Duomenų apsauga: papildoma administracinė našta ir įmonių galvos skausmas

logo_srtrf

2018 m. gegužės 25 d. pradėtas taikyti Bendrasis duomenų apsaugos reglamentas (toliau – BDAR). Valstybinė duomenų apsaugos inspekcija (VDAI) parengė „Tinkamų organizacinių ir techninių duomenų saugumo priemonių įgyvendinimo gaires asmens duomenų valdytojams ir tvarkytojams“. Gairėse rekomenduojama 20 minimalių organizacinių ir techninių duomenų saugumo reikalavimų, pakankamų tose organizacijose, kurių tvarkomų asmens duomenų saugumo rizika, susijusi su pavojais fizinių asmenų teisėms ir laisvėms, yra žema. Šiuos reikalavimus privalo įgyvendinti kiekviena asmens duomenis tvarkanti organizacija ar asmuo, o daugelis imtis ir papildomų, kad užtikrintų tinkamą savo tvarkomų asmens duomenų saugumo lygį.

VDAI jau tikrino 12 didelių Lietuvoje registruotų ir veiklą vykdančių maisto, namų apyvokos prekių parduotuvių ir vaistinių, kaip jos tvarko fizinių asmenų duomenis lojalumo programos ir tiesioginės rinkodaros tikslais. Visose rasta asmens duomenų tvarkymo pažeidimų, todėl nurodyta juos ištaisyti.

Įmonės ir įstaigos renka bei naudoja asmens duomenis, tačiau ne visada žino, kaip tinkamai saugoti, ką daryti, jeigu būtų įsilaužta į jų informacines sistemas ir duomenys būtų sugadinti ar pavogti. Rizika kyla, kai įmonės neturi kvalifikuotų informacinių technologijų ir duomenų apsaugos specialistų, atsiranda problemų dėl asmens duomenų naudojimo be sutikimo ar perdavimo tretiesiems asmenims. Pradėjus taikyti BDAR, duomenų saugumo pažeidimai tapo aktualūs visiems viešojo ir privataus sektoriaus atstovams, kurie per 72 valandas nuo sužinojimo privalo pranešti VDAI. BDAR nustatė, kad organizacijose turi būti nauja pareigybė – duomenų apsaugos pareigūnas. Valstybės institucijos, įstaigos ir įmonės, kurios privalo stebėti asmenis ir tvarkyti specialių kategorijų asmens duomenis, verčiasi prekių ir paslaugų, finansų paslaugų, švietimo ir kultūros, sveikatos priežiūros ir teisėsaugos veikla, turi paskirti duomenų apsaugos pareigūną.

Ką apie duomenų apsaugą turi žinoti vyriausiasis buhalteris?

Aktualūs klausimai: kas turi parengti įmonės duomenų apsaugos tvarką ir dokumentus, kurie atitiktų BDAR reikalavimus ir rekomendacijas, kiek tai kainuoja, ar mažoms įmonėms privaloma turėti duomenų apsaugos pareigūną, ar reikia paskirti už duomenų apsaugą įmonėje atsakingą asmenį? Sertifikuotos duomenų apsaugos pareigūnės, konsultantės, atestuotos vidaus auditorės ir rizikos valdymo specialistės Rusnės Juozapaitienės, kuri turi daugiau kaip 15 m. darbo patirties tarptautinėse bendrovėse, rengia asmens duomenų apsaugos rizikos valdymo seminarus, žodžiais, už duomenų tvarkymą, kaip ir bet kokią įmonės veiklą, atsako vadovas. Vyriausiasis buhalteris turėtų laikytis įmonės asmens duomenų tvarkymo taisyklių ir kitų lokalių įmonės teisės aktų. Ar mažos, pvz., dirba 10 darbuotojų, įmonės vadovas turi paskirti už duomenų apsaugą įmonėje atsakingą asmenį ir kuo jis turėtų rūpintis? Rusnė Juozapaitienė sako, kad būtų gerai, jei įmonėje būtų vienas atsakingas asmuo, „proceso šeimininkas“, kuris geriausiai žinotų, kaip įmonėje tvarkomi duomenys. Atsakingas asmuo diegia procesus, rengia dokumentaciją, bendrauja su išorės paslaugų teikėjais – duomenų tvarkytojais. Į klausimą, ar įmonėms įmanoma pačioms sutvarkyti duomenų apsaugos dokumentus, Rusnė Juozapaitienė atsakė: „Viskas įmanoma, reikia domėtis, gilintis ir pradėti nuo audito, duomenų žemėlapio – veiklos įrašų sudarymo. Pagalbos galima kreiptis į konsultantus – advokatų kontoras, audito įmones, darbų saugos įmones, sertifikuotus duomenų apsaugos pareigūnus, kurie teikia tokias konsultacijas.“

