Print

Atitiktis BDAR – ar jos užtikrinimo organizacijoje reikšmė sumažėjo?

2018-08-06 10:15
Teisės naujienos

Lietuvoje VDAI viešai deklaruoja, kad įsigaliojus BDAR sankcijų lavina duomenų tvarkytojų neužpuls. Kyla klausimas, ar dėl to nesumažėja BDAR atitikties organizacijoje užtikrinimo reikšmė. Ar vis tik reikalinga atlikti asmens duomenų auditą, pasirengti BDAR dokumentaciją ir t.t.Bendrasis duomenų apsaugos reglamentas (toliau – BDAR)[1] įsigaliojo 2018 m. gegužės 25 dieną, o su juo atėjo gana didelė puokštė naujų reikalavimų. Nors Lietuvoje nauja Asmens duomenų teisinės apsaugos įstatymo[2] (toliau – ADTAĮ) redakcija pakartojanti reglamento nuostatas įsigaliojo kiek vėliau, tačiau reglamentas yra tiesioginio taikymo teisės aktas. Tai reiškia, kad atitiktis BDAR reikalavimams turėjo būti užtikrinta jau  nuo 2018 m. gegužės 25 d. 

Duomenų apsaugos sritis šiuo metu yra viena iš aktualiausių, kadangi sugriežtėjęs reguliavimas daugiau ar mažiau susijęs su kiekvienu asmeniu – ypatingai su asmenimis, kurie apibrėžti kaip duomenų valdytojai, duomenų tvarkytojai ar duomenų gavėjai. Tokie asmenys privalo užtikrinti, kad jų turimi duomenys apie kitus asmenis būtų apsaugoti.

juridicon.lt 

Vienas iš BDAR reikalavimų – nepriklausoma priežiūros institucijos paskyrimas, kuri privalo užtikrinti reglamento taikymo stebėseną. Lietuvoje ši pareiga atiteko Valstybinei duomenų apsaugos institucijai (toliau – VDAI).

VDAI įgaliojimai skirti sankcijas pažeidėjams

VDAI uždaviniai, įgaliojimai numatyti BDAR ir taip pat perkelti į ADTAĮ. Didžiąja dalimi VDAI yra atsakinga už visuomenės informavimą ir konsultavimą BDAR klausimais. Taip pat dalyvauja formuojant duomenų apsaugos politiką duomenų apsaugos srityje, nagrinėja skundus dėl duomenų apsaugos pažeidimų, tačiau uždavinių sąrašas nėra galutinis. Kalbant apie BDAR laikymosi užtikrinimą, atsakinga institucija turi tokius įgaliojimus: duomenų tvarkytojui arba duomenų valdytojui pareikšti įspėjimą, papeikimą, duoti nurodymus, apriboti duomenų tvarkymą ir taikyti griežčiausią sankciją – administracinę baudą. Tačiau Lietuvoje VDAI viešai deklaruoja, kad įsigaliojus BDAR sankcijų lavina duomenų tvarkytojų neužpuls. Labiau koncentruojamasi bus į konsultacinių ir informavimo uždavinių išpildymą.

Administracinė bauda – griežčiausia nubaudimo forma, esant BDAR pažeidimams. Administracinių nusižengimų kodeksas[3] nurodo nuobaudų paskirtį – nubausti už padarytą nusižengimą ir paveikti asmenis, kad nebedarytų daugiau nusižengimų pažeidimų. Įgyvendinti naujus duomenų apsaugos reikalavimus nėra lengva, todėl tikėtina, kad padaryti nusižengimai netgi nebūtų tyčiniai. Dėl to iškart taikant sankcijas nebūtų pasiektas jų tikslas – tai tebūtų formalus ir aklas nubaudimas. Dėl šios priežasties VDAI siekdama atrasti balansą tarp BDAR jai suteiktų uždavinių – konsultuoti ir informuoti ir bausti nesilaikančius reikalavimų – renkasi kelią pradžioje sankcijų netaikyti. Tačiau VDAI netaikant sankcijų iškyla kita problema – kiek ilgai taip bus? Jeigu už reikalavimų nesilaikymą nebaudžiama – tuomet kokia prasmė jų laikytis?

Pirmiausia ir elementariausia, baudos ar kitos sankcijos už reikalavimų nesilaikymą kažkada bus taikomos, todėl atitiktis BDAR kiekvienoje organizacijoje anksčiau ar vėliau privalo būti užtikrinta.  Kaip ir anksčiau minėta, kad viena iš svarbiausių paskatų organizacijoms atitikti teisės aktų reikalavimus yra privalomumas, nes kitu atveju gresia atsakomybė Tikėtina, kad piktybiniai ir tyčiniai pažeidimai jau šiuo metu būtų baudžiami griežčiausia sankcija. Tačiau atsiribojant nuo atsakomybės reikia pažvelgti kitu kampu ir suprasti kokią reikšmę atitiktis BDAR turėtų organizacijai.

