijavo mokymus. Tiesioginėje transliacijoje iš „Workland” konferencijų salės savo patirtimi ir žiniomis dalijosi dvi advokatų kontoros GLIMSTEDT teisininkės: Giedrė Rimkūnaitė-Manke bei Raminta Bučiūtė.

Svarbus žinojimas

Kad ir kaip keistai skambėtų, tačiau verslai dažnai nežino, kokius duomenis apskritai tvarko jų įmonė. G. Rimkūnaitė-Manke atskleidžia, kad tai gana dažnas atvejis.

„Dokumentai yra tik vienas iš elementų, kurį reikia turėti. Svarbu visų pirma atsakyti sau į klausimą, kokius asmens duomenis tvarkome. Nors klausimas skamba elementariai, praktikoje matome, kad jis yra reikalingas. Įmonės, dirbančios kelis dešimtmečius, ilgainiui nebežino, kokie duomenys buvo rinkti, informacija pasimeta, nėra bendros sistemos, kiekvienas vadybininkas tvarkosi skirtingai. Jaunam verslui kyla kitų problemų, susijusių su tuo pačiu nežinojimu“, – pasakoja ekspertė.

Ji pabrėžia, kad itin svarbu inventorizuoti duomenis, tačiau ne mažiau aktuali ir takoskyra tarp duomenų valdytojo ir tvarkytojo sąvokų.

„Valdytojas yra asmuo, nustatantis duomenų tvarkymo tikslus, o duomenų tvarkytojas yra kitas asmuo, kuris duomenis tvarko valdytojo pavedimu. Pavyzdžiui, jeigu esame įmonė, teikianti rinkodaros paslaugas, tai savo klientų asmens duomenis sutarčių sudarymo tikslu ar tiesioginės rinkodaros tikslu, darbuotojų duomenis mes tvarkome kaip duomenų valdytojai. Tačiau jeigu prisiliečiame prie savo kliento valdomų asmens duomenų, pavyzdžiui, kliento socialinės žiniasklaidos naudojimo duomenys ar reklamos duomenys, tai jau yra duomenys su ne mūsų pačių nustatytais tikslais ir tampame tiesiog duomenų tvarkytojais“, – paaiškina specialistė.

Anot jos, kalbant apie asmens duomenų apsaugą, pirmiausia kalbama apie valdytojo tvarkomus duomenis, jo įsipareigojimus ir atsakomybes. 

Mažiau yra geriau

Reglamente apibrėžtas reikalavimas tvarkyti tik tiek duomenų, kiek yra būtina. Todėl pagrindinė rekomendacija verslui – neprisirinkti bereikalingų duomenų, kurių apsaugą vis tiek bus privaloma užtikrinti.

„Rinkite tik tuos duomenis, kurie būtini konkrečiam tikslui pasiekti. Pavyzdžiui, anksčiau būdavo mėgstama sutartyse nurodyti asmens kodą. Dabar laikomasi nuomonės, kad asmens kodas yra visiškai nereikalingas komercinėse sutartyse, nes netgi siekiant išieškoti skolą asmens kodas nėra reikalingas, reikalinga tik gimimo data. Todėl dabar rekomenduotina asmens kodų nerinkti“, – teigia G. Rimkūnaitė-Manke.

Advokatė pateikia dar vieną pavyzdį, kurį iki šiol galime pastebėti daugelio e. parduotuvių puslapiuose. Kai įsigyjama prekė ir pasirenkamas siuntimas paštomatu, klientui vis tiek būtina suvesti visą savo gyvenamosios vietos adresą. Tai jau yra perteklinė informacija. Nėra nelegalu rinkti šiuos duomenis, tačiau tam turi būti aiškus tikslas ir tvarkymo pagrindas.

Be to, labai svarbu, kad duomenys būtų saugomi tam tikrą apibrėžtą laiką, kuris yra reglamentuotas. 

Žinokite savo tikslus

Kiekvienas verslininkas turėtų gebėti atsakyti, kodėl jam reikalingi duomenys. Svarbu suprasti, kad tie patys duomenys gali būti tvarkomi ir keliais skirtingais tikslais. G. Rimkūnaitė-Manke pateikia pavyzdį, kad kliento vardas ir pavardė gali būti naudojami ir sutarčiai vykdyti, ir tiesioginei rinkodarai. Čia jau yra du atskiri tikslai.

Be tikslų, pagal BDAR reikalavimus svarbu žinoti ir pagrindą, kuriuo bus tvarkomi duomenys. Ekspertė R. Bučiūtė vardija šešias BDAR reglamente apibrėžtas sąlygas, o vienas iš jų yra sutikimas.

