BDAR reikalavimai

Šių metų gegužės 25 d. įsigaliojusio BDAR reikalavimai numato pareigą organizacijoms (duomenų valdytojams) imtis tinkamų techninių ir organizacinių priemonių asmens duomenų apsaugai bei asmens duomenų subjekto teisių užtikrinimui. Tokia situacija, kai organizacijoje nėra nustatytos vieningos duomenų tvarkymo sistemos, nepaskirti už duomenų tvarkymą atsakingi asmenys kelia grėsmę asmens duomenų saugumui, kas savo ruožtu, gali lemti atsakomybės organizacijai, kuri neužtikrina atitikties BDAR, riziką.

Nepriklausomai nuo veiklos srities visos organizacijos tvarko darbuotojų, o dažna organizacija ir savo klientų, partnerių bei tiekėjų asmens duomenis. Bendrajame duomenų apsaugos reglamente 2016/679 (toliau – BDAR) šie duomenys suvokiami itin plačiai, t.y., jais laikoma bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti. Prie asmens duomenų priskiriami ne tik vardas, pavardė, asmens kodas ar kontaktiniai duomenys, kaip antai, telefonas ar el. paštas, bet ir buvimo vietos duomenys, IP adresas.

BDAR neatitikties pasekmės

Asmens duomenų tvarkymas, neatitinkantis BDAR keliamų reikalavimų, gali lemti itin griežtų sankcijų pritaikymą organizacijai, t.y., BDAR numato administracines baudas, kurios priklausomai nuo pažeidimo, gali siekti iki 10 000 000 Eur arba 2% organizacijos metinės apyvartos (atsižvelgiant į tai kuri suma didesnė) arba net iki 20 000 000 Eur arba 4% organizacijos metinės apyvartos.

Taip pat atkreiptinas dėmesys, kad asmens duomenys yra itin jautri asmens privataus gyvenimo sritis, todėl pažeidimai tvarkant tokius duomenis gali lemti ne tik administracinę atsakomybę, bet ir turėti neigiamos įtakos organizacijos reputacijai.

BDAR atitikties užtikrinimas

Ši rizika gali būti valdoma taikant organizacines priemones: organizuojamas ir atliekamas asmens duomenų auditas (inventorizacija), parengiami asmens duomenų apsaugos dokumentai. Organizacijoje vykdomi duomenų tvarkymo procesai aprašomi atitinkamose tvarkose, detalizuojančiose asmens duomenų tvarkymo tikslus, pagrindus, saugojimo laikotarpį bei kitus aspektus.  Su šiais procesais turi būti tinkamai supažindinti ir apmokyti atsakingi asmenys. Taip pat tinkamai duomenų apsaugai būtina pritaikyti reikiamas technologines, IT priemones bei sprendimus. Naudojamas priemones reikalinga periodiškai peržiūrėti ir prireikus atnaujinti.