Siekdami užtikrinti geriausią Jūsų naršymo patirtį, šioje svetainėje naudojame slapukus (angl. cookies). Paspaudę mygtuką „Sutinku“ arba naršydami toliau patvirtinsite savo sutikimą. Bet kada galėsite atšaukti savo sutikimą pakeisdami interneto naršyklės nustatymus ir ištrindami įrašytus slapukus. Jei pageidaujate, galite kontroliuoti ir/arba ištrinti slapukus. Išsamesnė informacija čia https://www.aboutcookies.org/ Jei ištrinsite slapukus, jums gali reikėti rankiniu būdu pakeisti kai kurias parinktis kaskart, kai lankysitės interneto svetainėje, o kai kurios paslaugos ir funkcijos gali neveikti.

Paieška
LIETUVAKOMENTARAIPASAULISEKONOMIKASPORTASĮDOMYBĖSGIMTASIS KRAŠTASISTORIJALŽ RENGINIAI
ŽMONĖSGAMTA IR AUGINTINIAIŠEIMA IR SVEIKATAMOKSLAS IR ITKULTŪRAŠVIETIMASGYNYBAPOPIEŽIAUS VIZITASMULTIMEDIJA
EKONOMIKA

Panika dėl duomenų apsaugos

 
2018 04 04 6:00
Už duomenų apsaugą bus atsakingos ir atskaitingos pačios įmonės – jos turės pildyti duomenų tvarkymo žurnalus, tvarkyti vidinį duomenų registrą. /
Už duomenų apsaugą bus atsakingos ir atskaitingos pačios įmonės – jos turės pildyti duomenų tvarkymo žurnalus, tvarkyti vidinį duomenų registrą. / pixabay.com nuotraukos

Griežtesnis duomenų apsaugos reglamentas kelia sąmyšį: vos po dviejų mėnesių, gegužės 25 dieną, visoje Europos Sąjungoje (ES) įsigalios Bendrasis duomenų apsaugos reglamentas, kuris įpareigos įmones atsakingiau tvarkyti ir saugoti savo klientų duomenis, o pažeidėjams grasins milžiniškomis baudomis. Pasirengti griežtesnei tvarkai verslas buvo raginamas iš anksto, tačiau kol kas pastebimas chaosas, o sunkiausiai susitvarkyti su naujovėmis sekasi smulkiajam verslui.

„Įmonėms, kurios ir anksčiau skyrė deramą dėmesį asmens duomenims tvarkyti, ši reforma nėra revoliucija – tai proga peržiūrėti šią veiklos dalį bei užpildyti trūkstamas spragas ir yra daugiau evoliucinis veiksmas. Tikėtina, kad pagrįstas nerimas yra ištikęs tuos, kurie asmens duomenis tvarkė aplaidžiai ir dabar baiminasi gresiančių sankcijų bei gerokai padidintų baudų“, – „Lietuvos žinioms“ sakė Valstybinės duomenų apsaugos inspekcijos (VDAI) Informacijos ir technologijų skyriaus vyriausioji specialistė Raminta Sinkevičiūtė-Šečkuvienė.

Pažeidus reglamento nuostatas būtų skiriamos administracinės baudos, kurios gali siekti iki 2–4 proc. ankstesnių finansinių metų bendros metinės pasaulinės apyvartos arba iki 10–20 mln. eurų.

VDAI primena, kad nuo gegužės 25 dienos, pradėjus taikyti Bendrąjį duomenų apsaugos reglamentą (BDAR), įmonėms ar kitoms organizacijoms už asmens duomenų apsaugos pažeidimus grės iš tiesų didelės baudos.

Numatyta, kad pažeidus reglamento nuostatas būtų skiriamos administracinės baudos, kurios gali siekti iki 2–4 proc. ankstesnių finansinių metų bendros metinės pasaulinės apyvartos arba iki 10–20 mln. eurų.

Šiuo metu, kaip teigė R. Sinkevičiūtė-Šečkuvienė, baudos už asmens duomenų apsaugos pažeidimus, numatytos Administracinių nusižengimų kodekse, yra nedidelės. Baudos asmenims siekia 150–580 eurų, už pakartotinį pažeidimą 550–1200 eurų, juridinių asmenų vadovams ar kitiems atsakingiems asmenims – 300–1150 eurų, už pakartotinai padarytus nusižengimus – 1100–3000 eurų.

