VDAI prevenciniai patikrinimai: ar jums jau laikas susirūpinti?
2019 - 02 - 07
Viešojoje erdvėje neseniai nuskambėjo naujienos apie kitose ES valstybėse už Bendrojo duomenų apsaugos reglamento (BDAR) pažeidimus paskirtas pirmąsias baudas. Kaip žinia, baudų už BDAR pažeidimus Lietuvoje dar nėra paskirta, tačiau Lietuvos Valstybinė duomenų apsaugos inspekcija (VDAI) vakar viešai paskelbė savo 2019 m. prevencinių patikrinimų planą. Šiame sąraše nurodomos 75 Lietuvos įmonės, kurias VDAI planuoja patikrinti. Ar turėtumėte susirūpinti, jei Jūsų įmonė yra šiame sąraše? Ar galite būti ramūs, jei į sąraše nepapuolėte?
Ką reiškia „prevencinis patikrinimas“?
Kaip numatyta Viešojo administravimo įstatyme, valstybės institucijos turi teisę organizuoti ūkio subjektų patikrinimus. Patikrinimai gali būti planiniai ir neplaniniai. Planinių patikrinimų pirminis tikslas – informacijos apie ūkio subjektą vertinimas ir metodinės pagalbos ūkio subjektui teikimas; planinių patikrinimų sąrašą institucija privalo paskelbti iš anksto – tai šiuo atveju VDAI ir padarė. Neplaniniai patikrinimai gali būti atliekami institucijai gavus prašymą patikrinti, kilus pagrįstų įtarimų apie galimas neteisėtas veikas ar kitais atvejais.
Kaip yra nurodžiusi pati VDAI, prevenciniai patikrinimai atliekami pačios VDAI iniciatyva, siekiant užkirsti kelią asmens duomenų tvarkymo ir privatumo pažeidimams. Taigi faktas, kad Jūsų įmonė įtraukta į VDAI prevencinių patikrinimų sąrašą savaime nereiškia, jog Jūsų įmonė asmens duomenis tvarko neteisėtai. Tai VDAI nustatys atlikusi Jūsų įmonės patikrinimą.
Ką prevenciškai tikrins VDAI?
Į VDAI 2019 m. Prevencinių patikrinimų planą kol kas įtrauktos 75 įmonės (planas dar gali būti keičiamas ar papildomas). VDAI tikrins tiek pavienius duomenų valdytojus (kurių, kaip galima suprasti, VDAI pastaruoju metu nėra tikrinusi), tiek duomenų valdytojus, kurie neseniai jau buvo tikrinti, siekiant įvertinti, ar jie įgyvendino VDAI nurodymus. Prevencinių patikrinimų plane nurodoma, kad dalis patikrinimų bus atliekami susirašinėjimo būdu (VDAI pateiks klausimus, į kuriuos įmonė turės atsakyti, pateikti prašomus dokumentus), kita dalis tikrinimų bus atliekami „vietoje“, t. y., VDAI specialistams atvykus į duomenų valdytojo patalpas.
Apibendrinant, VDAI tikrinimai turėtų būti atliekami šiais žemiau nurodytais aspektais:
- Sporto klubus planuojama tikrinti dėl biometrinių duomenų tvarkymo teisėtumo. Biometrinių duomenų tvarkymu, paprastai kalbant, šiuo atveju galėtų būtų laikomas, pavyzdžiui, piršto atspaudo naudojimas užtikrinant įėjimo į sporto klubą kontrolę. Biometriniai duomenys yra laikomi „jautresniais“ duomenimis, todėl jų tvarkymui BDAR nustato griežtesnius reikalavimus.
- Įvairiose srityse veikiančios įmonės bus tikrinamos dėl duomenų kiekio mažinimo principo įgyvendinimo sudarant ir vykdant nuomos sutartis bei dėl duomenų subjektų informavimo. Kitaip tariant, VDAI turėtų tikrinti, ar sudarant ir vykdant nuomos sutartis šis įmonės renka tik tuos duomenis, kurie būtini tokioms sutartis sudaryti ir vykdyti (pvz., jei sutarties sudarymui ir vykdymui Jums reikalingas tik kliento vardas, pavardė ir el. pašto adresas – ar nerenkate ir jo gyvenamosios vietos adreso ar asmens kodo; jei renkate – turėsite galėti pagrįsti, kad jie Jums reikalingi būtent nuomos sutarties vykdymui, o ne kitais tikslais). BDAR numato, kad apie bet kokį duomenų tvarkymą turi būti informuojamas pats duomenų subjektas – panašu, jog VDAI taip pat tikrins, kokių veiksmų tokios įmonės ėmėsi duomenų subjektams informuoti.
- Viešbučius VDAI planuoja tikrinti dėl to paties duomenų kiekio mažinimo principo įgyvendinimo tvarkant svečių duomenis (t. y., ar nėra renkami pertekliniai svečių duomenys, ar jie nėra per ilgai saugomi).
