Kodėl svarbi BDAR atitiktis ir kokią vertę ji kuria verslui?

vyr. teisininkė
Aktualu
2023-01-09

Bendrasis duomenų apsaugos reglamentas
BDAR
Rizikų valdymas
Bendrasis duomenų apsaugos reglamentas (BDAR) yra tiesiogiai taikomas Europos Sąjungos teisės aktas, todėl organizacijos privalo užtikrinti, kad asmens duomenų tvarkymas atitiktų BDAR nustatytas taisykles.

Siekiant tai padaryti, pirmiausia yra atliekamas įmonės turimų procesų ir dokumentų auditas (vad. gap analizė), inventorizuojamos duomenų tvarkymo operacijos, patikrinama, ar darbuotojų funkcijos ir atsakomybės duomenų apsaugos srityje yra išgrynintos, kokios yra taikomos saugumo priemonės. Taip pat nustatoma, ko BDAR atitikčiai trūksta, pateikiamos rekomendacijos.  

Rizikos valdymas ar tvarkymasis su pasekmėmis?

Išankstinis potencialios rizikos valdymas visada geriau už netikėtų krizinių situacijų pasekmių valdymą ir tokių pasekmių šalinimo neprognozuojamus kaštus. Pasirinkus nuoseklų BDAR atitikties (angl. compliance) diegimą ir rizikų mažinimo priemonių taikymą, krizių valdymo procesai yra standartizuojami. Tai stabilizuoja organizacijos veiklą, mažina neapibrėžtumo įtaką siekiamiems tikslams, mažina nepageidaujamų įvykių tikimybę, o jiems atsitikus - pasekmių šalinimo kaštus.    

Siekiant BDAR atitikties, vienas svarbiausių tikslų yra įsivertinti su asmens duomenų tvarkymu susijusias rizikas ir jas suvaldyti. Priklausomai nuo organizacijos veiklos pobūdžio bei konkrečių tvarkymo operacijų specifikos, gali atsirasti įvairiausių tiesioginių ar netiesioginių BDAR nesilaikymo padarinių, aktualiausių sąrašas pateikiamas žemiau.  

Finansinės rizikos: 

  1. Duomenys yra šių laikų auksas, asmens duomenų rinkimas ir jų analizė yra daugelio verslų sprendimų priėmimo pagrindas. Tinkamai neapsaugant duomenų, rizikuojama juos prarasti, arba netekti prieigos prie duomenų, pvz., dėl kibernetinių atakų. Taip pat svarbu įvertinti, kokius nuostolius ir žalą organizacija patirtų dėl neteisėto asmens duomenų atskleidimo, tai yra esant konfidencialumo praradimui.  

  2. Duomenų subjektas gali reikalauti atlyginti turtinę ar neturtinę žalą, padarytą jam pažeidžiant BDAR, gali būti teikiami grupiniai ieškiniai, patiriamos su bylos nagrinėjimu susijusios išlaidos.  

  3. Pažeidus BDAR nuostatas, organizacijai gali būti skiriamos administracinės baudos (iki 2–4% ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, arba iki 10 – 20 mln. Eur).  

  4. BDAR atitiktis ir reikalingų saugumo priemonių taikymas vis dažniau tampa sąlyga pradėti bendradarbiavimą su tarptautiniais partneriais, investuotojais, draudimo bendrovėmis, gauti veiklos finansavimą.  

Procesų sutrikimo rizikos: 

  1. Procesai paprastai yra kuriami siekiant tuo metu aktualių tikslų, tačiau situacijai pasikeitus, procesai neretai lieka tie patys, ir tai neigiamai įtakoja veiklos rezultatus. Be to, didžioji dauguma rizikų organizacijoje kyla iš nesutvarkytų procesų, o apie pusę duomenų saugumo pažeidimų įvyksta dėl žmogiškos klaidos. Todėl turi būti aiškiai nustatytos ir iškomunikuotos aktualios darbuotojų rolės procesuose, atsakomybė, visi darbuotojai turi būti supažindinti su duomenų tvarkymo saugumo reikalavimais. 

  2. Paminėtina vadovų civilinė atsakomybė. Bendrovės vadovas kaip valdymo organas turi užtikrinti bendrovės atitiktį BDAR, už šių reikalavimų nevykdymą vadovui gali kilti civilinė atsakomybė. Kaip nurodė Ispanijos priežiūros institucija Indecemi byloje, saugumo pažeidimo buvimas automatiškai nereiškia baudos skyrimo, tačiau reikalauja atlikti vadovų kruopštumo ir taikytų saugumo priemonių analizę. 

