Pereiti į pagrindinį turinį

Paprastas BDAR atitikties vadovas

BDAR

Kas yra BDAR?

Bendrasis duomenų apsaugos reglamentas (BDAR) yra duomenų privatumo teisės aktas, įvestas ir patvirtintas Europos Komisijos ir Europos Parlamento, ir įsigaliojęs 2018 m. gegužės mėnesį.

BDAR pateikiamos taisyklės ir gairės Europos ir ne Europos įmonėms, kurios renka ir valdo savo Europos naudotojų duomenis ar jais dalijasi. Šiuo dokumentu ES rezidentams suteikiama teisė žinoti, kokie duomenys apie juos renkami, kaip jie laikomi, saugomi ir perduodami. BDAR taip pat apima teisę būti pamirštam ir teisę į prieigą. Tai reiškia, kad klientai gali paprašyti pamatyti surinktus duomenis ir paprašyti juos pašalinti.

Ar turiu laikytis BDAR?

Visos įmonės, renkančios naudotojų duomenis Europos Sąjungoje, nesvarbu, kur įsikūrusios, privalo laikytis BDAR. Nesilaikant BDAR, gali būti skiriamos didelės baudos, siekiančios iki 20 mln. eurų arba 4 % metinės pasaulinės apyvartos, žiūrint, kuri suma didesnė.

Asmeninės jūsų naudotojų informacijos saugojimas pagal BDAR atitikties standartus paveiks visą įmonę, nes gali tekti peržiūrėti ir pritaikyti daugumą jūsų procedūrų. Tačiau nėra aiškių taisyklių, kurios būtų taikomos kiekvienai organizacijai. Duomenų apsaugos būdas, priklausys nuo duomenų, kuriuos tvarko jūsų įmonė, tipo.

Kai kurie BDAR konsultantai teigia, kad nėra tokio dalyko kaip 100 % atitiktis BDAR, o BDAR reikalavimų laikymasis labiau susijęs su jūsų duomenų tvarkymo peržiūra ir tvarkymo veikla etiniu požiūriu, nei kontrolinių sąrašų pildymu. Todėl geriausia pirmiausia peržiūrėti septynis BDAR principus.

BDAR reikalavimai

BDAR reikšmingai paveikė duomenų privatumo ir saugumo praktikas pasaulyje, įskaitant Jungtinėse Amerikos Valstijose įsikūrusias įmones. Norint geriau suprasti BDAR atitikties reikalavimus, svarbu suprasti esminius reglamento principus ir nuostatas.

Svarbiausias iš jų – BDAR reikalavimai taikomi JAV įmonėms, jei įmonės tvarko ES gyventojų asmens duomenis, nepaisant įmonės fizinės vietos. Iš esmės, bet kuri JAV įsikūrusi organizacija, tvarkanti gautus duomenis iš ES gyvenančių asmenų, privalo laikytis BDAR reglamentų.

Vienas iš esminių BDAR saugumo reikalavimų yra užtikrinti asmens duomenų apsaugą nuo neteisėtos prieigos, praradimo, pakeitimo ar sunaikinimo. Norėdamos vykdyti šį reikalavimą, įmonės privalo imtis atitinkamų techninių ir organizacinių priemonių, kaip antai šifravimo, prieigos kontrolės ir nuolatinių saugumo vertinimų.

Be to, BDAR reikalavimuose JAV įmonėms numatytas duomenų apsaugos pareigūno (DPO) skyrimas, jei organizacija užsiima didelio masto konfidencialių duomenų tvarkymu arba sistemine asmenų stebėsena. DPO turėtų būti atsakingas už atitikties BDAR stebėseną, taip pat teikti rekomendacijas dėl duomenų apsaugos klausimų ir veikti kaip ryšių punktas komunikuojant su duomenų apsaugos institucijomis.

Be to, JAV įmonės privalo skaidriai pateikti informaciją apie asmens duomenų rinkimą, tvarkymą ir laikymą. Taip pat pateikti aiškius privatumo pranešimus, gauti galiojantį duomenų subjektų sutikimą ir užtikrinti asmenims teises pagal BDAR, kaip antai teisę į prieigą prie savo duomenų, jų ištaisymą ir ištrynimą.

Septyni BDAR principai

Toliau pateikiami septyni BDAR principai.

