Europos Sąjungos verslo bendrovės privalomai turės laikytis naujojo Bendrojo duomenų apsaugos reglamento

Per pastaruosius kelerius metus nutekinama rekordiškai daugiau bendrovių saugomų asmeninių duomenų, ir tai kelia didžiulį nerimą. Rekordinį 2016 m. „Yahoo“ duomenų saugumo pažeidimą – maždaug pusę milijardo pavogtų įrašų – atrodė, sunku viršyti, bet tais pačiais metais įvyko dar didesnio masto incidentas. Pagarsėjęs šlamštalaiškių išpuolis, vadinamas „River City Media“ be kitų asmeninių detalių nutekino 1,37 mlrd. elektroninio pašto adresų.

Šis incidentas, paveikęs šimtus milijonų žmonių, dar kartą priminė, koks svarbus yra asmens duomenų saugumas. Ši tema atkreipė ir politikų dėmesį, imtasi veiksmų. Per 11 mėnesių Europos Sąjungos verslo bendrovės privalomai turės laikytis naujojo Bendrojo duomenų apsaugos reglamento (BDAR) (angl. General Data Protection Regulation). BDAR skirtas suvienodinti duomenų apsaugos taisykles visoje Europoje ir nustatyti duomenų judėjimo susiejimo įpareigojimus ES viduje ir tarp ES valstybių narių bei jų pasaulinių partnerių. Iš esmės juo siekiama pagerinti asmens duomenų tvarkymą ir saugojimą.

Pirma, BDAR patobulino miglotą ES Duomenų apsaugos direktyvos asmeninės informacijos apibrėžimą (bet kokia su gyvenančiu, nustatytu arba identifikuojamu fiziniu asmeniu susijusi informacija) ir papildė kontekstą. Pagal kitais metais įsigaliosiančius pokyčius tokie duomenys kaip IP adresai, genetinė, psichinė, kultūros, ekonomikos arba socialinė informacija bus laikoma asmenine. Net pravardės ar slapyvardžiai yra įtraukti į šį sąrašą, nes daugeliu atvejų jie gali būti priskirti prie konkretaus asmens organizacijoje. Klientų vardai, pavardės, telefonai ir adresai, tiekėjų ir darbuotojų sąrašai taip pat patenka į šį apibrėžimą.

Antra, BDAR apibrėžia priemones, kuriomis siekiama padidinti duomenų kontrolės ir valdymo skaidrumą: bus reikalingas griežtesnis naudotojų sutikimas ir jie galės atšaukti savo sutikimą. Naudotojai įgis teisę reikalauti informacijos, kaip, kur ir kokiu tikslu tvarkomi jų asmeniniai duomenys, taip pat prašyti juos pašalinti iš savo serverių.

Galiausiai būtina atsižvelgti į duomenų apsaugą kuriant naujas sistemas ir siekiant įgyvendinti principą „į privatumą atsižvelgta projektuojant“. Be to, organizacijos, kurių pagrindinė veikla – didelių asmeninės informacijos kiekių apdorojimas, privalės turėti duomenų apsaugos pareigūną. Nors šios priemonės skirtos mažinti duomenų pažeidimo tikimybę, jei tokia atsiranda, organizacijos bus įpareigotos apie tai pranešti per 72 valandas nuo momento, kai duomenų valdytojas sužino apie įvykį.

Įmonės, kurios nesilaikys šių nuostatų, sulauks didelių finansinių nuobaudų – iki 4 proc. nuo bendros metinės apyvartos (dar žinomos kaip pajamos) arba net iki 20 mln. eurų. Pasaulinėms bendrovėms, net ir toms, kurios neturi fizinių buveinių Europoje, pagal reglamentą privalu vykdyti ES piliečių visų asmens duomenų kontrolę ir valdymą, nepriklausomai nuo to, ar duomenų apdorojimas vyksta ES ar kitur.