Praėjusių metų pavasarį Europos Sąjungos Parlamento ir Tarybos priimtas Bendrasis duomenų apsaugos reglamentas (2016/679) pirmiausia asocijuojasi su didelėmis baudomis, gresiančiomis asmens duomenis valdantiems ir tvarkantiems subjektams. Tačiau, nepaisant stipriai padidėsiančių sankcijų, tikimasi, kad Duomenų apsaugos reglamentas bus naudingas verslo subjektams, kurie pasiruoš tinkamai jį taikyti.
Asmens duomenų „kaina“
Verslui persikeliant į elektroninę erdvę bei daugėjant būdų, kuriais asmens duomenys gali būti naudojami rinkodaros ir kitais tikslais, asmens duomenys tampa vis vertingesni. Dėl to didėja plataus masto duomenų apsaugos pažeidimų grėsmė.
Vidutinė vieno prarasto duomenų įrašo, kuriame buvo jautrios ar konfidencialios informacijos, „kaina“ verslui — 141 JAV doleris[1]. Remiantis tarptautinio tyrimo duomenimis[2], vien vidutiniai organizacijos patirti kaštai dėl duomenų apsaugos pažeidimo pasekmių šalinimo (klientų aptarnavimas, vidinė komunikacija, tiriamoji veikla, sistemų saugumo didinimas, teisinės išlaidos) Italijoje sudarė 0,65 mln. JAV dolerių, Jungtinėje Karalystėje — 0,69 mln., o Vokietijoje ir Prancūzijoje — atitinkamai 1,1 mln. ir 0,88 mln. JAV dolerių.
Dažniausiai duomenys prarandami dėl nusikalstamos veikos (47 %), aplaidžių darbuotojų ar paslaugų teikėjų veiksmų (28 %) ir nesaugių IT sistemų ar procesų trūkumų (25 %).[3]
Pripažįstama, kad duomenų apsaugos pažeidimams išvengti ir jų padariniams neutralizuoti didžiausią įtaką turi taikomos duomenų šifravimo priemonės, darbuotojų apmokymas ir instruktavimas bei reagavimo į duomenų apsaugos pažeidimus procesų ir komandos turėjimas. Be to, kuo greičiau duomenų praradimas nustatomas, tuo mažesnė jo padaryta žala. Naujojo Duomenų apsaugos reglamento nuostatos padės ūkio subjektams atkreipti dėmesį į visus šiuos aspektus.
Sankcijos — paskata verslui susirūpinti asmens duomenų svarba ir sauga
Pagal naująjį reguliavimą, kuris bus pradėtas taikyti 2018 m. pavasarį, už sunkiausius duomenų apsaugos pažeidimus ūkio subjektui gali būti taikoma iki 20 mln. EUR arba 4 % praėjusių metų apyvartos dydžio sankcija. Už kitus duomenų apsaugos pažeidimus duomenų apsaugą užtikrinanti institucija gali skirti iki 10 mln. EUR arba 2 % praėjusių metų apyvartos dydžio baudą.
Tai, kad asmens duomenis valdantis ar tvarkantis subjektas sumokės paskirtą baudą, jo neapsaugos ir nuo privačių reikalavimų atlyginti žalą — dėl duomenų apsaugos pažeidimo nukentėjusio asmens teisė reikalauti kompensacijos iš kaltųjų subjektų yra tiesiogiai numatyta reglamente.
Reglamente yra įtvirtinti gana aiškūs principai ir taisyklės, kurių paisant minėtų sankcijų galima išvengti. Reglamente įtvirtintų reikalavimų laikymasis padės išvengti ne tik sankcijų, bet ir minėtų neigiamų finansinių pasekmių, taip pat padės neprarasti dėl neapsaugotų duomenų nepatenkintų klientų. Taigi verslui tereikia pasirengti reglamento įsigaliojimui.
Dažnėjantys asmens duomenų tvarkymo pažeidimai ir asmens duomenų vagystės, kartu su Reglamentu įtvirtintomis ekonominėmis sankcijomis, yra pakankamas pagrindas pradėti naudoti duomenų šifravimo sistemas, privatumą didinančias technologijas bei skirti didesnį dėmesį tinkamai IT sistemų vadybai ir darbuotojų mokymui. Tinkamai sureguliuota atsakomybė su išoriniais paslaugų teikėjais, periodiniai duomenų saugumo patikrinimai, investicijos į elektroninių įrašų valdymo sistemas turėtų tapti prioritetu dideles apimtis asmens duomenų tvarkančiam verslui.
