Paprastas BDAR atitikties vadovas

Kas yra BDAR?

Bendrasis duomenų apsaugos reglamentas (BDAR) yra duomenų privatumo teisės aktas, įvestas ir patvirtintas Europos Komisijos ir Europos Parlamento, ir įsigaliojęs 2018 m. gegužės mėn.

BDAR pateikiamos taisyklės ir gairės Europos ir ne Europos įmonėms, kurios renka ir valdo savo Europos naudotojų duomenis ar jais dalijasi. Šiuo dokumentu ES rezidentams suteikiama teisė žinoti, kokie duomenys apie juos renkami, kaip jie laikomi, saugomi ir perduodami. BDAR taip pat apima teisę būti pamirštam ir teisę į prieigą. Tai reiškia, kad klientai gali paprašyti pamatyti surinktus duomenis ir paprašyti juos pašalinti.

Ar turiu laikytis BDAR?

Visos įmonės, renkančios naudotojų duomenis Europos Sąjungoje, nesvarbu, kur įsikūrusios, privalo laikytis BDAR. Nesilaikant gali būti skiriamos didelės BDAR numatomos baudos, siekiančios iki 20 mln. EUR arba 4 % metinės pasaulinės apyvartos, žiūrint, kuri suma didesnė.

Asmeninės jūsų naudotojų informacijos saugojimas pagal BDAR atitikties standartus paveiks visą įmonę, nes gali tekti peržiūrėti ir pritaikyti daugumą jūsų procedūrų. Tačiau nėra aiškių taisyklių, kurios būtų taikomos kiekvienai organizacijai. Kaip apsaugoti duomenis, priklausys nuo duomenų, kuriuos tvarko jūsų įmonė, tipo.

Kai kurie BDAR konsultantai teigia, kad nėra tokio dalyko kaip 100 % atitiktis BDAR, o BDAR reikalavimų laikymasis labiau susijęs su jūsų duomenų tvarkymo peržiūra ir apdorojimo veikla etiniu požiūriu, nei kontrolinių sąrašų pildymu. Todėl geriausiai pradžioje peržiūrėti septynis BDAR principus.

BDAR reikalavimai

BDAR reikšmingai paveikė duomenų privatumo ir saugumo praktikas pasaulyje, įskaitant Jungtinėse Amerikos Valstijose įsikūrusias įmones. Norint geriau suprasti BDAR atitikties reikalavimus, svarbu suprasti esminius reglamento principus ir nuostatas.

Svarbiausias iš jų – BDAR reikalavimai taikomi JAV įmonėms, jei įmonės apdoroja ES gyventojų asmens duomenis, nepaisant įmonės fizinės vietos. Iš esmės, bet kuri JAV įsikūrusi organizacija, tvarkanti gautus duomenis iš reziduojančių ES asmenų, privalo laikytis BDAR reglamentų.

Vienas iš esminių BDAR saugumo reikalavimų yra užtikrinti asmens duomenų apsaugą nuo neteisėtos prieigos, praradimo, pakeitimo ar sunaikinimo. Norėdamos vykdyti šį reikalavimą, įmonės privalo imtis atitinkamų techninių ir organizacinių priemonių, kaip antai šifravimo, prieigos kontrolės ir nuolatinių saugumo vertinimų.

Be to, BDAR reikalavimuose JAV įmonėms numatytas duomenų apsaugos pareigūno (DPO) skyrimas, jei organizacija užsiima didelio masto jautrių duomenų apdorojimu arba sistemine asmenų stebėsena. DPO turėtų būti atsakingas už atitikties BDAR stebėseną, taip pat teikti rekomendacijas dėl duomenų apsaugos klausimų ir veikti kaip ryšių punktas komunikuojant su duomenų apsaugos institucijomis.

Be to, JAV įmonės privalo skaidriai pateikti informaciją apie asmens duomenų rinkimą, apdorojimą ir laikymą. Taip pat pateikti aiškius privatumo pranešimus, gauti galiojantį duomenų subjektų sutikimą ir užtikrinti asmenims teises pagal BDAR, kaip antai teisę į prieigą prie savo duomenų, jų ištaisymą ir ištrynimą.

Septyni BDAR principai

Toliau pateikiami septyni BDAR principai.

