Šių metų gegužės 25 – oji diena daugelio įmonių kalendoriuose turėtų buti pažymėta raudonu apskritimu. Būtent šią dieną pradedami taikyti Bendrojo duomenų apsaugos reglamento (toliau – BDAR) reikalavimai, įnešantys nemažai naujovių duomenų apsaugos srityje. Bauginančiai atrodančios BDAR nuostatos, kuriomis apibrėžiamos duomenų valdytojų atsakomybės ribos („…iki 20 000 000 EUR arba, įmonės atveju – iki 4% jos ankstesnių metų bendros metinės pasaulinės apyvartos… „ BDAR 83 str. 5 d.), puikiai iliustruoja, jog įmonės skatinamos atsakingai įvertinti savo vykdomos veiklos atitiktį BDAR reikalavimams, bei imtis tinkamų ir efektyvių priemonių asmens duomenų apsaugai užtikrinti.
Pažymėtina, kad BDAR nustato principus, o ne tiksliai apibrėžtas taisykles, kurių turi būti laikomasi tvarkant asmenų duomenis, todėl jų pritaikymas įmonės vykdomai veiklai turėtų būti individualizuojamas atsižvelgiant į konkrečios įmonės veiklos specifiką.
Vienas iš pirmųjų žingsnių, siekiant įgyvendinti BDAR keliamus reikalavimus, turėtų būti skirtas savo įmonės esamos situacijos įvertinimui. Atliekant tai turėtų būti atsakyta į kelis esminius klausimus: kokius asmenų duomenis ir kokiu tikslu vykdydama savo veiklą įmonė tvarko? Ar tokiam duomenų tvarkymui įmonė turi teisėtą pagrindą? Ar šie duomenys yra būtini įmonės veiklai vykdyti? Kur ir kiek laiko šie duomenys yra saugomi?
Atsakymai į šiuos klausimus leis nustatyti, ar duomenys įmonėje renkami teisėtai, ar nėra renkami pertekliniai asmenų duomenys, taip pat nustatyti renkamų asmens duomenų kategorijas, identifikuoti su duomenų tvarkymo pažeidimais susijusią riziką, bei parengti veiksmų planą siekiant įgyvendinti atitinkamus pakeitimus, kurie užtikrintų BDAR reikalavimų duomenų apsaugai įgyvendinimą.
Pažymėtina, jog tam tikrais BDAR numatytais atvejais, įmonės privalo paskirti duomenų apsaugos pareigūną, kuris savo ekspertinėmis duomenų apsaugos teisės ir praktikos žiniomis, padėtų įmonėje įgyvendinti BDAR reikalavimus. Duomenų apsaugos pareigūnas stebi kaip BDAR reikalavimų laikomasi įmonės kasdienėje veikloje, informuoja darbuotojus apie jų pareigas tvarkant asmens duomenis, teikia konsultacijas šiais klausimais, bendradarbiauja su Valstybine asmens duomenų apsaugos inspekcija ir atlieka kitas BDAR jam priskiriamas funkcijas.
BDAR atitikčiai įgyvendinti įmonėje turėtų būti priimtos naujos duomenų tvarkymo taisyklės, arba peržiūrėtos jau galiojančių taisyklių nuostatos, kuriose turėtų būti nurodoma kokie asmenų duomenys ir kokiu tikslu renkami, kokia tvarka yra įgyvendinamos asmenų teisės (teisė į duomenų perkeliamumą, teisė būti pamirštam ir t.t.), kaip nagrinėjami asmenų skundai, kiek laiko surinkti duomenys yra tvarkomi ir kaip jie sunaikinami, bei kitos nuostatos, priklausomai nuo įmonės veikos specifikos ir tvarkomų duomenų kategorijų. BDAR numato griežtesnius reikalavimus asmens duomenų tvarkymui kai tam yra reikalingas asmens sutikimas, todėl įmonėm, kurios iki šiol naudojo asmens sutikimą kaip pagrindą jo duomenų tvarkymui, teks peržiūrėti ir atitinkamai pakeisti iš šių sutikimų formuluotes.
Taip pat, svarbu atkreipti dėmesį į tai, jog didelę BDAR reglamento įgyvendinimo dalį užima informacinių sistemų peržiūra ir duomenų saugumo lygio nustatymas, bei atitinkamų pakeitimų įgyvendinimas, kurie turi kaip įmanoma labiau sumažinti asmens duomenų praradimo riziką.
BDAR nuostatos leidžia suprasti, jog atitikties reikalavimams įgyvendinimas nėra vienkartinis, formalus privalomų tvarkų įmonėje įvedimas. Šis procesas yra tęstinis, kadangi tobulėjant techninėms galimybėms, neišvengiamai keisis ir asmens duomenų saugumo bei tvarkymo standartai, todėl BDAR numato privalomą su duomenų apsauga susijusios dokumentacijos peržiūrą įmonėse, kad būtų užtikrinamas aukštas ir realaus, aplinkos keliamą riziką atitinkantis, duomenų apsaugos standartas. Be to, pažymėtina, jog dėl BDAR įsigaliojimo, lauks ir nacionalinės teisės pokyčiai. Iki šiol galiojęs Lietuvos Respublikos Asmens duomenų teisinės apsaugos įstatymas bus pakeistas, pritaikant jį BDAR reikalavimams, taip pat bus priimami nauji poįstatyminiai teisės aktai, todėl ir įmonėse priimtos tvarkos, turės būti koreguojamos atsižvelgiant į nacionalinės teisės pokyčius.
Apibendrinant, akivaizdu, jog įmonių laukia didelis, kompleksiškas ir tęstinis projektas, todėl reikėtų tinkamai įvertinti, BDAR atitikčiai įgyvendinti reikalingą laiką ir išteklius, bei su duomenų apsaugos reikalavimų nesilaikymu susijusia riziką.
