BDAR suteikia galimybes savarankiškai vertinti su savo veikla susijusias rizikas, sugriežtina duomenų valdytojų ir tvarkytojų pareigas duomenų apsaugos srityje. Aukšti atskaitomybės standartai apima poveikio vertinimus, duomenų apsaugos pareigūno paskyrimą, būtinybę pranešti apie duomenų saugumo pažeidimus. Pagal naują reglamentavimą nustatytos itin griežtos baudos – iki 20 mln. Eur arba 4 proc. bendros metinės pasaulinės apyvartos.
Galios ir veikiantiems iš užsienio
„Bendrasis duomenų apsaugos reglamentas įneša naujovių ir sugriežtina kai kurias asmens duomenų apsaugos nuostatas.
Nuspręsta, kad už asmens duomenų tvarkymą yra atsakingi ne tik duomenų valdytojai, pavyzdžiui, elektroninės parduotuvės ar kitų fiziniams asmenims siūlomų paslaugų teikėjai, bet ir tvarkytojai, pavyzdžiui, debesų kompiuterijos paslaugų tiekėjai, informacinių technologijų paslaugų kompanijos, kurios paprastai turi prieigą prie informacinėse sistemose saugomų asmens duomenų.
Duomenų valdytojai turės užtikrinti naują asmenų teisę į duomenų perkėlimą, teisę būti pamirštam.
Taip pat duomenų valdytojai turės pranešti priežiūros institucijai, duomenų subjektui, o tvarkytojai - duomenų valdytojui, apie asmens duomenų saugumo pažeidimus. Iki šiol tokia pareiga buvo numatyta tik elektroninių ryšių sektoriuje.
Nors pagal naująjį reguliavimą nebelieka išankstinių pranešimų ar leidimų, įmonės turės įrodyti, kad duomenis tvarko teisėtai, pagrįstai ir privalės turėti duomenų tvarkymo veiklos įrašus, atitinkamais atvejais atlikti poveikio asmens duomenų apsaugai vertinimą, paskirti duomenų apsaugos pareigūną, atlikti išankstines konsultacijas su priežiūros institucija”, – teigia Telia Lietuva, AB teisininkė Tatjana Lukoševičienė.
T. Lukoševičienė taip pat atkreipia dėmesį, kad reguliavimas bus taikomas ne tik Europos Sąjungoje įsisteigusiems duomenų valdytojams ir tvarkytojams, bet ir tiems, kurie būdami už ES ribų, siūlys prekes ar paslaugas ES esantiems duomenų subjektams arba stebės jų elgesį.
Smulkiam verslui – palengvinimai
Nors dalis reikalavimų privalės būti įgyvendinti nepaisant įmonės dydžio, teisinės formos ar darbuotojų skaičiaus, tačiau smulkiajam verslui numatyta ir išimčių.
„Siekiant atsižvelgti į ypatingą mažų ir vidutinių įmonių, t. y., įmonių, kuriose dirba mažiau negu 250 darbuotojų, padėtį, Bendrajame duomenų apsaugos reglamente numatyta, kad jos gali nukrypti nuo kai kurių duomenų apsaugos reikalavimų, pavyzdžiui, joms nėra taikomas reikalavimas saugoti duomenų tvarkymo veiklos įrašus.
Be to, reglamente raginama priežiūros institucijas atsižvelgti į specialius tokių įmonių poreikius, o Europos Komisiją – apsvarstyti tokioms įmonėms skirtas specialias priemones. Tačiau konkrečių sprendimų, kaip tai bus įgyvendinta šiuo metu nei Europoje, nei Lietuvoje nėra priimta”, – teigia Valstybės kontrolės IT audito departamento direktorė Živilė Simonaitytė.
Svarbu – tinkamai pasiruošti
„Pirmiausia, įmonės turėtų įsivertinti ir susitvarkyti tvarkomų asmens duomenų „ūkį“ – paskyrę atsakingus žmones atlikti asmens duomenų tvarkymo auditą. Jo metu nustatyti, kokios operacijos atliekamos su duomenimis, kokios duomenų kategorijos tvarkomos, koks yra tvarkomų duomenų judėjimas, t. y. iš kur gaunami, kam perduodami duomenys, ar duomenys patenka už ES teritorijos.
Taip pat reikia įsivertinti, kokie IT sprendimai, apsaugos priemonės įdiegtos įmonėje, kokia dokumentacijos kokybė. Toks auditas leistų atsakyti į esminį klausimą – ar įmonės veikla atitinka reglamentą, ar yra papildomos sritys, reikalavimai, kuriems reikia pasiruošti“, – teigia „TGS Baltic" partneris Mindaugas Civilka.
M. Civilkos teigimu, pasiruošimui reikalingos investicijos labai priklauso nuo konkrečios įmonės ir srities, kurioje ji veikia.
„Labiausiai naujas reguliavimas palies įmones, turinčias daug individualių klientų: ryšio operatorius, finansinių, komunalinių paslaugų teikėjus. Taip pat bendroves vykdančias internetinę prekybą ar reklamą, veikiančias sveikatos priežiūros srityje. Bet prisitaikymas naujiems reikalavimams pareikalaus papildomo laiko iš daugelio įmonių. Reikės atlikti auditą, priežiūrą, kuriant naujas procedūras, procesus, o kartais imtis ir kitų papildomų investicijų į IT infrastruktūrą, žmogiškuosius išteklius”, – teigia M. Civilka.
Daugiau apie ES Bendrąjį duomenų apsaugos reglamento įgyvendinimą ir reikalavimus šalies įmonėms bus galima sužinoti Vilniuje, birželio 15 d. „Infobalt” ir „TGS Baltic" organizuojamoje nemokamoje konferencijoje „Asmens duomenys – giežtai privaloma apsaugoti vs. atverti“.
