Iki šiol duomenų apsauga Lietuvoje buvo reglamentuota remiantis ES direktyva, kuri buvo priimta 1995 metais. Tačiau nuo gegužės 25 d. visoje Europoje įsigalios naujas duomenų apsaugos reglamentas, kuris jau yra tiesioginio taikymo teisės aktas, numatantis daug griežtesnę duomenų apsaugą ir atsakomybę.
„Pagrindinis pokytis yra tai, kad visoje ES reglamentavimas bus vienodas. Kas bus kitaip – reglamentavimas galbūt labai ir nesiskirs, tačiau bus reglamentuota griežčiau. Griežčiau bus vertinamas ir pats asmens duomenų tvarkymas“, – sako IT saugumo bendrovės „NRD CS“ Informacijos saugos teisininkas, tyrėjas Šarūnas Virbickas.
Jis aiškina, kad vartotojai įgis daugiau teisių į savo duomenis, o duomenis valdančioms įmonėms ir institucijoms teks daugiau prievolių, kad būtų užtikrintas tvarkomų duomenų saugumas.
Tik įmonės tam dar nesiruošia, nors teliko keturi mėnesiai.
„Dabartiniu metu jau jaučiamas susidomėjimas. Galbūt didžiosios bendrovės, bankai, šiuos klausimus tvarkosi, galbūt kai kas jau susitvarkę ir pasiruošę, tačiau didžioji dalis įmonių organizacijų ne tik Lietuvoje bet ir visoje ES, net ir JAV, kuriai bus privaloma laikytis reglamento reikalavimų – niekas dar rimtai nepradėję ruoštis.
Jei ir pradėję, toli gražu iki atitikimo reglamentui. Įvairūs vertinimai rodo kad 70–86 proc. organizacijų dar neatitinka, ir daugelis net nepradėjo ruoštis“, – sako Š.Virbickas.
Jis juokauja, kad dar 2016 m. balandį, kuomet reglamentas buvo priimtas ir palikti dveji metai iki jo įsigaliojimo, – jau buvo per vėlu jam pasiruošti.
Bankrotą „garantuojančios“ baudos
Naujame reglamente numatytas baudų dydis yra pagrindinė priežastis, įliejusi nerimo verslui.
Duomenų valdytojui ir duomenų tvarkytojui, pažeidusiam reglamento nuostatas, gali būti skiriamos administracinės baudos, kurios kiekvienu konkrečiu atveju turi būti veiksmingos, proporcingos ir atgrasomos, nurodoma VDI svetainėje. Priklausomai nuo Reglamento pažeidimo pobūdžio bauda gali siekti iki 2 ir iki 4 proc. ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, arba iki 10 arba iki 20 mln. eurų, priklausomai nuo pažeidimo sunkumo. Skiriama ta baudos suma, kuri didesnė.
„Esminis dalykas – baudos kils drastiškai. Šiuo metu, jei neklystu, už pakartotinį pažeidimą didžiausia administracinė nuobauda yra iki 3 tūkst. eurų, o pradėjus taikyti reglamentą bauda gali būti skirta iki 10 mln. eurų arba 2 proc. metinės apyvartos už lengvesnius pažeidimus“, – sako Š.Virbickas.
Anot jo, bauda gali siekti ir 100 mln. eurų, jei tik įmonės apyvarta yra itin didelė.
Palyginimui, tinkamai klientų duomenų neapsaugojusios „Grožio chirurgijos“ vadovas pernai gavo 750 eurų baudą.
Socialinio tinklo „Facebook“ grupėse jau liejasi nuogąstavimai, ypač tarp kūrybinėse industrijose dirbančių verslininkų.
„Nereikia bauginančiai kalbėti. Reglamente dar labai daug neapibrėžtų vietų. Kol ateis iki baudos 2–4 proc. nuo metinės apyvartos, tai bus įspėjimas, papeikimas, duomenų tvarkymo veiklos sustabdymas. Tai niekas niekam kelnių nenumaus“, – abejoja vienas socialinio tinklo „Facebook“ marketingo grupės narys Evaldas, remdamasis EK išaiškinimu.
Tačiau kitas narys Darius jam atkerta, kad „niekas nieko nebaugina“ ir pasigenda reglamente tokių žodžių kaip „įspėjimas“ ar „papeikimas“.
„Žinoma, galima save raminti, apgaudinėti ir improvizuoti galimas situacijas. Tą patį galite daryti ir mokestiniuose įstatymuose, gal ir ten tik pirštu pagrūmos... Esmė yra ta, kad reglamentas įsigalioja ir teks jį vykdyti kaip ir visus kitus įstatymus. O neapibrėžtų vietų, klausimų, praktikos ir kitų niuansų yra kaip ir visuose naujuose įstatymuose, bet jų nėra tiek, kad būtų galima nevykdyti ar tiesiog ignoruoti teisės aktų“, – įspėja socialinio tinklo narys.
