BDAR įsigaliojo 2018 m. ir nuo tada tapo pagrindiniu dokumentu, reglamentuojančiu, kaip organizacijos privalo elgtis tvarkant asmens duomenis. Jis taikomas tiek mažoms įmonėms, tiek didelėms korporacijoms, kurios tvarko fizinių asmenų duomenis - darbuotojų, klientų, partnerių.
Pagal BDAR, kiekvienas duomenų subjektas (t. y. žmogus, kurio duomenys tvarkomi) turi teisę žinoti, kaip jo asmens duomenys yra renkami, naudojami, saugomi, kam perduodami. Taip pat žmogus turi teisę prašyti ištrinti, ištaisyti ar perkelti savo duomenis kitam duomenų valdytojui.
Norint laikytis reglamento, duomenų tvarkytojas turi paskirti duomenų apsaugos pareigūną, užtikrinti asmens duomenų apsaugą, stebėti duomenų tvarkymo operacijas ir turėti aiškias asmens duomenų tvarkymo taisykles.
Ką daryti, jei įvyko pažeidimas?
Duomenų nutekėjimai ir kiti duomenų saugumo pažeidimai gali įvykti net ir atsargiausiose organizacijose. Jei kilo įtarimų dėl asmens duomenų pažeidimo, svarbu žinoti, kur ir kokia tvarka kreiptis. Lietuvoje tokiais atvejais veikia Valstybinė duomenų apsaugos inspekcija, kuri nagrinėja skundus, konsultuoja ir gali skirti baudas, jei nustatomi pažeidimai.
Asmuo, norintis ginti savo teises, pirmiausia turėtų kreiptis į organizaciją, kuri tvarkė jo duomenis, o jei atsakymas netenkina - pateikti skundą Inspekcijai. Pagal asmens duomenų teisinės apsaugos įstatymą, institucija privalo reaguoti į kiekvieną kreipimąsi.
Taip pat ir organizacija, kurioje įvyko incidentas, turėtų nedelsiant kreiptis į inspekciją informuojant apie galimą duomenų pažeidimą ir pateikiant kuo daugiau detalių, taip užtikrinant, kad būtų išvengta didesnių asmens duomenų apsaugos pažeidimų.
Prevencija - kaip apsaugoti duomenis iš anksto?
Viena iš efektyviausių prevencinių priemonių - nuolatiniai kibernetinio saugumo mokymai darbuotojams. Net jei įmonė naudoja saugią techninę įrangą, žmogiškasis faktorius išlieka dažniausia silpnaja vieta. Mokymų metu darbuotojai supažindinami su socialinės inžinerijos grėsmėmis, slaptažodžių saugumu, el. pašto naudotojo elgsena, o svarbiausia - su tuo, kaip elgtis aptikus galimą duomenų saugumo spragą.
Taip pat svarbu atlikti poveikio duomenų apsaugai vertinimą, kuris padeda nustatyti, ar planuojamos duomenų tvarkymo operacijos atitinka teisės aktus ir kokias rizikas gali sukelti.
Asmens duomenų apsauga - daugiau nei formalumas
Nors daugelis į duomenų apsaugą vis dar žiūri kaip į biurokratinę prievolę, iš tiesų tai - reputacijos, pasitikėjimo ir net verslo tęstinumo klausimas. Duomenų nutekėjimai gali ne tik pažeisti klientų teises, bet ir sugriauti įmonės įvaizdį, o kartais net sukelti teisinius ginčus ar finansinių nuostolių. O svarbiausia - už pažeidimus gresia realios ir reikšmingos baudos.
Pavyzdžiui, 2019 m. elektroninių mokėjimų įmonė „MisterTango“ gavo €61 500 baudą už BDAR pažeidimus - peradresavo per daug duomenų, neturėjo tinkamų saugumo priemonių ir nepateikė pranešimo apie įvykusį nutekėjimą. Už neteisėtą duomenų atskleidimą apie įvaikinto vaiko biologinius tėvus Vilniaus miesto savivaldybė gavo €15 000 baudą - neapsaugojo tėvų duomenų ir neteisingai juos valdė. Neužtikrinęs techninės ir organizacinės duomenų saugos po fizinio incidento, valstybės įmonė „Registrų centras“ buvo nubausta €15 000.
ES lygiu - baudos siekia ir milijonus: „Meta“ 2023 m. buvo nubausta 1,2 mlrd. eurų už duomenų perdavimą į JAV be tinkamos apsaugos. O 2024-ųjų rugsėjį, jai skirta dar €91 mln. už slaptažodžių saugumo pažeidimą - slaptažodžiai laikyti „plain text“ formatu.
Tai rodo, kad BDAR nėra tuščia deklaracija. Valstybinė duomenų apsaugos inspekcija aktyviai reaguoja į pažeidimus, o verslui tai reiškia ne tik galimus finansinius nuostolius, bet ir prarastą klientų pasitikėjimą, negatyvų viešumą bei sudėtingesnį santykį su partneriais.
Todėl atsakingas požiūris į asmens duomenų apsaugą, BDAR laikymasis, aiškios vidinės procedūros ir reguliarūs mokymai tampa neišvengiama kiekvienos šiuolaikinės organizacijos kasdienybės dalimi. Tai - ne papildoma našta, o būtinas standartas, kurio nesilaikymas gali kainuoti daugiau nei atrodo iš pirmo žvilgsnio.
SKL351