Sunkiausia – smulkiajam verslui

„Ne paslaptis, jog reglamento sumanytojų tikslas buvo palengvinti duomenų judėjimą tarp ES valstybių. Suvienodinus reikalavimus valstybėse sumažės kliūčių keistis duomenimis įmonėse skirtingose jurisdikcijose. Pavyzdžiui, Vokietijos bendrovė nebegalės sakyti, kad negali perduoti duomenų Ispanijos antrinei bendrovei, nes ten duomenų apsaugai taikomi mažesni reikalavimai. Sumanymo tikslas – palengvinti duomenų apsikeitimo procesus, bet pasekmė yra papildoma didelė našta verslui“, – sakė asociacijos INFOBALT GDPR grupės vadovas, advokatų kontoros „TGS Baltic“ advokatas Mindaugas Civilka.

Jo teigimu, įmonių pasiruošimo naujajam reglamentui situacija šiuo metu ne itin džiuginanti. Likus dviem mėnesiams iki reglamento įsigaliojimo įtampa auga – nuo vasario įmonių subruzdimas kasdien didėja.

Geriausiai pasirengusios, anot pašnekovo, didesnės įmonės, turinčios daugiau patirties dirbti su asmenine klientų informacija. Tai įmonės, veikiančios farmacijos, draudimo sektoriuose, dideli prekybos centrai ir tinklai, telekomunikacijų operatoriai, bankai ir kt. Šios įmonės veikiausiai jau pasirengusios arba bus pasirengusios kur kas geriau nei tos, kurios tik pradeda mokytis, kas yra asmens duomenys, kiek jos jų turi, kokiose informacinėse sistemose šie duomenys saugomi, kas turi prieigą prie jų ir pan.

„Smulkesnėms įmonėms, kurios kaupia tik darbuotojų ir klientų duomenis, pasirengti reglamentui itin sunku, nes joms trūksta elementarių žinių apie duomenų apsaugą. Joms tai naujiena. Tačiau smulkiosios ir vidutinės įmonės sudaro absoliučią daugumą – per 80 procentų“, – sakė M. Civilka.

Reikalauja išmanymo

Jis teigia pastebintis gajų įsitikinimą, kad reglamentas nustato reikalavimus, kuriuos įvykdžiusios įmonės daugiau nebeturės dėl to sukti galvos. Vis dėlto atitiktis naujiems asmens duomenų apsaugos reikalavimams turės būti nenutrūkstamas, nuolatinis procesas – jei įmonė nusistato tam tikrą duomenų apsaugos politiką, tai ne tik turės būti parengti ją nusakantys dokumentai, bet tą politiką realiai turės atitikti ir visas įmonės gyvenimas.

Pažeidus reglamento nuostatas būtų skiriamos administracinės baudos, kurios gali siekti iki 10-20 mln. eurų.
Pažeidus reglamento nuostatas būtų skiriamos administracinės baudos, kurios gali siekti iki 10-20 mln. eurų.

Svarbu ir tai, kad įsigaliojus reglamentui už duomenų apsaugą bus atsakingos ir atskaitingos pačios įmonės – jos turės pildyti duomenų tvarkymo žurnalus, tvarkyti vidinį duomenų registrą.

„Įmonės dar pakankamai neįsisąmonino, kad tai reikšmingai pakeis jų kasdienį gyvenimą, nes tam reikės skirti gerokai daugiau dėmesio nei iki šiol“, – tvirtino M. Civilka.

Jis taip pat atkreipė dėmesį, kad įmonėms, siekiančioms atitikti reglamento reikalavimus, reikės suvienyti ir organizacinius, ir verslo, ir informacinių technologijų (IT), ir teisinius procesus. „Tai yra kompleksinis vyksmas, kuris persmelkia kiekvieną įmonės vidaus procesą ir dėl to yra taip sunku tiek inventorizuoti esamą padėtį įmonėje, tiek prisitaikyti prie BDAR reikalavimų. Šiuo atveju, norint gerai parengti pasiruošimo planą ir su juo susijusius dokumentus, reikia suprasti, kaip įmonė gyvena, kokia yra jos verslo logika. Jei įmonė maža, tai perprasti lengva, bet jei didelė – dirba keli tūkstančiai darbuotojų, tuomet viską sustyguoti ir suderinti su BDAR yra labai didelis uždavinys“, – pasakojo pašnekovas.

Sunkumų kelia ir tai, kad naujasis reglamentas nenustato vieno visoms įmonėms taikomo saugumo standarto – įmonės pačios privalo nuspręsti, kokių saugumo priemonių joms reikia.

