Pavyzdinis privalomų BDAR dokumentų sąrašas nėra patikima priemonė atitikčiai užtikrinti

Nei BDAR, nei kiti teisės aktai nenustato, kokie konkrečiai dokumentai yra privalomi organizacijoms tam, kad jos atitiktų BDAR reikalavimus. Praktikoje, spręsdamos šią „problemą“ , organizacijos ieško įvairių pavyzdinių privalomų ar rekomenduojamų turėti BDAR dokumentų sąrašų. Pagal juos pasitikrina „trūkstamus“ BDAR dokumentus, „pasidaryk pats“ būdu pasirengia šiuos dokumentus ir mėgina jais remtis auditų bei patikrinimu metu. Tačiau praktika atskleidžia, kad pasitikėjimas tokiais sąrašais neretai yra apgaulingas ir rizikingas. Tad ar verta jais pasikliauti? O jeigu yra keli „pavyzdiniai“ privalomų dokumentų sąrašai, kuriuo iš jų vadovautis?

Gali visiškai netikti konkrečiai organizacijai

Organizacijų atstovai, manantys, kad, pasirinkę konkretų „pavyzdinį“ sąrašą ir uždėję „varnelę“ užtikrins savo organizacijai atitiktį BDAR reikalavimams, labai apsirinka. Kaip rodo atliekami BDAR atotrūkio nustatymo auditai, tokios organizacijos tiesiog save apgaudinėja ir rizikuoja. Paprašius pateikti auditui reikiamą dokumentų sąrašą, jie pateikia visai ne tuos dokumentus ir įsitikinę tvirtina, kad juos turi, kad BDAR reikalavimai įvykdyti. Tik, gavę argumentuotą atotrūkio nustatymo išvadą, supranta, kad BDAR atitiktis negali būti užtikrinama „varnelės“ pažymėjimo būdu. Jeigu pasigilinsime į tuos „pavyzdinius sąrašus“, pamatysime, kad jie gana skirtingi. Vieni labiau sureikšmina  vienus dokumentus, kiti – kitus. Kai kurie BDAR dokumentai iš viso „pamirštami“. Akivaizdu, kad tokie sąrašai yra rengiami konkrečių specialistų, jie neatspindi bendros praktikos, o tiesiog tų specialistų turėtas patirtis su konkrečiais istoriniais jų klientais. Būdami nepritaikyti konkrečiai organizacijai, jie gali visiškai jai netikti, net jei parengti pagal BDAR nustatytus reikalavimus, Valstybinės duomenų apsaugos inspekcijos (VDAI) gaires, Europos duomenų apsaugos valdybos (EDAV) ir 29 straipsnio duomenų apsaugos darbo grupės parengtas rekomendacijas ar nuomones. BDAR dokumentai yra viena iš organizacinių duomenų saugumo priemonių, o BDAR 25 str. nustato pareigą duomenų valdytojams taikyti tvarkymo pobūdį, aprėptį ir kontekstą ir tikslus bei kylančias rizikas, atitinkančias duomenų saugumo priemones. „Pavyzdinis“ privalomų BDAR dokumentų sąrašas gali neapimti konkrečios organizacijos procesų, duomenų tvarkymo praktikų, o tokiu būdu neužtikrinti atitikties BDAR reikalavimams arba būti perteklinis, taip apsunkindamas organizacijos duomenų tvarkymą. Pavyzdžiui, Poveikio duomenų apsaugai vertinimas dėl telefoninių pokalbių įrašymo privalomas tik tada, kai organizacija renka asmens duomenis būtent šiuo būdu. Vaizdo stebėjimo taisyklės taip pat nebus privalomos organizacijai, kuri neatlieka vaizdo stebėjimo. Pirmiausiai svarbu atlikti organizacijos tvarkomų asmens duomenų inventorizaciją ir auditą, išanalizuoti organizacijos procesus, duomenų tvarkymo operacijas, tvarkomų asmens duomenų apimtis, duomenų rinkimo būdus, įvertinti asmens duomenų reikalavimų niuansus. Tik tada rengtis BDAR dokumentus. Pavyzdžiui, „Google“, nors formaliai ir buvo įgyvendinusi BDAR reikalavimus -  turėjo bei naudojo dokumentus, nustatančius asmens duomenų valdymą, tvarkymą ir naudojimą, buvo įsidiegusi konfigūracijos įrankius, tačiau gavo 50 mln. Eur baudą už BDAR pažeidimus, nes pažeidė asmens duomenų reikalavimų niuansus, informuodama duomenų subjektus. Buvo konstatuota, kad Google savo vartotojams pateikta informacija nėra lengvai prieinama, nes išdėstyta keliuose dokumentuose, dėl ko vartotojas, norintis išsamiai susipažinti su informacija apie jo tvarkomus asmens duomenis, turi atlikti 5 ar daugiau veiksmų.

Verta kurti atitikties kultūrą

Juridicon pritaria, kad pavyzdinis privalomų turėti BDAR dokumentų sąrašas gali padėti greičiau susiorientuoti, kokie dokumentai galėtų būti reikalingi organizacijoje. Jie ypač naudingi pradedantiems organizacijų duomenų apsaugos specialistams. Tačiau nebūtinai patikimai padės organizacijai pasitikrinti atitiktį BDAR reikalavimams. Tai nėra patikima ir pakankama priemonė atitikčiai užtikrinti. Tik išanalizavus konkrečios organizacijos procesus, duomenų tvarkymo operacijas, tvarkomų asmens duomenų apimtis, duomenų rinkimo būdus, gali būti sudaromas tai konkrečiai organizacijai privalomų ir rekomenduojamų BDAR dokumentų sąrašas. Organizacijos galėtų naudoti ir pasikliauti tik joms parengtu individualiu privalomų BDAR dokumentų sąrašu. Tačiau geriausia – tai apskritai nepasitikėti „varnelės“ pažymėjimo požiūriu, o integruoti atitiktį į savo organizacijos strategiją ir kurti joje atitikties BDAR reikalavimams bei kitiems teisės aktams kultūrą.

Čia galite nemokamai pasitikrinti savo organizacijos atitiktį BDAR reikalavimams ir sužinoti preliminarų Jūsų organizacijai privalomą BDAR dokumentų sąrašą.