Kurie asmens duomenų tvarkymo dokumentai įmonėje svarbiausi? Kam reikalingas duomenų apsaugos auditas? Nepriklausomai nuo veiklos srities paprastai visos įmonės tvarko asmens duomenis. Tačiau duomenų tvarkymo procesai jose neretai nėra sureguliuoti ir aprašyti. Šių metų gegužės 25 d. įsigaliojęs Bendrasis duomenų apsaugos reglamentas 2016/679 (toliau – BDAR) numato pareigą įmonėms (duomenų valdytojams) imtis tinkamų techninių ir organizacinių priemonių asmens duomenų apsaugai bei asmens duomenų subjekto teisių užtikrinimui.
Situacija, kai įmonėje nėra nustatyta vieninga duomenų tvarkymo sistema, neparengti asmens duomenų tvarkymo dokumentai, nepaskirti už duomenų tvarkymą atsakingi asmenys kelia grėsmę asmens duomenų saugumui.
Teisinerizika.lt
BDAR šiuo atžvilgiu numato itin griežtas sankcijas – administracines baudas. Jos gali siekti net iki 4% įmonės metinės apyvartos. Taigi, kuriems asmens duomenų tvarkymo dokumentams reikėtų pirmiausiai skirti dėmesį, siekiant apsaugoti įmonėje tvarkomus asmens duomenis?
Asmens duomenų auditas (inventorizacija)
Yra organizacijų, kuriose atitiktis pagal BDAR pradedama iš karto nuo asmens duomenų tvarkymo dokumentų rengimo. Tačiau tai nėra teisinga.
Asmens duomenų tvarkymo dokumentai negali būti rengiami iš karto. Prieš rengiant dokumentus pirmiausia turi būti atliekamas tvarkomų asmens duomenų auditas (inventorizacija).
Teisinerizika.lt
Būtina įvertinti kokie asmens duomenys, kokiais tikslais ir kokiu pagrindu įmonėje yra renkami, kaip jie gaunami, kokie asmenys įmonėje yra atsakingi už jų tvarkymą. Taip pat, ar duomenis tvarko pati įmonė ar pasitelkiami kiti asmenys/įmonės pagal paslaugų sutartis (duomenų tvarkytojai) ar duomenys perduodami į trečiąsias šalis. Kitaip tariant, reikalingas verslo proceso, projekto ar organizacijos lygmens tvarkomų duomenų identifikavimas (asmens duomenų auditas, inventorizacija, dar vadinamas – duomenų apsaugos auditas). Šios inventorizacijos rezultatams užfiksuoti gali padėti tvarkomų asmens duomenų elementų sąrašo sudarymas, parodysiantis kokie asmens duomenys, kokiu tikslu ir pagrindu yra renkami įmonėje. Įvertinus paminėtus aspektus taps aiškūs įmonėje atliekami asmens duomenų tvarkymo procesai, kurių žinojimas leis nustatyti reikiamus paruošti dokumentus.
Asmens duomenų tvarkymo dokumentai
Asmens duomenų saugojimo politika
BDAR nustato, kad viena iš priemonių užtikrinti tinkamas technines ir organizacines priemones asmens duomenų apsaugai yra asmens duomenų saugojimo politika.[1] Duomenų valdytojo pareigą parengti ir įgyvendinti tokią politiką numato ir nacionalinė teisė[2]. Tačiau, kaip jau buvo minėta, neretai įmonėse asmens duomenų tvarkymo procesai nereguliuojami arba yra sureguliuoti tik formaliai. Patvirtinamos asmens duomenų tvarkymo taisyklės – šablonas, kuris gana dažnai yra tam tikrų nuostatų, nebūtinai atitinkančių įmonės faktinę situaciją, rinkinys su įmonės logotipu. Atkreiptinas dėmesys, kad vargu ar tokios šabloninės taisyklės atitiks įmonėje vykdomus procesus. Duomenų valdytojo pareiga užtikrinti asmens duomenų apsaugą negalės būti laikoma įvykdyta.
Duomenų subjekto teisių įgyvendinimo taisyklės
Taip pat reikalinga atkreipti dėmesį į tai, kad naujasis reguliavimas suteikia duomenų subjektams naujų teisių – teisė būti pamirštam, teisė į duomenų perkeliamumą, kurių įgyvendinimui bus reikalingos ne tik techninės priemonės bei IT sistemų sprendimai, bet ir atitinkamos su jų įgyvendinimu susijusios procedūros. Su šių teisių įgyvendinimu susijusius aspektus įmonėje galėtų detalizuoti duomenų subjekto teisių įgyvendinimo taisyklės. Jose būtų pateikiami atsakymų į duomenų subjektų paklausimus terminai ir tvarka, įmonės vidinės procedūros duomenų subjekto teisių įgyvendinimui bei už jas atsakingi asmenys. Neskyrus dėmesio šiems aspektams aprašyti įmonėje išliktų neaiški duomenų subjekto teisių įgyvendinimo tvarka bei jos vykdymui paskirti asmenys. Tai gali lemti riziką, jog duomenų subjekto teisės nebus tinkamai įgyvendintos. Tai savo ruožtu gali lemti administracinės baudos skyrimą duomenų valdytojui. Taip pat patartina įmonėje patvirtinti ir paskelbti (pavyzdžiui, interneto svetainėje) duomenų subjekto prašymo įgyvendinti savo teises formą. Ši forma palengvins duomenų subjektui kreipimąsi į įmonę ir savo teisių įgyvendinimą, o įmonei savo ruožtu padės nustatyti kurią teisė besikreipiantis asmuo siekia įgyvendinti.
