Tinkama asmens duomenų apsauga prasideda nuo vidinės privatumo valdysenos struktūros teisingumo ir visapusiškumo

Praktikoje įmonių vadovai, ypač mažesnių, neretai linkę numoti ranka į duomenų apsaugą, motyvuodami tuo, kad „turim ir rimtesnių problemų nei duomenų apsauga“ arba teiraudamiesi „kiek jau nubaudė Lietuvoje?“, – anksčiau VŽ yra sakęs Laimonas Marcinkevičius, advokatų kontoros Marcinkevičius ir partneriai „Juridicon“ advokatas, duomenų apsaugos pareigūnas. Vėlesnėje VŽ publikacijoje "Brangių klientų pigūs duomenys", rašančioje apie Lietuvą supurčiusį bene didžiausią nutekėjusių asmens duomenų skandalą, kurio epicentre – „Modus“ grupės valdoma automobilių dalijimosi platforma „CityBee“, ši citata pakartojama. 

BDAR įveda naują duomenų apsaugos taisyklių Europoje principą: atskaitomybės principą. Pagal BDAR reikalaujama, kad valdytojas būtų atsakingas už tai, kad būtų laikomasi visų privatumo principų. Be to, pagal BDAR reikalaujama, kad Įmonė įrodytų, jog laikosi visų principų. Vienas geriausių būdų nustatyti, kad šių principų laikomasi, yra įsitikinti, kad įmonės, įstaigos ar organizacijos vidinė privatumo valdysenos struktūra yra nustatyta teisingai ir visapusiškai. Tai padeda nustatyti atliekami specializuoti Atitikties BDAR reikalavimams auditai, kurie dar ir šiandien parodo, kad organizacijos ne tik, kad neturi vadovybės palaikymo ir nėra gavę jos nurodymų dėl asmens duomenų apsaugos atitikties procedūrų įgyvendinimo. Neretai nustatoma, kad organizacijose sprendimus priimantys asmenys ir pagrindiniai darbuotojai nėra tinkamai informuojami, kad organizacijos duomenų tvarkymo ir saugojimo veiklos procesai turi būti pakeisti pagal Bendrąjį duomenų apsaugos reglamentą (BDAR), neįvertinamas tikėtinas tokių pakeitimų poveikis, darbuotojai neapmokomi. Dėl darbuotojų negebėjimo atpažinti duomenų subjekto užklausą ar duomenų saugumo pažeidimą neužtikrinamas BDAR reikalavimų laikymasis, kyla grėsmė duomenų subjektams.

Tinkama asmens duomenų apsauga prasideda ne nuo BDAR dokumentacijos. Jau rašėme, kad nei BDAR, nei kiti teisės aktai nenustato, kokie konkrečiai dokumentai yra privalomi organizacijoms tam, kad jos atitiktų BDAR reikalavimus. Pirmiausia svarbu - teisingai ir visapusiška vidinė privatumo valdysenos struktūra. Manote, kad Jūsų organizacijos vidinė privatumo valdysenos struktūra yra nustatyta teisingai ir visapusiškai? Parašykite mums, patikrinsime šią sritį Jūsų organizacijoje bei pateiksime savo rekomendacijas už simbolinę kainą (pasiūlymas galioja iki 2021-06-30).