Bendrasis duomenų apsaugos reglamentas (BDAR): Kas tai yra ir kaip jis veikia?

Bendrasis duomenų apsaugos reglamentas (BDAR), arba angliškai General Data Protection Regulation (GDPR), yra ES priimtas reglamentas, skirtas apsaugoti Europos Sąjungos piliečių asmens duomenis. BDAR buvo patvirtintas 2016 m. balandžio mėn. ir įsigaliojo 2018 m. gegužės 25 d. Šis reglamentas pakeitė 1995 m. Duomenų apsaugos direktyvą ir tapo visoje ES tiesiogiai taikomu teisės aktu, skirtu suvienodinti asmens duomenų apsaugos standartus visose valstybėse narėse.

BDAR Tikslai

BDAR siekia kelių pagrindinių tikslų:

1. Stipresnė duomenų apsauga: Suteikti ES piliečiams daugiau kontrolės savo asmens duomenų atžvilgiu.
2. Vienodas reglamentavimas: Sukurti vienodą teisės aktų sistemą, kuri palengvintų verslui veiklą visoje ES.
3. Duomenų perdavimo reguliavimas: Užtikrinti, kad ES piliečių duomenys būtų apsaugoti, net jei jie perduodami už ES ribų.

Pagrindinės BDAR Nuostatos

BDAR nustato keletą svarbių nuostatų, kurios turi būti laikomasi visose organizacijose, tvarkančiose ES piliečių asmens duomenis:

1. Duomenų subjekto teisės: BDAR sustiprina asmenų teises jų asmens duomenų atžvilgiu, įskaitant teisę susipažinti su duomenimis, teisę ištaisyti netikslius duomenis, teisę ištrinti duomenis („teisė būti pamirštam“), teisę riboti duomenų tvarkymą, teisę į duomenų perkeliamumą ir teisę prieštarauti duomenų tvarkymui.
2. Duomenų apsaugos principai: organizacijos turi laikytis pagrindinių duomenų apsaugos principų: teisėtumo, sąžiningumo ir skaidrumo; tikslumo ribojimo; duomenų kiekio mažinimo; tikslumo; saugojimo ribojimo ir vientisumo bei konfidencialumo.
3. Sutikimas: duomenų subjekto sutikimas turi būti aiškus, informuotas ir nedviprasmiškas. Organizacijos privalo įrodyti, kad gavo sutikimą duomenų tvarkymui.
4. Ataskaitų teikimas apie pažeidimus: duomenų valdytojai privalo pranešti priežiūros institucijai apie asmens duomenų saugumo pažeidimus per 72 valandas nuo jų nustatymo, jei yra rizika asmens teisėms ir laisvėms.
5. Privatumo politika pagal projektą ir pagal numatytąjį: organizacijos turi užtikrinti duomenų apsaugą nuo pat pradžių projektuojant sistemas ir numatyti aukščiausią apsaugos lygį kaip standartą.
6. Duomenų apsaugos pareigūnai: kai kuriais atvejais organizacijos turi paskirti duomenų apsaugos pareigūną (DPO), kuris būtų atsakingas už BDAR laikymąsi.

Siektina BDAR įgyvendinimo nauda įmonėms

Nepaisant didžiulių reikalavimų, kuriuos BDAR kelia organizacijoms, šio reglamento įgyvendinimas turi daug privalumų:

1. Vartotojų pasitikėjimo didinimas: stipri duomenų apsauga padeda didinti vartotojų pasitikėjimą įmonėmis ir jų teikiamomis paslaugomis.
2. Vienoda taisyklių sistema: sieninga duomenų apsaugos sistema visoje ES supaprastina įmonių veiklą ir mažina administracines išlaidas.
3. Rinkos galimybių didinimas: aukšti duomenų apsaugos standartai gali tapti konkurenciniu pranašumu, ypač pasaulinėje rinkoje.

Sunkumai įgyvendinant BDAR

Nors BDAR siekia apsaugoti vartotojų teises, kai kurios įmonės susiduria su sunkumais įgyvendinant šio reglamento reikalavimus. Didelės baudos už nesilaikymą (iki 20 milijonų eurų arba 4% metinės pasaulinės apyvartos) kelia didelį spaudimą įmonėms. Be to, reglamento sudėtingumas reikalauja didelių investicijų į teisinių ir IT specialistų paslaugas.

Siekiant palengvinti BDAR atitiktį, interneto svetainės, e-komercijos projektai ir kiti internetiniai leidiniai gali pasinaudoti taip vadinamomis privatumo valdymo platformomis (angl. CMP), kurios automatiškai apjungia šimtus reklamos, analitikos, duomenų segmentavimo ir kitų platformų, kad vartotojui būtų kuo paprasčiau suteikti, valdyti arba atšaukti savo privatumo leidimus, slapukų naudojimą ir panašiai. Vienas iš tokių CMP platformos pavydžių yra sukurtas kompanijos Setupad. Šį įrankį gali naudoti interneto naujienų portalai, blogeriai ir bet kurie kiti portalai, kuriems svarbu suteikti galimybę vartotojams valdyti savo privatumo nustatymus.

CMP platformų veikimo taisykles, techninius reikalavimus ir veikimo principus nustato ir aprašo IAB (angl. Interactive Advertising Bureau) – organizija kuriant ir nustatanti interneto rinkos standartus ir gerąsias praktikas. IAB sukurtas šablonas arba sistema (angl. framework), skirta CMP veikimui įgyvendinti vadinama TCF (angl. Transparency & Consent Framework).