top of page

BDAR reikalavimai mažoms ir vidutinėms įmonėms: dažniausios klaidos ir patikros sąrašas

BDAR (Bendrasis duomenų apsaugos reglamentas) – tai Europos Sąjungos teisės aktas, kuris nuo 2018 m. taikomas visoms įmonėms, tvarkančioms ES gyventojų asmens duomenis. Nors reglamentas dažnai siejamas su didelėmis organizacijomis, realybė tokia, kad jis vienodai taikomas ir mažoms bei vidutinėms įmonėms (MVĮ).


Net jei įmonė turi vos kelis darbuotojus ar dirba tik su B2B klientais, ji vis tiek gali rinkti ir tvarkyti asmens duomenis – pavyzdžiui, klientų kontaktus, darbuotojų CV, el. parduotuvės užsakymus. Tinkamas BDAR įgyvendinimas ne tik sumažina baudų riziką, bet ir stiprina pasitikėjimą tarp klientų bei partnerių.


5 dažniausios BDAR klaidos


1. Nesudaromi duomenų tvarkymo veiklos įrašai

Daug mažų įmonių mano, kad joms netaikoma pareiga rengti duomenų tvarkymo veiklos įrašus. Iš tiesų BDAR numato išimtį tik tada, kai įmonė netvarko jautrių duomenų, duomenų tvarkymas nėra reguliarus ir nekelia rizikos duomenų subjektų teisėms.


Kadangi dauguma MVĮ nuolat tvarko klientų ar darbuotojų duomenis (pvz., el. parduotuvė, paslaugų teikimas, prenumeratos), veiklos įrašai tampa būtini. Tai padeda aiškiai matyti, kokius duomenis renkate, kodėl, kaip ilgai juos saugote, kokiu pagrindu tvarkote ir ar dalinatės su trečiosiomis šalimis.


2. Renkami pertekliniai asmens duomenys

Duomenų kiekio mažinimo principas – vienas esminių BDAR reikalavimų. MVĮ dažnai renka daugiau nei reikia: pvz., prašo gimimo datos, kai pakanka tik vardo ar kaupia senuosius klientų el. paštus be tikslo. Tokia praktika ne tik neefektyvi, bet ir rizikinga.


Kiekviena įmonė turėtų įsivertinti: ar duomenys, kuriuos renku, yra būtini? Ar galiu tą patį rezultatą pasiekti su mažiau informacijos?


3. Nėra nustatyti duomenų saugojimo terminai

BDAR reikalauja nurodyti, kiek laiko saugomi asmens duomenys. MVĮ dažnai šios informacijos neturi – duomenys saugomi neribotai, be aiškaus pagrindo.


Rekomenduojama vadovautis:

  • Lietuvos Respublikos teisės aktais (pvz., Lietuvos vyriausiojo archyvaro patvirtinta Bendrųjų dokumentų saugojimo terminų rodykle);

  • vidiniais terminais, jei specifinių reikalavimų nėra.

Svarbu: nereikalingus duomenis būtina naikinti arba anonimizuoti.


4. Nėra privatumo politikos ar ji neaiški

Asmenų informavimas – BDAR kertinis principas. Daugelis MVĮ neturi aiškios, paprastai suprantamos privatumo politikos. O jei turi – ji būna paslėpta, per ilga ar neaktuali.


Tinkama privatumo politika turi apimti:

  • Kokius duomenis renkate;

  • Kodėl ir kokiu pagrindu tvarkote;

  • Kiek laiko saugote;

  • Kam perduodate;

  • Duomenų subjekto teises;

  • Kontaktus klausimams ar skundams..


5. Nėra aiškios atsakomybės ir vidaus kontrolės

Vienas asmuo „prižiūri BDAR“, bet dažnai tai tik formalumas. Nesant aiškioms atsakomybėms, praktika rodo, jog pamirštama atnaujinti dokumentus ar apmokyti naujus darbuotojus.


Rekomenduojami sprendimai:

  • Paskirti atsakingą asmenį arba duomenų apsaugos pareigūną (jei privaloma);

  • Organizuoti darbuotojų mokymus bent kartą per metus;

  • Nuolat peržiūrėti dokumentus ir procesus.


BDAR atitikties patikros sąrašas


  • Turite vidines duomenų tvarkymo taisykles (politikas);

  • Yra paskirtas atsakingas asmuo arba duomenų apsaugos pareigūnas;

  • Parengti ir aktualizuoti duomenų tvarkymo veiklos įrašai;

  • Visus asmenis informuojate apie jų duomenų tvarkymą (pvz., per privatumo politiką);

  • Klientų sutikimai renkami aiškiai ir įrodomai;

  • Numatyti duomenų saugojimo terminai;

  • Turite reagavimo į duomenų saugumo pažeidimus planą;

  • Įvertinta, ar BDAR laikomasi dirbant su trečiosiomis šalimis (pvz., IT tiekėjais);

  • Darbuotojai supažindinti su BDAR principais.


Duomenų apsaugos auditas: kaip vyksta?


Vidinis arba išorinis BDAR auditas padeda įvertinti:

  • ar renkami tik būtini duomenys;

  • ar yra visi reikalingi dokumentai;

  • ar įmonė tinkamai įgyvendina subjektų teises (pvz., teisę būti pamirštam);

  • kaip reaguojama į incidentus.


Auditas dažnai prasideda nuo dokumentų peržiūros, po to – darbuotojų apklausa, IT sistemų patikrinimas, silpnų vietų identifikavimas. Rekomenduojama auditus atlikti kas 1–2 metus.


Ką reikėtų žinoti apie baudas ir reputacijos riziką?


Pagal BDAR, baudos gali siekti iki 20 mln. eurų arba 4% metinės įmonės apyvartos. Nors realios baudos MVĮ dažniau siekia nuo kelių šimtų iki kelių tūkstančių eurų, reputacinė žala dažnai būna gerokai skaudesnė.


Lietuvoje jau yra atvejų, kai įmonės sulaukė baudų už BDAR pažeidimus, ir tai buvo viešai skelbiama žiniasklaidoje. Tai rodo, kad BDAR pažeidimai – ne tik teorinė rizika, bet reali praktika, galinti turėti ilgalaikių pasekmių jūsų reputacijai ir veiklai.


Kada verta kreiptis į teisininkus?


Teisininko pagalba ypač vertinga tuomet, kai nežinote, nuo ko pradėti – profesionalas gali įvertinti jūsų situaciją ir parengti konkretų veiksmų planą. Ji tampa būtina, jei jūsų įmonė naudoja sudėtingas IT sistemas, kuriose tvarkomi klientų ar darbuotojų duomenys, arba jei planuojate verslo plėtrą ar bendradarbiavimą su užsienio partneriais. Taip pat verta kreiptis į teisininkus, jei įvyko incidentas – pavyzdžiui, duomenų nutekėjimas ar sutarčių dėl duomenų tvarkymo pažeidimas, arba jei sulaukėte Valstybinės duomenų apsaugos inspekcijos paklausimo. Teisinė pagalba itin svarbi ir rengiant vidaus dokumentus, duomenų tvarkymo susitarimus su trečiosiomis šalimis bei konsultuojant darbuotojus dėl BDAR laikymosi.

 
 
 
DSC02191.jpg

Baltic Law

BalticLaw – jau dvidešimt metų veikianti advokatų kontora, teikianti pažangias ir efektyvias nacionalinės bei tarptautinės teisės paslaugas verslo įmonėms Baltijos šalyse.

Archyvas

bottom of page