Didelė našta duomenų valdytojams

Ištrauka iš Bruno DUMAY knygos: GDPR IŠŠIKRAVIMAS – vadovams, strateginiams skyriams ir įmonių bei organizacijų darbuotojams – Gaëlle MONTEILLER pratarmė

BDAR daugiausia dėmesio skiria suinteresuotųjų šalių atskaitomybei. Kitaip nei 1995 m. direktyvoje (pirmajame svarbiame Europos duomenų apsaugos tekste), jame nereikalaujama išankstinio leidimo ar deklaracijos. Tai sumanus jos kūrėjų žingsnis: išankstinės kontrolės nebuvimas padeda priimti pastangas, reikalingas norint laikytis naujųjų taisyklių.

Kaip matėme, BDAR kiekvienoje struktūroje įvardija „duomenų valdytoją“, kuris turi būti atsakingas už reikiamo atitikimo užtikrinimą ir tinkamą duomenų tvarkymo veikimą. Šio valdytojo užduotys yra sudėtingos: jis ne tik turi įgyvendinti tinkamas priemones, bet ir gebėti „įrodyti“, kad tvarkymas atliekamas laikantis reglamento (24-1 straipsnis). Tai nėra įpareigojimas, tačiau nuoroda į elgesio kodeksą (40 straipsnis) arba sertifikavimą (42 straipsnis), kurį rekomenduoja priežiūros institucijos, gali palengvinti reikiamą įrodymą.

Duomenų valdytojo pagrindinis principas yra paprastas: naudoti kuo mažiau asmens duomenų. Todėl 25 straipsnyje rekomenduojama taikyti jau minėtus „pseudonimų suteikimo“ ir „duomenų kiekio mažinimo“ principus. Jame pridedamas standartizuotosios duomenų apsaugos principas: „Duomenų valdytojas įgyvendina tinkamas technines ir organizacines priemones, siekdamas užtikrinti, kad standartizuotosios procedūros metu būtų tvarkomi tik tie asmens duomenys, kurie yra būtini kiekvienam konkrečiam tvarkymo tikslui“ (25 straipsnio 2 dalis). Skirtingai nuo dabartinės praktikos, kai „imama“ viskas, nebent būtų aiškiai nurodyta kitaip, dabar turi būti naudojama tik tai, kas yra griežtai būtina nurodytam tikslui pasiekti. Standartizuotoji apsauga tvarkymo metu tam tikra prasme papildo duomenų kiekio mažinimą jų rinkimo metu.

Du specialistai gali būti bendrai atsakingi už duomenų tvarkymą; tokiu atveju kiekvieno iš jų vaidmuo yra tiksliai apibrėžtas ir apie jį pranešama duomenų subjektui (26 str.). Kai duomenų valdytojas (-ai) nėra įsisteigęs (-ę) Europos Sąjungoje, jis (-ie) paskiria vienoje iš valstybių narių įsisteigusį atstovą, kuris bus įgaliotas būti duomenų subjekto ir priežiūros institucijų kontaktiniu asmeniu (27 str.). Galima pasitelkti subrangovą, jei pastarasis pateikia pakankamai garantijų, kad tvarkymas atliekamas laikantis BDAR (28-1 str.).

Privaloma tvarkyti „tvarkymo veiklos registrą“ (30 str.). Jame turi būti nurodyti duomenų valdytojo kontaktiniai duomenys, tvarkymo tikslai, asmenų, duomenų ir atitinkamų gavėjų kategorijos, bet koks perdavimas į trečiąją šalį, ištrynimo terminai ir bendras saugumo priemonių aprašymas. Šis registras turi būti pateiktas priežiūros institucijai, jei ji to paprašo. Jis nėra privalomas įmonei ar organizacijai, kurioje dirba mažiau nei 250 darbuotojų, „nebent jų atliekamas tvarkymas gali kelti pavojų duomenų subjektų teisėms ir laisvėms, jei jis nėra retkarčiais...“ (30 str. 5 d.). Todėl būkite atsargūs: vien įmonės dydis nėra pakankamas kriterijus, kad būtų taikoma išimtis dėl registro reikalavimo. Jei duomenis tvarkote dažnai arba jei jūsų veikla gali būti kaip nors susieta su „asmenų teisėmis ir laisvėmis“, privalote tvarkyti vykdomos veiklos registrą.

Reglamentas nėra techninis vadovas. Vis dėlto 32 straipsnyje, skirtame duomenų tvarkymo saugumui, primenami kai kurie pagrindiniai principai: pseudonimų suteikimas ir šifravimas, konfidencialumo ir vientisumo užtikrinimo priemonės, duomenų prieinamumo ir prieigos prie jų atkūrimas incidento atveju. Teksto rengėjai nepamiršta įsilaužimo rizikos: „Vertinant tinkamą saugumo lygį, ypatingas dėmesys skiriamas tvarkymo keliamai rizikai, ypač dėl atsitiktinio ar neteisėto perduotų, saugomų ar kitaip tvarkomų asmens duomenų sunaikinimo, praradimo, pakeitimo, neteisėto atskleidimo arba neteisėtos prieigos prie tokių duomenų“ (32-2 straipsnis). Kitaip tariant, tvarkymo sistema bus laikoma atitinkančia reikalavimus tik tuo atveju, jei ji suteiks būtinas, bent jau maksimalias, duomenų apsaugos ir saugumo garantijas. Prisimename pasipiktinimą, kurį sukėlė Šiaurės Amerikos susituokusių žmonių pažinčių svetainės narių duomenų bazės įsilaužimas, kai internete buvo paviešinta dešimtys tūkstančių konfidencialių profilių.

Jei, nepaisant imtų atsargumo priemonių, aptinkamas asmens duomenų saugumo pažeidimas, duomenų valdytojas privalo per 72 valandas informuoti priežiūros instituciją, „nebent atitinkamas pažeidimas neturėtų kelti pavojaus fizinių asmenų teisėms ir laisvėms“ (33-1 straipsnis). Ši išlyga suteikia tam tikrą veiksmų laisvę, net jei visas tekstas rodo, kad ja nereikėtų piktnaudžiauti problemai nuslėpti. Pranešime turi būti nurodytas pažeidimo pobūdis, apytikslis susijusių asmenų skaičius, tikėtinos šio pažeidimo pasekmės ir priemonės, kurių imtasi arba siūloma siekiant išspręsti problemą arba apriboti jos pasekmes.

Duomenų valdytojas taip pat privalo kuo greičiau informuoti pažeidimo auką (34 straipsnis). Šis pranešimas nebūtinas, jei pavogti duomenys yra „nesuprantami“, pavyzdžiui, dėl šifravimo, arba jei imtasi priemonių reiškia, kad nėra jokios rizikos duomenų subjekto teisėms ir laisvėms, arba jei toks pranešimas „pareikalautų neproporcingų pastangų. Tokiais atvejais vietoj to turi būti skelbiamas viešas pranešimas arba imamasi panašios priemonės, leidžiančios duomenų subjektams būti informuotiems tokiu pat veiksmingu būdu“ (34 straipsnio 3 dalies c punktas). Ši pastraipa skirta kovai su masiniais įsilaužimais ir atleidžia duomenų valdytojus nuo pareigos siųsti asmeninį el. laišką kiekvienam asmeniui, esančiam jų bylose.

Galiausiai patikslinkime, kad BDAR dvasia yra nedviprasmiška: įmonėje, kuri yra organizuota su dukterinėmis įmonėmis, pastarųjų įsipareigojimai yra tokie patys kaip ir patronuojančiosios įmonės.