5 dažniausiai pasitaikantys iššūkiai Lietuvos verslams įgyvendinant BDAR
Įžanga
Verslams, kurie vykdo veiklą Europos Sąjungoje, Bendrasis duomenų apsaugos reglamentas (BDAR) tapo pagrindiniu įrankiu reglamentuojančiu asmens duomenų tvarkymą. Tačiau daugelis Lietuvos įmonių vis dar susiduria su įvairiais iššūkiais bandant laikytis BDAR ir kitų duomenų apsaugos reikalavimų. Šiame įraše aptarsime dažniausiai pasitaikančius iššūkius ir pasiūlysime veiksmingus sprendimus, padėsiančius jūsų verslui atitikti BDAR reikalavimams.
Iššūkių TOP5
1) Nežinojimas apie BDAR reikalavimus
Nepaisant to, kad BDAR įsigaliojo jau daugiau nei prieš 6 metus, daugelis mažų ir vidutinių įmonių vadovų bei savininkų vis dar nėra pakankamai informuoti apie BDAR reikalavimus ir jų svarbą verslo veiklai. Tai lemia atitikties informacijos trūkumą, kuris veda prie pažeidimų ir atitinkamai finansinių bei reputacinių nuostolių atsiradimo.
Sprendimas: Rekomenduojama pravesti strategines sesijas ar mokymus įmonės vadovų komandai. Tai gali būti vidiniai seminarai, išoriniai mokymai ar nuotoliniai kursai. Susipažinimas su pagrindiniais BDAR reikalavimais padės juos lengviau suprasti ir įgyvendinti.
2) Duomenų apsaugos atitikties vertinimas
Daugelis verslų parengė BDAR dokumentaciją, tačiau neretai šie dokumentai ir juose aprašyti procesai nėra realiai įgyvendinami ir atnaujinami, tokiu būdu neužtikrinant realios duomenų apsaugos kasdieninėje veikloje.
Sprendimas: Duomenų apsaugos atitikties vertinimas yra būtinas, nes jo pagrindinis tikslas yra patikrinti esamus dokumentus ir procesus, siekiant užtikrinti, kad įmonėje vykdomas asmens duomenų tvarkymas atitiktų BDAR reikalavimus. Atliekant šį vertinimą, svarbu identifikuoti silpnas vietas asmens duomenų tvarkymo operacijose, kurios gali sukelti neigiamų teisinių ir finansinių pasekmių. Vertinimo atlikimui galima naudoti specializuotus įrankius arba pasitelkti teisininkus, kurie padės atlikti šį procesą efektyviai.
3) Duomenų subjekto teisių užtikrinimas
Pagal BDAR, asmenys turi teisę prašyti susipažinti su savo asmens duomenimis, juos taisyti, ištrinti, apriboti jų tvarkymą, perkelti duomenis, taip pat prieštarauti jų tvarkymui ir reikalauti, kad jiems nebūtų taikomas visiškai automatinis sprendimas, kuris turi teisinių pasekmių arba turi didelį poveikį atitinkamam asmeniui. Įmonėms tai gali būti didžiulis iššūkis, ypač jei nėra nustatytų aiškių procedūrų ir resursų laiku ir tinkamai apdoroti tokius prašymus.
Sprendimas: Reikia sukurti aiškią politiką ir procedūras, kurios būtų prieinamos visiems darbuotojams. Taip pat įdiegti technologinius sprendimus, leidžiančius lengvai ir greitai reaguoti į duomenų subjektų prašymus.
4) Tarptautinis duomenų perdavimas
Asmens duomenų perdavimas už Europos ekonominės erdvės (EEE) ribų dažnai yra būtinas tarptautinės prekybos ar bendradarbiavimo tikslais. Lietuvos įmonei gali tekti perduoti asmens duomenis į EEE nepriklausančią šalį, pavyzdžiui, kai reikia dalintis asmens duomenimis su savo verslo partneriais arba paslaugų teikėjais, kurie yra įsisteigę už EEE ribų. BDAR, teismų praktika, priežiūros institucijų gairės ir kiti teisiniai instrumentai padeda užtikrinti, kad asmens duomenys, kurie perduodami į trečiąsias šalis, būtų apsaugoti tokiu pačiu lygiu, kaip ir EEE ribose.
Sprendimas: BDAR numatyti du pagrindiniai būdai perduoti asmens duomenis EEE nepriklausančiai šaliai arba tarptautinei organizacijai. Duomenys gali būti perduodami remiantis sprendimu dėl tinkamumo arba, jei tokio sprendimo nėra, taikant tinkamas apsaugos priemones, t.y. standartines duomenų apsaugos sąlygas, įmonėms privalomas taisykles, elgesio kodeksus, sertifikavimo mechanizmus arba ad hoc sutarčių sąlygas. Nesant nei sprendimo dėl tinkamumo nei atitinkamų apsaugos priemonių, BDAR tam tikrose situacijose leidžia taikyti nukrypti leidžiančias nuostatas (pvz. aiškus sutikimas, būtinumas įvykdyti sutartį, teisinių reikalavimų pareiškimas ir kt.).
5) Duomenų apsaugos pareigūno (DAP) paskyrimas
BDAR nustato 3 atvejus, kai įmonė privalo paskirti DAP: 1) kai asmens duomenis tvarko valdžios institucija ar įstaiga; 2) kai pagrindinė organizacijos veikla – reguliarus ir sistemingas didelio masto asmenų stebėjimas, pavyzdžiui, geografinės vietos nustatymas naudojant mobiliąją programėlę, arba prekybos centrų ir viešųjų erdvių stebėjimas naudojant vaizdo stebėjimo sistemą; 3) kai pagrindinė organizacijos veikla – didelio masto specialiųjų kategorijų asmens duomenų tvarkymas. Tačiau daugelis įmonių nesupranta šio vaidmens svarbos ar net nežino, ar joms būtina turėti DAP.
Sprendimas: Įvertinkite, ar jūsų įmonei būtina paskirti DAP. Jei taip, paskirkite tinkamą asmenį, kuris turi reikiamų žinių apie duomenų apsaugą ir BDAR. Jei įmonėje trūksta tam tinkamų specialistų, DAP galite paskirti išorinį paslaugų teikėją. Kartu pažymėtina, kad yra skatinamas ir savanoriškas DAP paskyrimas, kuris leistų įmonės vadovybei duomenų apsaugos klausimus patikėti kompetentingam asmeniui ir daugiau koncentruotis į kitus verslo procesus.
Išvados
BDAR reikalavimų laikymasis gali būti iššūkis, tačiau tai yra kritinis ir būtinas žingsnis, siekiant apsaugoti klientų, darbuotojų ir verslo partnerių asmens duomenis bei išvengti solidžių baudų. Atliekant nuoseklius veiksmus ir diegiant tinkamas priemones, kiekviena Lietuvos įmonė gali užtikrinti, kad jų atliekamas duomenų tvarkymas atitiktų BDAR reikalavimus.
Kartu pažymėtina, kad aukščiau paminėtus iššūkius Jums išspręsti visada yra pasiruošę „Fondia“ teisės ekspertai, bei padėti kitais teisiniais klausimais. Todėl kviečiame pasinaudoti nemokamos pirminės konsultacijos galimybe ir pasitarti su vienu iš mūsų teisininkų. Pokalbį galite paskirti Jums patogiu laiku paspaudę šią nuorodą.