Pasiruošėte BDAR? Pasitikrinkite

Pasiruošėte BDAR? Pasitikrinkite

Netrukus įsigalios Bendrasis duomenų apsaugos reglamentas. Dalis įmonių atliko namų darbus ir ramiai laukia gegužės 25-osios. Tačiau yra nemažai bendrovių, kurios vis dar karštligiškai ieško atsakymų ir klaidžioja painiame Reglamento labirinte. Darius Klimašauskas, UAB „KPMG Baltics” konsultacijų skyriaus direktorius, apžvelgia dažniausiai pasitaikančias klaidas ir siūlo pasitikrinti, ar tikrai esate pasirengę gerbti naujas Europos Sąjungos piliečių teises.

1000

El. paštas

Verslui nebėra kur trauktis - gegužės 25-ąją įsigaliosiantis Bendrasis duomenų apsaugos reglamentas (BDAR) verčia traukti galvas iš smėlio, išsikuopti biurus ir tvarkingai surūšiuoti iki šiol dažniausiai visai nerūšiuotą informaciją. BDAR aiškiai nurodo, kokius duomenis bus galima kaupti, ko reikės atsisakyti. Specialistai siūlo žvelgti į šį drausminimo procesą ne kaip į dar vieną grandinę, o kaip į galimybę ateityje dirbti efektyviau.

Klaida nr. 1: BDAR - tik formalumas


Ponas Klimašauskas sako, kad dauguma vadovų klysta manydami, jog visą pasiruošimo naujajam reglamentui procesą galima atiduoti į teisininkų rankas.

„Nemažai vadovų galvoja, kad geriausias kelias – pasirengimą BDAR patikėti teisininkams. Jie paruoš reikalingus dokumentus ir to pakaks. Teisininkų pagalba išties naudinga ruošiant įmonę BDAR atitikčiai, bet jie negali už jus atlikti visų darbų. Kad įmonė atitiktų BDAR, neužtenka sutvarkyti dokumentus ir parengti naują duomenų tvarkymo procesą. Visų pirma, reikia identifikuoti, kaip duomenys jūsų bendrovėje „keliauja“. Jei jūsų verslas neužsiliko XX amžiuje, tikriausiai duomenis, didžiąja dalimi elektroniniu pavidalu, naudojate visose verslo srityse“, - situaciją piešia specialistas.

Anot p. Klimašausko, natūralu, kad efektyviai pritaikyti įmonę naujajam BDAR galima tik įtraukus įmonės informacinių technologijų specialistų pajėgas.

„Bėda, kad dažnai teisės ir IT sričių specialistų požiūris ir supratimas labai skiriasi. Teisininkai reglamentą linkę skaityti paraidžiui, nenuostabu, kad jie ne visada supranta, kokias technologines subtilybes slepia BDAR terminai. Savo ruožtu retas IT specialistas turi kantrybės įveikti visą reglamento tekstą, todėl sprendimus grindžia perskaitę keletą ištraukų, nesuvokdami bendro konteksto ir reglamento „dvasios”. Nesukoordinuotų pastangų rezultatas - neefektyvūs pertekliniai procesai, padidėjusios išlaidos, o kartais – net neatitiktis, pasipiktinę klientai ir potencialios baudos“, - perspėja pašnekovas.

Pasak p. Klimašausko, atvejais, kai reikia rinktis, prioritetą reikėtų skirti IT specialistams.

„Jei tinkamai įvertinsite savo situaciją ir IT skyriaus pajėgumus, nemažą dalį BDAR reikalavimų galite išspręsti be papildomų išlaidų, išnaudodami jau turimų IT sistemų galimybes. Siūlyčiau nepamiršti, kad gegužės 25 dieną jūsų vargai dėl BDAR nesibaigs, jie tik prasidės. Jeigu nuspręsite taupyti pirmajame etape, kai koordinuojate įmonės veiklą ir diegiate būtinas naujoves, kad įmonės veikla atitiktų BDAR, ilgus metus už neefektyvias bei nepakankamas permainas teks mokėti išaugusiomis išlaidomis ir sąnaudomis.

