„Noewe“ atitikties akademija. Asmens duomenų apsauga. Ar įmanoma sumažinti baudų riziką?
Pasaulyje pastaruoju nuskambėję pažeidimų atvejai asmens duomenų apsaugos srityje iliustravo, kad net ir viena klaida verslui gali kainuoti daug – tiek finansiškai, tiek sužlugdyto įvaizdžio prasme. Paaiškėjo, kad formalus ar dalinis asmens duomenų apsaugos reikalavimų įgyvendinimas neveikia. Baudas gauna tokios organizacijos kaip „Facebook“, „Google“ ir „Marriott“. Todėl ne vienam smulkesniam verslui kyla klausimas, kaip netapti dar viena aplaidumo auka ir ar įmanoma realiai sumažinti baudų riziką?
Praktikoje pastebima, kad vienas iš veiksmingiausių būdų – asmens duomenų apsaugos atitikties programos įgyvendinimas. Gera programa yra nuoseklus verslo taikomų priemonių rinkinys, kuris, pirmiausia, skirtas nustatyti rizikas, susijusias su asmens duomenų apsaugos reikalavimų pažeidimais. Taip pat svarbu šviesti bei instruktuoti darbuotojus, kad jie žinotų, kaip elgtis vienoje ar kitoje situacijoje, t. y. suteikti „atspirties taškus“ verslo sprendimų priėmimui. Kita svarbi atitikties programos dalis yra kontrolės ir skatinimo mechanizmų, užtikrinančių, kad būtų laikomasi minėtų reikalavimų, nustatymas.
Šiuo metu greičiausiai nerasime vienos asmens duomenų apsaugos reikalavimų atitikties programos, kuri tiktų visiems verslams be išimties. Suprantama, kad mažos kepyklėlės ir elektroninės parduotuvės, veikiančios keliose skirtingose valstybėse, tvarkomų asmens duomenų apimtis bei taikomi reikalavimai gali smarkiai skirtis. Todėl paprastai atitikties programos įgyvendinimui reikalingi veiksmai bei priemonės priklauso nuo konkretaus verslo specifikos, poreikių bei ateities planų. Vis dėlto kiekviena veiksminga atitikties programa turėtų būti diegiama ar tobulinama laikantis bent šių 3 pagrindinių principų:
Nusistatykite, kokia organizacija norite būti
Konkretaus verslo taikoma duomenų apsaugos strategija priklauso nuo įvairių aplinkybių, pavyzdžiui, organizacijos brandos lygio, turimo biudžeto, konkurentų veiksmų bei institucijų vykdomų tyrimų ar priimtų aktualių teismų sprendimų. Suprantama, kad veiklą pradedančio „startuolio“ tikslas gali būti suvaldyti tik pagrindines rizikas, kurios gali turėti įtakos jo veiklos tęstinumui, tačiau jo turimų resursų gali nepakakti įdiegti pačius pažangiausius techninius ir organizacinius asmens duomenų valdymo sprendimus. Tuo tarpu tokioms organizacijoms kaip bankai ir draudimo bendrovės, kurių veiklos pagrindą sudaro didelių apimčių asmens duomenų tvarkymas ir vartotojų keliami aukšti saugumo standartai, kiekvienas asmens duomenų apsaugos reikalavimų pažeidimas gali sukelti milžiniškų neigiamų pasekmių. Todėl jos turi siekti, kad būtų skrupulingai laikomasi visų teisės aktų reikalavimų ir veikloje pasitelkiamos pačios pažangiausios priemonės.
Įvertinkite esamą padėtį ir individualizuokite atitikties programą
Viena iš dažniausių klaidų diegiant atitikties programą – teisinių reikalavimų įgyvendinimas iki galo neįvertintinus su verslu susijusių aplinkybių. Kitaip tariant, atitikties programa turi būti individualizuota. Tam, kad galėtumėte tinkamai tai padaryti, reikia išsiaiškinti:
- Kokius duomenis verslas tvarko šiuo metu bei ketina tvarkyti ateityje, kodėl, kaip ir kur tai yra daroma;
- Į kokias taisykles be teisės aktų reikalavimų verslas privalo atsižvelgti (atskiroms verslo sritimis taikomi elgesio kodeksai, sutarčių su klientais, prekių/paslaugų teikėjais ar kitais partneriais sąlygos);
- Kokias vidines tvarkas, procedūras ir gaires organizacija turi šiuo metu ir ar jų laikomasi;
- Koks duomenų apsaugos reikalavimų supratimo lygis organizacijoje, ar darbuotojai yra išklausę mokymus;
- Kurie kolegos organizacijos viduje išmano duomenų apsaugos problematiką, o kurie gali priešintis naujų reikalavimų atsiradimui;
- Ar organizacijoje įgyvendinamos kitos atitikties programos (konkurencijos, pinigų plovimo prevencijos ir kt.).
