Prieš Bendrąjį duomenų apsaugos reglamentą – visi lygūs
Nuo 2018 m. gegužės 25 d. įsigaliosiantis Bendrasis duomenų apsaugos reglamentas (BDAR) suvienodins duomenų apsaugos taisykles visose ES šalyse. Specialistai perspėja, kad į pokyčius privalo atsižvelgi ne tik specifiniai verslai, apdorojantys daug asmeninės informacijos, bet ir kiekviena smulkiojo ar vidutinio verslo įmonė, kuriai tenka susidurti su ES piliečių – klientų, tiekėjų, partnerių ar darbuotojų - asmeniniais duomenimis.
ES naujuoju BDAR pasišovė keisti kai kurių įmonių neskaidrius įpročius, pavyzdžiui, pardavinėti klientų el. pašto adresus, netinkamai saugoti duomenis nuo programišių ar pašaliečių. BDAR, sako iniciatoriai, sudarys palankesnes sąlygas žmonėms kontroliuoti jautrią informaciją apie save. Justė Sakalauskaitė, Šiaulių banko atitikties specialistė ir duomenų apsaugos pareigūnė, pabrėžia, kad dabar sunku prognozuoti, ar naujasis reglamentas palengvins duomenų saugos procesus verslui.
„Manau, kad ateityje išaiškės, ar BDAR suteiks daugiau aiškumo, ar įneš daugiau sumaišties. Apskritai pats reglamentas nėra visiška naujovė duomenų apsaugos atžvilgiu: įdiegta tam tikrų naujovių, bet esminiai reikalavimai išlieka. Didžiausia naujiena – didesnės baudos. Būtent dėl baudų reglamentas ir sulaukia tiek daug dėmesio. Tačiau duomenų apsaugos taisyklės galiojo ir iki šiol. Pavyzdžiui, bankai šioje srityje jau dabar yra labai griežtai reglamentuojami. Tačiau ruošiantis BDAR mums reikėjo darsyk pasitikrinti ir iš naujo įsivertinti kai kuriuos procesus“, - pasakoja J. Sakalauskaitė.
Reglamento iniciatoriai tikina, kad vieninga sistema padės sutaupyti ir netgi atneš ekonominės naudos – skaičiuojama, 2,3 mlrd. Eur. Verslas baiminasi, kad patirs nemažai nuostolių ir viliasi, jog BDAR aktualiausias bus tik toms kompanijoms, kurios valdo didžiulius duomenų kiekius.
„Požiūris, kad duomenų apsauga labiau turėtų rūpėti didelėms įmonėms ar specifiniams verslams, tokiems kaip bankai, nėra atsitiktinis. Didelės korporacijos valdo milžinišką duomenų kiekį, todėl ir rizikos, susijusios su duomenų sauga, jos patiria daugiau. Mažesnės įmonės, pavyzdžiui, tokios, kuriose dirba iki 250 darbuotojų, tvarko gerokai mažiau duomenų. Visgi, reikėtų nepamiršti, kad duomenų saugos reikalavimai aktualūs visoms bendrovėms, nepriklausomai nuo jų dydžio. Visoms įmonėms galioja ta pati esminė taisyklė - neprašyti klientų perteklinių duomenų, tvarkyti jų tik tiek, kiek tikrai reikia, ir užtikrinti saugumą“, - pabrėžia banko atstovė.
Ne vien IT reikalas
Pasak J. Sakalauskaitės, pirmasis žingsnis, kurį turėtų žengti iki šiol nedaug dėmesio duomenų saugai skyrusios įmonės – su duomenų sauga tinkamai supažindinti visus darbuotojus.
„Praktikoje pastebime, kad dauguma per siaurai supranta asmens duomenų sąvoką. Asmeniniais duomenimis vadinami visi duomenys, kurie identifikuoja asmenį: vardas, pavardė, asmens kodas, adresas ir t. t., taip pat visi netiesioginiai duomenys, kuriems gauti reikia papildomų priemonių – pavyzdžiui, sutarties numeris, kurį įvedę į sistemą apie asmenį gausime visus reikalingus duomenis. Išsiaiškinus, kas laikoma asmens duomenimis, reikėtų išgryninti, kurie iš jų tvarkomi įmonėje, tada peržiūrėti, kurie darbuotojai dalyvauja tų duomenų tvarkymo procesuose – gali būti, jog darbuotojai patys nė nesusimąsto, kad tvarko jautrią informaciją. Svarbu suprasti, kad daugelis darbuotojų taip pat nežino, kokiais teisiniais pagrindais įmonė kaupia duomenis – šiuos klausimus kolektyvui verta aptarti“, - pataria J. Sakalauskaitė.
Specialistė sako, jog klaidinga manyti, kad duomenų apsaugą privalo užtikrinti tik teisininkai ar IT specialistai.
„Duomenų apsauga nėra vien Teisės ar IT skyrių prerogatyva, ji turėtų rūpėti visiems darbuotojams, kurie dirba su klientų duomenimis. Duomenų apsauga svarbi nuo pirmosios akimirkos, kai tik paimate kliento duomenis ir vedate juos į sistemą. Jūs turite užtikrinti, kad tie duomenys nenutekės, jų nepamatys pašaliniai asmenys. Dažnai pirmieji su asmens duomenimis susiduria vadinamieji „front-desk“ darbuotojai, tarkime, klientų aptarnavimo vadybininkai. Jie ypač gerai turi būti supažinę su duomenų saugos principais, - mano pašnekovė. – Naujasis BDAR aktualus visiems darbuotojams, kurie tvarko, sistemina, peržiūrinėja ar perleidžia duomenis. Gali būti, kad tam tikrose įmonėse tokių žmonių bus mažiau – pavyzdžiui, kepėjui nėra reikalo gilintis į reglamentą. Tačiau tos pačios kepyklos buhalteriui tai naudinga. Labai svarbus ir vadovo vaidmuo: jis turi pabrėžti duomenų saugos svarbą, teisingai sudėlioti prioritetus ir strategiją, užtikrinti, kad būtų pakankamai resursų planams įgyvendinti.“
Naudingiausia, anot J. Sakalauskaitės, parengti mokymus ir juose ne tik papasakoti apie BDAR, bet ir pateikti pavyzdžių, kaip viską įgyvendinti praktiškai.
„Net jei įmonė neturi daug finansinių resursų, naudingos medžiagos ir praktinių pavyzdžių visada galima rasti internete“, - siūlo specialistė.
Kaupti nebeleis
Anot J. Sakalauskaitės, reikėtų keisti ir senais laikais susiformavusį požiūrį, kad geriau saugoti kuo daugiau duomenų, nes galbūt jų prireiks - šis reglamento aspektas, sako pašnekovė, kelia nemažai diskusijų.
„Duomenų minimizavimas reiškia, kad negalima tvarkyti daugiau duomenų negu būtina. Iki šiol tik menka dalis verslo įmonių naikindavo asmens duomenis – viską tik kaupdavo, dažniausiai motyvuodamos tuo, kad tam tikros informacijos gali prireikti ateityje. Dabar reglamentas numato ribas, kiek laiko bus galima saugoti duomenis. Kita vertus, kontraversijos situacijai teikia tai, jog valstybės institucijos kaip tik dažnai prašo pateikti kuo daugiau duomenų“, - problemą įvardija Šiaulių banko atstovė.