  1. Teisėtumas, sąžiningumas ir skaidrumas. Duomenys turi būti apdorojami teisėtai, sąžiningai ir skaidriai.

  2. Tikslo ribojimas ir duomenų kiekio mažinimas. Duomenys turi būti renkami tik konkrečiais ir teisėtais verslo tikslais.

  3. Duomenų kiekio mažinimas: turi būti renkami tik tie asmens duomenys, kurie būtini tuo tikslu, dėl kurio buvo surinkti.

  4. Tikslumas. Jei būtina, turi būti daroma viskas, kad duomenys visada būtų atnaujinti. Jei duomenys netikslūs arba pasenę – jie turi būti ištrinti.

  5. Laikymo ribojimas. Duomenys turi būti laikomi tik tiek laiko, kiek reikia produktams ar paslaugoms pateikti. Ilgiau juos galima laikyti tik siekiant archyvuoti viešojo intereso, mokslinių ar istorinių tyrimų arba statistiniais tikslais.

  6. Vientisumas ir konfidencialumas. Įmonė turėtų daryti viską, ką gali, kad užtikrintų asmens duomenų saugumą. Ji turėtų saugoti juos nuo neteisėtos prieigos, kaip antai duomenų saugumo pažeidimų, taip pat netyčinio praradimo, sunaikinimo ar sugadinimo.

  7. Atskaitomybė. Dauguma įmonių privalo registruoti duomenų apdorojimą ir turi pateikti juos priežiūros institucijoms, kai reikia.

Kaip laikytis BDAR?

Atkreipkite dėmesį, kad ši informacija turi būti vertinama tik kaip bendros gairės. Ji skirta tik bendrai informuoti ir nėra teisinis patarimas. BDAR teisės aktą sudaro 11 skyrių, 99 straipsniai ir beveik du šimtai konstatuojamųjų dalių, todėl, norint visiškai laikytis BDAR, rekomenduojame gauti teisinio konsultanto arba priežiūros institucijos konsultaciją.

  1. Peržiūrėkite visas savo duomenų tvarkymo procedūras

    Kruopščiai parenkite planą, kaip jūsų įmonė renka duomenis nuo pirminio kontakto su klientu iki pabaigos. Jis turėtų padėti identifikuoti punktus, kuriuos reikia panagrinėti atidžiau. Pavyzdžiui:

    • Jums gali tekti peržiūrėti pašto ir el. pašto sąrašus. Jei neturite teisėto pagrindo apdoroti savo klientų duomenų rinkodaros ar kitais tikslais, negalite naudoti tokių asmens duomenų. Pagalvokite, ar nevertėtų sukurti segmentuotų sąrašų savo Europos klientams.

    • Turite patikrinti, ar turite teisėtą pagrindą (pvz., sutikimą, teisėtą interesą) apdoroti asmens duomenis įvairiais skirtingais duomenų rinkimo kanalais, įskaitant renginius, naujienlaiškių prenumeratas ar net mokamus sąrašus.

    • Peržiūrėkite būsimas ES rinkodaros kampanijas, kuriomis gali būti siekiama rinkti naudotojo duomenis – gali tekti pakoreguoti procesus.

    Šiame etape taip pat rekomenduojama savo rinkodaros padalinyje paskirti vieną asmenį (ar visą komandą) konsultuotis su teisininkais, kurie specializuojasi BDAR srityje. Šis asmuo ar komanda turėtų artimai bendradarbiauti su duomenų apsaugos pareigūnu (DPO), jei įmonėje yra paskirtas DPO. Jie galės peržiūrėti ir patvirtinti jūsų rinkodaros kampanijas.

  2. Pritaikykite savo svetainę pagal BDAR.

    Jei turite svetainę, neabejotinai vienaip ar kitaip renkate duomenis. Norėdami padaryti svetainę atitinkančią BDAR, turėtumėte atsižvelgti į šiuos dalykus:

    • Sutikimo su slapukais įtraukimas. Visos žiniatinklio formos turi turėti sutikimą su slapukais, informuojantį lankytojus apie duomenų, kuriuos renkate, tipą, ir duoti jiems galimybę pasirinkti, ar jie sutinka su tokiu sekimu.

