Trys metai su bendruoju duomenų apsaugos reglamentu – kur vis dar klystama?

Dar 1995 m. Europos Sąjunga (ES) priėmė duomenų apsaugos direktyvą (ang. Data protection directive), kurios pagrindinis tikslas buvo apibrėžti, kaip turėtų būti tvarkomi asmens duomenys internete. Tačiau jau kitais metais internete naršė 40 mln. vartotojų, skaičiai tik augo ir taisyklės ilgainiui pasidarė per siauros. Viskas radikaliai pasikeitė tik 2018 m. gegužę – įsigaliojo  dar 2016 m. ES parlamento priimtas Bendrasis duomenų apsaugos reglamentas (BDAR) (ang. General data protection regulation – GDPR).
 

BDAR dokumente išdėstyti išsamūs organizacijoms ir įmonėms taikomi asmens duomenų rinkimo, saugojimo ir valdymo reikalavimai. Juos reikia įgyvendinti, jeigu Jūsų įmonė vykdo komercinę veiklą bet kuriam ES esančiam subjektui (nesvarbu, ar tai būtų bet kurios šalies-narės pilietis, ar bendrijoje registruota įmonė). Tiesa, kartais net parduoti nebūtina – jeigu renkate informaciją stebėsenos tikslais, taip pat turite vadovautis šiuo reglamentu.

Prieš pradedant kalbėti apie tai, kaip reikėtų šį reglamentą įgyvendinti ir ką svarbu žinoti, reikia apsibrėžti ir „asmens duomenų“ sąvoką. Kaip pažymi specialistai, tai – bet kokie duomenys, leidžiantys identifikuoti asmenį (reglamente – duomenų subjektą). Šiems duomenims priskiriami vardas pavardė, adresas, el. paštas, gimimo data, asmens dokumentų identifikavimo numeriai,  interneto protokolo (IP) adresas ir t.t.
 

Septyni BDAR principai

Nors dokumentą ir sudaro per šimtą lapų, jo esmę ir svarbiausius duomenų tvarkymo niuansus galima apibrėžti septyniais principais. Remiantis jais, parašytas ir visas reglamentas.

1. Teisėta, sąžininga, skaidru. Trumpai – bet koks duomenų rinkimas ir naudojimas turi atitikti visus BDAR punktus. Skaidrumas ir sąžiningumas atliepia duomenų surinkimą ir jų panaudojimą. Jeigu skelbiate, kad duomenis surenkate konkrečiais tikslais (pvz. tikslinės rinkodaros), tai turi atsispindėti ir jūsų veiksmuose.

2. Tikslo apribojimas. Jūsų duomenų rinkimo tikslai taip pat yra apibrėžti dokumente. Kaip skelbiama, „asmens duomenys turi būti renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkomi su tais tikslais nesuderinamu būdu“. Grįžkime prie pavyzdžio, kad duomenis renkate tikslinės rinkodaros tikslais (pvz. žmogus sutinka gauti naujienlaiškį). Bet koks kitas panaudojimas (pvz. statistiniais tikslais) jau būtų BDAR pažeidimas. Išimtis – duomenų archyvavimas viešojo intereso tikslais (dokumente išimtys apibrėžtos 89 straipsnyje).

3. Mažiau yra geriau. Anot reglamento, duomenys neturėtų būti pertekliniai ir, vėlgi, turėtų atitikti jūsų iškeltus duomenų rinkimo tikslus. Juk naujienlaiškio siuntimui Jums nereikia asmens šeimyninės padėties ar banko sąskaitos.

4. Tikslumas. Pats save paaiškinantis principas – renkami duomenys turi būti tikslūs ir teisingi bei, esant reikalui, atnaujinami. Seni, netikslūs duomenys turėtų būti iš karto sunaikinami.

5. Duomenų saugojimo vieta. Kaip skelbia penktasis principas, kaupiami duomenys turėtų būti saugomi taip, kad pasibaigus jų saugojimo ir/ar naudojimo terminui, būtų sunaikinami ir nebeprieinami (nebent turite labai aiškius ilgesnio saugojimo/archyvavimo tikslus, tačiau šie vėlgi turėtų būti apibrėžti ir aiškiai žinomi jūsų klientams).

6. Konfidencialumas. Daugelis juokauja, kad dėl šio principo ir buvo sukurtas visas dokumentas. Šio punkto esmė – visi duomenys turi būti konfidencialūs ir tikrai saugūs. Bet koks duomenų nutekinimas trečiosioms šalims (netgi jūsų įmonės darbuotojams, kurie pagal pareigas negali turėti prieigos prie duomenų) jau yra laikomas šiurkščiu reglamento pažeidimu, už kurį gresia sankcijos ir baudos.

7. Atskaitomybė. Galiausiai, bet kuris duomenų tvarkytojas turi laikytis pirmų šešių principų ir turi galėti įrodyti, kaip jų yra laikomasi. Reikalaujama turėti įrašus archyvuose apie duomenų tvarkymą ir atliktus veiksmus, įgyvendinant BDAR.
 

Principų įgyvendinimas

Nors dokumentas įsigaliojo daugiau nei prieš trejus metus, vis dar pasitaiko atvejų, kai net ir didžiausios el. komercijos veiklą vystančios įmonės neišmoksta svarbiausių pamokų. Vien Google per pastarąjį laikotarpį teko nusižengti pakankamai kartų, kad bendra baudų už BDAR pažeidimus suma siektų per 60 mln. eurų.