Reputacijos praradimo rizika.

Šių dienų verslas yra labai konkurencingas – vos apčiuopiama nauja niša ji labai greitai užpildoma, o dažnas verslininkas supranta, kad kai kurios esamos rinkos apskritai yra perpildytos. Klientui renkantis kieno paslaugomis naudotis ar produktą pirkti atsižvelgdamas į įvairius kriterijus jis gali pasirinkti iš plataus rato įmonių. Dėl to esami verslininkai ieško naujų sprendimų, kaip pritraukti klientus. Atitiktis įstatymams gali būti vienas iš kriterijų, kodėl klientas būtent pasirinktų vieną įmonę vietoj kitos. Duomenų apsaugos politika įmonėje turėtų būti ypatingai svarbus aspektas kalbant apie kliento pasitikėjimą ja. Tikėtina, kad duomenų apsaugos politiką turės kiekviena organizacija, tačiau kitas klausimas - kiek kokybiškai duomenys bus apsaugoti? Todėl geros reputacijos užsitikrinimas duomenų apsaugos srityje gali būti naudingas siekiant pritraukti klientus. Analogiška situacija galima ir darbuotojų atžvilgiu, kadangi darbuotojai taip pat yra fiziniai asmenys, kurių informaciją organizacijos privalo saugoti. Dėl to įmonės norinčios pritraukti gerus specialistus turėtų būti užtikrinusios jų duomenų apsaugą.

Duomenų subjektų teisių įgyvendinimas.

Duomenų subjektas, nauju duomenų apsaugos reglamentavimu įgauna šias teises – teisė susipažinti su duomenimis, reikalauti ištaisyti duomenis, teisė būti pamirštam, teisė apriboti duomenų tvarkymą. Tai yra teisės, kurias duomenų subjektas gali įgyvendinti duomenų valdytojo atžvilgiu. Duomenų valdytojo turi pareigą patenkinti duomenų subjekto reikalavimą, kuriuo jis įgyvendina savo teises. Tai suponuoja, kad duomenų valdytojas privalo žinoti kada tokie reikalavimai yra teisėti ir privalo žinoti, kaip tokius teisėtus duomenų subjekto reikalavimus patenkinti. Tam padaryti naudingiausia būtų iš anksto padaryti turimų duomenų apie asmenis inventorizaciją. Inventorizacijos rezultatai parodytų kiek ir kokių duomenų įmonė valdo, kas atsakingas už duomenų tvarkymą, kaip yra apsaugoti asmenų duomenys ir pan. Pavyzdžiui gavus duomenų subjekto reikalavimą pateikti, kokius duomenis duomenų valdytojas turi apie jį, tam tikros apimties duomenų inventorizacija vis tiek bus atliekama. Todėl iš anksto padaryta inventorizacija suvaldytų galimą riziką, jog duomenų valdytojas būtų užkluptas netikėtu duomenų subjekto prašymu.  

Techninio saugumo užtikrinimas.

BDAR 32 straipsnis nustato, kad duomenų saugumui užtikrinti turi būti pasitelkiamos tiek techninės tiek organizacinės priemonės. Kokių saugumo priemonių reikia imtis, priklauso nuo to, kokie duomenys yra saugomi (pobūdis, kontekstas, aprėptis, tvarkymo tikslai), kokio rimtumo pavojus gali kilti fizinių asmenų duomenims. Priemonės, kurių įmonė imasi, turi užtikrinti duomenų apsaugą tiek organizacijos viduje, tiek ir nuo galimų išorės grėsmių. Šių dienų gyvenime technologijos yra neatsiejama gyvenimo dalis ir dėl to apsauga nuo kibernetinių atakų tampa vis svarbesnė. BDAR įsigaliojimas nėra atsitiktinis – ypatingai viešoji erdvė susidomėjo duomenų apsauga po Prezidento rinkimų JAV, kuomet buvo užfiksuota daugybė kibernetinių atakų.  Apskritai, duomenys praktiškai tampa šių dienų valiuta, dėl to BDAR atėjimas signalizuoja, jog informacijos apsauga turi būti ypatingai susirūpinta. Dėl šių priežasčių BDAR reikalavimas užtikrinti duomenų techninę apsaugą negali būti tik formalus, kad būtų išvengta baudų. Įmonės turi imtis realių priemonių – peržiūrėti turimą techninę apsaugą ir esant poreikiui ją stiprinti.