Didesnis apsaugos lygis = didesnis klientų pasitikėjimas
Įsigaliojus Reglamentui, verslo įmonės privalės atidžiau rinkti ir tvarkyti klientų duomenis, užtikrinti kaupiamų duomenų teisingumą ir tinkamą apsaugą bei juos naudoti tik aiškiai nustatytais tikslais. Kliento teisė „būti užmirštam“ paskatins verslo subjektus dažniau sunaikinti savo neaktyvių klientų duomenis, didesnį dėmesį skirti tiems klientams, iš kurių nuolat gaunamos pajamos, ir taip sumažinti su duomenų tvarkymu susijusią riziką. Duomenis sunaikinus, likusi informacija turėtų būti nuasmeninta taip, kad pagal ją negalėtų būti nustatytas informacijos savininkas.
Klientai įgis daugiau teisių sužinoti, kokie duomenys apie juos yra kaupiami ir kaip juos ketinama panaudoti, reikalauti pakeisti neteisingus duomenis, apriboti ar uždrausti naudoti savo asmens duomenis.
Žinojimas, kad paslaugos teikėjas laikosi reglamento nuostatų bei kaip ir kodėl yra naudojami duomenys, turėtų paskatinti vartotojus labiau pasitikėti internete teikiamomis paslaugomis ir elektronine prekyba.
Elektroninėje erdvėje veikiantys subjektai, kurie laikosi reglamento reikalavimų, potencialiems klientams lengviau įrodys, kad naudotis jų paslaugomis yra saugu. Tai gali padėti verslui pritraukti daugiau klientų, kurie iki šiol vengdavo naudotis elektroninėje erdvėje teikiamomis paslaugomis, įsigyti prekių internetu. Įmonėms, gebančioms įrodyti, kad jos laikosi Reglamento reikalavimų, tai turėtų garantuoti verslo augimą ir geras perspektyvas ateityje.
Mažesnė administracinė našta ir palankesnės sąlygos veikti
Bendrasis duomenų apsaugos reglamentas įtvirtins vienodas duomenų apsaugos taisykles visoje Europos Sąjungoje. Vienodų ir tiesiogiai taikomų taisyklių įsigaliojimas sumažins kaštus įmonėms, ketinančioms pradėti veiklą kitose ES valstybėse narėse.
Naujasis reguliavimas sumažins dėl formalaus duomenų apsaugos reguliavimo patiriamas laiko ir pinigines sąnaudas. Nebereikės registruotis duomenų valdytoju Valstybinėje duomenų apsaugos inspekcijoje, o informacija apie asmens duomenų valdymą ir tvarkymą šiai institucijai bus teikiama tik individualiu jos prašymu.
Mažoms ir vidutinėms įmonėms, kurių pagrindinė veikla nėra susijusi su plataus masto asmens duomenų tvarkymu, nereikės turėti asmens duomenų tvarkymo veiklos įrašų — specialių taisyklių ir kitų dokumentų.
Be to, atsiradus kliento galimybei perkelti savo anketinius ir kitus asmens duomenis iš vieno paslaugų teikėjo pas kitą, padidės galimybė naujoms įmonėms patekti į rinką.
Galimybės, vertos sankcijų
Jau dabar nemaža dalis verslo yra grindžiama nuasmenintų duomenų komercializacija. Reglamentu nustatyta tvarka turėtų skatinti verslo subjektus nebežiūrėti į sukauptus duomenis tik kaip į galimybę pažvelgti į savo istoriją bei analizuoti praeitį. Modernus, į duomenis orientuotas požiūris leis įmonėms naudoti sukauptą informaciją tam, kad būtų sukuriami nauji prekybos ar paslaugų teikimo modeliai, suprantamos naujos tendencijos bei prognozuojama ateitis. Kita vertus, net ir nuasmeninti duomenys gali būti priskirti konkrečiam asmeniui (vartotojui).
Asmens pajamos, vartojimo įpročiai, šeimyninė padėtis nuolat keičiasi. Šie duomenys gali būti laikomi netiksliais konkrečiu metu, o tai sudarytų pagrindą imtis veiksmų Reglamento pagrindu.
Be to, mobiliosios aplikacijos ir kitos modernios duomenų apdorojimo priemonės ateityje gali paskatinti asmens duomenis naudoti tikslais, kurių nenumatė nei sutikimą naudoti savo duomenis duodantis asmuo, nei tuos duomenis kaupiančios įmonės.
Reglamento įsigaliojimas lems pokyčius internetinės reklamos srityje ir palies visas bendroves, kurios turi reikalų su asmens duomenimis. Kad pasinaudotų naujojo reguliavimo teikiamomis galimybėmis ir išvengtų neigiamų pasekmių, daugiau dėmesio asmens duomenų apsaugai turės skirti ir iki šiol to nedariusios įmonės.
[1] 2017 Cost of Data Breach Study: Global Analysis. Ponemon Institute, June 2017.
[2] Ibid.
[3] Ibid.
Dr. Feliksas Miliutis, advokatų kontoros GLIMSTEDT vyresnysis teisininkas, advokatas
Straipsnis publikuotas naujienų portale vz.lt
