Duomenų apsauga

Mano patirtis privatumo ir duomenų apsaugos srityje yra viena iš didžiausių Lietuvoje. Šia tema nuo 1998 m. dirbu tiek praktinį teisinį, tiek ir mokslinį darbą. Priminsiu, kad Lietuvoje asmens duomenų apsauga buvo reglamentuota nuo 1996 m. priėmus LR Asmens duomenų teisinės apsaugos įstatymą. Mano patirtis apima ir bendrus duomenų apsaugos klausimus – įmonės duomenų apsaugos dokumentų rengimą, duomenų subjektų sutikimų rengimą, sutarčių rengimą, bendravimą su priežiūros institucijomis, ir labai sudėtingus klausimus tokius, kaip duomenų tvarkymas įmonių grupės mastu, duomenų praradimo incidentai ir t.t.

Asmens duomenų tvarkymas ir apsauga yra būtina efektyvios įmonės veiklos dalis. Asmens duomenų apsauga yra žinių valdymo proceso įmonėje dalis. Efektyvi organizacija privalo:

  • valdyti žinias ir informaciją, užtikrinti jų saugumą ir tinkamą vadybą;
  • maksimaliai laikytis organizacijos be popieriaus principų, kas ženkliai palengvina ir supaprastina visus procesus;
  • pasirinkti ir taikyti racionalias bei proporcingas žinių ir informacijos apsaugos priemones.

Įmonės ar organizacijos tvarkomi asmens duomenys, kaip ir kita informacija, yra jos turtas ir pagrindas sėkmingai veiklai, dėl to reikia jį saugoti. Asmens duomenys gali būti prarandami tiek dėl piktavališkų išorinių poveikių, tiek ir dėl pačios įmonės aplaidumo. Kad to išvengti, svarbu aiškiai žinoti tvarkomus duomenis ir imtis tinkamų apsaugos priemonių.

Įmonių ar organizacijų tvarkomi asmens duomenys paprastai yra susiję su darbuotojais, vartotojais, klientais ar pacientais. Dalis tokių duomenų yra jautrūs ir intymūs asmens duomenys, įstatymiškai vadinami ypatingais asmens duomenimis. Šių duomenų saugumo užtikrinimas ir asmenų privatumo gerbimas yra labai svarbi verslo dalis. Įmonės ar organizacijos privalo rūpintis savo klientų teisėmis ir interesais.

Nuo 2018 m. gegužės 25 d. įsigaliosiantis Bendrasis duomenų apsaugos reglamentas (General Data Protection Regulation – GDPR) išplečia įmonių duomenų apsaugos pareigas:

  • Dauguma įmonių turės atlikti duomenų apsaugos poveikio vertinimus.
  • Visoms įmonėms reikės vesti išsamią asmens duomenų tvarkymo dokumentaciją (vien Asmens duomenų tvarkymo taisyklių, kaip šiuo metu, tikrai nepakaks).
  • Iš esmės visos įmonės turės skirti duomenų apsaugos pareigūną.
  • Įmonės turės nedelsiant informuoti priežiūros instituciją, o kai kuriais atvejais ir duomenų subjektus, apie duomenų pažeidimo incidentus.
  • Įmonės turės peržiūrėti esamus duomenų subjektų (klientų, vartotojų, darbuotojų, etc.) sutikimus ir užtikrinti naujas duomenų subjektų teises.

Asmens duomenų apsauga prisideda prie įmonės ar organizacijos reputacijos kūrimo bei pasitikėjimo įmone užtikrinimo. Ignoruodami duomenų apsaugą palaipsniui prarandate pasitikėjimą, reputaciją, vėliau netenkate klientų ir pajamų.

Įmonės, aplaidžiai tvarkančios asmens duomenis ir nevykdančios privalomų pagal įstatymus pareigų, duomenų praradimo atveju yra atsakingos už savo klientų teisių pažeidimą, joms gresia didelės administracinės baudos, taip pat pretenzijos dėl civilinės žalos asmeniui atlyginimo.

Įprastai įmonė turėtų bent kartą per metus, taip pat kiekvieną kartą diegiant naujus IT sprendimus, atlikti asmens duomenų apsaugos auditą (poveikio privatumui vertinimą), pasirinkti bei taikyti tinkamas duomenų apsaugos kietąsias ir minkštąsias priemones, nustatyti kokią dokumentaciją ji turi tvarkyti, reguliariai vykdyti darbuotojų mokymus.

Šios pareigas neišgalvotos – jos yra nustatytos šiuo metu galiojančiuose teisės aktuose ir Bendrajame duomenų apsaugos reglamente, kuris įsigalios nuo 2018 m. gegužės 25 d.

Dauguma įmonių kol kas nežino net nuo ko pradėti, t.y. kaip atlikti asmens duomenų apsaugos auditą, kaip pasirinkti duomenų apsaugos priemones, kokių procedūrų laikytis ir kokią dokumentaciją vesti.

Jei reikia racionalaus ir nesavanaudiško patarimo dėl asmens duomenų apsaugos, visuomet galite kreiptis.

Duomenų teisinės apsaugos komanda:

Prof. dr. Mindaugas Kiškis

Dr. Gytis Kuncevičius

Dr. Aistė Samuilytė – Mamontovė

Kristina Rišytė

Žinių vadybos, organizacijų be popieriaus ir informacinio saugumo konsultantė:

Dr. Austė Kiškienė