Kas yra BDAR ir kam jis reikalingas?
BDAR, arba Bendras duomenų apsaugos reglamentas, yra Europos Sąjungos reglamentas, kuris buvo priimtas 2016 metais ir įsigaliojo 2018 metų gegužės 25 dieną. Šis reglamentas buvo sukurtas siekiant stiprinti ir apsaugoti asmeninių duomenų saugumą bei privatumą.
Pasaulį išgąsdino tai, kad didžiosios IT kompanijos, tokios kaip Google ar Facebook, surenka milžiniškus kiekius asmeninių duomenų, jais manipuliuoja analitiniais tikslais, arba gali net ir parduoda kitoms kompanijoms, kuriuos galimai ketina jais manipuliuoti.
Kaip galima manipuliuoti asmenų duomenimis?
Įsivaizduokime situaciją:
Asmeninius interneto vartotojų duomenis renkanti kompanija savo rinkodaros tikslais skirsto vartotojus pagal jų pomėgius, elgseną, politines pažiūras, religinius įsitikinimus, ekonominius pajėgumus ir kt.
Tuo tarpu kažkoks politikas, bet kokiomis priemonėmis siekiantis išrinkimo ir galintis tam skirti finansinių resursų, pasisamdo minėtą duomenimis manipuliuojančią įmonę. Įmonė parengia agitacinę kampaniją su skirtingais vienas kitam prieštaraujančiais reklaminiais klipais: viename kandidatas palaiko klimato kaitos judėjimą, kitame – jis jau neigia klimato kaitą ir teigia, kad čia pinigų plovimas ir reikia to atsisakyti. Agitaciniai klipai yra rodomi potencialiems rinkėjams, atsižvelgiant į turimą jų asmeninę informaciją – įsitikinimus ir pažiūras.
Toks informacijos panaudojimas griauna demokratijos pamatus ir pačią demokratijos esmę: renkasi ne dauguma, kurios interesus atitinka vienas ar kitas politikas, bet politikas – manipuliatorius, kuris imituoja, kad atstovauja visų interesus.
Deja, ši istorija – ne hipotetinė. Taip nutiko 2016 metais JAV ir gali bet kada pasikartoti. Toks informacijos panaudojimo modelis Europą išgąsdino ne juokais, todėl buvo imtasi priemonių, kad nebūtų galima nebaudžiamai manipuliuoti asmens duomenimis.
Kokia atsakomybė už BDAR pažeidimus?
Buvo akivaizdu, kad atsakomybę už pažeidimus negalima nustatyti fiksuotos, nes, tarkime, 8 žmonių įmonei 150000 € bauda būtų „mirtina“, o Facebook net ir dviguba suma nesukeltų rimtesnių finansinių sunkumų ir atitinkamai neatliktų pagrindinio įstatymo tikslo: veikt prevenciškai – skatinti nenusikalsti. Todėl buvo priimtas logiškas sprendimas baudą aprašyti kaip „iki 4% nuo metinių pajamų“. Tokiu būdu bauda tampa proporcinga verslo dydžiui ir vienodai skausminga tiek mažai įmonei, tiek ir didiesiems „rinkos žaidėjams“.
Ko reikalauja BDAR?
BDAR keičia tai, kaip organizacijos tvarko ir apsaugo asmeninius duomenis. Reglamentas patiems asmenims (asmens duomenų savininkams) suteikia teisę ir galimybes kontroliuoti, kaip jų duomenys yra renkami, tvarkomi ir saugomi. Pagrindiniai BDAR principai apima skaidrumą, teisę į informaciją, duomenų apsaugos politiką, duomenų saugumą ir asmenų teises.
BDAR sudaro 2 esminės dalys: teisinė ir techninė. Teisinė dalis aprašo tvarkas, kaip įmonė tvarko asmens duomenis, kaip ir kiek laiko jais gali naudotis. Techninė dalis sprendžia, kokie techniniai sprendimai pritaikomi konkrečiomis sąlygomis išlaikyti duomenis saugius.
Situaciją puikiai iliustruoja pavyzdys:
Kažkas išplėšė Jūsų sandėliuką ir pavogė ten laikomus kaimynų dviračius, kuriuos saugojote už pinigus. Kas neša atsakomybę už dviračių vagystę – Jūs ar vagis? Sakysite: akivaizdu – vagis. Tačiau, atvažiavusi policija registruoti įvykį išsiaiškina, kad Jūs tą sandėliuką dažniausiai laikydavote atvirą ir bet kam prieinamą, o jei ir uždarydavote, tai vietoje spynos naudodavote „kukurūzą“, kad durys neatsidarytų nuo vėjo. Ar tokiu atveju policija imtųsi rimto tyrimo ir paieškos, o gal tiesiog rekomenduotų savo turtą saugoti labiau?
Perkelkime pavyzdį į situaciją su duomenimis. Jei duomenys iš Jūsų buvo pavogti ir panaudoti nesankcionuotai, duomenų vagystės atsakomybė tenka vagims TIK tuo atveju, jei pavogti duomenys buvo saugomi TINKAMAI. BDAR techninė dalis apibrėžia, kad saugomi duomenys PRIVALO būti šifruojami. Mūsų praktikoje tai daro mažiau kaip 10 % organizacijų.
Labai daug organizacijų už keturženkles sumas yra įsigiję šabloninį dokumentų rinkinį iš teisininkų arba darbų saugos įmonių, kurios dažnu atveju pamiršta informuoti, jog dokumentų rinkinys yra tik dalis faktinio BDAR reikalavimų įgyvendinimo įmonėje.
Vėl situaciją iliustruokime pavyzdžiu:
Jūsų priešgaisrinės saugos plane nurodyta, kad kilus gaisrui reikia čiupti gesintuvą nuo sienos ir gesinti ugnį, bet gesintuvo ant sienos niekada nebuvo, nėra ir, tikriausiai, nebus. Ar priešgaisrinės saugos planas apsaugos Jus nuo gaisro, ar nuo priešgaisrinės saugos inspektoriaus?
Taip ir su įmonėje turimu BDAR dokumentų rinkiniu – jei nėra techninio reikalavimų įgyvendinimo, prasmės netenka ir dokumentinė dalis.
Kas yra BDAR techninė dalis?
Techninė dalis reikalauja techninių sprendimų, kad duomenys saugomi ir migruodami įmonės viduje visada turi būti apsaugoti nuo nutekėjimo, nesankcionuoto panaudojimo. Šie sprendimai nėra nei labai sudėtingi, nei labai brangūs. Standartinė įmonė, tarkime su 10 darbuotojų, savo kasdienėje veikloje naudojanti „Microsoft365“ paslaugą, kad pilnai techniškai atitiktų BDAR reikalavimus, turi būti įgyvendinusi techninį sprendimą, kuris yra standartinė programinės įrangos dalis ir jo sukonfigūravimas kainuotų iki 300 € vienkartinio mokesčio.
