Sankcijos, numatytos už BDAR nesilaikymą, šiuo metu siekia nuo 2 iki 4 procentų ankstesnių finansinių metų bendros metinės apyvartos arba nuo 10 iki 20 mln. eurų. Tiesa, kad sudėtingi procesai ir permainos nevyksta greitai, tačiau tikslingos investicijos ir laiku skirtas dėmesys ne tik teisininkų, bet ir skaitmenizavimo specialistų įžvalgoms gali padėti apsisaugoti nuo itin nemalonios patirties.
Skundų skaičius išaugo dvigubai
Lietuvoje vien per tris praėjusių metų ketvirčius buvo užregistruota kiek daugiau nei 500 duomenų apsaugos pareigūnų, šiuo metu jų skaičius viršija daugiau nei 2 tūkst. Valstybinė duomenų apsaugos inspekcija suteikė daugiau nei 3,5 tūkst. konsultacijų, atliko daugybę prevencinių tikrinimų.
Savo ruožtu dvigubai padidėjęs (iki 700) privačių asmenų skundų skaičius signalizuoja, kad visuomenė nėra linkusi taikstytis su pažeidimais, todėl mažėja galimybių keliamus reikalavimus nuleisti negirdomis.
Atsižvelgiant į tai, galime daryti išvadą, kad dauguma verslų nežiūri į duomenų apsaugą pro pirštus. Reikia pasidžiaugti, kad tiek įmonės, tiek fiziniai asmenys rimčiau suvokia duomenų saugumo prasmę ir nori ne tik teoriškai atitikti keliamus reikalavimus, bet ir sukurti pasitikėjimo santykį tarp vartotojo ir įmonės, tad situacija Lietuvoje gerėja.
Už pažeidimus Lietuvoje skyrė 67 tūkst. eurų baudų
Vis dėlto Lietuvoje šiuo metu žinomos bent 4 baudos, skirtos už BDAR pažeidimus, iš kurių didžiausia siekia 61,5 tūkst. eurų, o bendra suma – 67,4 tūkst. eurų.
Galima matyti, kad baudų skirti neskubama, tačiau svarbu atsižvelgti į pažeidimo pobūdį ir kokių techninių priemonių buvo imtasi, kad pažeidimo būtų galima išvengti. Be to, reglamentas dar yra palyginti naujas, precedentas – tik formuojamas, tad daugelis ES priežiūros institucijų aktyviai bendradarbiauja siekdamos suformuoti vieningą praktiką reglamento taikymo atžvilgiu.
Net ir ganėtinai nekaltos klaidos gali lemti dideles baudas
Kalbant apie situaciją pasaulyje, mažiausia žinoma bauda už BDAR pažeidimus buvo skirta Vengrijos ligoninei ir siekė vos 90 eurų, kai didžiausia, kuria buvo nubausta „Google“ korporacija, sudarė net 50 mln. eurų.
Yra pavyzdžių, kai sankcijų įmonės sulaukia ir neįvykus jokiam saugumo incidentui, o tiesiog neatsakiusios ar ignoravusios asmens užklausimą dėl apie jį turimų duomenų. Todėl ir į tokius paklausimus reikia reaguoti, operatyviai pateikti visą informaciją. Kai aptariama informacija nėra sistemizuota, tai padaryti gali būti sudėtinga. Todėl rekomenduojame pagalvoti apie IT sprendimus, kurie leistų vos kelių mygtukų paspaudimu eksportuoti visą turimą informaciją apie subjektą, nepriklausomai nuo jos kiekio.
Galiausiai, kartais net ir ganėtinai nekaltos klaidos gali lemti dideles baudas. Pavyzdžiui, viena iš Olandijos miesto Hagos ligoninių nebuvo integravusi tinkamų IT sprendimų, kurie leistų atriboti skirtingam ligoninės personalui pasiekiamą tik jų gydomų pacientų informaciją. Informacija, susijusi su ligos istorija ir sveikata, yra priskiriama prie ypatingų asmens duomenų kategorijos, todėl ir sankcijos už šiuos pažeidimus – kur kas griežtesnės. Toks aplaidumas ligoninei kainavo daugiau kaip 460 tūkst. eurų. Tikriausiai net neverta diskutuoti, kad tam tikrų techninių saugumo priemonių integravimas leistų ramiai jaustis ne tik pacientams, bet ir organizacijai.
Didžiausios klaidos ir kaip jų išvengti skaitmenizacijos priemonėmis
Viena iš dažniausiai pasitaikančių su BDAR susijusių klaidų – perteklinis asmens duomenų rinkimas. Nors šio kone pamatinio reguliavimo nesilaikymas vertinamas kaip itin griežtas reglamento pažeidimas, dalis įmonių vadovų vis dar mano, kad verslui naudinga turėti kuo daugiau informacijos apie savo klientus ir retai apsvarstoma, kiek duomenų išties reikia.
Antroji dažnai pasitaikanti klaida – duomenų saugojimas per ilgą arba nenustatytą laikotarpį. BDAR aiškiai numato, kad asmens duomenys turi būti saugomi aiškiai apibrėžtą ir protingą laikotarpį. Nors Lietuvoje daliai asmens duomenų yra taikomi teisės aktų nustatyti saugojimo terminai, įmonėse dažnai to nesilaikoma. Tvarkant didelius duomenų kiekius, skaitmenizacijos priemonės gali automatiškai pašalinti nebereikalingus arba per ilgai laikomus duomenis, sekti duomenų tvarkymo terminus bei apriboti prieigos teises, kad asmenys, kuriems tai nebūtina, neturėtų techninės galimybės juos pasiekti.
Kiekvienas klientas – labai individualus, tad ir sprendimai reikalingi skirtingi
Pavyzdžiui „Baltic Amadeus“ ne tik kuria naujausiomis debesijos („Cloud“), dirbtinio intelekto (AI) ir daiktų interneto (IoT) platformų tendencijomis pagrįstus skaitmeninimo sprendimus bei konsultuoja skaitmenizavimo klausimais, bet ir teikia individualizuotos programinės įrangos kūrimo paslaugas.
Kiekvienas atvejis (kaip ir kiekvienas klientas) yra labai individualus, tad sprendimai taip pat reikalingi labai skirtingi. Kas kartą atliekamas individualus privalomas teisinis ir techninis auditai, parengiama duomenų valdymo strategija bei jos įgyvendinimo gairės. Įgyvendinant sprendimus yra užtikrinami ir išpildomi visi saugumo reikalavimai.
Susipažinę su kliento sistema galime įvertinti išeities kodą, sistemos komponentų pažeidžiamumą, našumą ir pan. Viena iš populiaresnių naudojamų praktikų – socialinė inžinerija. Pasitelkiamos skirtingos šio modelio technikos leidžia efektyviai identifikuoti galimas BDAR spragas ir užkirsti kelią pažeidimams.
Informacinėms technologijoms ir dirbtiniam intelektui sparčiai tobulėjant, o duomenų kiekiams didėjant, atsirado poreikis sustiprinti asmens duomenų saugumą ir pagarbą žmogaus teisėms, kadangi brovimasis į asmeninę žmogaus erdvę pradėjo kelti pavojų ne tik asmens privatumui, tačiau ir tapatybei. Neabejojama, kad šio reglamento poreikis tik stiprės, tad žiūrėti į duomenų apsaugą aplaidžiai – didelė klaida.
Komentaro autorius – Arnoldas Gritė, verslo skaitmenizavimo paslaugas teikiančios įmonės „Baltic Amadeus“ teisininkas, duomenų apsaugos pareigūnas.