Duomenų subjektų sutikimai, sutikimų valdymo tvarkos aprašas
Dar vienas svarbus aspektas duomenų subjekto teisių įgyvendinimo ir įmonės dokumentacijos kontekste – asmens duomenų subjektų sutikimai, jų valdymo tvarkos aprašas. Duomenų subjekto sutikimas yra viena iš asmens duomenų tvarkymo teisėtumo sąlygų. BDAR jam kelia atitinkamus reikalavimus: sutikimas turi būti aiškiai atskirtas nuo kitų klausimų, pateiktas suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba,[3] juo duomenų subjektas informuojamas apie asmens duomenų tvarkymo tikslus ir principus, todėl rekomenduotina skirti dėmesį įmonės sutikimo formos parengimui. BDAR numato, kad kai duomenys tvarkomi gavus duomenų subjekto sutikimą, duomenų valdytojas turėtų galėti įrodyti, kad duomenų subjektas sutiko su duomenų tvarkymo operacija,[4] todėl sutikimų gavimo, jų atšaukimo tvarką galėtų detalizuoti sutikimų valdymo tvarkos aprašas. Netinkamas sutikimas arba negalėjimas įrodyti jo gavimo neužtikrins duomenų tvarkymo teisėtumo, asmens duomenų tvarkymo dokumentai be jo bus nepakankami.
Pranešimo formos priežiūros institucijoms, duomenų subjektams
Taip pat svarbu pažymėti, kad BDAR numato pareigą duomenų valdytojams asmens duomenų pažeidimo atveju pranešti priežiūros institucijai bei esant tikimybei, kad gali kilti didelis pavojus duomenų subjekto teisėms ir laisvėms, pranešti ir pačiam duomenų subjektui[5]. Todėl pranešimo formos priežiūros institucijoms, duomenų subjektams padėtų efektyviau įgyvendinti šią pareigą. Juolab kad apie pažeidimą priežiūros institucijai reikalinga pranešti per 72 valandas. Taip pat BDAR numato pareigą duomenų valdytojui dokumentuoti visus duomenų saugumo pažeidimus. Įskaitant su asmens duomenų saugumo pažeidimu susijusius faktus, jo poveikį ir taisomuosius veiksmus, kurių buvo imtasi, šiai pareigai įgyvendinti tikslinga, kad įmonėje būtų patvirtintas ir pažeidimo atveju būtų pildomas duomenų saugumo pažeidimų registras.
Dokumentacijos įgyvendinimas ir peržiūra
Įmonėms, siekiančioms veiksmingo savo, kaip duomenų valdytojo, pareigų įgyvendinimo, nepakanka, jog būtų parengti asmens duomenų tvarkymo dokumentai. Būtina ir tinkamai juos įgyvendinti. Svarbu, kad iš parengtų dokumentų būtų aiškus BDAR atsakomybių pasiskirstymas, kas leistų nustatyti kokie asmenys ir už kokią BDAR sritį įmonėje atsako. Prie veiksmingo parengtos dokumentacijos įgyvendinimo taip pat prisideda ir reguliari parengtų dokumentų peržiūra. Ji užtikrina, kad atliekamos duomenų tvarkymo procedūros atitinka aprašytąsias.
Asmens duomenų tvarkymo dokumentai padeda užtikrinti teisėtumą
BDAR numato pareigą įmonėms, tvarkančioms asmens duomenis, imtis tinkamų techninių ir organizacinių priemonių duomenų subjektų teisių įgyvendinimo užtikrinimui bei duomenų apsaugai. Įmonės, siekdamos įvykdyti šią pareigą turi atkreipti ypatingą dėmesį į vykdomus duomenų tvarkymo procesus ir jų aprašymą. Kruopščiai ir atsakingai atliktas asmens duomenų auditas, tinkamai parengti asmens duomenų tvarkymo dokumentai ne tik leis nustatyti už duomenų tvarkymą atsakingus asmenis, bet ir prisidės prie asmens duomenų tvarkymo teisėtumo užtikrinimo.
[1] BDAR 24 str. 2 d.
[2] Lietuvos Respublikos darbo kodekso 27 str. 7 d.
[3] BDAR 7 str. 2 d.
[4] BDAR preambulės 42 p.
[5] BDAR 33, 34 str.
