Pagrindiniai darbai siekiant atitikti Reglamento reikalavimus per kelis mėnesius

Iki Bendrojo duomenų apsaugos reglamento (BDAR) taikymo pradžios 2018 m. gegužės mėn. 25 dienos likus vos keliems mėnesiams, didžioji dalis įmonių, kurioms bus taikomi šie reikalavimai dar tik pradeda domėtis teisiniais ar techniniais Reglamento taikymo aspektais.

Garsus visame pasaulyje Europos vedantysis kibernetinio saugumo  internetinis dienraštis  SC Media UK pateikia sekančią Europos duomenų valdytojų pasirengimo taikyti BDAR statistiką (2018-01-23, url.: https://www.scmagazineuk.com): dagiau kaip 70% Jungtinės karalystės verslo įmonių įsitikinę, kad jos tinkamai vykdo pasirengimą BDAR. Tačiau likusioje Europos dalyje, pavyzdžiui Vokietijoje tik 52%, o Ispanijoje tik 27% verslo įmonių supranta kaip pasirengti atitikti Reglamento reikalavimus ir deda tam pastangas. Duomenų apsaugos sprendimų pasaulinė lyderė kompanija Varonis, 2017 metų rugsėjo – spalio mėnesiais atlikusi JAV ir Europos kompanijų apklausą nustatė, kad 60% Europos ir 50% JAV kompanijų nespės laiku pasirengti ar turės rimtų iššūkių  pasirengiant atitikti BDAR reikalavimams.

Todėl spaudoje publikuojama vis daugiau  patarimų ir siūlymų, kaip “paskutinę minutę” spėti pasirengti BDAR taikymui. Apibendrinant ir pasirenkant racionaliausius sprendimus siūlytume:

  • Kuo skubiau informuoti vadovybę apie atsakomybę už Reglamento reikalavimų nevykdymą, įvardinti BDAR prioritetine kryptimi ir suplanuoti žmogiškuosius bei finansinius išteklius Reglamento reikalavimų įgyvendinimui;
  • Nustatyti BDAR įgyvendinimo projekto komandą, atsižvelgiant į kompetencijas paskirstyti funkcijas, atsakomybes ir laiko rodiklius;
  • Apmokyti projekto komandos personalą bei duomenis tvarkančius atsakingus asmenis  bent pagrindinių BDAR nuostatų ir reikalavimų;
  • Atlikti asmens duomenų tvarkymo auditą ar bent jau inventorizaciją, įvertinti pagal BDAR duomenų tvarkymo teisėtumą, sunaikinti perteklinius asmens duomenis, esant poreikiui duomenis šifruoti ar suteikti pseudonimus;
  • Parengti ar atnaujinti privatumo politiką bei privatumo pranešimus jeigu jie taikomi;
  • Parengti ar atnaujinti incidentų valdymo, duomenų saugumo pažeidimų tvarkas bei procedūras. Apmokyti personalą;
  • Parengti ar atnaujinti duomenų subjekto užklausų duomenų valdytojui dėl asmens duomenų tvarkymo bei kitų BDAR numatytų duomenų subjekto teisių įgyvendinimo tvarkas bei procedūras. Apmokyti personalą;
  • Atnaujinti duomenų saugumo technines ir organizacines priemones, ypatingą dėmesį skiriant kibernetiniam saugumui. Didelė dalis duomenų saugumo pažeidimų įvyksta dėl kibernetinio saugumo spragų;
  • Parengti ir vykdyti personalo mokymus BDAR klausimais.

Šis projektas turi būti vykdomas nuolatos, projekto grupei reguliariai atsiskaitant vadovybei apie pažangą.

Ar jums reikalingas Duomenų apsaugos pareigūnas?