Sutikimo peripetijos

Viena iš sudėtingiausių ir daugiausia klausimų keliančių asmens duomenų valdymo sąlygų yra gaunamas sutikimas. R. Bučiūtė pastebi, kad pradžioje, vos įsigaliojus BDAR, verslams kilo daugybė klausimų, kaip sutikimus reikės surinkti, ir įsigalėjo mitas, jog sutikimas yra visada būtinas. Vis dėlto tai nėra tiesa, o taip pat yra keletas niuansų, kuriuos būtina žinoti, ir viskas taps kur kas paprasčiau.

„Sutikimas turi būti duotas laisva valia. Tai reiškia, kad asmeniui neturėtų grėsti jokių pasekmių, jeigu jis nuspręstų sutikimo neduoti. Sutikimas privalo būti konkretus, kad asmuo aiškiai suprastų, kam bus naudojami jo duomenys. Asmuo privalo būti informuotas apie tikslą, duomenų saugojimo laikotarpį ir asmens teises. Šioje vietoje galima pateikti nuorodą į privatumo politiką. Kitas labai svarbus momentas, kad sutikimas privalo būti išreikštas aktyviais veiksmais. Negali būti iš anksto pažymėtos varnelės. Patartina prie sutikimo nurodyti, kad asmuo bet kada gali atšaukti sutikimą“, – pasakoja R. Bučiūtė.

Anot jos, svarbu suvokti, kad sutikimą rinkti ir tvarkyti duomenis asmuo bet kada gali atšaukti, tačiau būtina žinoti, jog atšaukimas galioja į ateitį. Tai reiškia, kad verslui nereikia ištrinti sutikimo pagrindu gautų duomenų iki atšaukimo datos.

Kaip pasirinkti priemones?

Renkantis priemones, kuriomis bus tvarkomi duomenys, reikia atsižvelgti į duomenų tvarkymo pobūdį, aprėptį, kontekstą bei tikslus. 

„Asmens duomenų apsauga nėra vien popierių užpildymas. Tvarkant asmens duomenis būtina įvertinti, ar pasirinktu būdu gali kilti rizika asmens teisėms ir laisvėms“, – teigia R. Bučiūtė.

Ekspertė pastebi, kad priemonės klasifikuojamos į organizacines ir technines. Populiariausios organizacinės priemonės yra konfidencialumo sutartys su darbuotojais bei nuolatinis darbuotojų mokymas, kaip turėtų būti tvarkomasi su prižiūrimais asmens duomenimis. Pasak pašnekovės, šį principą gali įgyvendinti net ir pačios mažiausios įmonės, o bendrame kontekste tai jau būtų svarbus žingsnis tinkamai duomenų apsaugai užtikrinti. Techninės priemonės kartais gali pasirodyti net labai elementarios, tačiau iš tiesų yra ne mažiau svarbios.

„Tarkime, viena iš techninių priemonių yra fizinis saugumas. Jeigu duomenis tvarkome popieriniu variantu, turime užtikrinti, kad bus apsaugotos patalpos, kuriose jie laikomi. Tai yra rakinama patalpa, spintos ar stalčiai su užraktais. Skaitmeninėje erdvėje labai svarbus prieigos valdymas, viskas apsaugoma slaptažodžiais, vykdoma duomenų prieigos stebėsena, kad nutikus incidentui būtų galima nesunkiai atsekti, kas buvo daroma su duomenimis ir koks asmuo už tai atsakingas“, – pastebi specialistė.

Asmens teisės

Visiems savaime suprantama teisė būti informuotam apie tai, kokie duomenys ir kaip tvarkomi. Tačiau R. Bučiūtė išskiria ir daugiau teisių, kurias turi asmuo, o verslas privalo jas užtikrinti tvarkydamas duomenis.

„Asmuo turi teisę adekvačiai reikalauti, kad jo duomenys būtų panaikinti. Visgi tai negalioja tais atvejais, jeigu, tarkime, saugomas vaizdo įrašas, o jame akivaizdžiai matoma, kad asmuo padarė nusikalstamą veiką. Be to, asmuo turi teisę į duomenų perkeliamumą. Pavyzdžiui, jeigu visada savo mėgstamos muzikos jis klausėsi platformoje „Spotify“, o dabar pereina į „iTunes“, asmuo turi teisę prašyti, kad visi duomenys irgi būtų perkeliami“, – pavyzdžiais iliustruoja specialistė.

Vienas svarbiausių niuansų, pasak R. Bučiūtės, yra tas, kad asmuo turi teisę ginti savo teises ir pateikti skundą dėl duomenų tvarkymo. Verslas savo ruožtu privalo į skundą ar užklausą sureaguoti per 30 dienų.