Duomenų apsauga nėra tik skambus terminas, tai aiškiai reglamentuota kiekvienos bendrovės pareiga – verslai turi užtikrinti atitiktį Bendrajam duomenų apsaugos reglamentui (BDAR arba Reglamentas). BDAR siekiama užtikrinti visavertę ES piliečių asmens duomenų apsaugą – renkant, tvarkant, saugant ar perduodant duomenis. Šiandien, kai duomenys tapo viena svarbiausių verslo varomųjų jėgų – tiek gerinant paslaugas, tiek kuriant skaitmeninės rinkodaros kampanijas ir pan. – kone kiekviena bendrovė vienu ar kitu būdu renka jautrią informaciją. Teisininkai įvardija 7 dažnas klaidas, kurios verslams gali kainuoti išties brangiai – tiek reputacijos, tiek finansų aspektu.
1. Vis dar nežino, kas yra BDAR, arba neteisingai interpretuoja jo nuostatas
Vis dar yra įmonių, kurios negalėtų aiškiai įvardinti, ko reikia, kad būtų užtikrinta atitiktis BDAR, tačiau tuo pat metu taupydamos nesikonsultuoja su teisininkais. Reglamentas apima labai daug skirtingų procesų ir taisyklių, kaip turi atrodyti duomenų saugumo užtikrinimas. Tikrai nepakanka, pavyzdžiui, „pasiskolinti“ privatumo politikos ar slapukų naudojimo politikos idėjų iš kitos interneto svetainės kūrėjų ir pasirūpinti elementariais duomenų apsaugos IT sprendimais.
Ar žinote, kiek laiko galite saugoti asmens duomenis, per kiek laiko ir kokią informaciją privalote pateikti, jei kreipiasi duomenų subjektas? Ar žinote, kokių žingsnių imsitės krizinės duomenų nutekėjimo situacijos atveju? Jeigu įmonės nėra gerai susipažinusios su Reglamentu, neįmanoma visiškai užtikrinti atitikties jam. Tokiu atveju geriau nelaukti, kol teks spręsti realias problemas, o susisiekti su skirtingas įmonių teisės sritis puikiai išmanančia advokatų kontora ir atlikti duomenų apsaugos auditą.
2. Nėra reglamentuotos duomenų rinkimo, saugojimo, tvarkymo ir perdavimo politikos
Apskritai, kiekviena įmonė turi ne tik vadovautis Reglamento nuostatomis, bet ir aiškiai susikurti savąsias – reglamentuoti visus su asmens duomenimis susijusius procesus. Svarbu apgalvoti viską – nuo įmonės vidinių momentų iki komunikacijos su išore, nuo darbuotojų iki to, kaip tvarkomasi su klientų patikėta jautria informacija, kaip užtikrinamas informacijos saugumas bendradarbiaujant su kitomis įmonėmis, t.y. trečiosiomis šalimis ir t. t. Jei nėra šios politikos, nėra aiškaus plano, kuriuo gali vadovautis įmonės atstovai.
3. Darbuotojų edukacijos stoka
Duomenų apsaugos politikoje nurodytus punktus turėtų suprasti ir taikyti visi – nuo vadovo iki klientų aptarnavimo ar kito skyriaus darbuotojo. Kartais duomenų nutekėjimas gali įvykti dėl paprasčiausio nežinojimo ar nesupratimo, kaip elgtis tam tikrose situacijose. Kalbant apie darbuotojams prieinamą jautrią informaciją, svarbu pagalvoti ir apie prieigos prie duomenų kontrolę. Šiuo klausimu taip pat neretai įmonei trūksta aiškios struktūros.
4. Duomenų perdavimo už ES ribų klaidos
Teisininkai pastebi, kad vis dar dažnas klaidingas požiūris, kad asmens duomenys už ES ribų yra perduodami tik tuomet, kai bendrovė tiesiogiai sudaro sutartį su trečiojoje valstybėje esančiu paslaugos teikėju. Esminė klaida susijusi su tuo, kad daugelis nežino, jog duomenys gali būti perduodami už ES ribų, pavyzdžiui, tiesiog juos saugant trečiosiose šalyse esančiuose serveriuose (naudojantis tam tikromis programėlėmis ar programine įranga).
Pavyzdžiui, jei darbuotojų ar klientų duomenis kaupiate tam tikroje programoje, o šią paslaugą teikia už ES ribų įsikūrusi įmonė, jau perduodate asmens duomenis už ES ribų ir jie gali patekti į BDAR taikymo sutartį.
5. Netinkamos ar nepakankamos kibernetinio saugumo priemonės ir šifravimo trūkumas
Šiandien yra išties daug IT sprendimų, kurie padeda apsaugoti asmens duomenis ir užtikrina apsaugą nuo kibernetinių atakų. Kai kuriais duomenų nutekėjimo atvejais esminė problema yra būtent nepakankamos saugumo priemonės ir šifravimo sprendimų nebuvimas. Reikia kritiškai įvertinti tiek turimų duomenų apimtis, tiek jų jautrumą.
6. Krizių valdymo plano neturėjimas
Svarbu siekti apsisaugoti nuo bet kokių incidentų ir dėti visas pastangas, kad duomenų subjektų teisės nebūtų pažeistos, tačiau lygiai taip pat svarbu turėti planą – kas būtų, jeigu būtų. Svarbu numatyti krizinių situacijų valdymo gaires ir kas, kaip ir kada teikia ataskaitas dėl atitikties BDAR, galiausiai – kas tiksliai įmonėje atsakingas už visas krizių valdymo situacijas, duomenų subjektų ir atsakingų institucijų informavimą. Kai kuriais atvejais bendrovės privalo paskirti duomenų apsaugos pareigūną, kuris prižiūrėtų duomenų apsaugos veiklą.
7. Per retai peržiūrima ir atnaujinama duomenų apsaugos politika
Verslo aplinka kinta, atsiranda nauji procesai ir būdai, kaip renkami, saugomi, tvarkomi ar perduodami asmens duomenys. Kartu keičiasi ir teisinis šių procesų reglamentavimas, kuriuo užtikrinama, kad nebūtų pažeidžiamos duomenų subjektų teisės. Nepakanka vieną kartą pasirūpinti atitiktimi duomenų apsaugos teisei ir tuomet viską pamiršti – būtinas nuolatinis monitoringas, dokumentacijos ir procesų, o galbūt ir tam tikrų taikomų priemonių ar įrankių vertinimas, atnaujinimas.
Tai tik kelios iš daugelio klaidų, kurios verslui gali kainuoti išties brangiai. Taupymas duomenų apsaugos atitikčiai neretai baigiasi dar didesniais finansų ir laiko praradimais siekiant suvaldyti krizines situacijas, atlyginti žalą ir sumokėti baudas. Jeigu nesate tikri, ar bendrovėje tinkamai suprantamos ir interpretuojamos BDAR nuostatos, verta pasikonsultuoti su šios srities teisininkais, kurie įvertins individualius poreikius, galimybes bei dabartinės duomenų apsaugos spragas.