    • Amžiaus patvirtinimo sukūrimas. Jei jūsų lankytojai yra jaunesni nei 16 metų (kai kuriose ES šalyse amžiaus riba gali būti kitokia), BDAR reikalaujama jų tėvų sutikimo rinkti tokius duomenis. Būtinai įtraukite tokį patvirtinimą.

    • Atnaujinkite duomenų rinkimo formas. Jose nesudėtinga kalba turi būti nurodoma, kokie duomenys renkami ir kokiais tikslais (visas sąrašas, kokią informaciją reikia pateikti naudotojui, pateikiamas BDAR 13 ir 14 straipsniuose). Jei jūsų įmonė veikia už ES ribų, taip pat turėtumėte apsvarstyti galimybę įtraukti laukelį „Rezidavimo šalis“, kad prireikus galėtumėte atskirti savo duomenų bazes.

  3. Atnaujinkite savo duomenų bazes

    Rekomenduotina reguliariai atnaujinti savo duomenų bazes. Galite tai padaryti išsiųsdami klientams el. laišką, kuriame pateikiama galimybė pasirinkti, kokio tipo informaciją jie nori gauti. Tikėtina, kad tokiu atveju jūsų klientai neatsisakys prenumeratos visiškai. Bet kokioje korespondencijoje taip pat turi būti pateikiamas mygtukas „Atsisakyti prenumeratos“ arba mygtukas „Atnaujinti savo nuostatas“.

    Taip pat nesusisiekite su naudotojais, kurie jau yra atsisakę prenumeratos. Tai draudžiama pagal direktyvą dėl privatumo ir elektroninių ryšių.

  4. Būkite pasirengę blogiausiam

    Vienas iš pagrindinių BDAR tikslų – pasiekti, kad įmonės skaidriau informuotų apie vykdomą duomenų apdorojimo veiklą, todėl taip pat turite atnaujinti savo privatumo politiką, nurodydami visus įgyvendintus pakeitimus. Rašykite aiškiai ir glaustai. Jūsų naudotojai turi lengvai rasti informaciją, įskaitant tai, kokius duomenis rankate, kokiais tikslais, su kuo ir kodėl ja dalijatės, kaip ji laikoma, kaip jie gali pasiekti šiuos duomenis ir kaip pareikalauti juos pašalinti (visą sąrašą to, kas turi būti nurodyta privatumo politikoje, rasite BDAR 13 ir 14 straipsniuose).

    Nuolat naujinkite privatumo politiką taip, kaip ir savo duomenų apdorojimo praktikas. Taip pat rekomenduojama reguliariai atlikti privatumo ir saugumo auditus. Nieko neslėpkite. Informuokite klientus apie duomenų apdorojimo metodų pakeitimus ir visas problemas, kurios gali teigiamai ar neigiamai paveikti jų privatumą.

  5. Atnaujinkite privatumo politiką

    Pagal BDAR reikalaujama apie įvykusį pažeidimą pranešti per 72 valandas (taikant kai kurias išimtis). Todėl verta parengti duomenų pažeidimo planą ir mokyti savo darbuotojus, ką daryti tokiomis aplinkybėmis. Turėtumėte apgalvoti:

    • Kaip bendraujantis su klientais darbuotojas turėtų atsakyti klientams.

    • Kaip tvarkysite socialinių tinklų kanalus ir ar turėsite pakankamai personalo, kad būtų galima atsakyti į visas žinutes.

    • Kokiais kanalais prireikus naudositės siekdami informuoti paveiktas šalis, pavyzdžiui, savo klientus ir pardavėjus.

    • Kaip informuosite žiniasklaidą ir kokiais kanalais naudositės norėdami pateikti naujinimus.

    • Kaip pranešite apie pažeidimą įmonės viduje.

    • Kokias procedūras turite parengę, jei jūsų klientai nori pateikti skundus ar gauti kompensacijas.

    • Kaip užtikrinsite, kad tai nebepasikartotų.

Kas yra teisė būti pamirštam?

Teisė būti pamirštam yra visiškai nauja teisinė inovacija, leidžianti asmenims prašyti iš interneto pašalinti konkrečią informaciją apie save. Ši aiški koncepcija atsirado Europos Sąjungoje ir yra įrašyta į BDAR kaip pagrindinė ES piliečių teisė.