Šalia baudų – žalos atlyginimas.

VDAI skiriamos administracinės baudos gali būti tik viena nubaudimo forma, duomenų valdytojui pažeidusiam BDAR. Kita atsakomybės forma įtvirtinta reglamento 82 straipsnyje – teisė į materialinės ar nematerialinės žalos atlyginimą, kuomet duomenų valdytojas pažeidžia duomenų tvarkymą. Jeigu VDAI viešai paskelbė, jog stengsis reglamento galiojimo pradžioje pažeidėjų nebausti, tai žalos atlyginimo pažeidėjai išvengti negali. Tai reiškia, jeigu duomenų valdytojas nesilaiko BDAR reikalavimų ir dėl to sukelia žalą duomenų subjektui – jis turi ją atlyginti.

Papildomų taisyklių laikymasis.

Elgesio kodeksai – dar viena BDAR įtvirtinta naujovė. Asociacijos ar kitos įstaigos atstovaujančios duomenų valdytojus ar tvarkytojus  gali parengti tokius kodeksus, kurie nustatytų, kaip turi būti taikomas šis reglamentas. Tokie elgesio kodeksai privalo būti patvirtinti, užregistruoti ir paskelbti VDAI. Patvirtinti elgesio kodeksai gali būti paskelbti visuotinai galiojančiais visoje ES, tačiau tam jie turi būti susiję su keliose valstybėse narėse vykdoma duomenų tvarkymo veikla. Praktikoje tokie kodeksai šiuo metu dar nėra skelbiami. Tačiau jeigu nutiktų, jog toks elgesio kodeksas įsigaliotų, tuomet organizacijos taip pat būtų įpareigotos tokių laikytis. BDAR nenurodoma ar už tokių kodeksų pažeidimus galima atsakomybė, tačiau elgesio kodeksai detalizuotų BDAR taikymą. Tokiu atveju pažeidžiant elgesio kodeksus tikėtina, kad būtų pažeidžiamas ir pats reglamentas. O elgesio kodeksų tinkamas laikymasis nurodytas kaip vienas iš kriterijų vertinant kokio dydžio baudą skirti už BDAR pažeidimą.

Išvados:

  • VDAI yra BDAR įgyvendinimo užtikrinimo priežiūros institucija. Jos uždaviniai – duomenų valdytojų konsultavimas ir informavimas duomenų valdytojų ir tvarkytojų, kaip reglamento įgyvendinimas turėtų vykti. Šalia to VDAI taip pat turi įgaliojimus skirti sankcijas pažeidėjams.
  • Pradžioje VDAI nebaus. Lietuvoje VDAI viešai paskelbė, jog pirmaisiais reglamento galiojimo mėnesiais labiau bus patarėja, nei baudėja; tačiau naivu manyti, jog neatitiktis BDAR bus toleruojama, todėl piktybiški pažeidimai tikėtina, kad būtų baudžiami ir iškart įsigaliojus BDAR;
  • BDAR atitiktis reikalinga ne tik tam, kad būtų išvengta baudų. Net ir be baudų organizacijoms kyla kitos rizikos neužtikrinus atitikties BDAR:
    • Duomenų valdytojas, kuris nesilaikydamas BDAR reikalavimų sukelia žalos duomenų subjektui, privalėtų ją atlyginti;
    • Klientai bei darbuotojai gali nepasitikėti tokia organizacija, kuri neužtikrina jų duomenų saugumo;
    • Neatitinkant BDAR reikalavimų techninis saugumas gali būti neužtikrintas;
    • Nors elgesio kodeksų pažeidimai nenumato tiesioginės atsakomybės, tačiau tikėtina, kad pažeidžiant juos bus pažeistas ir reglamentas;
    • Duomenų inventorizaciją teisiškai nėra privaloma atlikti, tačiau ją atlikus sumažinamos rizikos pažeisti BDAR.

Taigi, nepaisant VDAI viešo pareiškimo, atitikties BDAR užtikrinimo organizacijoje reikšmė nė kiek nesumažėjo.



[1] Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 2016 m. balandžio 27 d. dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas)

[2] Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas (galiojanti redakcija)

[3] Lietuvos Respublikos administracinių nusižengimų kodeksas (galiojanti redakcija)

Susisiekite 
Advokatas, mokesčių konsultantas, teisės projektų vadovas
Telefonas 
+370 5 2691101
Faksas 
+370 5 2691010
Mobilus telefonas 
+370 612 11222
El. paštas 
laimonas.marcinkevicius@juridicon.lt