Jau nuo gegužės 25 d. turės būti pradėtas taikyti Bendrasis duomenų apsaugos reglamentas (ES) 2016/679, kuriuo sugriežtinta asmens duomenų apsaugos tvarka. Nors dar yra besiviliančių, kad „o gal ir nereikės“, vis dėlto laikas bėga ir nepanašu, kad pavyks išvengti to, kas neišvengiama. Taigi, ką būtina žinoti apie duomenų apsaugą:

1. Net gautas elektroninis laiškas gali būti asmens duomenimis

Asmens duomenys gali būti bet kokia informacija, susijusi su fiziniu asmeniu, kurio tapatybė yra žinoma arba gali būti nustatyta. Populiariausi, be abejo, vardas ir pavardė, asmens kodas, tačiau asmens duomenimis gali būti ir asmens nuotrauka, dabartinės ar ankstesnės gyvenamosios vietos adresas, darbovietės pavadinimas, telefono numeris, elektroninio pašto adresas, elektroniniai laiškai, banko sąskaitos numeris, mokėjimo kortelių duomenys, informacija, susijusi su religiniais įsitikinimais, sveikata, IP adresas, artimųjų vardai ir pavardės ir t. t. Visa tai yra asmens duomenys ir juos reikia saugoti. Atidžiai saugoti.

2. Pasirenkite saugumo politiką

Praktika rodo, kad didžioji dalis lietuviško kapitalo įmonių apskritai neturi saugumo politikų. Taigi, jei esate vieni iš jų, turėsite pasirengti naują, Reglamento reikalavimus atitinkančią saugumo politiką. O jeigu jau kažkokią politiką turite, reikės ją peržiūrėti ir atnaujinti.

3. Aiškiai apibrėžkite darbuotojų funkcijas

Saugumo politikoje turi būti aiškiai aprašyta, kas kokius duomenis gali matyti, ką gali su jais daryti ir kam tai yra reikalinga. Prie duomenų turėtų prieiti tik tie darbuotojai, kuriems jie yra reikalingi darbo funkcijoms atlikti, o ne tiesiog smalsumui patenkinti.

4. Kaupkite kuo mažiau duomenų

Rinkodaristai linkę kaupti visą informaciją, kokią tik pavyksta gauti. Juk jei jos nereikia šiandien, galbūt reikės rytoj. Tačiau kuo daugiau duomenų kaupiama, tuo didesnė rizika juos prarasti, todėl Reglamentas nurodo tvarkyti kuo mažesnės apimties duomenis – apie klientą kaupti tik tą informaciją, kuri yra būtina tam tikram veiksmui atlikti.

5. Įgyvendinkite tinkamas technines priemones

Duomenų saugumui užtikrinti nepakanka juos perkelti į slaptažodžiu apsaugotą kompiuterį. Pirmiausia duomenims turi būti suteikti pseudonimai, kas reiškia, kad visa informacija apie asmenį yra atsiejama nuo duomenų, kuriais tą asmenį galima identifikuoti, ir tvarkoma naudojant pseudonimus. Be to, duomenis reikia šifruoti. Jeigu bus prarasti šifruoti duomenys, jie galbūt nebus atskleisti – iššifruoti, ir dėl to grės mažesnės baudos. Užšifruotus duomenis reikia saugoti apsaugotuose įrenginiuose, serveriuose ar debesyse. Negana to, būtina sukurti atsargines kopijas, kad, netyčia duomenis praradus, juos būtų galima atkurti.

6. Duomenis naikinkite tinkamai

Jūsų klientas, greičiausiai – buvęs klientas, bet kada sugalvojęs gali paprašyti jo asmeninius duomenis gražiai supakuoti ir atiduoti jam ar kitam asmeniui. O tai, ką turite sukaupę, privalėsite sunaikinti. Sunaikinti – tai ne paspausti „delete“ mygtuką ar suformatuoti diską. Tokiu būdu niekas nebus sunaikinta ir viską bus galima lengvai atkurti. Tinkamai naikinant duomenis naudojamos sertifikuotos priemonės, kurios netgi suformuoja ataskaitą apie tai, kaip viskas negrįžtamai ištrinta. Jei duomenų sunaikinti neįmanoma, jie gali būti anonimizuojami – realūs įrašai pakeičiami įrašais, neleidžiančiais atskleisti kliento tapatybės.

7. Gresia milijoninės baudos

Už Bendrojo duomenų apsaugos reglamento nesilaikymą gresia didžiulės baudos. Jos gali siekti 4 proc. praėjusių metų bendros metinės pasaulinės apyvartos. Patiriate nuostolių? Nėra, ko džiaugtis. Jeigu apskaičiuoti 4 proc. apyvartos yra mažiau nei 20 mln. Eur, tuomet gali būti skiriama tiesiog 20 mln. Eur bauda.

Baimintis neverta, tačiau pasiruošti būtina.

Lietuvoje asmens duomenų apsaugos klausimais konsultuoja ir metodinę pagalbą teikia Valstybinė duomenų apsaugos inspekcija. Daugiau informacijos galite rasti: 2018 m. ES duomenų apsaugos taisyklių reforma