„Saugumo priemonių yra įvairių, bet jos visų pirma priklauso nuo to, kokia yra įmonės veiklos rizika duomenų apsaugos požiūriu, kokios galimos pasekmės atsitikus duomenų pažeidimams, kokia tokių pažeidimų tikimybė. Ir tą riziką įsivertinti turi pati įmonė. Labai didelė problema, kad atliekant šį vertinimą nepakanka vien IT žinių, riziką vertinantys žmonės turi gerai išmanyti įmonės specifiką, jos veiklos pobūdį“, – pridūrė M. Civilka.

Pasigenda valstybės indėlio

Giedrius Romeika, Kauno regiono smulkiųjų ir vidutinių verslininkų asociacijos atstovas, teigė, kad jau pusę metų rinkoje pastebimas konsultacinių organizacijų, įmonių sujudimas – jos siūlo mokymus, kaip įsivertinti įmonių turimas sistemas, paslaugas tvarkyti jas. Ypač smulkiosios įmonės, dirbančios IT, paslaugų, saugumo srityse, nesnaudžia.

Kad smulkusis verslas būtų labai susirūpinęs dėl griežtesnių reikalavimų ir dažnai apie juos kalbėtų, pašnekovas nepastebėjo. Tačiau pokalbiuose su verslininkais jis jaučia šoką dėl gresiančių didelių baudų.

„Manau, dar ne visi smulkieji verslininkai suvokia šitų reikalavimų esmę, naudą, grėsmes. Dalis smulkiųjų įmonių neturi pakankamai finansinių išteklių pasisamdyti konsultantus, vertintojus ar eiti į mokymus, o ir specifinių žinių įsigilinti į dokumentus nepakanka. Galima tik daryti prielaidą, jog didysis problemos mastas išryškės tada, kai direktyva bus įsigaliojusi ir prasidės įmonių tikrinimas. Labiausiai norėtųsi, kad nauji reikalavimai nesukeltų papildomos naštos smulkiajam verslui. Valdžia galėtų taikyti gerąją praktiką, kai sąnaudos, kurios reikalingos naujai tvarkai pasiruošti, būtų kompensuojamos valstybės“, – svarstė G. Romeika.

Ruošėsi dvejus metus

Telekomunikacijų bendrovės „Bitė Lietuva“ korporatyvinių reikalų ir ryšių su visuomene vadovas Antanas Bubnelis „Lietuvos žinioms“ sakė, kad telekomunikacijų operatoriams duomenų saugumas visada buvo aktualus klausimas, nes dėl verslo specifikos bendrovė turi palyginti daug duomenų apie klientus ir jų naudojamas paslaugas. Reglamento reikalavimams bendrovė pradėjo ruoštis dar 2016-aisiais.

„Tada atlikome šios srities auditą, padėjusį pagrindą vėliau suformuotos projekto komandos darbo apimčiai bei prioritetams. Netrukus buvo suformuota projekto komanda, kurią sudaro klientų aptarnavimo, technologijų, kibernetinio saugumo bei teisės reikalų ekspertai. Taip pat nuo 2016 metų klientų aptarnavimo procesai bei IT sistemos buvo vystomos, atsižvelgiant į BDAR reglamento reikalavimus“, – sakė jis.

Pašnekovo teigimu, bendrovė iki gegužės pabaigos bus visiškai pasirengusi dirbti pagal įsigaliosiančius naujus reikalavimus taip, kaip jie šiuo metu yra išaiškinti. „Tai yra naujas reguliavimas, pagrįstas daugiau principais nei konkrečiais reikalavimais. Dėl to kai kurie praktiniai reguliavimo įgyvendinimo niuansai gali paaiškėti tik pradėjus viską taikyti praktikoje“, – pridūrė A. Bubnelis.

Sumanymo tikslas - palengvinti duomenų apsikeitimo procesus, bet pasekmė yra papildoma didelė našta verslui.
Sumanymo tikslas - palengvinti duomenų apsikeitimo procesus, bet pasekmė yra papildoma didelė našta verslui.

Informacijos – per kraštus

VDAI atstovų teigimu, pasirengti skirtos informacijos apstu – įmonėms belieka veikti. „Matome teisinių ir IT įmonių siūlomą pagalbą padėti pasirengti pokyčiams, kuriama įvairių šiai sričiai skirtų produktų. Iš VDAI darbuotojų susitikimų su įmonėmis matyti, kad didžiosios įmonės skiria pasiruošimui daug dėmesio, pasiruošimo darbus jos pradėjo labai iš anksto ir nuosekliai. Kiek kebliau yra smulkiesiems verslams, kurie neturi daug nei žmogiškųjų, nei finansinių išteklių, todėl sveikintinos verslo verslui iniciatyvos, pavyzdžiui, kai didieji stengiasi padėti mažiesiems, tokiems kaip startuoliai, įvairios asociacijos suteikia pasirengimo paramą savo nariams“, – pasakojo R. Sinkevičiūtė-Šečkuvienė.

