article banner
Straipsnis

Duomenų apsaugos reikalavimų pokyčiai

Bendrasis duomenų apsaugos reglamentas įsigalios 2018 gegužę, o tai reiškia, kad atėjo laikas viešojo sektoriaus subjektams, privačioms įmonėms, pelno nesiekiančioms organizacijoms ir kitiems asmenims, valdantiems ir / ar tvarkantiems asmens duomenis, įsivertinti kokius pakeitimus reikia atlikti turimose asmens duomenų apsaugos sistemose siekiant atitikti naująjį teisinį reguliavimą, t. y. atlikti atitikties vertinimą.

Ypatingą dėmesį reikėtų atkreipti į sutikimo dėl asmens duomenų tvarkymo gavimą ir sutikimo atnaujinimą, jeigu ankščiau duotas duomenų subjekto sutikimas neatitinka Reglamento reikalavimų. Svarbu prisiminti, kad naujasis teisinis reguliavimas bus taikomas visiems asmens duomenims, net ir tiems, kurie buvo surinkti iki 2018 m. gegužės mėnesio.

Pažymėtina, kad priklausomai nuo organizacijos ar įmonės dydžio, atitikties vertinimo procedūra gali užtrukti iki šešių mėnesių. Taip pat nereikėtų pamiršti, kad turi būti atliekamas rizikos vertinimas ir duomenų apsaugos poveikio vertinimas.

Rekomenduojame kiekvienai organizacijai ar įmonei įvertinti atsakymus į šiuos klausimus:

  1. Kokio pobūdžio asmens duomenys yra renkami? jeigu duomenys yra renkami tiesioginės rinkodaros tikslais ar tam yra prašoma atskiro duomenų subjekto sutikimo? Ar užtikrintas tokio sutikimo gavimo atsekamumas?
  2. Kaip asmens duomenys yra saugomi? (ar duomenys sistematizuojami);
  3. Kaip ilgai saugomi asmens duomenys?
  4. Ar duomenų subjektai prašomi atnaujinti savo asmens duomenis? Jeigu taip, kokiu būdu ir kaip dažnai?
  5. Ar asmens duomenys yra perduodami tretiesiems subjektams ir / ar užsienio valstybėms?
  6. Ar visas asmens duomenų rinkimo, saugojimo ir perdavimo procesas yra aprašytas vidinėse procedūrose?
  7. Ar darbuotojams vedami mokymai asmens duomenų apsaugos srityje?

Paslaugos, susijusios su Bendrojo duomenų apsaugos reglamento įgyvendinimu

Grant Thornton parengė trijų etapų paslaugų planą, kuriuo siekiama padėti klientams paprasčiausiu ir efektyviausiu būdu pasiruošti naujajam teisiniam reguliavimui.

Atsižvelgdamos į savo įprastą ekonominę veiklą, įmonės ir organizacijos turi įsivertinti poreikį atlikti atitinkamus pakeitimus vidiniuose procesuose ir / ar naudojamose informacinėse technologijose ir sistemose. Pirmasis ir pats svarbiausiais žingsnis yra atlikti vidinį įmonės ar organizacijos įsivertinimą. Siekiant palengvinti klientams atlikti šį etapą, Grant Thornton sukūrė vidinio įsivertinimo klausimyną, kuris padės įvertinti įmonės ar organizacijos pasirengimą perėjimui prie naujojo teisinio reguliavimo. Klientai gali naudoti šį klausimyną savarankiškai.

Jeigu vidinio įsivertinimo rezultatai parodė, kad ne visi procesai ir veiklos atitinka naujojo reguliavimo reikalavimus, reikėtų atlikti detalesnį vertinimą, siekiant nustatyti renkamų asmens duomenų pobūdį, saugojimo būdą, saugaus tvarkymo užtikrinimo trūkumus, atsakomybės paskirstymą tarp darbuotojų ir kt. Tinkamiausias būdas tai pasiekti – atlikti atitikties auditą.  Dažnai audito atlikimas yra susijęs ir su asmens duomenų tvarkymo vietos nustatymu, nes neretai įmonės ir organizacijos nežino kur ir kokio pobūdžio asmens duomenys išlieka jų vidinėse sistemose. Neverta jaudintis dėl didelių audito kaštų. Atsižvelgiant į tai,  kad patikrinimas yra standartizuotas, auditas gali būti atliekamas pakankamai greitai, efektyviai ir taupiai. Pabrėžtina, kad audito atlikimas neapsiriboja įmonės ar organizacijos vidinių procesų įvertinimu, Grant Thornton taip pat siūlo savo klientams IT sistemų atitikimo naujajam reguliavimui, patikrinimą. Jeigu audito rezultatai parodo, kad įmonės arba organizacijos IT technologijos turi būti tobulinamos ar keičiamos, siekiant užtikrinti atitikimą Bendrojo duomenų apsaugos reglamento reikalavimams, Grant Thornton sudarys IT sistemų vystymo planą. Iš anksto atliktas atitikties auditas leistų nustatyti kas turėtų būti keičiama ir tobulinama įmonės ar organizacijos procesuose bei IT sistemose, todėl IT sistemų vystymo plano parengimas yra logiškas ir nuoseklus etapas ruošiantis naujojo reguliavimo įsigaliojimui.

Bendrasis asmens duomenų apsaugos reglamentas taip pat numato asmens duomenų apsaugos poveikio vertinimo atlikimą. Turint omenyje, kad įmonės ir organizacijos yra skirtingos, toks vertinimas turėtų būti sudaromas individualiai, atsižvelgiant į tvarkomų duomenų pobūdį, duomenų tvarkymo tikslą ir būdą, naudojamų IT sistemų funkcionalumą ir kitus kriterijus. Duomenų apsaugos poveikio vertinimą turi atlikti visi duomenų tvarkytojai, jeigu dėl jų atliekamo duomenų tvarkymo, duomenų subjektų teisėms ir laisvėms gali iškilti pavojus, atsižvelgiant  į rūšį, apimtį, kontekstą ir tikslą, kuriuo tvarkomi asmens duomenys. Tokie atvejai apima sausainukų naudojimą (angl. cookies), IP adresą, prieigą prie patalpų, finansinių paslaugų sektorių (investavimą, draudimą ir kt.), sveikatos duomenų tvarkymą, vartotojų duomenų tvarkymą interneto parduotuvėse, kliento kortelių duomenų tvarkymą, didelių duomenų (angl. Big Data) analizę.