Kino gamybos sektoriuje dirbantiems žmonėms Bendrasis Duomenų Apsaugos Reglamentas (angl. GDPR: General Data Protection Regulation (GDPR) (EU) 2016/679) – BDAR – yra sudėtingas ir subjektyviai per griežtas dokumentas, kurio reikalavimai gąsdina ir kelia nerimą, ar pakankamas piniginės gylis, norint visa tai susitvarkyti, arba – elementarų norą apie tai tiesiog negalvoti.
Reikalavimai
Interneto puslapyje įsidedame privatumo politikos šabloną, el.laiške – konfidencialumo pranešimą, parsisiunčiame slaptažodžių generavimo programėlę ir susitvarkome Google Drive failų dalinimosi nustatymus („tik su nuoroda“). Jaučiamės padarę daugiau negu galėjome ir nusisukame nuo savo sąžinės ir visos šios temos. Kodėl? Todėl, kad reikalavimų yra per daug.
Asmens duomenų apsaugos ekspertė Daiva Vyčinienė (https://www.adaekspertai.lt/) sako, kad įgyvendinant Bendrąjį duomenų apsaugos reglamentą susiduriama su iššūkiais, tačiau juos galima įveikti. Taikant asmens duomenų apsaugos taisykles konkrečios įmonės veikloje reikėtų žiūrėti protingai – neperlenkiant lazdos. Tačiau reikėtų atsiminti, įmonė turi sugebėti pagrįsti priimtus sprendimus.
Norint pilnai atitikti GDPR reikalavimus privaloma atlikti savo duomenų tvarkymo inventorizaciją, su teisininkų pagalba parengti ir naudoti bent dešimt įvairių administracinių dokumentų, įsivertinti poveikį duomenų apsaugai, apie rezultatus pranešti vietinei asmens duomenų apsaugos inspekcijai, imtis techninių ir organizacinių apsaugos priemonių, apmokyti savo darbuotojus, dokumentuoti procesus, vesti incidentų registrą, atlikti visų šių reikalų stebėseną ir periodinį atnaujinimą, užtikrinti duomenų subjektų teisių įgyvendinimo mechanizmus, saugoti dokumentus atitinkama tvarka, netgi samdyti asmens duomenų apsaugos pareigūną ir būti pasirengusiems bet kuriuo momentu įrodyti, kad visa tai ne tik popierius stalčiuose, bet realiai veikianti asmens duomenų apsaugos sistema.
Akivaizdu, kad smulkiam verslui, kurio veiklos sritis nėra tiesiogiai susijusi su asmens duomenų gavimu, kaupimu, naudojimu, visi šie reikalavimai yra tik pasipiktinimą keliantys kraštutinumai. Jie sukuria neproporcingą administracinę naštą bei pridėtinės vertės neatnešančias išlaidas. Jie reiškia abipusę teisės ir verslo nepagarbą.
Kas yra svarbu
Dėmesio! Asmens duomenų apsauga ir privatumas yra labai svarbu. Jokiu būdu neskatinu nesilaikyti reikalavimų ar ignoruoti teisinių normų. Mano tikslas – kalbėti su tais verslininkais, kurie nuleidžia rankas prieš per didelį informacijos kiekį, tačiau nori žinoti, kur sveikas protas susitinka su teisine realybe. Su tais, kurie kelia klausimą: kaip teisingai gerbti žmogaus teises ir savo verslą kartu?
Norint nuspręsti, kokios priemonės yra protingos ir pakankamos, praverčia suprasti kontekstą, kuriame atsirado BDAR, ir kokia šio grandiozinio teisės akto paskirtis. Apie vėluojančią teisės prigimtį bei apie tai, kas vyko pasaulyje iki BDAR, rašiau čia: BDAR paseno ir nebespėja su gyvenimu, arba, kaip teisė tampa monstru?