Vis tik panašu, kad už menkiausią pažeidimą mokėti 10 mln. eurų neteks: pagal reglamentą priežiūros institucija turi įgaliojimus įspėti, reikšti papeikimus, nurodyti tenkinti prašymus, nustatyti laikotarpius nuostatoms atitikti ir pan.
O prireikus galima išsitraukti ir didesnį vėzdą – skirti baudas, atšaukti sertifikatus, nurodyti sustabdyti duomenų srautus.
Gyventojams – neregėtos teisės
Gyventojams naujasis įstatymas įtvirtina dvi pamatines teises: teisę į duomenų perkeliamumą, ir teisę būti pamirštam.
Duomenų perkeliamumas reiškia, kad jei gyventojas pateikė duomenis konkrečiai įmonei, jis turi teisę gauti tuos duomenis įprastai naudojamu ir kompiuterio nuskaitomu formatu, ir persiųsti tuos duomenis kad ir kitai įmonei.
„Tarkime, ateini į draudimo bendrovę, kurioje draudiesi, ir paprašai pateikti visą draudimo istoriją, kadangi bendrovė tvarkė duomenis. Su ta istorija gali pereiti į kitą įmonę ir jai pateikti – va turiu tokią istoriją, gal man pasiūlysite kitas sąlygas“, – galimybes įžvelgia Š.Virbickas.
Teisė būti pamirštam leis gyventojams reikalauti, kad įmonės ištrintų visą turimą informaciją, kai tik pasibaigs terminas, kuriam buvo nustatytas duomenų tvarkymas, arba atšaukiamas duotas sutikimas duomenis tvarkyti.
„Ši teisė nėra absoliuti. Jei kas nors galvoja, kad dabar nueisiu į skolų bendrovę, kurioje esu skolininkas, ir pareikalausiu, kad ištrinkite apie mane duomenis ir niekas nieko nebežinos – tai ne. Jei yra kažkoks kitas pagrindas, kuriuo vadovaudamasis duomenų valdytojas turi teisę tuos duomenis toliau tvarkyti – asmuo gali reikalauti, bet jo teisė nebus įgyvendinta. Kad ir tame pačiame banke, jei galioja sutartis tarp jūsų ir banko, negalite pareikalauti ištrinti turimus duomenis“, – paaiškina Š.Virbickas.
Jis pateikia pavyzdį, kad įstatymų gali būti numatyti kiti pagrindai kaupti ir tvarkyti duomenis. Pavyzdžiui, sveikatos apsaugos sektoriuje ligos įrašai gali būti saugomi 10, 25 ar net 50 metų.
Kiekvienas turi teisę susipažinti su savo asmens duomenimis ir žinoti, kaip jie tvarkomi.
Š.Virbickas primena, kad gyventojai ir toliau turės teisę būti informuoti apie jų duomenų tvarkymą – prieš pradedant jų duomenis tvarkyti jiems turi būti pranešta.
„Kiekvienas turi teisę susipažinti su savo asmens duomenimis ir žinoti, kaip jie tvarkomi. Duomenų subjektai turi teisę ištaisyti ir sunaikinti savo asmens duomenis arba sustabdyti duomenų saugojimo ir tvarkymo veiksmus, jei jie tvarkomi nesilaikant teisės aktų reikalavimų. Turi teisę ir nesutikti, kad būtų tvarkomi jų asmens duomenys“, – vardija Š.Virbickas.
Jis paaiškina, kad reglamentas pradėtas rengti dar 2013-aisiais, ir jo tikslas – grąžinti duomenis vartotojams, tai yra, tikriesiems duomenų savininkams.
„Elektroninėje erdvėje duomenys renkami ir tvarkomi didžiuliais kiekiais ir tu net nežinai, kam tavo duomenys yra teikiami. Įeinant į bet kurį tinklalapį – tave seka, fiksuoja tavo apsilankymą, kokios informacijos ieškai. Galiausiai to nebegali kontroliuoti. Net ir mobiliosios programėlės prašo prieigos prie tavo nuotraukų, kontaktų, galimybės atlikti skambučius, fotografuoti, įrašyti garsą, nors tokių duomenų joms net nereikia. Tai čia yra ES bandymas šiek tiek sutvarkyti šią sritį“, – sako teisininkas.