Klaida nr. 2: BDAR - tik papildomos išlaidos

Netrūksta teigiančių, kad BDAR tėra papildomas biurokratinis reguliavimas. Ponas Klimašauskas mano, kad tai - požiūrio klausimas.

„Didieji verslo rykliai diktuoja madas, o šiandieniniame verslo madų pasaulyje netyla kalbos apie didžiuosius duomenis, duomenų analitiką, dirbtinio intelekto sprendimus. Šios tendencijos neaplenks ir Lietuvos įmonių. BDAR atitikties įgyvendinimas yra puikus impulsas susitvarkyti duomenų ūkį, iš naujo įsivertinti potencialą, pasiruošti tinkamus duomenų rinkinius jau netolimos ateities sprendimams. Augant duomenų analitikos teikiamoms galimybėms, pasinaudokite galimybe iš duomenų išgauti daugiau savo verslui, savo sprendimams“, - ragina specialistas.

Naujasis reglamentas vienareikšmiškai stoja vartotojų pusėn ir verslui naudingiau būti tuo, kuriam jie patikės savo duomenis.

„Reglamentas duomenis demokratizuoja. Įsivaizduokite, kokios įtakos verslui turės kliento teisė savo asmens duomenis patikėti jūsų konkurentui. Nesnaudžiantys verslai jau šiandien planuoja rinkodaros kampanijas klientams, kurie pas juos „atsineš“ savo vartojimo įpročių istoriją, kiekius ir pomėgius.“, - perspėja p. Klimašauskas

Klaida nr. 3: Įsidiegsime BDAR ir viską patikėsime Duomenų apsaugos pareigūnui

Reglamentas numato, kad kai kurie duomenų valdytojai privalės paskirti Duomenų apsaugos pareigūną (DAP) – šis asmuo turės dirbti nuo gegužės 25 dienos.

„DAP gali tapti įmonės darbuotojas arba tokią paslaugą teikiantis samdomas asmuo. Siūlyčiau nevilkinti šio proceso: kuo ankstesnėje reglamento atitikties projekto stadijoje pradės dalyvauti DAP, tuo geriau. Duomenų apsaugos pareigūnas privalo žinoti visus įmonės procesus, kuriuose tvarkomi asmens duomenys, suprasti kaip duomenys juda organizacijos viduje ir kokios informacinės sistemos tame dalyvauja. Išmintingas Duomenų apsaugos pareigūnas turėtų garantuoti, kad įmonė priims tik efektyvius sprendimus, ir siekti, kad įdiegus BDAR reikalaujamas naujoves jam tektų kuo mažiau bereikalingo darbo“, - sako p. Klimašauskas.

Visgi, ekspertas perspėja, kad profesionalių DAP rinkoje nėra daug.

„Reglamentas sukūrė naują pareigybę ir jaučiame nemažą tikrų specialistų deficitą. Tačiau tai nėra pateisinama priežastis nekruopščiai ruoštis reglamentui. BDAR aiškiai parašyta, kad už asmens duomenų tvarkymo pažeidimus atsako ne DAP, o įmonė“, - pro pirštus į pasiruošimo etapą nepataria žiūrėti p. Klimašauskas.


 Viena pagrindinių DAP funkcijų – nagrinėti duomenų subjektų prašymus bei teikti informaciją. Nuo gegužės 25 d. bet kada galite sulaukti panašaus prašymo - pasitikrinkite ar esate pasiruošę garantuoti savo klientų teises.