  1. Teisėtumas, sąžiningumas ir skaidrumas. Duomenys turi būti tvarkomi teisėtai, sąžiningai ir skaidriai.

  2. Tikslo ribojimas ir duomenų kiekio mažinimas. Duomenys turi būti renkami tik konkrečiais ir teisėtais verslo tikslais.

  3. Duomenų kiekio mažinimas: turi būti renkami tik tie asmens duomenys, kurie būtini tuo tikslu, dėl kurio buvo surinkti.

  4. Tikslumas. Jei būtina, turi būti daroma viskas, kad duomenys visada būtų atnaujinti. Jei duomenys netikslūs arba pasenę, jie turi būti ištrinti.

  5. Laikymo ribojimas. Duomenys turi būti laikomi tik tiek laiko, kiek reikia produktams ar paslaugoms pateikti. Ilgiau juos galima laikyti tik siekiant archyvuoti viešojo intereso, mokslinių ar istorinių tyrimų arba statistiniais tikslais.

  6. Sąžiningumas ir konfidencialumas. Įmonė turėtų daryti viską, ką gali, kad užtikrintų asmens duomenų saugumą. Ji turėtų saugoti juos nuo neteisėtos prieigos, kaip antai duomenų saugumo pažeidimų, taip pat netyčinio praradimo, sunaikinimo ar sugadinimo.

  7. Atskaitomybė. Dauguma įmonių privalo registruoti duomenų tvarkymą ir prireikus turi pateikti duomenis priežiūros institucijoms.

Kaip laikytis BDAR?

Atkreipkite dėmesį, kad ši informacija turi būti vertinama tik kaip bendros gairės. Ji skirta tik bendrai informuoti ir nėra teisinis patarimas. BDAR teisės aktą sudaro 11 skyrių, 99 straipsniai ir beveik du šimtai konstatuojamųjų dalių, todėl, norint visiškai laikytis BDAR, rekomenduojame gauti teisinio konsultanto arba priežiūros institucijos konsultaciją.

1. Peržiūrėkite visas savo duomenų tvarkymo procedūras

Kruopščiai parenkite planą, kaip jūsų įmonė renka duomenis nuo pirminio kontakto su klientu iki pabaigos. Jis turėtų padėti identifikuoti punktus, kuriuos reikia panagrinėti atidžiau. Pavyzdžiui:

  • Jums gali tekti peržiūrėti pašto ir el. pašto sąrašus. Jei neturite teisėto pagrindo tvarkyti savo klientų duomenis rinkodaros ar kitais tikslais, negalite naudoti tokių asmens duomenų. Pagalvokite, ar nevertėtų sukurti segmentuotų sąrašų savo Europos klientams.

  • Turite patikrinti, ar turite teisėtą pagrindą (pvz., sutikimą, teisėtą interesą) tvarkyti asmens duomenis įvairiais skirtingais duomenų rinkimo kanalais, įskaitant renginius, naujienlaiškių prenumeratas ar net mokamus sąrašus.

  • Peržiūrėkite būsimas ES rinkodaros kampanijas, kuriomis gali būti siekiama rinkti naudotojų duomenis – gali tekti pakoreguoti procesus.

šiame etape taip pat rekomenduojama savo rinkodaros padalinyje paskirti vieną asmenį (ar visą komandą) konsultuotis su teisininkais, kurie specializuojasi BDAR srityje. Šis asmuo ar komanda turėtų artimai bendradarbiauti su duomenų apsaugos pareigūnu (DPO), jei įmonėje yra paskirtas DPO. Jie galės peržiūrėti ir patvirtinti jūsų rinkodaros kampanijas.

2. Pritaikykite savo svetainę pagal BDAR.

Jei turite svetainę, neabejotinai vienaip ar kitaip renkate duomenis. Norėdami, kad svetainė atitiktų BDAR, turėtumėte atsižvelgti į toliau nurodytus aspektus.

  • Sutikimo su slapukais įtraukimas. Visos žiniatinklio formos turi turėti sutikimą su slapukais, informuojantį lankytojus apie duomenų, kuriuos renkate, tipą, ir duoti jiems galimybę pasirinkti, ar jie sutinka su tokiu stebėjimu.

