Duomenų apsauga

Mano patirtis privatumo ir duomenų apsaugos srityje yra viena iš didžiausių Lietuvoje. Šia tema nuo 1998 m. dirbu tiek praktinį teisinį, tiek ir mokslinį darbą. Priminsiu, kad Lietuvoje asmens duomenų apsauga buvo reglamentuota nuo 1996 m. priėmus LR Asmens duomenų teisinės apsaugos įstatymą. Mano patirtis apima ir bendrus duomenų apsaugos klausimus – įmonės duomenų apsaugos dokumentų rengimą, duomenų subjektų sutikimų rengimą, sutarčių rengimą, bendravimą su priežiūros institucijomis, ir labai sudėtingus klausimus tokius, kaip duomenų tvarkymas įmonių grupės mastu, duomenų praradimo incidentai, duomenų perdavimai į užsienį ir t.t.

Asmens duomenų tvarkymas ir apsauga yra būtina efektyvios įmonės veiklos dalis. Asmens duomenų apsauga yra žinių valdymo proceso įmonėje dalis. Efektyvi organizacija privalo:

  • valdyti žinias ir informaciją, užtikrinti jų saugumą ir tinkamą vadybą;
  • maksimaliai laikytis organizacijos be popieriaus principų, kas ženkliai palengvina ir supaprastina visus procesus;
  • pasirinkti ir taikyti racionalias bei proporcingas žinių ir informacijos apsaugos priemones.

Įmonės ar organizacijos tvarkomi asmens duomenys, kaip ir kita informacija, yra jos turtas ir pagrindas sėkmingai veiklai, dėl to reikia jį saugoti. Asmens duomenys gali būti prarandami tiek dėl piktavališkų išorinių poveikių, tiek ir dėl pačios įmonės aplaidumo. Kad to išvengti, svarbu aiškiai žinoti tvarkomus duomenis ir imtis tinkamų apsaugos priemonių.

Įmonių ar organizacijų tvarkomi asmens duomenys paprastai yra susiję su darbuotojais, vartotojais, klientais ar pacientais. Dalis tokių duomenų yra jautrūs ir intymūs asmens duomenys, įstatymiškai vadinami ypatingais asmens duomenimis. Šių duomenų saugumo užtikrinimas ir asmenų privatumo gerbimas yra labai svarbi verslo dalis. Įmonės ar organizacijos privalo rūpintis savo klientų teisėmis ir interesais.

Nuo 2018 m. gegužės 25 d. įsigaliojęs Bendrasis duomenų apsaugos reglamentas (General Data Protection Regulation – GDPR) išplečia įmonių duomenų apsaugos pareigas:

  • Dauguma įmonių periodiškai turi atlikti poveikio duomenų apsaugai vertinimus.
  • Įmonėms reikia vesti išsamią asmens duomenų tvarkymo dokumentaciją (vien Asmens duomenų tvarkymo taisyklių tikrai nepakanka).
  • Iš esmės visos įmonės turės paskirti duomenų apsaugos pareigūną (arba pirkti duomenų apsaugos pareigūno paslaugas).
  • Įmonės turi nedelsiant informuoti priežiūros instituciją, o kai kuriais atvejais ir duomenų subjektus, apie duomenų pažeidimo incidentus.
  • Įmonės turi turėti BDAR atitinkančius duomenų subjektų (klientų, vartotojų, darbuotojų, etc.) sutikimus ir užtikrinti duomenų subjektų teises.

Asmens duomenų apsauga prisideda prie įmonės ar organizacijos reputacijos kūrimo bei pasitikėjimo įmone užtikrinimo. Ignoruodami duomenų apsaugą palaipsniui prarandate pasitikėjimą, reputaciją, vėliau netenkate klientų ir pajamų.

Įmonės, aplaidžiai tvarkančios asmens duomenis ir nevykdančios privalomų pagal įstatymus pareigų, duomenų praradimo atveju yra atsakingos už savo klientų teisių pažeidimą, joms gresia didelės administracinės baudos, taip pat pretenzijos dėl civilinės žalos asmeniui atlyginimo.

Įprastai įmonė turėtų bent kartą per metus, taip pat kiekvieną kartą diegiant naujus IT sprendimus, atlikti asmens duomenų apsaugos auditą (poveikio privatumui vertinimą), pasirinkti bei taikyti tinkamas duomenų apsaugos kietąsias ir minkštąsias priemones, nustatyti kokią dokumentaciją ji turi tvarkyti, reguliariai vykdyti darbuotojų mokymus.

Šios pareigas neišgalvotos – jos yra nustatytos šiuo metu galiojančiuose teisės aktuose ir Bendrajame duomenų apsaugos reglamente (BDAR), kuris įsigaliojo nuo 2018 m. gegužės 25 d.

Dauguma įmonių kol kas BDAR įgyvendino nominaliai, pvz. atliko formalų asmens duomenų apsaugos auditą ir patvirtino bendrinius duomenų apsaugos dokumentus. Toks įgyvendinimas yra nepakankamas ir gresia problemomis.

Jei reikia racionalaus ir nesavanaudiško patarimo dėl asmens duomenų apsaugos, visuomet galite kreiptis.

Duomenų teisinės apsaugos klausimais: Prof. dr. Mindaugas Kiškis, tel. +370 640 41048

Žinių vadybos, organizacijų be popieriaus ir informacinio saugumo klausimais: Dr. Austė Kiškienė, tel. +370 615 10051