  3. Organizacija atsako už savo samdomų tvarkytojų veiklą, privalo duoti jiems nurodymus susijusius su BDAR. Todėl duomenų tvarkytojų ir kitų partnerių, tiekimo grandinės tiekėjų sutartys turi būti patikrintos, detalizuojant atsakomybę.  

  4. Neturint standartizuotų (ir galbūt automatizuotų) veiksmų atlikimo ir komunikacijos algoritmų, krizių atvejais kyla neefektyvaus išteklių naudojimo rizika. Pavyzdžiui, kai darbuotojai negali atlikti savo pareigų, nes yra priversti aiškintis, kaip atsakyti į duomenų subjektų arba priežiūros institucijų užklausas, arba tenka persvarstyti jau sukurtų produktų struktūrą.  

  5. Su personalo kompetencija yra susijusi rizika neįvertinti realios situacijos. Duomenų apsaugos srityje ji yra ypač aktuali dėl besikeičiančio teisinio reguliavimo bei daugybės institucijų išaiškinimų, kaip teisę taikyti praktikoje.  

  6. Dažnai užmirštama, kad dėl BDAR įpareigojimų nesilaikymo priežiūros institucija gali laikinai arba visam laikui uždrausti tvarkyti duomenis, taip pat pareikalauti ištrinti visus turimus duomenis. Kai kurioms įmonėms tai būtų pati blogiausia sankcija, nes tampa nebeįmanoma tęsti verslo veiklos

Rizikos, susijusios su rinka: 

  1. Tvaraus verslo reikalavimai keičia rinką, tačiau jie neretai siejami su organizacijų skaitmenine transformacija, kuri kelia naujus kibernetinio ir duomenų saugumo iššūkius.  

  2. Vienas iš įmonių socialinės atsakomybės požymių yra asmens duomenų apsauga, , komunikavimas apie kurį, kaip konkurencinį pranašumą, padėti organizacijos konkurentams išsiskirti rinkoje.  

  3. Stebimas asmenų didėjantis raštingumas, klientų ir vartotojų poreikis užtikrinti asmens duomenų privatumą skatina pasinaudoti jiems BDAR suteikiamomis teisėmis, pateikti organizacijoms atitinkamas užklausas, operatyviai gauti reikiamą informaciją.  

Reputacijos rizikos: 

  1. Klientai, partneriai ir darbuotojai vis dažniau organizacijas renkasi pagal vertybes. Kai įmonių veiksmai neatspindi deklaruojamų vertybių arba yra demonstruojama neatsakinga pasaulėžiūra, tai gali nulemti nepalankius sprendimus.  

  2. Viešoji nuomonė apie organizaciją nukenčia ne tik visuomenei sužinant apie įvykusius duomenų saugumo pažeidimus. Įtakos turi ir informacija, kad organizacija tapo priežiūros institucijų patikrinimų objektu, kad buvo nustatyta tam tikrų BDAR pažeidimų. Nors šiuo metu teisės aktai neįpareigoja priežiūros institucijų apie tai viešai skelbti, tačiau tokios naujienos neretai atsiduria žiniasklaidos akiratyje. Be to, yra parengtas įstatymo projektas, kuriame siūloma įpareigoti asmens duomenų priežiūros institucijas savo interneto svetainėse viešinti priimamus sprendimus 10 metų nuo paskelbimo dienos.  

  3. Blogas organizacijos įvaizdis apie tai, kad ji negerbia asmenų teisės į privatumą, gali neigiamai veikti darbuotojų lojalumą, skatinti personalo kaitą ir su tuo susijusius kaštus.   

  4. Nukentėjus organizacijos reputacijai, gali mažėti partnerių bei klientų pasitikėjimas. Tikėtinos pasekmės - sutarčių nutraukimai/nepratęsimai, turto įkeitimo, užstato reikalavimai.  

Taigi atitiktis BDAR reikalavimams organizacijoje suvaldo nemažai išorinių ir vidinių rizikų, tokiu būdu didina kuriamo produkto bei paties verslo vertę.

Kviečiame pasinaudoti nemokamos pirminės konsultacijos galimybe ir pasikalbėti su „Fondia“ teisininku. Pokalbį galite paskirti Jums patogiu laiku paspaudę  Calendly  nuorodą.

Jei norite daugiau sužinoti apie teisės aktų naujoves bei gauti praktinius teisininkų patarimus, kviečiame prenumeruoti mūsų naujienlaiškį!

Kaip mes galime Jums padėti?

Norėtume daugiau sužinoti apie Jūsų teisinius poreikius. Rezervuokite nemokamą pokalbį arba susisiekite su mumis el. laišku ar skambučiu!