Duomenis galės tvarkyti bet kas – bet ne bet kaip
Šiuo metu duomenis tvarkančios organizacijos privalo registruotis Valstybinės duomenų inspekcijos tvarkomame Asmens duomenų tvarkytojų registre. Įsigaliojus reglamentui to daryti nebereikės, aiškina teisininkai.
„Pradėjus taikyti reglamentą nebelieka šios prievolės – nebebus privaloma įsiregistruoti prieš pradedant tvarkyti duomenis. Tvarkyti duomenis galės bet kas ir bet kada, tik turės užtikrinti, kad laikomasi reglamento reikalavimų. Tai yra, priežiūros institucijai atvykus patikrinti ar pradėjus tyrimą pagal skundą, įmonė ar organizacija turės pateikti įrodymus, kad ji reikalavimų laikosi“, – sako „NRD CS“ teisininkas.
Jis vardija, ką reikės įrodyti: įmonės tvarkyti duomenis galės tik teisėtu tikslu, jei reikia, privaloma gauti sutikimus dėl duomenų tvarkymo. Duomenų subjektams – paprastai įmonių klientams, gyventojams, – turės būti teikiama visa informacija, kokius duomenis apie juos ketinama rinkti ir jie galės su tuo sutikti arba ne.
Įmonės privalės įrodyti, kad tvarko duomenis teisėtu tikslu, kad informavo apie tai klientus, ir kad tvarko tik tokius duomenis, kurių reikia jų veiklos tikslams pasiekti.
„Žinoma, kai kuriais atvejais žmonių sutikimo nereikia, kai yra kitas teisinis pagrindas, pvz., iš sutarties sudarymo ir vykdymo ar kitų teisės aktų kyla tokie reikalavimai“, – paaiškina Š.Virbickas.
Tačiau tik žodinių patikinimų, kad sutikimas gautas, tikrintojams tikrai nepakaks.
„Įmonės privalo viską daryti taip, kad esant reikalui galėtų pateikti įrodymus. Tikrai nepakanka pasakyti, kad mes duomenų subjektus informavime žodžiu. Jeigu jie neturi kažkokio parašo ar internete anketoje pažymėtos varnelės ar kitokio įrašo – reiškia neturi įrodymo, kad laikaisi reglamento reikalavimų“, – sako Š.Virbickas.
Anot jo, dažnai atliekant įmonių auditus nustatoma, kad įmonės renka nepagrįstai daug duomenų.
„Paklausus, kodėl jūs renkate tokius duomenis, dažnai paaiškina – ai, pagalvojome, kad gal reikės. Tai nauju reglamentu siekiama mažinti tvarkomų duomenų kiekį, kad būtų tvarkoma tik tiek duomenų, kiek reikia. Jeigu tau paslaugos teikimui reikia tik kliento vardo, pavardės ir adreso – tau nereikia rinkti jo pomėgių ar dar kažko, kaip neretai daroma dabar“, – sako saugumo ekspertas.
Taikoma ir smulkioms įmonėms – bausti gali už CV saugojimą
Naujojo ES duomenų apsaugos reglamento reikalavimai yra aktualūs visoms įmonėms ir organizacijoms be išimties.
„Bet kuris verslas, ypač mažos įmonės, galvoja, kad joms tai netaikoma. Taikoma – ir netgi tuo atveju, jei nėra jokių fizinių asmenų kaip klientų. Galbūt įmonės teikia paslaugas tik verslui, tačiau vis tiek tvarko savo darbuotojų duomenis. Bet kuri įmonė prieš įdarbindama darbuotojus atlieka atrankas. Tai taip pat yra asmens duomenų tvarkymas, į kurį galbūt buvo žiūrima šiek tiek pro pirštus“, – sako Š.Virbickas.
Jis aiškina, kad, pvz., darbuotojų atrankos duomenys turės būti tvarkomi tik atrankos tikslais – gavus kandidatų sutikimą. Tačiau saugoti šių duomenų – nevalia.
„Neretai būna, kad įvyksta konkursas, o įmonė vėliau surinktus CV pasilieka – pasidaro vidinę duomenų bazę, kuri galbūt bus naudojama atsilaisvinus darbo vietoms. Tai šiuo atveju toks tvarkymas jau yra neteisėtas. Jei renkami duomenys buvo kitais tikslais, ir gautas sutikimas – tik atrankai duomenys ir turi būti naudojami. Norėdami kandidatų CV saugoti – turi gauti kitą jų sutikimą“, – sako Š.Virbickas.
Kaimo parduotuvė turėtų apsirašyti politikas ir tvarkas
Netgi kaimo parduotuvė, turinti skolų sąsiuvinį, įsigaliojus naujam reglamentavimui duomenis tvarkytų neteisėtai. Jai reikėtų pasirengti politikas ir taisykles.