  • Amžiaus patvirtinimo sukūrimas. Jei jūsų lankytojai yra jaunesni nei 16 metų (kai kuriose ES šalyse amžiaus riba gali būti kitokia), BDAR reikalaujama jų tėvų sutikimo rinkti tokius duomenis. Būtinai įtraukite tokį patvirtinimą.

  • Atnaujinkite duomenų rinkimo formas. Jose nesudėtinga kalba turi būti nurodoma, kokie duomenys renkami ir kokiais tikslais (visas sąrašas, kokią informaciją reikia pateikti naudotojui, pateikiamas BDAR 13 ir 14 straipsniuose). Jei jūsų įmonė veikia už ES ribų, taip pat turėtumėte apsvarstyti galimybę įtraukti laukelį „Gyvenamoji šalis“, kad prireikus galėtumėte atskirti savo duomenų bazes.

3. Atnaujinkite savo duomenų bazę

Rekomenduotina reguliariai atnaujinti savo duomenų bazę. Galite tai padaryti išsiųsdami klientams el. laišką, kuriame pateikiama galimybė pasirinkti, kokio tipo informaciją jie nori gauti. Tikėtina, kad tokiu atveju jūsų klientai neatsisakys prenumeratos visiškai. Be to, visoje korespondencijoje turėtų būti mygtukas „Atsisakyti prenumeratos“ arba „Atnaujinti nustatymus“.

Taip pat nesusisiekite su naudotojais, kurie jau yra atsisakę prenumeratos. Tai draudžiama pagal direktyvą dėl privatumo ir elektroninių ryšių.

4. Būkite pasirengę blogiausiam

Vienas iš pagrindinių BDAR tikslų – pasiekti, kad įmonės skaidriau informuotų apie vykdomą duomenų apdorojimo veiklą, todėl taip pat turite atnaujinti savo privatumo politiką, nurodydami visus įgyvendintus pakeitimus. Rašykite aiškiai ir glaustai. Jūsų naudotojai turi lengvai rasti informaciją, įskaitant tai, kokius duomenis rankate, kokiais tikslais, su kuo ir kodėl ja dalijatės, kaip ji laikoma, kaip jie gali pasiekti šiuos duomenis ir kaip pareikalauti juos pašalinti (visą sąrašą to, kas turi būti nurodyta privatumo politikoje, rasite BDAR 13 ir 14 straipsniuose).

Nuolat naujinkite privatumo politiką taip, kaip ir savo duomenų apdorojimo praktikas. Taip pat rekomenduojama reguliariai atlikti privatumo ir saugumo auditus. Nieko neslėpkite. Informuokite klientus apie duomenų apdorojimo metodų pakeitimus ir visas problemas, kurios gali teigiamai ar neigiamai paveikti jų privatumą.

5. Atnaujinkite privatumo politiką

Pagal BDAR reikalaujama apie įvykusį pažeidimą pranešti per 72 valandas (taikant kai kurias išimtis). Todėl verta parengti duomenų pažeidimo planą ir mokyti savo darbuotojus, ką daryti tokiomis aplinkybėmis. Turėtumėte apgalvoti toliau nurodytus dalykus.

  • Kaip bendraujantis su klientais darbuotojas turėtų atsakyti klientams?

  • Kaip tvarkysite socialinių tinklų kanalus ir ar turėsite pakankamai personalo, kad būtų galima atsakyti į visas žinutes?

  • Kokiais kanalais prireikus naudositės siekdami informuoti paveiktas šalis, pavyzdžiui, savo klientus ir pardavėjus?

  • Kaip informuosite žiniasklaidą ir kokiais kanalais naudositės norėdami pateikti naujinimus?

  • Kaip pranešite apie pažeidimą įmonės viduje?

  • Kokias procedūras turite parengę, klientams norint pateikti skundus ar gauti kompensacijas?

  • Kaip užtikrinsite, kad tai nebepasikartotų?

Kas yra teisė būti pamirštam?

Teisė būti pamirštam yra visiškai nauja teisinė inovacija, leidžianti asmenims prašyti iš interneto pašalinti konkrečią apie juos surinktą informaciją. Ši aiški koncepcija atsirado Europos Sąjungoje ir yra įtraukta į BDAR kaip pagrindinė ES piliečių teisė.

Iš esmės teisėje būti pamirštam įkūnijama nuostata, kad žmonės turėtų turėti galimybę valdyti savo asmens duomenis ir galėtų pamiršti praeitį.

