Dalis verslo Lietuvoje vis dar nesupranta, jog bendrasis asmens duomenų apsaugos reglamentas liečia ir Juos

2018 m. liepos 16 d. įsigaliojo naujoji, 2018 m. gegužės 25 d. Bendrojo asmens duomenų apsaugos reglamento (BDAR) šviesoje parengta Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo (ADTĮ) redakcija. Vis tik, nepaisant Europiniu, o dabar jau tvirtai ir nacionaliniu mastu įsigaliojusių naujovių asmens duomenų teisinės apsaugos srityje dalis, o ypatingai mažo ir vidutinio dydžio, verslo atstovų vis dar įnirtingai laikosi pozicijos, jog naujieji asmens duomenų apsaugą reglamentuojantys teisės aktai jų neliečia. Nors lyginant su stambiomis korporacijomis, vidutinio ar mažo dydžio bendrovės tvarko ženkliai mažiau asmens duomenų, Bendrasis asmens duomenų apsaugos reglamentas turi svarbios reikšmės ne tik didžiajam, bet ir smulkiajam verslui.

„Didžioji dalis mažo ir vidutinio dydžio verslo atstovų laikosi pozicijos, jog BDAR jų neliečia“

Advokatų profesinė bendrija „Legalit“ pastebi, kad be išimties kiekvienas verslas tvarko asmens duomenis, net ir tada jei mano, jog ne. Atkreiptinas dėmesys, jog BDAR, o taip pat ir ADTĮ, labai aiškiai apibrėžia, jog asmens duomenų tvarkymu laikoma bet kokia su asmens duomenimis atliekama operacija, t. y. tiek asmens duomenų rinkimas, įrašymas, rūšiavimas, sisteminimas, tiek ir tik susipažinimas su jais. Taigi, jei Jūsų bendrovė turi galimybę, nors tik ir perskaityti kliento (fizinio asmens ar juridinio asmens darbuotojų, vadovų) asmens duomenis, kaip antai vardą, pavardę, adresą ar matyti kitus fizinį asmenį identifikuojančius duomenis, tai jau yra asmens duomenų tvarkymas.

Dėl šio, bet kuris verslas, turi ne tik privalomai įvertinti, ar bendrovėje yra patvirtintos reikalingos tvarkos ir taisyklės, užtikrinančios tinkamą asmens duomenų tvarkymą ir apsaugą, bet kartu ir pasirengti pagal BDAR ir ADTĮ privalomus, su asmens duomenų apsauga, susijusius dokumentus, kaip antai asmens duomenų tvarkymo taisykles, darbuotojų asmens duomenų saugojimo politiką ir jos įgyvendinimo priemonių tvarkos aprašą, duomenų saugumo pažeidimo tvarkos taisykles ir kita.

Taip pat, itin dažnai pasitaiko ir tokių atvejų, kai laikoma, jog asmens duomenų bendrovė niekam neperduoda, ko pasekoje neprivalo sudaryti ir jokių rašytinių susitarimų su duomenų tvarkytojais dėl asmens duomenų tvarkymo. Dėl šio svarbu atkreipti dėmesį į tai, jog asmens duomenų perdavimu – laikytinas, bet koks jų atskleidimas perduodant ar kitu būdu padarant juos prieinamus. Todėl, jei bendrovė yra sudariusi pavyzdžiui paslaugų teikimo sutartį su buhalterinės apskaitos ar IT paslaugas teikiančiomis įmonėms, laikytina, jog būtent šioms bendrovėms duomenis ji ir teikia, kaip antai nurodo savo bendrovės darbuotojų ar klientų asmens kodus, vardus, pavardes ir kita, ko pasekoje privalo su jais sudaryti susitarimus dėl asmens duomenų tvarkymo, kurie neabejotinai padės išvengti nesusipratimų ateityje. Itin svarbu, kad bendrovė atidžiai įvertintų ketinamų pasitelkti duomenų tvarkytojų kvalifikaciją bei atsižvelgtų į potencialaus duomenų tvarkytojo pajėgumą užtikrinti tinkamą Bendrojo asmens duomenų apsaugos reglamento reikalavimų laikymąsi. Be to, Legalit advokatų nuomone, klaidingu laikytinas ir įsitikinimas, kad Bendrasis asmens duomenų apsaugos reglamentas „tik išpūstas burbulas“. Pastebėtina, kad netinkamas asmens duomenų tvarkymas bei asmens duomenų apsaugos principų nesilaikymas gali sukelti neigiamų pasekmių ne tik bendrovės įvaizdžiui, bet ir finansiniai padėčiai. Naujoji asmens duomenų teisinės apsaugos įstatymo redakcija numato, kad baudas subjektams pažeidusiems asmens duomenų teisinė apsaugą reguliuojančių teisės aktų nuostatas skirs Valstybinė duomenų apsaugos inspekcija.

Atitinkamai pažeidusiems duomenų valdytojo ir duomenų tvarkytojo prievoles bus skiriama bauda iki 2 proc. bendrovės ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, o tuo tarpu pažeidusiems pagrindinius duomenų tvarkymo principus, įskaitant asmens sutikimo gavimo sąlygas, duomenų subjekto teises ar nuostatas dėl asmens duomenų perdavimo duomenų gavėjui trečiojoje valstybėje arba tarptautinei organizacijai, grės bauda iki 4 proc. ankstesnių finansinių metų bendros metinės bendrovės pasaulinės apyvartos.

„Bendrasis asmens duomenų apsaugos reglamentas įrankis – padėsiantis sukurti pridėtinę vertę jūsų verslui“

Vis tik, reiktų pastebėti ir tai, kad Bendrasis asmens duomenų apsaugos reglamentas nėra tik „našta“. Atsižvelgiant į tai, jog pagal savo svarbą bei praradimo pasekmes, asmens duomenys yra bene vertingiausia asmens vertybė, tikslingas asmens duomenų tvarkymas bei BDAR ir ADTĮ nuostatų laikymasis gali būti įrankis, padėsiantis sukurti pridėtinę vertę jūsų verslui. Bendrovės žengimas „koja kojon“ į priekį su naujomis reglamentavimo tendencijomis gali žymiai pagerinti bendrovės įvaizdį visuomenėje, bei kurti teigiamą reputaciją. Nepajotina, kad žinojimas, jog bendrovė geba užtikrinti savo klientų asmens duomenų apsaugą, skatina ir stiprina potencialių ir esamų klientų pasitikėjimą ja.