Nustačius organizacijos esamą padėtį bei taikomus asmens duomenų apsaugos įsipareigojimus, reikia įvertinti pažeidimų atsiradimo tikimybę praktikoje. Tai apima daugybės aplinkybių, tokių kaip duomenų rūšis (darbuotojų ar klientų duomenys), kokio jautrumo tai duomenys, kas turi prieigą prie šių duomenų organizacijos viduje ir iš išorės, kokie taikomi saugumo procesai ir priemonės, ar anksčiau buvo pažeidimų. Tai padės nustatyti, koks gali būti galimų pažeidimų poveikio mastas, kokią riziką organizacija galėtų toleruoti ir kokių priemonių reikėtų imtis. Pavyzdžiui, nustačius, kad organizacijos elektroniniu paštu nuolat yra siunčiami ar gaunami dideli kiekiai asmens duomenų, dėl jų praradimo rizikos gali būti nuspręsta laiškus periodiškai trinti.
Įgyvendinkite konkrečias priemones
Įvertinus organizacijos tikslus bei suprantant veikloje galinčias atsirasti rizikas, galima pereiti prie atitikties programos įgyvendinimo:
- Parenkite taisykles, kuriose būtų pateikiami aiškūs nurodymai dėl asmens duomenų tvarkymo organizacijoje. Ne visos rizikos yra valdomos vienoda apimtimi ir tais pačiais būdais. Be to, organizacijos viduje gali būti taikomos ir kitos prevencinės priemonės (pinigų plovimo, konkurencijos teisės, mokesčių ir pan.), kurios gali nesutapti su asmens duomenų apsaugos reikalavimais. Todėl darbuotojams būtina žinoti, kokių taisyklių laikytis konkrečiose situacijose ir kaip nepasimesti tarp skirtingų reikalavimų.
- Paskirkite atsakingus asmenis. Dažnai pasitaiko, kad asmens duomenų apsaugos atitikties programų svarbiausi klausimai „pasiklysta“ tarp teisės, personalo, IT ir atitikties departamentų. Kiekviena organizacija atsakomybes gali paskirstyti skirtingai, tačiau svarbu, kad už kiekvieną užduotį atsakingas asmuo turėtų reikiamų žinių ir kompetencijų šiai užduočiai atlikti bei gebėtų suprasti ne tik taikomus teisinius reikalavimus, bet ir verslo poreikius.
- Į programos įgyvendinimą įtraukite vadovybę. Tinkama vadovų komunikacija parodo, kad asmens duomenų klausimas organizacijai yra svarbus ir skatina darbuotojų atsakingą požiūrį. Be to, vadovybės palaikymas sukuria sąlygas gauti tinkamus išteklius atitikties programos įgyvendinimui, t. y. reikalingą biudžetą, techninius resursus, personalą ir pan.
- Švieskite darbuotojus. Mokymai darbuotojams ir asmens duomenų apsaugos problematikos žinomumo didinimas yra viena iš svarbiausių ir efektyviausių priemonių, padedančių užkirsti žmogiškųjų klaidų grėsmę. Asmens duomenų apsaugos pažeidimai dažnai nutinka ne dėl techninių priemonių ar saugos sistemų trūkumų, o dėl darbuotojų veiksmų, kuriuos lemia paprasčiausias neišmanymas.
- Atlikite stebėseną ir kontrolę. Daug skirtingų veiksnių gali lemti pažeidimų atsiradimą. Reguliarūs auditai, įskaitant atsitiktinius bei neplaninius auditus, yra puiki priemonė įvertinti atitikties programos veikimą. Net ir geriausi anksčiau sukurti ir įdiegti procesai, vidinė dokumentacija bus bevertė, jeigu neatitiks dabartinių aktualijų ir reikalavimų.
- Nuolat atnaujinkite taikomas asmens duomenų pažeidimo prevencijos priemones ir metodus. Asmens duomenų apsaugos reikalavimų užtikrinimas yra tęstinis procesas. Todėl atitikties programa turėtų būti periodiškai peržiūrima ir reguliariai atnaujinama, keičiama atsižvelgiant į pastebėtus trūkumus bei pritaikoma prie naujų asmens duomenų tvarkymo reikalavimų.
Geroji tarptautinė praktika rodo, kad laikantis aukščiau aprašytų principų ir organizacijoje nuosekliai diegiant atitikties kultūrą, baudų riziką sumažinti tikrai įmanoma.
Siekdama pristatyti aktualiausias atitikties pareigūnų veiklos tendencijas ir norėdama padėti sustiprinti žinias, reikalingas užtikrinti efektyvius atitikties procesus versle, „Noewe“ kartu su „Verslo žiniomis“ organizuoja praktinius Atitikties akademijos mokymus, kurie vyks vasario 25, kovo 3, 10 ir 17 dienomis.
Mokymuose sužinosite:
- Atitikties pareigūno misija dabar ir vaidmuo ateityje;
- Naujas pranešėjų apsaugos reglamentavimas;
- Esminiai pinigų plovimo ir terorizmo finansavimo prevencijos (PPTF) sistemos elementai, padidintos PPTF rizikos atvejai bei schemos;
- Asmens duomenų apsaugos reikalavimų įgyvendinimas praktikoje ir pagrindiniai atitikties programos įgyvendinimo organizacijose principai;
- Konkurencijos teisės taisyklių turinys, atitikties programos svarba ir geroji jos įdiegimo praktika.
Registruotis kviečiame www.verslodirbtuves.vz.lt. Užklausas ir klausimus pranešėjams jau dabar galite siųsti el. paštu info@noewe.eu.
Plačiau: čia.