Kas yra ir kaip veikia BDAR numatyti elgesio kodeksai ir sertifikatai

Praėjus daugiau nei metams nuo Bendrojo asmens duomenų apsaugos reglamento įsigaliojimo Europos duomenų apsaugos valdyba patvirtino rekomendacijas, kaip turėtų būti įgyvendinami BDAR numatyti savireguliacijos ir sertifikavimo mechanizmai.

BDAR yra įtvirtintas asmens duomenų valdytojo atskaitomybės principas, kuris reikalauja, kad duomenų valdytojas būtų proaktyvus ir ne tik užtikrintų BDAR reikalavimų laikymąsi, bet ir gebėtų tai įrodyti.

Asmens duomenų atskaitomybės principas reikalauja, kad duomenų valdytojai turėtų vidines duomenų tvarkymo taisykles bei įrodymus (įrašus), kurie pagrįstų duomenų tvarkymo atitikimą BDAR reikalavimams. Būtent dėl šio principo BDAR sukūrė nemažą naštą bendrovėms, kurios tvarko asmens duomenis.

Kaip vieną iš būdų padėti priežiūros institucijoms ir vartotojams įrodyti, jog duomenų valdytojas laikosi atskaitomybės principo, BDAR siūlo sertifikatus ir konkrečiam sektoriui pritaikytus elgesio kodeksus.

Kas yra ir kaip veikia elgesio kodeksai?

Elgesio kodeksai dėl duomenų tvarkymo yra savotiška savireguliacija, kuri leistų tam tikros srities duomenų valdytojams susitarti dėl bendrų BDAR reikalavimus atitinkančių standartų, tokių kaip, pavyzdžiui, kokį laiką saugoti kliento duomenis po to, kai baigė galioti jo nuolaidų kortelė.

Elgesio kodeksai sektoriui gali suteikti autonomijos ir leisti susikurti savo taisykles, pagrįstas praktika, nelaukiant, kol tokie reikalavimai jiems bus „nuleisti“ iš reguliacijos institucijų. Be to, elgesio kodeksai gali suteikti praktinių patarimų, kaip sektoriaus dalyviams elgtis vienoje ar kitoje situacijoje, kokius metodus taikyti.

Kadangi kiekvieną elgesio kodeksą, prieš jam įsigaliojant, turi patvirtinti Reguliuojančios institucijos, elgesio kodeksai gali suteikti organizacijai ir jos nariams saugumo dėl to, kad jie duomenis tvarko pagal BDAR reikalavimus ir ateityje išvengs baudų.

Kaip kiekviena savireguliacijos institucija, asociacija, sukūrusi ir patvirtinusi elgesio kodeksą, privalo įtvirtinti jo priežiūros ir įgyvendinimo mechanizmus. Šią funkciją turėtų atlikti sukurta speciali ir nepriklausoma priežiūros grupė ar komitetas, kuris turėtų vertinti, kaip asociacijos nariai laikosi elgesio kodekso, nagrinėti duomenų subjektų skundus dėl asociacijos narių bei reguliariai peržiūrėti kodeksą.

Be to, elgesio kodeksai yra puiki priemonė leisti perduoti duomenis į trečiąsias šalis (šalis, kurioms nėra privalomos BDAR nuostatos), jeigu bendrovė, į kurią būtų siunčiami asmens duomenys, taip pat laikytųsi asociacijos patvirtinto tarptautinio elgesio kodekso. Pavyzdžiui, Debesijos kompiuterijos saugumo asociacija savo nariams yra parengusi elgesio kodeksą, skirtą įgyvendinti BDAR reikalavimus. Nors kodeksas dar nėra patvirtintas reguliacijos institucijų, tačiau jis leidžia suvienodinti asociacijos narių duomenų tvarkymo praktiką. Žinant, kaip duomenys keliauja debesijos kompiuterijoje, elgesio kodekso įgyvendinimas turėtų palengvinti duomenų perdavimo procesus.

Duomenų tvarkymo standartų atitiktį įrodantys sertifikatai

Jeigu sektorius, kuriame veikia bendrovė, nėra itin specifinis ar elgesio kodekso diegimas atrodo pernelyg sudėtinga procedūra, atitikimą BDAR reikalavimams galima mėginti užtikrinti sertifikatais, apsaugos ženklais ar žymenimis. BDAR numatyta, kad asmens duomenų valdytojai ir tvarkytojai gali mėginti gauti sertifikatus.

Remiantis BDAR nuostatomis, sertifikatus gali išduoti valstybių narių priežiūros institucijos (Lietuvoje – Valstybinė asmens duomenų inspekcija) ar Europos duomenų apsaugos valdyba arba priežiūros institucijų akredituotos sertifikavimo įstaigos. Pavyzdžiui, Prancūzijos asmens duomenų apsaugos institucija turi savo „Privatumo antspaudą“, skirtą mokymams apie asmens duomenų apsaugą. Šis antspaudas vartotojams garantuoja, kad jiems teikiami mokymai atitinka priežiūros institucijos standartą.

Remiantis Europos Sąjungos tinklų ir informacijos apsaugos agentūros (ENISA) pateikiama informacija, vis dar nėra vieno bendro sertifikato, kuris galėtų garantuoti atitiktį BDAR reikalavimams, tačiau yra net keletas, kuriuos sujungus galima garantuoti aukštą asmens duomenų apsaugos standartą. Pavyzdžiui, tarptautinės standartizacijos organizacija (ISO) yra parengusi standartą ISO 27001, skirtą Informacijos sistemų saugumo valdymui. Įvairius saugumo ir privatumo lygį įrodančius standartus kuria ir ENISA bei Europos Sąjungos standartizacijos agentūra.

Nors kuriant ir diegiant elgesio kodeksus bei atitikties sertifikatus dar laukia ilgas kelias, tačiau iš esmės jau egzistuoja įrankiai, kurie gali palengvinti procesus, padėti užtikrinti atitiktį BDAR reikalavimams bei padėti įrodyti apie savo privatumą ir duomenų apsaugą vis labiau informuotiems vartotojams, kad jų duomenys tvarkomi pagal BDAR reikalavimus.

 

Raminta Bučiūtė yra advokatų kontoros GLIMSTEDT teisininkė, žiniasklaidos teisės ekspertė, besispecializuojanti duomenų apsaugos, intelektinės nuosavybės bei technologijų, žiniasklaidos ir komunikacijų teisės srityje.

Užsisakykite svarbiausias naujienas