Nors teisė būti pamirštam neabsoliuti, atvejai, kuriais ji taikoma, labai aiškiai numatyti. Jei informacija nebeaktuali, netiksli ar yra tvarkoma neteisėtai, asmenys gali pateikti prašymą ją pašalinti.

BDAR ir CCPA

Nors CCPA ir BDAR turi bendrą tikslą – apsaugoti naudotojų teises į privatumą, yra keli svarbūs aspektai, kuriais šie du teisės aktai skiriasi.

Pirmiausia, jie skiriasi taikymo aprėptimi. BDAR taikomas plačiau: jo turi laikytis visos organizacijos, kurios renka ir saugo naudotojų duomenis Europos Sąjungoje (ES) ir Europos ekonominėje erdvėje (EEE). O CCPA (Kalifornijos vartotojų privatumo aktas) galioja tik pelno siekiančioms organizacijoms, kurios atitinka tam tikrus kriterijus pagal mokestinių pajamų dydį ir tvarkomų duomenų kiekį bei renka Kalifornijoje gyvenančių naudotojų duomenis.

Antra, CCPA ir BDAR skirtingai traktuoja naudotojo sutikimą. CCPA duomenims rinkti nenustato aiškaus naudotojo sutikimo būtinybės, nebent naudotojas yra nepilnametis. O BDAR reikalauja aiškaus sutikimo visais duomenų rinkimo atvejais.

Trečia, šie reglamentai yra skirtingo tipo teisės aktai. BDAR yra reguliuojamasis teisės aktas, o CCPA – įstatyminis. Paprastai tariant tai reiškia, kad pažeidus CCPA, gali būti pareikštas civilinis ieškinys Kalifornijos valstijos teisme, o BDAR tiesiogiai neturi įtakos civiliniam procesui, tačiau gali būti įtrauktas į nacionalinius teisės aktus.

Galiausiai, vykdymo užtikrinimas ir baudos taip pat gerokai skiriasi. BDAR vykdymą užtikrina ES institucijos, o baudos už pažeidimus gali siekti iki 20 milijonų eurų arba 4 % bendros metinės apyvartos (taikoma didesnė suma). Už CCPA vykdymo užtikrinimą yra atsakingas Kalifornijos generalinis prokuroras; vienas pažeidimas gali užtraukti iki 2 500 JAV dolerių baudą, o jei pažeidimas padarytas tyčia – iki 7 500 JAV dolerių.

Ar „NordPass“ atitinka BDAR?

„NordPass“ rimtai vertina duomenų apsaugos ir privatumo klausimą. „NordPass“ yra saugus ir patikimas konfidencialios informacijos tvarkymo sprendimas, sukurtas atsižvelgiant į BDAR.

Tik jums žinomos informacijos architektūra užtikrinama, kad visi konfidencialūs duomenys prieš pasiekdami mūsų serverius būtų šifruojami vietoje – jūsų įrenginyje. Tai reiškia, kad neturime prieigos prie slaptažodžių ar jokių kitų jūsų duomenų, kuriuos jūsų įmonė gali laikyti „NordPass“, ir užtikriname didžiausią privatumą.

Vertiname skaidrumą, pateikiame išsamią privatumo politiką, kurioje išdėstomos mūsų duomenų apdorojimo praktikos, įskaitant renkamų duomenų tipus, rinkimo tikslus ir turimas saugumo priemones.

Be to, tarp mūsų griežtų saugumo priemonių yra apsaugą stiprinančios kelių veiksnių autentifikavimo (angl. „multi-factor authentication“, MFA) ir biometrinio autentifikavimo funkcijos.

Esame įsipareigoję retu duomenų saugumo pažeidimo atveju nedelsdami informuoti jo paveiktus naudotojus ir atitinkamas institucijas, kaip reikalaujama BDAR.

Atminkite, kad BDAR nėra vienkartinis projektas, ir neturėtumėte taip jo vertinti. Tai – nuolatinės pastangos tobulinti savo įmonės privatumo ir saugumo standartus.

Rinkitės „NordPass“ , siekdami patikimo ir aiškaus slaptažodžių tvarkymo, kuriuo būtų laikomasi atitikties politikų ir sumažinama duomenų saugumo pažeidimų rizika.