Išimtys “smulkiems”
Šiuo metu BDAR nustato bent teoriškai veikiančią lengvatą įmonėms, kuriose dirba mažiau, negu 250 žmonių. Smulkiam verslui taikomi mažesnės apimties reikalavimai, jeigu įmonės atitinka visas šias sąlygas:
- Netvarko jautrių (specialiųjų kategorijų) duomenų;
- Neturi automatizuoto sprendimų priėmimo (profiliavimo),
- Neteikia viešųjų IT paslaugų,
- Nedirba su didelės apimties klientų duomenų bazėmis,
- Nėra valstybės institucijos ar įstaigos
Pasižiūrėkime detaliau į tuos požymius, kuriuos turintys verslai jokių palengvinimų dėl BDAR neturi ir ateityje tikėtis neturėtų:
- specialiųjų kategorijų duomenys – tai sveikatos, teistumo, biometriniai, religinių pažiūrų, ir kiti jautresniems priskiriami duomenys, tvarkomi privačiose medicinos klinikose, psichologo paslaugas teikiančiose įstaigose, darbovietėse, kurios kaupia neįgalumo ar atostogų prašymų religinių švenčių metu prašymus;
- algoritmai, kurie automatiškai analizuoja žmogų (elgseną, duomenis) ir priima sprendimus yra būdingi bankams ir draudimo bendrovėms, kur vertinamas kliento kreditingumas, rizikos faktorius, taip pat e-komercijos svetainėms, kurios automatiškai generuoja turinį ar pasiūlymus klientams pagal jų elgseną svetainėje;
- Viešosios IT paslaugos – tai debesijos paslaugos, SaaS sprendimai, duomenų laikymas, CRM sistemos ir panašios paslaugos, tiesiogiai susijusios su duomenų kaupimu, saugojimu, apdorojimu;
- TTelekomunikacijų bendrovės, dalinimosi transportu platformos bei darbdaviai laikomi organizacijomis, kurios saugo ar analizuoja didelės apimties klientų duomenų bazes. Čia kaupiama informacija apie konkrečių asmenų pokalbių laikus, IP adresą, buvimo vietą, maršrutų, atsiskaitymų duomenys, o taip pat visi duomenys, normaliai kaupiami darbdavio apie darbuotoją, tik dideliais kiekiais;
- Valstybės institucija ar įstaiga esate tuomet, jeigu esate biudžetinė valstybės ar savivaldybės įmonė, arba jūsų steigėjas ar savininkas yra valstybė ar savivaldybė, taip pat tuomet, kai šios įmonės yra jūsų įmonės steigėjas, dalininkas.
Jeigu neradote savęs šiame sąraše, esate smulkus verslas BDAR prasme. Jums – du patarimai.
Du patarimai
Pirmas patarimas – norintiems konkretaus sąrašo. Baziniai reikalavimai smulkiam verslui yra tokie:
- sudarykite įmonės asmens duomenų tvarkymo veiklų ir tvarkomų duomenų sąrašą. Duomenų nerinkite per daug, prašykite tiek duomenų, kiek būtina, pvz., turint tikslą deklaruoti fiziniams asmenims išmokėtas sumas;
- turint svetainę ar kitaip renkant duomenis iš išorės – paskelbkite pritaikytą įmonės veiklai privatumo politiką; nuspręskite, kiek laiko saugosite duomenis ir ištrinkite, tai, ko nebereikia;
- apmokykite savo darbuotojus bei surašykite jiems skirtas vidines taisykles (žinokite, kokius duomenis ir kur turite, ir ką darysite, jeigu nutiks pažeidimas ar gausite skundą); įmonės vadovas yra atsakingas už asmens duomenų apsaugą;
- turėkite asmens sutikimo formą su galimybe jį atšaukti, ir kreipimosi formą prašymams ir skundams;
- naudokite asmens duomenų tvarkymo nuostatas įtraukiančias sutartis su asmenimis, gaunančiais duomenis iš jūsų, t.y. su duomenų tvarkytojais (pvz., buhalterinė įmonė, IT parneris, pan.)
- turėkite incidentų registravimo žurnalą ir jį pildykite (tinka laisvos formos excel failas);
- pasirūpinkite duomenų saugumo technine ir organizacine puse (slaptažodžiai ir kita IT sauga).
Antras patarimas – norintiems mąstyti ir sprendimus priimti savo nuožiūra. Sau tinkančius atsakymus galite rasti žodžiuose Sąžiningumas, Saugumas ir Skundas.
Kiekvienas asmens duomenis tvarkantis ūkio subjektas turi būti Sąžiningas:
- aiškiai žinoti, ką ir kodėl tvarko, kaip asmens duomenis apsaugo ir kaip reaguoja, jeigu kas nors nutinka;
- užtikrinti, kad asmenys, kurių duomenis tvarko, žinotų apie jų asmens duomenų tvarkymo tikslus, kitas asmens duomenų tvarkymo sąlygas; kai būtina – gautų tokių asmenų sutikimą ir imtųsi protingų priemonių šių duomenų Saugumui užtikrinti.
Iš esmės visi baudimo protokolai aktyvuojasi tada, kai kontrolės institucijoje yra gaunamas Skundas dėl padaryto pažeidimo. Tad organizuodami savo veiklą bei planuodami asmens duomenų atitikties priemones, žinokite, kokių protingų Sąžiningumo bei Saugumo priemonių ėmėtės, taigi, kokie būtų jūsų gynybos argumentai. Tokiu būdu įmanomai sumažintumėte asmens duomenų saugumo pažeidimo riziką, galimą patirti žalą, bei paties skundo tikimybę.
Taigi organizuokite savo procesus taip, kad Skundo nebūtų. Ir galiausiai – kvėpuokite. Asmens duomenų tema yra, ir jai galima skirti išmintingo dėmesio.
Parengė: Kino teisininkė Daiva Jurkonytė kartu su Asmens duomenų apsaugos eksperte Daiva Vyčiniene (https://www.adaekspertai.lt/)