Gerb. vadove,

Esu Jūsų Įmonės klientas. Įtariu, kad Jūsų kompanijos asmens duomenų apsaugos praktikos galimai nepakanka mano asmens duomenų saugumui užtikrinti. Šių metų gegužės 25 d. įsigaliojo Bendrasis duomenų apsaugos reglamentas (BDAR), todėl norėčiau pasinaudoti Reglamento 15 straipsnyje man suteiktomis teisėmis.
Prie šio laiško pridedu save identifikuojančius duomenis, šį prašymą pasirašau savo el. parašu. Kaip numato Reglamento 12 straipsnis, Jūsų atsakymo tikiuosi ne vėliau kaip per 30 dienų. Priešingu atveju būsiu priverstas skųsti Jūs Valstybinei duomenų apsaugos inspekcijai.
Norėčiau sulaukti informacijos bei atsakymų į šiuos klausimus:
1. Patvirtinkite, prašau, kad tvarkote mano asmens duomenis. Jei taip, nurodykite, kokių kategorijų asmens duomenis tvarkote, ir kokia forma juos saugote (popieriuje, failuose, duomenų bazėse ir t.t.).
2. Pateikite, prašau, kokią informaciją apie mane tvarkote failuose, duomenų bazėse, elektroniniuose laiškuose, dokumentuose, kurie yra jūsų kompiuterių tinklinėse saugyklose ar kitose informacinėse sistemose, telefoninių pokalbių ar kituose garso įrašuose, vaizdo stebėjimo įrašuose ar nuotraukose.
3. Pateikite, prašau, kopijas visų duomenų, kuriuos saugote apie mane arba prie kurių turite prieigą. Įskaitant:
a. Informaciją duomenų bazėse ar kitose informacinėse sistemose, rezervinėse kopijose ir archyvuose;
b. Failus, nuotraukas, garso ir vaizdo įrašus;
c. Bet kokius kitus įrašus apie mane, kuriuos jūsų ar susijusių trečiųjų šalių informacinės sistemos sukūrė/išsaugojo man besinaudojant Jūsų paslauga;
d. Informaciją prašau pateikti automatiniam duomenų tvarkymui kompiuteriu tinkamais atvirų standartų formatais.
4. Išvardinkite, prašau, duomenų tvarkymo tikslus, kuriais vadovaudamiesi tvarkote mano asmens duomenis. Jei per pastaruosius 12 mėnesių šie tikslai keitėsi – nurodykite kiekvieno tikslo galiojimo laikotarpius.
5. Nurodykite, prašau, kokiose šalyse mano duomenis saugote ir iš kokių šalių šie duomenys yra pasiekiami. Jei duomenų tvarkymui naudojate debesų kompiuterijos sprendimus, prašau, paminėkite, kokiose šalyse yra jūsų naudojamų debesų kompiuterijos sprendimų serveriai/saugyklos. Jei per pastaruosius 12 mėnesių mano asmens duomenų saugojimo ar prieigos šalys keitėsi - prašau pateikti pastarųjų 12 mėnesių saugojimo/prieigos įstoriją.
6. Pateikite informaciją, kaip galiu pasinaudoti teise perkelti savo asmens duomenis bei visus įrašus, kuriuos sukūriau pats ir kuriuos apie mane užfiksavo jūsų informacinės sistemos, kai naudojausi jūsų paslaugomis, kitam, analogiškų paslaugų tiekėjui?
7. Jei išreikščiau pageidavimą „būti pamirštas“, nurodykite prašau:
a. Kokius mano asmens duomenis sunaikinsite?
b. Kokius mano asmens duomenis tvarkysite toliau, koks šių duomenų tvarkymo terminas bei teisinis pagrindas?
8. Pateikite, prašau, sąrašą visų įmonių, organizacijų, valstybinių institucijų ar kitų trečiųjų šalių, kurioms perdavėte, turite galimybę/prievolę perduoti arba suteikiate teisę nuskaityti/susipažinti su mano asmens duomenis arba jų dalimi.
a. Nurodykite, prašau, kokioje šalyje ar jurisdikcijoje veikia kiekviena trečioji šalis.
b. Jei duomenis perdavėte arba trečiosios šalys juos nuskaitė/susipažino - išvardinkite prašau kiekvieną tokį atvejį nurodydami trečiąją šalį, tikslų laiką bei perduotų/nuskaitytų mano asmens duomenų išrašus.
c. Jei duomenis perdavėte – nurodykite, prašau, kiekvieno atvejo teisinį pagrindą.