Tiesa, tai – tik smulkmena, jeigu lyginsime su visai šviežiu skandalu. Liuksemburgo nacionalinė duomenų apsaugos komisija (CNPD) JAV internetinės prekybos platformai Amazon skyrė 746 mln. Eur baudą. Tai, kaip skelbia Wired, yra dvigubai didesnė suma nei visos už BDAR pažeidimus išrašytos baudos kartu sudėjus. Kadangi teisinis procesas vis dar vyksta, nėra aišku, kokius tiksliai pažeidimus įvykdė prekybos milžinė, tačiau spėjama, jog vartotojų duomenys galėjo būti neteisėtai naudojami tikslinės rinkodaros tikslais.

Akivaizdu, jog reglamentas – veikia ir jo be išimčių reikia laikytis. Ekspertai pateikia svarbiausius veiksmus, kurių turite imtis, kad įgyvendintumėte BDAR politiką.

Visada prašykite vartotojų sutikimo ir tai darykite tinkamai.

BDAR suteikia europiečiams galimybę tiksliai kontroliuoti, kaip naudojami jų duomenys. Pačiame dokumente taip pat paminėta, jog jūs negalite daryti įtakos asmenų pasirinkimui ir už vartotojus nuspręsti, ko jie nori. Tai reiškia, jog reikėtų vengti situacijų, kai patys sužymite varneles su BDAR susijusiais pasirinkimais (pvz. neturėtumėte būti automatiškai pažymėję, jog asmuo nori naujienlaiškio arba vienintelis pasirinkimas vartotojui sutinkant su privatumo politika – sutikti su visų, net ir nebūtinų, duomenų rinkimu ir tvarkymu).

Rinkite tik svarbiausius ir reikalingus duomenis.

Kaip jau minėjome, kalbant apie asmens duomenų rinkimą, rekomenduojama rinkti tik būtinus duomenis ir nebandyti gauti perteklinės informacijos. Pavyzdžiui, anksčiau buvo įprasta įvairiose finansinėse sutartyse reikalauti asmens kodo, tačiau net ir skolos išieškojimo atveju, reikalinga tik asmens gimimo data, tad asmens kodas čia – perteklinė informacija. Taip pat dažnai pasitaiko, jog apsiperkant el. parduotuvėse ir pirkėjui pasirinkus pristatymą į paštomatą, vis tiek prašoma suvesti pilną adresą, tačiau to nereikėtų daryti (nebent galite įrodyti, kokiais atvejais adresas jums yra reikalingas, net ir naudojantis paštomato paslauga).

Būkite atviri apie duomenų tvarkymą.

Visa informacija apie tai, kaip tvarkote asmens duomenis, turėtų būti prieinama bet kuriuo metu (pvz. nuoroda į dokumentą neturėtų būti tik iššokančiame lange, kviečiančiame sutikti su privatumo politika). Dokumentas turėtų būti aiškiai parašytas ir neperkrautas teisine kalba, jame turi būti aiškiai apibrėžta, kokius duomenis ir kodėl renkate. Turite sudaryti galimybę vartotojams nepateikti savo asmens duomenų, išskyrus atvejus, kai jie reikalingi pvz. pirkimo-pardavimo sandorio sudarymui. Taip pat bet kuriuo metu po asmens duomenų pateikimo turite sudaryti galimybę asmeniui paprašyti panaikinti jo asmens duomenis („teisė būti pamirštam“) bei pateikti visus turimus asmens duomenis to prašančiam klientui („teisė į duomenų perkėlimą“). Galiausiai, jeigu yra reikalinga bet kokius asmens duomenis suteikti tretiesiems asmenims (pvz. asmens kontaktinius duomenis pateikiate kurjeriams, kad šie pristatytų prekę) – privalote klientams apie tai pranešti.

Įspėkite klientus apie bet kokias grėsmes jų duomenų saugumui.

Nors įmonės ir privalo garantuoti visokeriopą asmens duomenų saugojimą, niekas nėra garantuotas, kad pavyks išvengti internetinių įsilaužėlių ir duomenų vagysčių. Apie pavojus, gresiančius internete, daugiau galite rasti šiame tinklaraščio įraše. Rekomenduojama apie bet kokius, net ir menkiausius jūsų sistemos apsaugos pažeidimus informuoti ir galimai nukentėjusius klientus, kad šie galėtų imtis papildomų veiksmų savo duomenų apsaugai.

Duomenų apsaugos pareigūno poreikis.

Padidėjus dėmesiui duomenų apsaugai, normalu, jeigu įmonėje patys nespėsite tvarkytis arba neturėsite visų BDAR įgyvendinimui reikalingų žinių. Tokiu atveju reikėtų apsvarstyti apie duomenų apsaugos pareigūno paskyrimą. Ši pareigybė yra apibrėžta ir pačiame reglamente (4 skirsnis) – pateiktos visos gairės, kokiais atvejais privalu įdarbinti duomenų apsaugos pareigūną (DAP), koks turėtų būti jo statusas įmonėje ir kokias užduotis jam bus privalu įgyvendinti.