Bendrasis duomenų apsaugos reglamentas (BDAR)  yra tiesioginio taikymo Europos Sąjungoje teisės aktas. Lietuvoje, kaip ir kitose Europos Sąjungos valstybėse narėse, šis reglamentas bus pradėtas taikyti nuo 2018 m. gegužės 25 d.  Visoms įmonėms duomenų valdytojams, savo veikloje tvarkančioms Europos Sąjungos piliečių asmens duomenis, teks prievolė įrodinėti, kad asmens duomenys tvarkomi teisėtai (BDAR 6 straipsnis), atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą bei tikslus, taip pat į įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms. Duomenų valdytojas įgyvendina tinkamas technines ir organizacines priemones, kad užtikrintų ir galėtų įrodyti, kad duomenys tvarkomi laikantis šio reglamento (BDAR 24 straipsnis).

Ar tinkamai duomenų valdytojas (duomenų tvarkytojas) tvarko asmens duomenis gali vertinti tik duomenų apsaugos teisės ir praktikos ekspertinių žinių turintis duomenų apsaugos pareigūnas. Ar pareigūnas sugebės tinkamai atlikti jam pavestas bent Reglamento 39 straipsnyje nurodytas užduotis, priklausys kaip bus valdoma įmonėje asmens duomenų saugumui kylanti rizika. Nepakankamai atitikti BDAR reikalavimus taip pat gali sąlygoti finansinius nuostolius bei reputacijos praradimą, o jeigu pareigūno kvalifikacija nepakankama ar pareigūnas nebuvo paskirtas galima patirti iš ties rimtų nuostolių priežiūros institucijai paskyrus baudą (kuri gali siekti 20 mln. eurų).

2017 metais diskusijų su Valstybinės duomenų apsaugos inspekcijos (VDAI) atsakingais darbuotojais  metu nebuvo konkretizuoti duomenų apsaugos pareigūno skyrimo kriterijai, tačiau reglamento įgyvendinimo priežiūrą vykdyti ir taikyti sankcijas duomenų valdytojams Lietuvoje paskirta VDAI pacitavo Reglamento 83 straipsnio 1 dalį: “Kiekviena priežiūros institucija užtikrina, kad pagal šį straipsnį skiriamos administracinės baudos už 4, 5 ir 6 dalyse nurodytus šio reglamento pažeidimus kiekvienu konkrečiu atveju būtų veiksmingos, proporcingos ir atgrasomos“. Todėl kai neaišku ar reikia įmonėje skirti duomenų apsaugos pareigūną, geriau jį skirti, o jeigu pareigūnas nebuvo paskirtas, turėti tokius motyvus pagrindžiančius įrašus, kuriuose būtų tinkamai pagrįsta neskyrimo priežastys.

Bendrasis duomenų apsaugos reglamentas BDAR 37 straipsnyje bendrai traktuoja prievolę įmonėms tvarkančioms asmens duomenis skirti duomenų apsaugos pareigūną, (neskaitant valdžios institucijas). Duomenų valdytojas ar duomenų tvarkytojas privalo pats įvertinti: ar jo pagrindinė veikla yra duomenų tvarkymo operacijos, dėl kurių pobūdžio, aprėpties ir (arba) tikslų būtina reguliariai ir sistemingai dideliu mastu stebėti duomenų subjektus ar duomenų valdytojo arba duomenų tvarkytojo pagrindinė veikla yra specialių kategorijų duomenų tvarkymas dideliu mastu pagal 9 straipsnį ir 10 straipsnyje nurodytų asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymas dideliu mastu. Daugiau detalizuoti šiuos bendro pobūdžio teiginius padeda Direktyvos 95/46/EB 29 straipsnio darbo grupė, kuri parengė gaires Reglamento (ES) 2016/679 duomenų apsaugos pareigūno tema.

Daugiau informacijos apie duomenų apsaugos pareigūno poreikio vertinimą ir Direktyvos 95/46/EB 29 straipsnio darbo grupės parengtose “Duomenų apsaugos pareigūnų gairės” WP 243 pateikto algoritmo taikymą pateikta internetiniame projekte “Duomenų apsaugos pareigūnas”.