Bendrasis duomenų apsaugos reglamentas (BDAR) privertė įmones susirūpinti tuo kaip tvarko savo klientų, darbuotojų bei verslo partnerių asmens duomenis. Tačiau ši sritis dar palyginti nauja ir įmonės dažnai neatitinka visų reikalavimų.
- Nepasirašytos sutartys su duomenų tvarkytojais
BDAR 28 straipsnis reikalauja, kad kiekvienas duomenų valdytojas, t.y. Įmonė tvarkanti asmens duomenis savo interesais, sudarytų sutartis su duomenų tvarkytojais. Tvarkytojai tai įmonės, kurios pagal nurodymą tvarko asmens duomenis, pavyzdžiui, debesijos paslaugų teikėjai, IT paslaugų įmonės, analitikos įmonės. Svarbu, kad su kiekvienu tokiu paslaugų teikėju įmonė sudarytų duomenų tvarkymo sutartį. Taip pat minėtas BDAR straipsnis numato konkrečius tvarkytojo įpareigojimus, kurie turi būti atkartoti duomenų tvarkymo sutartyje, pavyzdžiui, duomenis tvarkyti saugiai, konfidencialiai, tvarkyti duomenis tik pagal valdytojo nurodymus ir kt. Įmonės turėtų persižiūrėti ar su kiekvienu paslaugų teikėju, kuris turi prieigą prie asmens duomenų yra pasirašytos duomenų tvarkymo sutartys ir jei taip, ar šios sutartys atitinka bent minimalius BDAR 28 straipsnio reikalavimus.
- Vidinių duomenų apsaugos tvarkų neturėjimas
BDAR teikia didelę svarbą atskaitomybės principui (BDAR 5 straipsnio 2 dalis). Šis principas reiškia, kad įmonė ne tik turi atitinkti BDAR reikalavimus, bet ir sugebėti šią atitiktį įrodyti pateikdama susijusią dokumentaciją. Pagrindinis dokumentas, kurį turėtų turėtū kiekviena įmonė – asmens duomenų tvarkymo taisyklės. Jose aprašomi duomenų tvarkymo tikslai, teisiniai pagrindai, principai, kurių laikomasi tvarkant duomenis įmonėje ir kt reikalavimai. Nemažiau svarbu turėti ir darbuotojų asmens duomenų tvarkymo taisykles, kuriomis personalas informuojamas apie jų asmens duomenų tvarkymą, kaip to reikalauja BDAR 13 ir 14 straipsniai. Remiantis Valstybinės duomenų apsaugos inspekcijos gairėmis, taip pat reikėtų pasitvirtinti dar ir (1) Asmens duomenų saugumo pažeidimų procedūrą; (2) duomenų tvarkymo veiklos įrašus; (3) Poveikio duomenų apsaugai vertinimo procedūrą; (4) IT saugumo politiką; (5) Vaizdo stebėjimo tvarką.
- Nesutvarkyta interneto svetainė
Įmonių interneto svetainės dažnai būna netvarkingos BDAR požiūriu: nėra privatumo politikos, slapukai renkami neturint sutikimo. Tai irin svarbu, jei interneto svetainėje renkami asmens duomenys, pavyzdžiui kontaktinėmis formomis, naujienlaiškių prenumeratos formoje ir pan. Dėl ta mūsų puslapyje kiekvienas atvejis, kai renkame asmens duomenis aiškiai aprašytas privatumo politikoje [nuoroda]. Itin svarbu užtikrinti skaidrumą, jei kalbame apie internetines parduotuves, kadangi klientai joms patiki įvairius savo duomenis, mokėjimo informaciją, adresus ir pan. Svarbu klientus supažindinti su visa informacija apie tai kaip bus tvarkomi jų asmens duomenys: kaip duomenys bus panaudoti, kam jie bus perduoti, kiek laiko saugomi, kokios subjekto teisės ir kt.
- Duomenų subjektų neinformavimas apie duomenų tvarkymą
Jau aukščiau minėjome, kad svarbu informuoti apie duomenų tvarkymą darbuotojus ir interneto svetainės lankytojus. Tačiau dažnai įmonės apie duomenų tvarkymą neinformuoja savo klientų. Pavyzdžiui, su klientais fiziniais asmenimis naudojamos prekių pirkimo, paslaugų sutartys, kuriose apie duomenų tvarkymą nieko nėra nurodoma. Nors iš tikrųjų akivaizdu, kad asmens duomenys yra tvarkomi, renkami ir asmens tapatybės, ir kontaktiniai bei apmokėjimo duomenys. Tai, kad duomenys tvarkomi sutarties pagrindu nereiškia, kad pareiga informuoti subjektą netaikoma. Reglamentas tokios išimties nenumato. Įmonės turėtų peržiūrėti su klientais naudojamas sutartis ir įsitikinti, kad jose skaidriai pateikiama informacija apie duomenų tvarkymą.
Deja, daugelio įmonių BDAR pasirengimas vis dar “šlubuoja”, nėra vidinių ir išorinių privatumo dokumentų, klientai ir darbuotojai neiformuojami arba netinkamai informuojami apie duomenų tvarkymą. Svarbu susitvarkyti privatumo politikas ir vidines tvarkas, pasirašyti reikiamus susitarimus su duomenų tvarkytojais bei papildyti naudojamas sutartis nuostatomis apie duomenų tvarkymą.
