Pritaikytoji ir standartizuotoji duomenų apsauga: kas tai ir ką svarbu žinoti?
Bendrasis duomenų apsaugos reglamentas (BDAR) be visų kitų naujovių atnešė ir dvi sąvokas: pritaikytąją duomenų apsaugą (Privacy by Design) ir standartizuotąją duomenų apsaugą (Privacy by Default), kurioms skirtas BDAR 25 straipsnis. Kiekviena įmonė ar organizacija, besirūpinanti asmens duomenų atitiktimi, turėtų atkreipti tinkamą dėmesį ir į BDAR 25 straipsnio reikalavimus. Šių reikalavimų laikymasis yra privalomas visoms įmonėms ir organizacijoms, kurios renka ar kitaip tvarko asmens duomenis.
Svarbu paminėti, kad pritaikytoji ir standartizuotoji duomenų apsauga – tai dvi tos pačios monetos pusės, papildančios viena kitą: įmonė negali rinktis įgyvendinti tik kurį nors vieną iš šių reikalavimų.
Taigi, kas slepiasi po šiomis sąvokomis?
Pritaikytoji duomenų apsauga reiškia, jog įmonės ir organizacijos turi pasirūpinti, jog į duomenų apsaugos principus būtų atsižvelgta dar prieš pradedant tvarkyti asmens duomenis, apsvarstant šiam tikslui tinkamiausias technines ir organizacines priemones. Vėliau šių priemonių efektyvumas turi būti reguliariai peržiūrimas ir, jei reikia, priemonės atnaujinamos. Svarstant technines ir organizacines priemones į šį procesą rekomenduojama kuo anksčiau įtraukti ir duomenų apsaugos pareigūną ar kitą asmens duomenų apsaugos specialistą.
Svarbu tai, jog tinkamos ir veiksmingos techninės ir organizacinės priemonės privalo būti įdiegtos visos sistemos ar proceso gyvavimo ciklo metu. Šias priemones gali apimti tiek pažangūs techniniai sprendimai, tiek įprasti mokymai įmonės personalui duomenų apsaugos tematika. Pabrėžiame, jog čia nėra visoms įmonėms ir organizacijoms tinkančio sprendimo: šiuo atveju reikėtų įvertinti duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat pavojų fizinių asmenų teisėms ir laisvėms. Techninių priemonių pavyzdžiu galėtų būti tvarkomų duomenų pseudonimizavimas, kenkėjiškų programų aptikimo sistemos įdiegimas, organizacinių priemonių – vidinių tvarkų priėmimas, IT saugumo politika ir kita su duomenų apsauga susijusi dokumentacija.
Svarbu yra tai, kad visos šios priemonės privalo būti dokumentuotos, kadangi duomenų valdytojas yra įpareigotas įrodyti, jog duomenų tvarkymo veikla atitinka BDAR, įskaitant pasirinktų priemonių veiksmingumą. Daugiau apie taikomas priemones įgyvendinat pritaikytąją duomenų apsaugą taip pat galima rasti ENISA vadove „Privacy and Data Protection by Design – from policy to engineering“.
Kaip įvertinti taikomų priemonių veiksmingumą? Šiam tikslui Europos duomenų apsaugos valdyba (angl.. European Data Protection Board) siūlo nustatyti atitinkamus našumo rodiklius (KPI). Siūloma vertinti, pavyzdžiui, duomenų subjektų skundų skaičių, laiką, per kurį atsakyta duomenų subjektui ir pan. Apibendrinant, įgyvendinant pritaikytąją duomenų apsaugą ypatingas dėmesys yra skiriamas efektyvioms techninėms ir organizacinėms priemonėms, kurios turi būti apgalvotos ir pasirinktos dar prieš pradedant tvarkyti asmens duomenis. O vėliau šios priemonės turi būti peržiūrimos ir nuolat vertinamas jų efektyvumas.