Duomenų apsaugos dokumentų paketas, anot Rusnės Juozapaitienės, gali kainuoti nuo kelių šimtų iki kelių dešimčių tūkstančių eurų. Viskas priklauso nuo paslaugų apimties ir konsultantų kainodaros. Taigi, dokumentų paketas įmonei gali atsieiti nuo 1 tūkst. iki 10 tūkst. eurų, o įsigyti vien šablonus galima ir už kelis šimtus eurų. Paketą (10 dokumentų) privalo turėti visos įmonės, neatsižvelgiant į jų dydį, vadinasi, ir nedidelės įmonės. Tačiau, jeigu įmonėje nebus sutvarkyti procesai ir darbuotojai nesilaikys taisyklių bei reikalavimų, dokumentų paketas nepadės apsiginti, kai ateis tikrintojai. Tikėtina, kad iš karto visų Lietuvos įmonių, juolab mažų, greitai nepatikrins, tačiau gavus skundą ir atėjus tikrinti, įmonė turės pateikti įrodymus, kad ji tinkamai tvarko asmens duomenis.

Lietuvos buhalterių ir auditorių asociacija (LBAA) parengė asmens duomenų apsaugos tvarkos pavyzdį apskaitos paslaugas teikiančioms įmonėms.

Duomenų apsauga reikalauja daug išlaidų

Aktualus klausimas, ar apskaitos paslaugų įmonės šias išlaidas užkraus ant savo klientų pečių. „Klientų duomenų tvarkymas pagal BDAR reikalauja nemažai išlaidų, – sako auditorė Dangutė Pranckėnienė. – Tai yra papildoma administracinė našta apskaitos paslaugų ir audito įmonėms, kadangi duomenų tvarkytojas turi įgyvendinti saugumo priemones, t. y. šifravimas, atsarginės kopijos, slaptažodžiai ir kita. Reikalingi papildomi informacinių technologijų ištekliai, kurie yra brangūs.“ Todėl apskaitos ir audito įmonių vadovams kyla klausimų, kaip susigrąžinti patirtas duomenų apsaugos išlaidas iš klientų.

Klientai siunčia teisininkų parengtas duomenų apsaugos sutartis, kuriose didelė įvairovė dėl kodavimo, saugojimo ir kitų dalykų, neatsižvelgiama į auditoriams keliamus reikalavimus. Apskaitos ir audito įmonėms reikia įdėti papildomų lėšų, kad įvykdytų visus reikalavimus. Klientai nori siųsti tikrintojus į audito įmones, kyla neaiškumų dėl tame pačiame serveryje saugomų kitų įmonių duomenų. Duomenų apsaugos sutartyje turėtų būti nustatyta, kad duomenys tvarkomi tik pagal duomenų valdytojo dokumentais įformintus nurodymus, tačiau apskaitos ir audito įmonių klientų nurodymai gali būti skirtingi, todėl atsiranda papildoma administracinė našta viską patikrinti, o už tai turėtų būti imamas vienkartinis mokestis. Svarbu, kad duomenų tvarkytojas užtikrintų, kad asmenys, kurie įgalioti tvarkyti asmens duomenis, būtų įsipareigoję laikytis konfidencialumo. Duomenų tvarkytojas gali padėti duomenų valdytojui užtikrinti, kad būtų laikomasi BDAR, ir už vienkartinį mokestį leisti susipažinti, ar jis atitinka reikalavimams, tačiau atsiranda problema dėl kartu esančių kitų klientų duomenų. Apskaitos ir audito įmonei tektų samdyti firmą, kuri suteiktų užtikrinimą, kad laikomasi BDAR reikalavimų, tačiau tada kiekvienais metais tektų mokėti už patikrą.

Kita problema, kad, baigus teikti su duomenų tvarkymu susijusias paslaugas, visi asmens duomenys ir jų kopijos turi būti ištrinami arba grąžinami duomenų valdytojui, išskyrus atvejus, kai ES ar valstybės narės teisės aktuose reikalaujama saugoti asmens duomenis. Šiuo atveju apskaitos įmonei kyla rizika, kad, jeigu ją apskųs teismui dėl blogai sutvarkytos apskaitos, įmonė negalės apsiginti. Audito įmonė privalo duomenis saugoti 10 m., vadinasi, 10 m. atlikti duomenų patikrą, kuri nemažai kainuos. Kyla neaiškumų, kai duomenų valdytojas įgalios auditorių atlikti kito auditoriaus patikrinimą, ar vykdomos visos duomenų apsaugos prievolės. Todėl rizikos kyla dėl reikalavimų nesilaikymo, saugumo neužtikrinimo, duomenų valdytojo nurodymų nepaisymo.

Olita MONTVYDIENĖ