„Pradėkime nuo to, ar duomenų surinkimas ir tvarkymas yra teisėtas. Reikia žiūrėti, ar turi asmens duomenų tvarkymo politiką, tvarkymo taisykles, kuriose detalizuota, kokius duomenis įmonė ir kaip tvarko. Jei įmonė turi skolų sąsiuvinį ir rašo, kiek kas skolingas, visa tai turi būti oficialiai įteisinta. Turi būti aprašyta, kad įmonėje yra vidinis dokumentas, kuriame tvarko duomenis – vardą, pavardę, skolos dydį, datą, kada planuoja grąžinti, ir kokiu tikslu tokie duomenys tvarkomi“, – sako Š.Virbickas.
Jis prideda, kad vidinis įmonės dokumentas turėtų būti tinkamai ir apsaugotas – turi būti užtikrinta, kad prie jo neturėtų prieigos niekas, kas neturi tam teisės.
„Tai jei kasininkė laiko sąsiuvinį stalčiuje ir bet kas gali prieiti – akivaizdu, kad tai nebus pakankama“, – nejuokauja Š.Virbickas.
Kiekvienas duomenų valdytojui ar tvarkytojas turės įgyvendinti tinkamas organizacines ir technines duomenų saugumo priemones.
„Nepakanka vien tik tinkamai reglamentuoti tam tikrus klausimus, patvirtinti reikalingas tvarkas ar taisykles, neišvengiamai būtinos ir konkrečios techninės priemonės, kurios užtikrintų asmens duomenų saugumą“, – patikina teisininkas.
Kada kils prievolė samdyti duomenų apsaugos pareigūną
Dar viena naujovė, dėl kurios įmonėms skauda galvą – prievolė turėti duomenų apsaugos pareigūną. Paskirti duomenų apsaugos pareigūną turėti tiek duomenis tvarkančios, tiek ir duomenis valdančios organizacijos. Tiesa, ne visos.
„Duomenų apsaugos pareigūnas iš esmės kaip ir nėra naujovė, nes ir pagal dabar galiojantį reglamentavimą duomenų valdytojai privalo paskirti už asmens duomenų tvarkymą atsakingą asmenį. Galima sakyti, kad tam tikras atsakingas asmuo ir dabar turi būti įmonėse, kurios tvarko duomenis. Tačiau naujame reglamente jau detaliau išskirta, kas yra tas duomenų apsaugos pareigūnas, kokios jo pagrindinės funkcijos ir iš esmės ne visoms įmonėms privaloma jį paskirti“, – sako Š.Virbickas.
Jis vardija, kad be valdžios institucijų ir įstaigų duomenų apsaugos pareigūną privalo paskirti tos įmonės, kurių pagrindinė veikla – duomenų tvarkymo operacijos, arba kurios tvarko specialiųjų kategorijų asmens duomenis dideliu mastu, arba duomenis apie kaltinamuosius nuosprendžius, nusikalstamas veiklas ir pan.
„Kitos įmonės gali skirti, gali neskirti, na o tokia rekomendacija, jei duomenys nepatenka į specialiąsias kategorijas, tačiau vis tiek jų apimtis didelė ir tvarkomi, pvz., sveikatos duomenys – pareigūnas padėtų“, – sako Š.Virbickas ir aiškina, kad jo pagalba įmonės geriau įvertintų procesus, duomenų reikalingumą – galbūt dalies atsisakius netgi pavyktų sutaupyti.
Įvykus įsilaužimui – tiksi 72 valandos
Įmonės apie incidentus, kurių metu duomenys buvo pažeisti ar nutekinti, atskleisti, pakeisti, sunaikinti ir pan., jei toks pažeidimas keltų grėsmę asmenų teisėms ir laisvėms, privalės nedelsiant ir, jei įmanoma, ne vėliau kaip 72 val. nuo pažeidimo momento pranešti Valstybinei duomenų inspekcijai. To nepakaks.
Įmonės turės įvertinti pažeidimo mastą, tipą, nustatyti, kiek ir kokie duomenys buvo paveikti, kokį neigiamą poveikį tai gali sukelti asmenims – įmonės turės imtis reikiamų priemonių tiek paties incidento sustabdymui bei pasekmių likvidavimui (įskaitant ir įrodymų tinkamą surinkimą bei preliminarų tyrimą) ir visą šią informaciją pateikti priežiūros institucijai.
Jei incidentas gali sukelti didelį pavojų asmenų teisėms ir laisvėms – turės būti papildomai informuotas kiekvienas asmuo, kurio duomenys buvo pažeisti.
