„Pastebime, kad dalis verslų BDAR atitiktį įgyvendina kaip „vienkartinį“ projektą, kuomet paruošę BDAR dokumentus, deda juos į stalčių, jausdamiesi saugūs, kad įgyvendina visus reglamento keliamus reikalavimus.
Tačiau BDAR atitiktis yra nuolatinis procesas, kuris turi būti nuolatos prižiūrimas ir tobulinimas“ – sako advokatų kontoros „Triniti Jurex“ partnerė ir Duomenų apsaugos komandos vadovė Aurelija Rutkauskaitė.
Šabloniniai BDAR dokumentai atitikties neužtikrina
Įsigaliojus BDAR, ne viena organizacija, siekdama užtikrinant BDAR atitiktį, ieškojo šabloninių dokumentų ar reikalingų turėti dokumentų sąrašo, kuriuos įsigijusi tikėjosi šį ne itin malonų klausimą užmiršti visiems laikams. Dažnu atveju įsigyti dokumentai, jų net neperžiūrėjus, atsidurdavo stalčiuje ar segtuve.
Taip pat pastebima, kad neretas verslas, užuot skyręs laiko ir resursų vidinių BDAR dokumentų rengimui, „nusirašo“ juos nuo konkurentų ar panašaus profilio įmonės. „Tokios praktikos yra labai rizikingos, nes, labai tikėtina, šabloninis dokumentas neatspindės konkrečios organizacijos duomenų tvarkymo srautų, procesų ir praktikų.
Čia labai tinka toks palyginimas – verslas įsigyja Klaipėdos žemėlapį ir bando juo naudotis Vilniuje. Taip, formaliai tai yra žemėlapis, bet ar jis realiai padeda naviguoti? Tokia formali atitiktis, dažnu, atveju yra vienas tiesiausių kelių į pažeidimą.“ – pažymi A.Rutkauskaitė.
BDAR atitiktis nėra tik formalus dokumentų turėjimas ir tai puikiai įrodo „Google“ atvejis, kuomet technologijų milžinė, formaliai įgyvendinusi BDAR reikalavimus, turėjo sumokėti 50 mln. eurų baudą už BDAR pažeidimus.
Nepaisant formalios atitikties buvimo – kompanija turėjo ir naudojo dokumentus, nustatančius asmens duomenų valdymą, tvarkymą ir naudojimą, tačiau jie ne iki galo atitiko realią veiklą, taip pat Google vartotojams pateikta informacija nebuvo lengvai prieinama, nes buvo išdėstyta keliuose dokumentuose.
Šis precedentas iliustruoja, kaip formali BDAR atitiktis neapsaugo nuo rimtų finansinių padarinių, paaiškėjus reglamento pažeidimams.
BDAR galioja visoms organizacijoms
Verslininkai vis dar dažnai klaidingai mąsto, kad jei jie tiesiogiai nerenka vartotojų duomenų, BDAR reikalavimai jų organizacijoms negalioja. Tokia nuostata ypač dažna tarp dirbančių B2B (angl. business-to-business) sektoriuje, tačiau reikia įsidėmėti, kad BDAR reglamentas išimčių nenumato.
Įsivaizduokime hipotetinę situaciją – dvi įmonės tarpusavyje sudaro pirkimo-pardavimo sutartį, kurioje šalys sutaria, jog pirkėjas iš pardavėjo pirks baldus, o pirkėjas įsipareigoja juos priimti ir sumokėti kitai šaliai sutartyje nustatytą kainą.
Nors ši sutartis sudaroma tarp dviejų juridinių asmenų, tačiau joje neišvengiamai atsiranda asmens duomenų, kadangi ją pasirašo abiejų šalių įgalioti atstovai, t. y. fiziniai asmenys, ir sutartyje tokiu atveju atsiras jų vardai ir pavardės, kontaktiniai duomenys, galimai ir dar daugiau asmens duomenų.
Tai lemia, jog sutarties vykdymo tikslais bus tvarkomi asmens duomenys, o tai reiškia, kad automatiškai šiuose sutartiniuose santykiuose bus taikomas BDAR. Ir nors pateiktame pavyzdyje, tvarkomų asmens duomenų spektras yra gerokai siauresnis, nei, pavyzdžiui, el. komercijos parduotuvių, tai neatleidžia nuo atsakomybės tinkamai tvarkyti gautus asmens duomenis.
Kita duomenų tvarkymo sritis, kuri yra kiekvienoje organizacijoje – darbuotojai. Jei turite bent vieną darbuotoją, reikalavimo atitikti BDAR neišvengsite.
Kokybiška BDAR atitiktis – atsakingo, skaidraus verslo požymis
BDAR atitikties integracija į organizacijos strategiją bei kasdienius procesus kuria ilgalaikę ir tvarią asmens duomenų apsaugos kultūrą. Nuo BDAR atsiradimo, šis reglamentas transformavo suvokimą apie asmens duomenis, tuo pačiu išplėsdamas atsakingo verslo sampratą.
Organizacija neužtikrinanti BDAR atitikties ar tai daranti atsainiai, šiuolaikinėje verslo aplinkoje nebus vertinama kaip atsakinga, skaidri ir etiška. Ir priešingai – asmens duomenų apsaugos kultūros ugdymas komandos viduje, yra tapęs vienas iš požymių, rodančių, kad organizacija vadovaujasi etiško verslo principais.
Kaip pastebi A.Rutkauskaitė – „Reglamentas bei jo įgyvendinimui skirtos taisyklės, politikos, poveikio vertinimai ir kiti atskaitomybės principo užtikrinimo reikalavimai toli gražu nėra skirti tam, kad „išvestų vadovą iš proto“ ar „užkrautų“ dar vieną biurokratinę naštą.
Visi šie instrumentai leidžia užtikrinti vieną svarbiausių BDAR pristatytų principų – skaidrumą tvarkant asmens duomenis. Tik turint realią situaciją atitinkančią ir reguliariai peržiūrimą BDAR dokumentaciją tiek pati organizacija žino, kokius asmens duomenis ji valdo, tiek geba šią informaciją pateikti to paprašiusiems asmenimis – ar tai būtų priežiūros institucija, ar duomenų subjektas“.