Standartizuotoji duomenų apsauga
Iš pirmo žvilgsnio atrodytų, jog standartizuotoji duomenų apsauga (Privacy by Default) – vien IT sričiai aktuali sąvoka. Visgi, duomenų apsaugos kontekste ši sąvoka įgyja kiek kitokią prasmę. Šiuo atveju tai reiškia, jog įmonės ir organizacijos privalo pasirūpinti, kad asmens duomenys būtų tvarkomi užtikrinant aukščiausią duomenų apsaugos lygį. Siekiant tai užtikrinti turi būti vadovaujamasi BDAR principais, įtvirtintais 5 straipsnyje: tvarkomi tik būtiniausi asmens duomenys, nustatomas trumpas tokių duomenų saugojimo laikas bei ribojamas prieinamumas tam, kad su asmens duomenimis negalėtų susipažinti neribotas asmenų skaičius. Puikus pavyzdys –internetinė parduotuvė, reikalaujanti susikurti vartotojo profilį. Šiuo atveju jį kurianti įmonė turėtų nustatyti vartotojų profilių parametrus taip, kad būtų įgyvendinti visi aukščiau minimi principai.
Iliustravimui pateikiame situaciją, kai duomenų valdytojas siekia užtikrinti duomenų mažinimo principą, t.y. tvarkyti tik būtiniausius asmens duomenis. Knygynas nori padidinti savo pajamas parduodamas knygas internete. Knygyno savininkas nori nustatyti standartizuotą užsakymo formą. Kad klientai užpildytų visą informaciją, knygyno savininkas visus formos laukelius daro privalomus (jei užpildo ne visus laukelius, klientas negali pateikti užsakymo). Internetinės parduotuvės savininkas iš pradžių naudoja standartinę formą, skirtą naujiems kontaktams, kurioje prašoma pateikti tiek kliento gimimo datą, tiek telefono numerį ir namų adresą. Tačiau ne visi formos laukeliai yra būtini knygos įsigijimui ir pristatymui. Šiuo konkrečiu atveju, jei duomenų subjektas moka už prekę iš anksto, duomenų subjekto gimimo data ir telefono numeris nėra būtini norint užsakyti šią prekę. Tai reiškia, kad negalima reikalauti šios informacijos užsakymo formoje, nebent duomenų valdytojas paaiškina, dėl kokios priežasties šie laukeliai privalo būti užpildyti. Be to, yra situacijų, kai adresas nebus reikalingas. Pavyzdžiui, klientas užsako el. knygą ir prekę gali atsisiųsti tiesiai į savo įrenginį. Todėl internetinės parduotuvės savininkas nusprendžia sudaryti dvi internetines formas: vieną - knygų užsakymui, su laukeliu kliento adresui ir antrą - internetinę formą el. knygų užsakymui be laukelio, skirto kliento adresui nurodyti. Tokiu būdu bus užtikrintas duomenų mažinimo principas.
Svarbu pabrėžti, kad pritaikytoji ir standartizuotoji duomenų apsauga taikoma ne tik socialiniams tinklams, el. parduotuvėms, programinės įrangos kūrimui ar IT sistemoms, tačiau ir vidiniams įmonės projektams bei visoms kitoms sritims, kuriose naudojami asmens duomenys. Apibendrinant, nors šios sąvokos BDAR kontekste skamba naujai, jų turinys jau iš dalies pažįstamas. Galėtume teigti, jog pritaikytoji ir standartizuotoji duomenų apsauga – tai pagrindinių principų, nustatytų BDAR 5 straipsnyje ir techninių bei organizacinių priemonių jiems užtikrinti visuma. Šiuo atveju svarbu, jog įmonė ar organizacija atkreiptų dėmesį, kaip įgyvendinami BDAR 5 straipsnyje nurodyti principai ir įvertintų, ar techninės ir organizacinės priemonės yra efektyvios šiems principams užtikrinti. Galiausiai laikas nuo laiko šias priemones reikėtų peržiūrėti ir atnaujinti.
