Pusė metų su Bendruoju duomenų apsaugos reglamentu – asmens duomenų apsaugos pokyčiai skaičiais

2018 m. gegužės 25 d. pradėtas taikyti Bendrasis duomenų apsaugos reglamentas (BDAR) – ryškiausias pastarojo laikotarpio įvykis tiek Lietuvoje, tiek ir kitose Europos valstybėse asmens duomenų ir privatumo apsaugos srityje. BDAR išplėtė Europos Sąjungos duomenų apsaugos teritorinę aprėptį, įvedė naujovių, kurios paveikė asmens duomenis tvarkančias organizacijas ir pačius žmones, kurių asmens duomenys tvarkomi. Organizacijos buvo priverstos pasitempti, peržvelgti savo veiklos prioritetus, įsivertinti asmens duomenų tvarkymą, diegti naują požiūrį ir formuoti asmens duomenų tvarkymo kultūrą.

Pastarąjį pusmetį vykusius asmens duomenų apsaugos sistemos pokyčius atspindi priežiūros veiklos statistika. Pasak Valstybinės duomenų apsaugos inspekcijos (VDAI) Teisės skyriaus vedėjos Danguolės Morkūnienės: „Inspekciją užplūdusi kreipimųsi lavina neaplenkė nė vienos vykdomos funkcijos ar padalinio, ypač jaučiame, kad paramos reikia BDAR naujovei – organizacijose skiriamiems duomenų apsaugos pareigūnams. Mūsų aktyvi veikla jiems padeda rasti argumentus keičiant tarp vadovybės ar kolegų vyravusį atsainų požiūrį į asmens duomenų tvarkymą“.

VDAI 2018 m. skyrė visus pajėgumus padėti organizacijoms ir žmonėms geriau suprasti asmens duomenų tvarkymo nuostatas, supažindinti su žmogaus teisėmis šioje srityje. Per nepilnus 2018-uosius jau suteikta 6 671 konsultacija žmonėms ir organizacijoms (2016 m. – 5 396, 2017 m. – 5 697). Parengtos 223 visuomenės informavimo priemonės (2016 m. – 127, 2017 m. – 136). 63 įvairaus pobūdžio renginiuose perskaityti 77 pranešimai (2016 m. – 16, 2017 m. – 37). 2018 m. renginiuose apsilankė arti 5 000 dalyvių. Surengta per 90 konsultacinių susitikimų (2016 m. – 63, 2017 m. – 69). Daugiausia žmonės ir organizacijos domisi tokiais klausimais kaip duomenų tvarkymo teisėtumas, BDAR naujovės, VDAI kompetencija, vaizdo stebėjimas, asmens duomenų tvarkymo sąlygų taikymas, asmens duomenų teikimo teisėtumas, duomenų apsaugos pareigūno paskyrimas, žmogaus teisių įgyvendinimas, tiesioginė rinkodara, asmens duomenų saugumo pažeidimai.

Kol kas VDAI nėra skyrusi baudų pagal BDAR, tačiau iš savo iniciatyva atliktų 19 tikrinimų po gegužės 25 d., kai pradėtas taikyti BDAR, 18 atvejų VDAI pateikė organizacijoms nurodymus dėl netinkamo asmens duomenų tvarkymo. Pavyzdžiui, iš 12 patikrintų Lietuvos Respublikoje registruotų ir vykdančių veiklą bendrovių, veikiančių maisto, namų apyvokos prekių parduotuvių ir vaistinių sektoriuje, dėl asmens duomenų tvarkymo tiesioginės rinkodaros ir lojalumo programos tikslais visose rasta pažeidimų.

Beje, tiesioginė rinkodara šiuo metu yra bene labiausiai žmones erzinanti sritis. Tai matyti iš VDAI gaunamų skundų. Nuo gegužės 25 d., kai pradėtas taikyti BDAR, skundų teikimas suaktyvėjo. 2016 m. VDAI iš viso yra gavusi 444 skundus, 2017 m. – 480, per nepilnus 2018-uosius – jau 770, o per pastarąjį pusmetį jų sulaukta 443. Be tiesioginės rinkodaros, žmonės aktyviai skundžiasi dėl skolininkų duomenų, specialių kategorijų asmens duomenų, asmens kodo, vaizdo duomenų tvarkymo teisėtumo, paslaugų sektoriaus, valstybės registrų.

Iki BDAR pareigą teikti pranešimus VDAI dėl duomenų saugumo pažeidimų turėjo tik kai kurios organizacijos, numatytos Elektroninių ryšių ir Kibernetinio saugumo įstatymuose. Pradėjus taikyti BDAR, duomenų saugumo pažeidimai tapo aktualūs visiems viešojo ir privataus sektoriaus atstovams. Žinoma, pažeidimą patyrusi organizacija pirmiausia turi imtis veiksmų pažeidimui pašalinti ir dokumentuoti. Tačiau po gegužės 25 d. BDAR nurodytais atvejais apie duomenų saugumo pažeidimą per 72 valandas nuo sužinojimo privaloma pranešti VDAI arba ir patiems žmonėms. 2018 m. gauta 87 pranešimai apie pažeidimus, iš jų 80 – po gegužės 25 d. (2016 m. – 8, 2017 m. – 7). 2018 m. daugiausia tokių pranešimų gauta dėl duomenų paviešinimo, praradimo, vagystės ir nukopijavimo.

BDAR įtvirtino ir naują pareigybę organizacijose – duomenų apsaugos pareigūną. Jį privalo paskirti visos valdžios institucijos, įstaigos ir tokios įmonės, kurių pagrindinė veikla yra dideliu mastu sistemingai stebėti asmenis arba dideliu mastu tvarkyti specialių kategorijų asmens duomenis. Apie šio pareigūno paskyrimą privaloma pranešti VDAI. Šiuo metu apie tai VDAI yra pranešę daugiau kaip 700 privataus ir per 700 viešojo sektoriaus atstovų (iš viso beveik 1 500 organizacijų). Pagal veiklos pobūdį pranešusieji yra valstybės institucijos ir įstaigos, organizacijos, besiverčiančios prekių ir paslaugų, finansų paslaugų, švietimo ir kultūros, sveikatos priežiūros bei teisėsaugos ir teisėtvarkos veikla.

Lietuvoje žengta nemažai žingsnių, kad asmens duomenys taptų saugesni ir labiau gerbiami asmens privatumas bei teisė į duomenų apsaugą. Verta pastebėti, kad pasiruošimas tvarkyti asmens duomenis yra nuolatinis procesas, nes duomenys keičiasi, atsiranda naujų duomenų, naujų tikslų juos tvarkyti ir kaskart su naujais asmens duomenimis procesai turi būti peržiūrėti bei tinkamai sureguliuoti.

Pranešimą paskelbė: Raminta Sinkevičiūtė-Šečkuvienė, Valstybinė duomenų apsaugos inspekcija