- Įdomu tai, jog į Prevencinių patikrinimų planą įtraukta ir 13 valstybės institucijų, kurias VDAI tikrins vienu specifiniu aspektu – dėl sutarčių su duomenų tvarkytojais sudarymo. Kaip žinia, BDAR reikalauja, kad bet kuris duomenų valdytojas (kuris nustato duomenų rinkimo ir naudojimo tikslus) sudarytų specialias sutartis su savo duomenų tvarkytojais (subjektais, kuriuos jis pasitelkia duomenų tvarkymui – pvz., kompiuterines sistemas prižiūrinčia įmone). Taigi, tikėtina, jog VDAI tikrins, pirma, ar tokios sutartys dėl duomenų tvarkymo valstybės institucijose apskritai yra sudarytos, ir antra, ar jų turinys atitinka BDAR reikalavimus.
- Greitųjų kreditų bendrovės bendroves VDAI planuoja tikrinti dėl asmens duomenų, kuriuos šios bendrovės tvarko sudarydamos ir vykdydamos vartojimo kredito sutartis, saugumo užtikrinimo. BDAR reikalauja, kad duomenų valdytojai ir tvarkytojai, tvarkydami asmens duomenis, įgyvendintų tinkamas techninės ir organizacines priemones. Vieno, visiems privalomo, duomenų saugumo priemonių sąrašo nėra, taigi saugumo priemones turėtų pasirinkti pats duomenų valdytojas, priklausomai nuo to, kokio „jautrumo“ asmens duomenis tvarko. Tokios saugumo priemonės gali apimti įvairiausius aspektus – nuo dokumentų saugojimo rakinamose spintose ir darbuotojų kompiuterių apsaugojimo slaptažodžiais iki periodinio kompiuterių sistemų atsarginių kopijų darymo ir sudėtingų IT sprendimų. Kadangi šiuos patikrinimus VDAI vykdys ir duomenų valdytojų patalpose, tikėtina, jog įmonių atstovų bus prašoma pademonstruoti, kaip jų pasirinktos duomenų saugumo priemonės veikia praktiškai, kaip įmonė būtų pajėgi reaguoti į duomenų saugumo pažeidimų atvejus.
Ar reiktų susirūpinti, jei esate įtraukti į sąrašą?
Jei Jūsų įmonė įtraukta į Prevencinių patikrinimų sąrašą, kol kas panikuoti neverta. VDAI viešojoje erdvėje yra ne kartą minėjusi, jog neplanuoja tapti „milžinišku baudų vėzdu“, o kiekvieną atvejį tirs ir vertins atskirai, priklausomai nuo situacijos aplinkybių.
Jei jau esate atlikę tam tikrus pasiruošimo BDAR veiksmus, matyt, galite jaustis ramiau, tačiau nereiktų manyti, kad pakanka pasiruošti BDAR patikrinimui tik vienu siauru Prevenciniame patikrinimo plane numatytu aspektu. VDAI, pastebėjusi galimus duomenų tvarkymo ir privatumo pažeidimus Jūsų įmonėje, gali Jums turėti ir platesnių klausimų. Taigi, bet kuriuo atveju, rekomenduojame pasitikrinti, ar esate tvarkingai užsipildę duomenų tvarkymo veiklos įrašų registrą (tikėtina, VDAI prašys jį pateikti); ar tinkamai informuojate duomenų subjektus (privatumo politika interneto svetainėje, informaciniais pranešimais ar kt.), ar esate reglamentavę visas pagal BDAR privalomas procedūras, atlikę poveikio duomenų apsaugai vertinimus, sudarę sutartis dėl duomenų tvarkymo ar perdavimo kitiems valdytojams, taip pat atlikę kitus veiksmus, būtinus atitikčiai BDAR užtikrinti. Nereiktų pamiršti ir techninių bei organizacinių duomenų saugumo priemonių.
Jei dar nepradėjote ruoštis BDAR? Tuomet Jums jau pats laikas susirūpinti ir daugiau nebeatidėlioti pasiruošimo darbų pradžios. Delsimas pradėti ruoštis duomenų apsaugos reformai tikrai nebūtų laikomas Jūsų atsakomybę lengvinančia aplinkybe.
Ar galite būti ramūs, jei Jūsų įmonė nebuvo įtraukta į Prevencinių patikrinimų sąrašą?
Net jei Jūsų įmonė nėra įtraukta į VDAI 2019 m. Prevencinių patikrinimų sąrašą, tai nereiškia, jog 2019 m. nesulauksite VDAI specialistų dėmesio. Kaip žinia, VDAI taip pat atlieka ir neplaninius patikrinimus. Be to, VDAI privalėtų reaguoti gavusi duomenų subjekto, nepatenkinto Jūsų įmonės veikla, skundą. Todėl net ir tuo atveju, jei nesate minėtame sąraše, rekomenduojame 2019 metais asmens duomenų tvarkymo klausimams skirti ypatingą dėmesį.
Advokatų kontoros „Cobalt“ vyresnioji teisininkė Eglė Bakštytė