Tiems, kurie dar negirdėjo svarbiausių naujienų, susijusių su duomenų apsauga: 2018 m. gegužės 25 d. įsigaliojo naujasis bendras duomenų apsaugos reglamentas (BDAR, angl. General Data Protection Regulation – GDPR). Regamentas nustato naujus duomenų apsaugos įpareigojimus, kurių privalės laikytis visos įmonės, kurios kokiu nors būdu tvarko bet kokius asmens duomenis (iš esmės yra bet kuri veikianti įmonė).
Šiame straipsnyje apžvelgiame pagrindinę informaciją, esminius pokyčio elementus, įsipareigojimus ir į ką reklamos verslas turėtų atkreipti dėmesį įsigaliojus reglamentui. Iki to liko visai nedaug laiko, o duomenų tvarkymo metodų atnaujinimas užtrunka. Todėl raginame net smulkaus ir vidutinio verslo įmones pradėti ruoštis pokyčiams jau šiandien.
Kas yra asmeniniai duomenys?
Trumpai tariant, asmens duomenys yra bet kokie duomenys, kurie gali būti naudojami indentifikuojant asmenį – tiesiogiai ar netiesiogiai. Taigi, asmens duomenys gali būti bet kas – vardas, nuotraukos, el.pašto adresas, banko duomenys, socialinių tinklų įrašai, vartotojų elgesio duomenys, vietos duomenys, medicininė informacija ar net IP adresas. Jei informacija negali būti susieta su konkrečiu asmeniu – ji nėra asmeninė informacija, todėl ji nėra reguliuojama BDAR. Anoniminei – nuasmenintai informacijai nėra taikomas BDAR reglamentas (pvz., bendri statistiniai duomenys). Tai reiškia, kad el.rinkodaros įmonės gali išvengti daugelio BDAR įsipareigojimų, jei asmens duomenys yra anonimiški ar nuasmeninti ir jų negalima susieti su tam tikru asmeniu.
Kas yra duomenų apdorojimas?
Apdorojimas arba tvarkymas – bet kokia operacija ar operacijų rinkinys, atliekamas su asmens duomenimis. Asmens duomenų rinkimas, įrašymas, analizavimas, koregavimas, papildymas, naudojimas ir perdavimas trečiosioms šalims – visa tai – duomenų apdorojimas, reguliuojamas BDAR.
Yra nustatyti bendrų duomenų tvarkymo įpareigojimai, kuriu būtina laikytis:
• Turi būti nustatytas teisėtas duomenų tvarkymo pagrindas: pvz., duomenų subjekto sutikimas (įprastai: privatumo politikos patvirtinimas), duomenų tvarkymas yra būtinas norint teikti paslaugas klientui. Teisė į duomenų tvarkymą yra aiškiai nurodyta įstatyme. Jei netyrima teisėto duomenų tvarkymo pagrindo, duomenimis naudotis draudžiama.
•Įmonė privalo turėti tinkamas technines ir organizacines priemones, skirtas apsaugoti duomenis, kad trečiosios šalys, neturinčios leidimo, negalėtų jų pasiekti. Techniniai standartai nustatomi remiantis duomenų jautrumu, pvz., medicininė informacija reikalauja aukštesnių techninių standartų, todėl duomenys turi būti šifruojami.
Daugelis el.rinkodaros įmonių turi remtis ne tik minėtomis bendrosiomis nuostatomis, bet ir naujais ir specifiniais įpareigojimais, pateiktais žemiau.
Asmens duomenų tvarkymo veiklos įrašų registravimas
Jei el.rinkodaros įmonė įgija priėjimą prie bet kokių reklamos subjekto asmens duomenų, ji privalo sukurti įrašą apie vykdomas duomenų tvarkymo veiklas. Į įrašą turi būti įtraukta bendra apžvalga apie tai, kokie duomenys, kokiais tikslais jie tvarkomi, informacija apie duomenų tvarkytoją, kuriems duomenys yra perduodami, duomenų saugojimo termino ir apsaugos apžvalga.
Ši ataskaita turi būti parengta ir saugojama rašytine forma. Įrašų tvarkymui galima naudotis „Excel“, „Word“ ar specialiai tam pritaikytus produktus.
Duomenų apsaugos poveikio vertinimo rengimas
Poveikio vertinimas – dokumentas, padedantis įvertinti ar įmonės duomenų tvarkymo veikla kelia grėsmę duomenų subjekto teisėms ar laisvėms. Jei įmonė, nuo 2017 m. gegužės 25 d., savo duomenų apdorojimo veikloje pradeda naudoti naujas technologijas arba kitaip įsitraukia į naują duomenų tvarkymo veiklą, o tai kelia didelę grėsmę duomenų subjekto teisėms ir laisvėms (kuri yra tikėtina, jei bendrovė tvarko tūkstančius asmens duomenų), iš jų reikalaujama parengti poveikio vertinimą. Taigi, naujos automatizuotos duomenų tvarkymo priemonės, pvz., kurios nukreipia reklamas klientams (su suasmeninta informacija), priklauso šiai kategorijai ir turės parengti poveikio vertinimą.
Duomenų apsaugos pareigūno (DAP) paskirimas
Kas yra DAP? Trumpai tariant, duomenų apsaugos pareigūnas – tai įmonės paskirtas asmuo, kuris užtikrina, kad įmonė laikosi duomenų apsaugos reglamento. DAP gali būti asmuo, dirbantis toje įmonėje, bet privalo būti susipažinęs ir suprasti duomenų apsaugos nuostatas ir standartus, laikytis įstatyme numatytų DAP pareigų ir reikalavimų.
Ne visos įmonės turi paskirti DAP. Tačiau daugėlio el.rinkodaros imonių verslo modelis leidžia gauti prieigą prie didelių asmens duomenų kiekių. E.rinkodaros įmonėse galioja taisyklė, kad jei įmonė įgyja prieigą prie fizinių asmenų asmens duomenų, greičiausiai, ji privalės paskirti duomenų apsaugos pareigūną. Jei gauti asmens duomenys apima medicininius duomenis, biometrinius duomenis, politinius ar filosofinius įsitikinimus ar kt., DAP turi būti paskirtas be išimčių.
Ką daryti, jei duomenys apdorojami kliento vardu?
BDAR nurodo duomenų valdytojo ir duomenų tvarkytojo dvilypumą. Iš esmės, duomenų valdytojas yra atsakingas už duomenų tvarkymą, tuo tarpu duomenų tvarkytojas yra tik įgaliotas duomenų valdytojo vardu atlikti tam tikrus duomenų tvarkymo veiksmus. Duomenų tvarkytojas negali tvarkyti pateiktų duomenų kitais tikslais ar kitu būdu, nei jam konkrečiai nurodyta. Todėl gali būti, kad dauguma el.rinkodaros įmonių gali būti laikomos asmens duomenų tvarkytojomis. Duomenų tvarkytojas turi turėti technines ir organizacines priemones, užtikrinančias pakankamą duomenų apsaugą, tvarkyti duomenis remiantis nurodymais, gautais iš duomenų valdytojo.