d. Taip pat nurodykite, prašau, kokias priemones taikote šių trečiųjų šalių atžvilgiu siekdami užtikrinti mano interesų ir asmens duomenų saugumą.
9. Prašau nurodykite asmens duomenų saugojimo laikotarpius. Jei duomenis kategorizuojate - kiekvienos duomenų kategorijos saugojimo laikotarpį.
10. Jei duomenis apie mane gaunate ne tik tiesiogiai iš manęs bet ir iš kitų šaltinių, prašau pateikti šių šaltinių sąrašą ir nurodyti ar tai yra viešos prieigos informacijos šaltinis.
11. Jei mano atžvilgiu taikote automatinio sprendimo priėmimo algoritmą, įskaitant profiliavimą, prašau pateikti tokio algoritmo logikos aprašymą nurodant, ką toks sprendimas lemia bei kokios yra pasekmės.
12. Pateikite, prašau, informaciją ar buvo atvejų kai mano asmens duomenys buvo netinkamai atskleisti, paviešinti per klaidą arba įvykus informacijos saugumo/privatumo incidentui. Jei tokių atvejų buvo, prašau pateikti:
a. Incidento datą ir tikslų laiką;
b. Datą ir tikslų laiką, kada aptikote/sužinojote apie incidentą;
c. Ar incidentas įvyko jūsų įmonėje, ar trečiojoje šalyje, kuriai perdavėte mano asmens duomenis?
d. Išrašą mano asmens duomenų kurie buvo/galėjo būti neteisėtai atskleisti;
e. Jei incidento metu netekote duomenų, bet neturite pakankamai informacijos teigti, kad mano asmens duomenys buvo atskleisti, nurodykite, prašau, kokias informacijos apsaugos priemones naudojote mano asmens duomenų saugumui užtikrinti, pvz. duomenų šifravimą, anonimizavimą, pseudonimizavimą, duomenų minimizavimo sprendimus.
f. Įmonės paruoštą rizikos vertinimo ataskaitą dėl incidento sukeltos grėsmės man ar mano interesams;
g. Priemonių sąrašą, kurias įmonė taikė ir kurias taikys ateityje, kad mano asmens duomenys ir interesai būtų apsaugoti;
h. Informaciją ar patarimus kaip turėčiau elgtis, kad apsisaugočiau nuo grėsmių, kylančių dėl duomenų atskleidimo;
i. Kontaktinio asmens, su kuriuo galėčiau susisiekti dėl papildomos informacijos apie incidentą, duomenis;
13. Nurodykite, prašau, kokiomis tvarkomis ir kokiais standartais vadovaujatės asmens duomenų saugai užtikrinti, tame tarpe:
a. Ar įmonė yra įsidiegusi ISO27001 informacijos saugos vadybos standartą?
b. Ar atliekate duomenų rezervinį kopijavimą?
c. Kur yra saugomos rezervinės kopijos?
d. Ar informacija rezervinių kopijų laikmenose yra saugoma šifruotu pavidalu?
e. Ar atliekami duomenų saugumo auditai ir įsibrovimo testai?
14. Nurodykite, prašau, kokias technologines priemones naudojate, kad nustatytumėte ar asmens duomenys buvo/galėjo būti neteisėtai atskleisti, pvz.:
a. Įsibrovimo aptikimo sistemos;
b. Ugniasienės;
c. Prieigos valdymo sistemos;
d. Veiksmų analizės/analitikos sprendimai;
e. Veiksmų žurnalai (angl. logs);
15. Nurodykite, prašau, kaip užtikrinate, kad įmonės darbuotojai tinkamai tvarko mano asmens duomenis. Kokius technologinius sprendimus, procedūras ar kitas priemones naudojate, kad užtikrintumėte, jog jūsų įmonės darbuotojai tyčiniais ar netyčiniais veiksmais neatskleistų mano asmens duomenų?

Pagarbiai,
Vardenis Pavardenis

Straipsnis paruoštas su Agne Jašinskiene, publikuotas portale vz.lt

© 2022 „KPMG Baltics“, UAB yra Lietuvos ribotos atsakomybės įmonė, priklausanti Jungtinės Karalystės privačios ribotos atsakomybės įmonės KPMG International Limited vadovaujamam nepriklausomų KPMG įmonių narių pasauliniam tinklui.

 

Daugiau informacijos apie KPMG pasaulinės organizacijos struktūrą rasite adresu https://home.kpmg/governance.

Susisiekite su mumis