VDAI pastebi išskirtinį organizacijų aktyvumą ir susidomėjimą asmens duomenų apsaugos sritimi – parengtos 52 visuomenės informavimo priemonės, 995 teisinės konsultacijos, 47 renginiuose skaityti pranešimai dėl asmens duomenų apsaugos reformos ir pasirengimo praktikoje taikyti BDAR. Tokiuose renginiuose dalyvavo apie 3 tūkst. suinteresuotų organizacijų atstovų bei asmenų.

Vienas iš reginių – konferencija „Duomenų apsaugos diena: pokyčius pasitinkant“, – anot inspekcijos atstovės, buvo ypač reikšmingas: jis sutraukė 400 dalyvių ir suteikė galimybę renginį ir dabar peržiūrėti nuotoliniu būdu.

VDAI pastebi suaktyvėjusią tarpinstitucinio bendradarbiavimo veiklą BDAR pasirengimo klausimais, įmonių registraciją Asmens duomenų valdytojų valstybės registre, taip pat gausą norinčiųjų atlikti išankstinę patikrą dėl ypatingų asmens duomenų tvarkymo.

Pagrindiniai žingsniai

Tam, kad būtų tinkamai pasirengta BDAR taikymui, inspekcija įmones ragina ypač atkreipti dėmesį į keletą pagrindinių žingsnių. Pirma, susipažinti su teisės aktais ir pasikeitusiais reikalavimais bei supažindinti su jais darbuotojus, taip pat atlikti asmens duomenų tvarkymo „inventorizaciją“, t. y. identifikuoti, kokius asmens duomenis tvarko, kokioms kategorijoms (specialių ar ne) jie priskiriami, įsitikinti, kad galės jų tvarkymą pagrįsti asmens duomenų tvarkymo sąlygomis.

Sumanymo tikslas – palengvinti duomenų apsikeitimo procesus, bet pasekmė yra papildoma didelė našta verslui.

Įmonės turėtų peržiūrėti vidaus teisės aktus, pavyzdžiui, asmens duomenų tvarkymo taisykles ar privatumo politiką, o jeigu turi duomenų tvarkytojų, peržiūrėti su jais sudarytas sutartis ir, jei reikia, jas atnaujinti. Taip pat svarbu peržiūrėti tiek dokumentus, tiek procesus, susijusius su duomenų subjektų teisių įgyvendinimu.

„Atkreipkite dėmesį į tai, kad keičiasi duomenų subjekto teisių įgyvendinimo tvarka, atsiranda naujų teisių, pavyzdžiui, teisė į duomenų perkeliamumą ar teisė būti pamirštam, taip pat keičiasi duomenų subjektų teisių turinys – duomenų subjektams reikės pateikti informacijos didesne apimtimi“, – perspėjo pašnekovė.

Atsižvelgdamos į atliekamą asmens duomenų tvarkymą, įmonės turėtų įsivertinti, ar turės įgyvendinti tam tikras naujas pareigas, pavyzdžiui, tvarkyti asmens duomenų tvarkymo veiklos įrašus, atlikti poveikio duomenų apsaugai vertinimą, kreiptis išankstinių konsultacijų, paskirti duomenų apsaugos pareigūną.

„Svarbu atkreipti dėmesį į naują pareigą – įvykus asmens duomenų saugumo pažeidimui, apie tai bus privalu pranešti Valstybinei duomenų apsaugos inspekcijai“, – perspėjo inspekcijos atstovė R. Sinkevičiūtė-Šečkuvienė.

DALINTIS:
 
SPAUSDINTI
EKONOMIKA
Rubrikos: Informacija:
EkonomikaGamta ir augintiniaiGimtasis kraštasGynybaKontaktai
ĮdomybėsIstorijaJurgos virtuvėKomentaraiReklama
KonkursaiKultūraLietuvaMokslas ir ITReklaminiai priedai
PasaulisPopiežiaus vizitasSportasŠeima ir sveikataPrenumerata
ŠvietimasTrasaŽmonės#ATEITIESLYDERIAIPrivatumo politika
#AUGULIETUVOJE#LEGENDOS#SIGNATARŲDNR#ŠIMTMEČIOINOVACIJOSKarjera
Visos teisės saugomos © 2013-2018 UAB "Lietuvos žinios"