Kaip tinkamai įgyvendinti BDAR reikalavimus?

Verslas

2020.11.30

Autorius: Veronika Bielinytė

Temos: , .

Kaip tinkamai įgyvendinti BDAR reikalavimus?

G. Rimkūnaitė-Manke Asmeninio albumo nuotr.

Bendrojo duomenų apsaugos reglamento (BDAR) reikalavimai prieš kurį laiką tapo nemenku galvos skausmu kiekvienam verslui. Klausimai: ką daryti, kaip pasirengti reikiamus dokumentus, kaip užtikrinti duomenų apsaugą, kaip atitikti reikalavimus, kamavo dažną verslininką. Visgi, praėjus kuriam laikui, advokatų kontoros GLIMSTEDT advokatė, ekspertė Giedrė Rimkūnaitė-Manke pastebi, kad dėmesio BDAR skiriama dar per mažai, o ir žinių vis dar stinga.

„Prieš BDAR įsigaliojimą ir po to verslas puolė tvarkytis atitiktį jo reikalavimams. Tačiau dažnu atveju susitvarkė dokumentus, o ne asmens duomenų apsaugą“, – teigia pašnekovė, kuri savo įžvalgomis ir patarimais dalinsis jau nuo gruodžio 8 d. startuosiančiuose internetiniuose mokymuose tiesiogiai iš „Workland” konferencijų salės. 

Vieno sutikimo negana

Kas nutiko, kai verslo buvo paprašyta atitikti BDAR reikalavimus? Pašnekovės teigimu, daugelio tvarkymasis apsiribojo tiesioginės rinkodaros klausimais ir vartotojo sutikimo tvarkyti duomenis gavimu. Vis dėlto net ir čia buvo palikta spragų.

„Kasdieniame gyvenime, ko gero, dažniausiai pastebimi pažeidimai, susiję su tiesioginės rinkodaros reikalavimų nesilaikymu, t. y. elektroninių šiukšlių (angl. spam) siuntimu, taip pat slapukų naudojimu, ypač kai naudojami reklaminiai slapukai, nesant sutikimo arba su paslėptu menamu sutikimu“, – sako ekspertė.

G. Rimkūnaitė-Manke taip pat pabrėžia, kad vyrauja klaidingas suvokimas apie vartotojo sutikimo svarbą: „Dažnai vadovaujamasi mitu, kad asmens sutikimas yra viskas ir, jeigu jau jį turi, esi įvykdęs visus BDAR reikalavimus. Pavyzdžiui, pasirašant sutartį, prašoma kliento sutikimo, kad jo duomenys būtų tvarkomi sutarties vykdymo, pirkinio garantinės priežiūros ar panašiu tikslu. Iš tiesų sutikimas yra tik vienas iš šešių teisėto asmens duomenų tvarkymo pagrindų. Minėtuoju atveju duomenys gali būti tvarkomi sutarties vykdymo pagrindu, o prašomas sutikimas, kurį asmuo yra priverstas duoti, prieštarauja BDAR reikalavimams.“ 

Atlikite inventorizaciją

Išoriškai matomos klaidos, susijusios su BDAR, dažniausiai ne vieninteliai reikalavimų įgyvendinimo trūkumai. Dažnas verslas tiesiog nežino, kokius duomenis renka ir kam jie reikalingi.

„Kai atliekame klientų (įvairaus dydžio įmonių) teisinį duomenų apsaugos įvertinimą, pastebime išoriškai ne visada matomas klaidas, kurios dažniausiai susijusios su tuo, kad įmonės nežino, kokius duomenis tvarko, kokiu pagrindu tai daro, neturi aiškios tvarkos ir sistemos. Manau, kad iš to nežinojimo arba nepakankamo dėmesio skyrimo ir kyla didžioji dalis pažeidimų. Todėl pirmiausia rekomenduoju atlikti asmens duomenų inventorizaciją, t. y. susisteminti, kokie duomenys tvarkomi, kokiu tikslu ir pagrindu, atsisakyti perteklinių duomenų, apsibrėžti, kiek laiko reikia duomenis saugoti ir pan.“, – pataria G. Rimkūnaitė-Manke.

