Nuo 2018 m. gegužės Lietuvoje, kaip ir visoje Europos Sąjungoje (ES), įsigalioja Bendrasis duomenų apsaugos reglamentas (angl. General Data Protection Regulation (GDPR)). Šiuo dokumentu turės vadovautis verslas, valdžios institucijos ir privatūs asmenys. Nors viešojoje erdvėje apie naująjį reglamentą kol kas diskutuojama nedaug, teisininkai ir IT ekspertai vienbalsiai perspėja, kad prieš akis – didžiuliai pokyčiai.
Iš esmės peržiūrėta duomenų apsauga
Bendrasis duomenų apsaugos reglamentas – dalis asmens duomenų apsaugos reformos, prieš kelerius metus inicijuotos Europos Komisijos. Iš dviejų kertinių reformos dokumentų, verslui ypatingai svarbus Bendrasis duomenų apsaugos reglamentas, kurio pilnas pavadinimas – 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB.
Nors šiuo reglamentu visos organizacijos ir asmenys turės vadovautis tiesiogiai, nes tai – tiesiogiai taikomas teisės aktas, pernai metais Žmogaus teisių stebėjimo instituto atliktas tyrimas parodė, kad Lietuvoje 70 proc. įmonių buvo girdėjusios apie reglamentą, tačiau nežinojo jame numatytų pakeitimų. O jų šiame reglamente, kaip ir naujovių bei apčiuopiamo šiuo metu galiojančių taisyklių sugriežtinimo, tikrai netrūksta, pastebi „Primus“ teisininkė Giedrė Dailidėnaitė.
Daug daugiau dėmesio praktiniam duomenų saugumui
Kadangi reglamentu įtvirtintos taisyklės bus vienodos visoje ES, turės būti užtikrinamas ir vienodas jų taikymas. O tai reiškia, kad naujojo reglamento nuostatų įgyvendinimas neliks vien administracinis formalumas. Ir tai – vienas svarbiausių pokyčių, kurį atneš šis dokumentas.
„Bendrajame duomenų apsaugos reglamente įtvirtinamas atskaitomybės principas ir jo detalizavimas. Nustatyta, kad „duomenų valdytojas yra atsakingas už tai, kad būtų laikomasi [duomenų tvarkymo principų] ir turi sugebėti įrodyti, kad [jų] laikomasi“. Kitaip sakant, tinkamas procesų, susijusių ar įtraukiančių asmens duomenis, valdymas įmonėje nebegalės likti podukros vietoje, nes įmonė turės įrodyti, kad kiekvienas veiksmas, atliekamas su asmens duomenimis (nuo nustatymo, ar jie reikalingi, bei jų surinkimo iki sunaikinimo), atitinka reikalavimus“, – pabrėžia pašnekovė.
Reglamente numatytos ir griežtos sankcijos už duomenų apsaugos taisyklių nesilaikymą: priežiūros institucijos galės skirti baudas iki 20 mln. eurų arba 4 proc. metinės pasaulinės apyvartos (atsižvelgiant į tai, kuri suma didesnė). Be to, duomenų valdytojui, atsitikus duomenų apsaugos pažeidimui, gali tekti atlyginti ir duomenų subjektų patirtą žalą.
Mažinant pažeidimo riziką
Kita svarbi Bendrajame duomenų apsaugos reglamente įtvirtinta naujovė – sąvoka „Asmens duomenų saugumo pažeidimas“. „Apibrėžiama, kad tai saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami, persiųsti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų be leidimo gaunama prieiga“, – sako G. Dailidėnaitė.
„Blue Bridge Bond“ pardavimų vadovė Asta Jaruševičienė atkreipia dėmesį, kad organizacijos jau dabar gali pasirūpinti IT sprendimais, leidžiančiais užtikrinti tokių pažeidimų prevenciją. „Vienas iš pavyzdžių – kompiuterinio disko šifravimas. Pametus ar kitais būdais praradus (pvz. vagystė) kompiuterį su asmens duomenų informacija, apie įvykį bus privaloma pranešti viešai spaudoje. Tačiau, jau dabar galima pasirūpinti duomenų šifravimu, kuris užtikrina jautrios informacijos neprieinamumą pašaliniams asmenims. Taigi – įgyvendinus šį sprendimą, apie įvykį nereikėtų pranešti viešai – pakaktų informuoti instituciją, atsakingą už duomenų apsaugą. Šis pavyzdys parodo, kaip IT sprendimai gali padėti išvengti gana nemalonaus proceso ir sumažinti duomenų apsaugos pažeidimo žalą“, – pasakoja A. Jaruševičienė.
Naujų IT sprendimų kurti nereikės
Tarp pažangiausių IT sprendimų, orientuotų į duomenų nutekėjimo prevenciją, – „Safetica“. Šis sprendimas leidžia ne tik apriboti duomenų prieinamumą, bet ir atpažinti bei blokuoti kenkėjišką veiklą, tokią kaip svarbios informacijos nutekinimas.
„Safetica“ leidžia išvengti grėsmių susijusių su kritiniais įmonei duomenimis, nes padeda aptikti duomenų saugos grėsmes įmonėje ir pagal iš anksto nustatytas saugos taisykles vykdyti prevencinius veiksmus. Saugos taisyklės gali apimti tokias sritis kaip kopijavimas į išorines (nekorporatyvines) debesų saugyklas, duomenų siuntimas el. paštu ar spausdinimas. Be to, „Safetica“ gali apriboti svarbių failų pasiekiamumą ir veiksmus su jais – yra galimybė aprašyti individualias tvarkas, pritaikytas organizacijai ir atitinkančias konfidencialumo nuostatas“, – vardija „Blue Bridge Bond“ atstovė.
Pašnekovė atkreipia dėmesį, kad prevencijai skirti sprendimai – gana paprasti ir ekonomiškai patrauklūs, tad svarbiausia – laiku apsvarstyti jų įsigijimą. „Be to, „Safetica“ ir panašūs IT sprendimai jau paruošti diegimui ir naudojimui, tad kurti naujų sprendimų nuo nulio nebereikia“, – pabrėžia „Blue Bridge Bond“ pardavimų vadovė.
Trumpai apie pasirengimą GDPR įsigaliojimui
Bendrasis duomenų apsaugos reglamentas (angl. General Data Protection Regulation (GDPR)) įsigalioja nuo 2018 m. gegužės. Didžiausios naujovės reglamente: apibrėžta duomenų valdytojo atsakomybė, duomenų apsaugos pažeidimo sąvoka, sankcijų sugriežtinimas. Tarp svarbiausių darbų, kuriuos rekomenduojama atlikti dar iki reglamento įsigaliojimo – ir pažintis su IT sprendimais, užtikrinančiais duomenų apsaugos pažeidimo prevenciją.