Iš esmės teisėje būti pamirštam įkūnijama nuostata, kad žmonės turėtų turėti galimybę valdyti savo asmens duomenis ir galėtų pamiršti praeitį.

Nors teisė būti pamirštam neabsoliuti, atvejai, kuriais ji taikoma, labai aiškiai numatyti. Jei informacija nebeaktuali, netiksli ar yra tvarkoma neteisėtai, asmenys gali pateikti prašymą ją pašalinti.

BDAR ir CCPA

Nors CCPA ir BDAR turi bendrą tikslą – apsaugoti naudotojų teises į privatumą, yra keli svarbūs aspektai, kuriais šie du teisės aktai skiriasi.

Pirmiausia, jie skiriasi taikymo aprėptimi. BDAR taikomas plačiau: jo turi laikytis visos organizacijos, kurios renka ir saugo naudotojų duomenis Europos Sąjungoje (ES) ir Europos ekonominėje erdvėje (EEE). O CCPA (Kalifornijos vartotojų privatumo aktas) galioja tik pelno siekiančioms organizacijoms, kurios atitinka tam tikrus kriterijus pagal mokestinių pajamų dydį ir tvarkomų duomenų kiekį bei renka Kalifornijoje gyvenančių naudotojų duomenis.

Antra, CCPA ir BDAR skirtingai traktuoja naudotojo sutikimą. CCPA duomenims rinkti nenustato aiškaus naudotojo sutikimo būtinybės, nebent naudotojas yra nepilnametis. O BDAR reikalauja aiškaus sutikimo visais duomenų rinkimo atvejais.

Trečia, šie reglamentai yra skirtingo tipo teisės aktai. BDAR yra reguliuojamasis teisės aktas, o CCPA – įstatyminis. Paprastai tariant tai reiškia, kad pažeidus CCPA, gali būti pareikštas civilinis ieškinys Kalifornijos valstijos teisme, o BDAR tiesiogiai civilinio proceso neįtakoja, tačiau gali būti įtrauktas į nacionalinius teisės aktus.

Galiausiai, vykdymo užtikrinimas ir baudos taip pat gerokai skiriasi. BDAR vykdymą užtikrina ES institucijos, o baudos už pažeidimus gali siekti iki 20 milijonų eurų arba 4 % bendros metinės apyvartos (taikoma didesnė suma). Už CCPA vykdymo užtikrinimą yra atsakingas Kalifornijos generalinis prokuroras; vienas pažeidimas gali užtraukti iki 2 500 JAV dolerių baudą, o jei pažeidimas padarytas tyčia – iki 7 500 JAV dolerių.

Ar „NordPass“ atitinka BDAR?

„NordPass“ rūpinasi duomenų apsauga ir privatumu. Tai saugus ir patikimas jautrios informacijos tvarkymo sprendimas, sukurtas atsižvelgiant į BDAR.

Nulinių žinių architektūra užtikrinama, kad visi neskelbti duomenys prieš pasiekdami mūsų serverius būtų šifruojami vietoje – jūsų įrenginyje. Tai reiškia, kad neturime prieigos prie slaptažodžių ar jokių kitų jūsų duomenų, kuriuos jūsų įmonė gali laikyti „NordPass“, ir užtikriname didžiausią privatumą.

Vertiname skaidrumą, pateikiame išsamią privatumo politiką, kurioje išdėstomos mūsų duomenų apdorojimo praktikos, įskaitant renkamų duomenų tipus, rinkimo tikslus ir turimas saugumo priemones.

Be to, tarp mūsų griežtų saugumo priemonių taip pat yra kelių veiksnių autentifikacija (angl. „multi-factor authentication“, MFA) ir biometrinis autentifikavimas, tai sustiprina apsaugą.

Esame įsipareigoję retu duomenų pažeidimo atveju nedelsdami informuoti jo paveiktus naudotojus ir atitinkamas institucijas, kaip reikalaujama BDAR.

Atminkite, kad BDAR nėra vienkartinis projektas, ir neturėtumėte taip jo vertinti. Tai nuolatinės pastangos tobulinti savo įmonės privatumo ir saugumo standartus.

Jei norite tvarkyti slaptažodžius sklandžiai ir skaidriai, rinkitės „NordPass“, kuri padės laikytis reikalavimų atitikties ir sumažins duomenų pažeidimo riziką.