Kopijuoti neverta

Atlikus asmens duomenų inventorizaciją, verslininkui atsiveria akys, kam, kodėl ir ar išvis vienų ar kitų duomenų rinkimas yra reikalingas. Tuomet kur kas paprasčiau pasirengti savo verslui tinkamus, aiškiai suprantamus dokumentus, aprašus bei taisykles. Dar viena dažnai pasitaikanti klaida yra tai, kad, nesuvokdami savo verslo duomenų apsaugos poreikių, verslininkai dokumentus pasiskolina iš konkurentų ar interneto.

„Pasiskolinę iš interneto ar padarę „copy–paste“ iš konkurento, galite padaryti dvi klaidas. Pirma, kopijuodami pažeidžiate asmens, kuris tą dokumentą kūrė, autorių teises. Antra, negalite būti tikri, kad dokumentas tiks jums ir ar jis apskritai yra teisingas“, – dėsto G. Rimkūnaitė-Manke. 

Pasak jos, dokumentai neturi būti itin sudėtingi ir privalo būti atliepiantys jūsų verslo poreikius: „Dokumentas bus tinkamas tik tada, jeigu jis atitiks faktinę situaciją, bus pritaikytas konkrečiai jums. Tai nereiškia, kad dokumentas turi būti labai sudėtingas, priešingai – jis gali būti parašytas labai paprastai, tačiau turi atitikti būtent jūsų situaciją ir poreikius.“

Taip pat ekspertė skatina nepamiršti ir tinkamai pasirengti privatumo politiką, kuriai prireiks dviejų sudedamųjų dalių: „Privatumo politika yra pagrindinis išorinis dokumentas, susijęs su asmens duomenų tvarkymu, o jo tikslas – informuoti apie jūsų atliekamą duomenų tvarkymą, asmenų teises. Rengiant savo privatumo politiką, svarbiausi yra du dalykai. Pirma, reikia aiškiai žinoti, kokius asmens duomenis, kokiais tikslais ir kokiu pagrindu tvarkote, ir tai labai aiškiai atspindėti privatumo politikoje. Antra, reikia žinoti, kokią kitą informaciją privalote pateikti duomenų subjektams, ir ją ten pateikti. Ši antroji dalis yra daugmaž standartinė ir taikoma, neatsižvelgiant į veiklos pobūdį.“

Asmens duomenų teisinė apsauga – dar ne viskas

Pašnekovė patikina, kad susikoncentruoti vien į asmens duomenų teisinę apsaugą taip pat ydinga. Anot jos, vertėtų nepamiršti ir kitų asmens duomenų apsaugos priemonių.

„Teisiniai asmens duomenų apsaugos klausimai yra tik viena pusė. Ne mažiau svarbios yra techninės ir organizacinės duomenų apsaugos priemonės. Jos turi būti parenkamos, atsižvelgiant į tvarkomų asmens duomenų jautrumo, kiekio, rizikos lygį. Asmens duomenų saugumo pažeidimai (pavyzdžiui, neteisėtas duomenų atskleidimas ar nutekėjimas) yra patys rimčiausi pažeidimai, kurie sukelia sunkiausias pasekmes duomenų subjektams, todėl už juos tenka susimokėti didžiausias baudas ir gali tekti atlyginti asmenų patirtus nuostolius“, – atskleidžia G. Rimkūnaitė-Manke.

Dar daugiau naudingų patarimų, kaip tinkamai parengti teisinius dokumentus, įgyvendinti verslams keliamus reikalavimus ir atitikti BDAR nustatytas normas, G. Rimkūnaitė-Manke atskleis internetinių mokymų metu. Drauge su ja savo patarimais dalinsis kolegė, advokatų kontoros GLIMSTEDT teisininkė, žiniasklaidos teisės ekspertė Raminta Bučiūtė. Dalyviams, užsiregistravusiems iki gruodžio 1 d., bus sudarytos galimybės papildomai panagrinėti jų atvejus mokymų metu, tad organizatoriai skatina suskubti ir įsigyti jūsų verslui naudingo turinio.

 

Ekspertai

Giedrė Rimkūnaitė-Manke

Giedrė Rimkūnaitė-Manke

Advokatė, ekspertė / Advokatų kontora „Glimstedt”

Raminta Bučiūtė

Raminta Bučiūtė

Teisininkė, žiniasklaidos teisės ekspertė / Advokatų kontora GLIMSTEDT

Organizuojate renginį?

Tuomet „bzn start” gali pasiūlyti puikią galimybę išviešinti Jūsų renginį ir padėti pritraukti potencialių dalyvių.

Dėmesio! Svetainė naudoja slapukus. Daugiau informacijos apie slapukus galite rasti čia.