Bendrasis duomenų apsaugos reglamentas (BDAR) – Europos Sąjungos (ES) piliečių asmens duomenų saugumą interneto platybėse užtikrinantis dokumentas. Šiandien, įsigydami prekes, registruodamiesi į renginius ir atlikdami kitus kasdienius procesus skaitmeninėje erdvėje, nė nesusimąstome – kiek daug aspektų turi įvertinti atsakingi verslai, kad asmens duomenys būtų tvarkomi tinkamai. Pirkėjams duomenų saugumas gali atrodyti kaip įprastas procesas, tačiau verslai privalo apie tai galvoti nuolat – kiekvienas e. verslas, renkantis ES piliečių asmens duomenis, privalo užtikrinti atitiktį BDAR. Vis dėlto, teisininkai pastebi ne vieną dažnai besikartojančią klaidą, kuri gali baigtis baudomis ar net reputacijos krize. Toliau – 5 klaidos, kurias dažnai daro verslai atitikties BDAR požiūriu.
1) BDAR rimtumo nesuvokimas ir nuostatų nepažinimas
Pirmoji klaida – atsainus požiūris į BDAR. Vis dar yra e. verslų, kurie šio dokumento nežino, arba žino, tačiau negalėtų papasakoti, kaip būtent jų verslas turėtų užtikrinti atitiktį jam. BDAR apibrėžiami įvairūs asmens duomenų apsaugos aspektai – nuo privatumo bei slapukų naudojimo politikos iki vartotojų informavimo būtinybės ir duomenų nutekėjimo krizių valdymo.
Ką daryti, jei turite e. verslą, bet nesate tikri, kad teisingai suvokiate BDAR nuostatas? Pirmasis žingsnis galėtų būti duomenų apsaugos srityje besispecializuojančių teisininkų atliekamas BDAR auditasir konsultacija – kokių žingsnių turėtumėte imtis, kokios galimos klaidos ir kaip išvengti krizinių situacijų, baudų.
2) Naudojami duomenų privatumo bei slapukų politikos „šablonai“
Kita dažna klaida, labai susijusi su pirmąja, – neapgalvotas įvairių interneto platybėse rastų šablonų naudojimas. Tokių, kurie nebūtinai tinkami konkrečiam e. verslui. Puikus pavyzdys – privatumo bei slapukų naudojimo politika. Nepakanka pasižiūrėti, kaip šią informaciją parengė ir pateikė kitų interneto svetainių savininkai. Visų pirma, jie galėjo lygiai taip pat pasinaudoti kitų pavyzdžiais kaip šablonu, antra – jų privatumo politika nebūtinai atitiks jūsų verslo procesų subtilybes ir (ar) atitiks teisės aktų reikalavimus.
3) Pakartotinio sutikimo naudoti vartotojų duomenis ignoravimas
Bendrasis duomenų apsaugos reglamentas įsigaliojo 2018 metais ir suvienodino asmens duomenų apsaugos teisinį reguliavimą visoje Europos Sąjungoje. Natūralu, kad kai kurie e. verslai veiklą pradėjo kur kas anksčiau, nei įsigaliojo BDAR. Džiugu, jei e. verslą pavyko išlaikyti ilgus metus, tačiau jeigu nuo to laiko keitėsi ir prie besikeičiančių vartotojų poreikių prisitaikė tik prekių ženklas, o asmens duomenų klausimai paskutinį kartą kelti prieš kuriant verslą – gali kilti nemenkų problemų. Labai tikėtina, kad toks e. verslas šiandien neužtikrina atitikties BDAR.
Nepaisant to, reikia nepamiršti, kad sutikimo atnaujinimas, jei senasis sutikimas dėl tiesioginės rinkodaros pranešimų jau nebegalioja, bus taip pat laikomas tiesiogine rinkodara, o toks veiksmas yra draudžiamas.
4) Klaidingi įsitikinimai, susiję su ne ES ribose įsteigto verslo atsakomybėmis ir BDAR atitiktimi
Bendrasis duomenų apsaugos reglamentas sukurtas tam, kad apsaugotų ES piliečių asmens duomenis. Vis dėlto klaidinga manyti, kad šio dokumento galiojimas apsiriboja ES teritorija. Duomenų apsaugos srityje dirbantys teisininkai pabrėžia, kad ES piliečių asmens duomenų saugumas pagal Reglamentą turi būti užtikrintas nepriklausomai nuo to, kur yra įsteigtas verslas, ar kur yra tvarkoma surinkta informacija. Taigi, jeigu e. verslą registruojate ne ES ribose, bet vis tiek dirbate ES rinkose ir renkate jautrią informaciją, laikas pasidomėti BDAR nuostatomis.
5) Vartotojų informavimo trūkumas bei krizių valdymo spragos
Privatumo bei slapukų naudojimo politika, sutikimo formos, aiškios krizių valdymo gairės ir kita informacija nėra tik formalumas. Tai turi būti aiškios gairės ne tik verslams, bet ir jais pasitikintiems vartotojams. Vis dar yra nemažai verslų, kurie neskiria pakankamai dėmesio kokybiškam vartotojų informavimui. Tiesa, čia neretai mažai dėmesio sulaukia ir galimų krizių valdymo plano klausimai. Pavyzdžiui, atsakingų asmenų skyrimas, įvykių registravimas ir galimai nutekintų asmens duomenų savininkų informavimas.
Sėkmingai vystote, o gal dar tik planuojate pradėti e. verslą? Nesvarbu, koks verslo dydis, pobūdis ar duomenų rinkimo tikslas – būtinai atsakingai pasidomėkite BDAR. Šiandien reiklūs vartotojai vertina atsakomybę, ypač kai tai susiję su jų patikėta jautria informacija. Domėjimasis ir atitiktis BDAR leis išvengti klaidų, o jei ir teks atsidurti nepavydėtinoje situacijoje – sureaguoti tinkamai ir taisyti klaidas laiku. Tiems, kurie nori geriau įvertinti savo e. verslo situaciją ar startuoti ramūs, patariama susisiekti dėl duomenų apsaugos teisininkais.