Už duomenų apsaugos pažeidimus - didžiulės baudos

Už taisyklių nesilaikymą griežtai baus Valstybinė duomenų apsaugos inspekcija (VDAI). Kad pasekmių būtų išvengta, vakar konsultacinė firma "Sabelija" Klaipėdoje vykusiame seminare apie naujoves įspėjo uostamiesčio įmones.

Laukia naujovės

BDAR - ne iš piršto laužtas reglamentas. Jis buvo priimtas dar 2016 m. balandžio 27 d., kai dėl griežtesnės fizinių asmenų apsaugos, duomenų tvarkymo ir jų judėjimo pasisakė Europos Parlamentas, Taryba ir Europos Komisija.

Pagal reglamentą, kiekviena valstybė turi priimti savo nacionalinius teisės aktus. Lietuvoje bus pakeistas įstatymas, tačiau įstatymo projektas dar nepriimtas. Specialistai baiminasi, jog taip Seimas įstatymą priims net neapsvarstęs svarbių klausimų.

Pasak "Sabelijai" atstovaujančio teisininko Andžejaus Vincelovičiaus, anksčiau visi juridiniai asmenys, kurie tvarkydavo asmens duomenis ar filmuodavo, turėdavo registruotis tam tikruose registruose. Įsigaliojus naujam reglamentui, to daryti nereikės. Tačiau inspekcija gali bet kada ateiti ir patikrinti, kaip tvarkomi asmens duomenys.

Beje, įsigaliojus naujam darbo kodeksui, įmonės, turinčios daugiau nei 50 darbuotojų, privalo priimti asmens duomenų saugojimo politiką. Tačiau BDAR tokią tvarką numato nuo 20-30 darbuotojų.

Kalbėdamas apie kitus potencialius pažeidimus, A. Vincelovičius pabrėžė asmenų CV saugojimą ir apdorojimą. Pasak teisininko, tai daryti galima tik nustatytam tikslui - atsirinkti žmogų. Po atrankos įmonės visus kitus CV turi ištrinti arba sunaikinti.

Kitas atvejis - didelio kiekio asmens duomenų praradimas. Apie tai per 72 val. reikia pranešti inspekcijai ir patiems fiziniams asmenims.

Dėmesį į reglamentą turės atkreipti ir paslaugas telefonu siūlančios įmonės. Pagal BDAR, žmogui bus galima skambinti ir kažką siūlyti tik turint asmens sutikimą. Kitu atveju žmogus turės teisę skųstis inspekcijai.

Baudų neišvengs

A. Vincelovičiaus teigimu, asmens duomenys gali būti tvarkomi tik teisiniu pagrindu arba asmens sutikimu. Identifikuoti asmenį galima pagal vardą, pavardę, IP adresą, telefono numerį, el. paštą, atvaizdą, nuotrauką, feisbuko paskyrą.

Jis išskyrė specialiąją duomenų kategoriją, kuri atskleidžia duomenis apie asmens rasinę, etninę kilmę, sveikatos duomenis. Daugelis įmonių tokius duomenis renka to nežinodamos. Pavyzdžiui, etninę kilmę atskleidžia gyvenimo aprašyme asmens nurodyta tautybė.

Permainos laukia kai kurių sporto klubų, kurie kaip vienintelį būdą patekti į patalpas naudoja piršto antspaudą - biometrinius duomenis.

"Jie yra specialios kategorijos. Jei asmuo nenori duoti piršto antspaudo, tai sporto klubas neturi teisės apriboti galimybės naudotis sporto klubu. Kol reglamentas neįsigaliojo, sporto klubai toliau sistemos nekeičia. Bet jeigu tai tęsis, baudų netrūks. Tikriausiai ne visi nori verslininkui duoti savo piršto antspaudą", - neabejojo "Sabelijos" teisininkas A. Vincelovičius.

Manantys, kad už pažeidimus pavyks išvengti griežtos atsakomybės, klysta. BDAR numato milijonines baudas - nuo 10 mln. iki 20 mln. eurų. Mažesnėms įmonėms baudos sieks nuo 2 iki 4 proc. jų metinės apyvartos. Pirmu kartu įspėjimo sulauks tik tos įmonės, kurios paisys reglamento ir stengsis vykdyti jo nuostatus. Visa tai ignoruojančios įmonės, teisininko teigimu, veikiausiai bus baudžiamos be pasigailėjimo.

Pasak "Sabelijos" informacinių technologijų (IT) konsultanto Mariaus Grigelionio, kol kas Lietuva neturi reikiamus saugumo standartus atitinkančių tinklalapių.

"Kol kas Lietuvoje įmonės neskuba atnaujinti savo tinklalapių. Tam tikrų neatitikimų BDAR reikalvimams pastebėta ir Klaipėdos miesto savivaldybės svetainėje", - tikino M. Grigelionis, kuris susirinkusiuosius ragino reguliariai atnaujinti savo slaptažodžius.

Pasak M. Grigelionio, Savivaldybės tinklalapyje lankytojo klausiama, ar jis sutinka, jog tinklalapis rinktų duomenis vadinamųjų "sausainiukų" būdu, tačiau ši funkcija tik iš dalies atitinka BDAR reikalavimus. Pavyzdžiui, lankytojui turėtų būti siūloma paprasčiau - nediegiant papildomos programinės įrangos - atsisakyti "sausainiukų".

Pasak jo, BDAR esmė - prievolė susitvarkyti įmonės duomenų tvarkymo procesus, įvertinti rizikas ir įgyvendinti prevencines priemones. IT specialistas kaip blogą pavyzdį pateikė "Mano dienyną", kurio spragas atradęs 13-metis parodė, kaip galėjo būti nutekinti pusės milijono žmonių duomenys.

Padėti rūpimais klausimais ir suteikti daugiau informacijos apie Bendrąjį duomenų apsaugos reglamentą (BDAR) gali konsultacinė firma "Sabelija" telefonu: 846 382 000 arba el. paštu: [email protected]

Nuo ko pradėti?

"Sabelijos" įmonei atstovaujantis teisininkas A. Vincelovičius visas įmones ragina nelaukti paskutinės dienos ir atlikti vidinį auditą. Jis atsakytų į svarbius klausimus ir sudarytų turimų asmens duomenų registrus. Kaip visa tai padaryti? Reikėtų aprašyti visus turimus asmens duomenis - kaip jie gaunami, koks tvarkomų duomenų tikslas, kas juos tvarko, kur jie keliauja, kiek laiko saugomi ir t.t. Esant būtinybei gali tekti įdarbinti Duomenų apsaugos pareigūną, kuris tvarkytų turimus asmenų duomenis. Kitas žingsnis - papildomi veiksmai trūkumams naikinti. Reikėtų imtis veiksmų, jeigu kompiuteriai neapsaugoti slaptažodžiais, apsauga nuo virusų.

PRISTATYMAS. Vakar Klaipėdoje vykusiame seminare konsultacinė firma "Sabelija" uostamiesčio įmones supažindino su Bendruoju duomenų apsaugos reglamentu (BDAR).

Organizatorių nuotr.