Keistųsi darbuotojų teistumo tikrinimas
Didžiausias galimas pokytis šiemet Lietuvoje nuo pat BDAR įsigaliojimo 2018 metais – Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo pakeitimo projektas. Jei bus priimtas šis jau Seime užregistruotas įstatymo projektas, gerokai keisis sprendimų, priimtų atlikus tyrimą ar patikrinimą, išnagrinėjus skundą, viešinimo tvarka.
Dabar galima tikėtis, kad sprendimą priėmusi Valstybinė duomenų apsaugos inspekcija ne visada apie sprendimą paskelbs viešai ir atskleis duomenų valdytojo tapatybę, o su nauja tvarka atsiras reikalavimas viešinti visus priimtus sprendimus, kuriuose nustatomi teisės aktų pažeidimai. Tai reiškia, kad net ir santykinai lengvesni pažeidimai, už kuriuos neskiriamos reikšmingos sankcijos, turės poveikį pažeidimus padariusių įmonių reputacijai.
Dar svarbesnis pakeitimas – duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymas darbo santykių kontekste. Dabar duomenis apie darbuotojų (ar kandidatų) teistumą darbdaviams tvarkyti draudžiama, išskyrus atvejus, kai teisės aktais nustatyta tiesioginė pareiga. Pavyzdžiui, Azartinių lošimų įstatyme numatyta, kad aptarnaujantis personalas negali būti teistas už tam tikrus turtinius ir finansinius nusikaltimus, tad potencialus darbdavys gali reikalauti pažymos apie teistumą. Įsigaliojus įstatymo pakeitimams, darbdavys galėtų remtis teisėtu interesu ir tvarkyti duomenis apie teistumą net ir nesant tiesioginės įstatyme numatytos pareigos.
Asmens duomenų teisinės apsaugos įstatymo pakeitimo projekte numatyta ir daugiau reikšmingų pakeitimų: keičiamos skundų nagrinėjimo bei tyrimų ir (ar) patikrinimų atlikimo sąlygos ir procedūros, tikslinimas ryšys tarp įstatymo ir ES teisės aktų ir kt. Įstatymo pakeitimo tekstas keistas jau ne vieną kartą, o naujausia įstatymo pakeitimo projekto versija, registruota šių metų vasario 21 d., vėl susilaukė pastabų, todėl neaišku, kada (ir ar apskritai) bus priimti šie pakeitimai.
Pokyčiai – ir kitąmet
Daugiau su duomenų apsauga ir informacinių technologijų saugumu susijusių reikalavimų greičiausiai atsiras ir kitąmet. Reikšmingų pakeitimų kibernetinio saugumo srityje laukiama įsigaliojus antrąjai Tinklo ir informacinių sistemų saugumo direktyvai (TIS 2), pakeisiančiai dabartinį reguliavimą, kuris nebeužtikrina tinkamo kibernetinio saugumo. TIS 2 direktyva bus taikoma nuo kitų metų spalio 18 dienos. Nors dar neaišku, kaip ši jau priimta direktyva bus perkelta į nacionalinę teisę, tačiau ruoštis reikėtų jau dabar, nes naujasis reguliavimas bus taikomas platesniam subjektų ratui.
Perkėlus direktyvą į nacionalinę teisę ir pradėjus ją taikyti, kibernetinio saugumo pareigos bus taikomos svarbiuose ūkio sektoriuose veikiančioms vidutinėms įmonėms ir įmonėms, kurios viršija tam tikras ES lygmeniu nustatytas su įmonės dydžių susijusias ribas, pvz., 250 darbuotojų ribą. Taip pat, nepaisant įmonių dydžio, kibernetinio saugumo subjektais ir toliau laikomi viešųjų elektroninių ryšių tinklų ir (ar) paslaugų teikėjai, subjektai, teikiantys paslaugas, kurių sutrikimas gali turėti didelį poveikį visuomenės saugumui ar sveikatai, ir kiti.
Be to, išplėtus kibernetinio saugumo subjektų ratą, atsiras nemažai naujų ar išplėstų pareigų: TIS 2 apibrėžti esminiai ir svarbūs subjektai turės įdiegti rizikos analizės ir informacinių sistemų saugumo politikas, rūpintis tiekimo grandinės saugumu (pvz., užsakydami paslaugas, turės vertinti paslaugų teikėjų saugumo lygį), organizuoti kibernetinio saugumo mokymus ir t. t. Įmonės, siekdamos užtikrinti atitiktį TIS 2 reikalavimams, tikėtina, susidurs su išaugusiomis informacinių technologijų paslaugų ir kitomis susijusiomis išlaidomis.
Su nekantrumu laukiama ir naujojo Reglamento dėl privatumo ir elektroninių ryšių, vadinamojo ePrivatumo reglamento, kuris pakeis dabar galiojančią ePrivatumo direktyvą. Naujasis reguliavimas skirtas užtikrinti, kad ES teisės aktai neatsiliktų nuo spartaus informacinėmis technologijomis grindžiamų paslaugų plėtojimo. Į naujų taisyklių taikymo sritį pateks netradicinės elektroninių ryšių paslaugos, pavyzdžiui „WhatsApp“, „Facebook Messenger“ ir „Skype“. Veiklos sąlygas ES lygmeniu suvienodinsianti direktyva taip pat įves elektroninio pašto brukalų, tiesioginės rinkodaros bei nepageidaujamos komunikacijos draudimą, užtikrins efektyvesnę teisės aktų laikymosi priežiūrą, detalizuos privatumo sąlygas naudojant ryšių duomenis ir metaduomenis. ePrivatumo reglamentas atneš ir verslo sąlygas lengvinančių pakeitimų: numatoma, jog telekomunikacijų operatoriai turės daugiau galimybių teikti papildomas paslaugas ir plėtoti savo verslą, o kitus verslus labiausiai turėtų džiuginti paprastesnės taisyklės dėl slapukų.
Deja, ePrivatumo reglamentas dar nepriimtas ir artimiausiu metu šio teisės akto laukti nereikėtų. Teisės akto taikymas laukiamas 2025 m. ar net vėliau.
Milijoninės baudos – jau greitai ir Lietuvoje?
Už privatumo taisyklių nesilaikymą numatytos milijoninės baudos. Kad į tai žiūrima vis rimčiau, rodo dabartinė situacija: per trejus metus nuo BDAR įsigaliojimo skirta santykinai nedaug – 300 mln. eurų – baudų. Tuo tarpu per pastaruosius dvejus metus bendras baudų dydis drastiškai išaugo ir šiuo metu siekia beveik 3 mlrd. eurų. Šis rodiklis vien per praėjusius metus išaugo beveik milijardu, prie ko didžiąja dalimi prisidėjo tai, jog už duomenų apsaugos reikalavimų nesilaikymą buvo nubausta „Meta“, valdanti tokius produktus kaip „Facebook“, „Facebook Messenger“, „Instagram“ ir „WhatsApp“. Už nepilnamečių privatumo pažeidimus, duomenų praradimus ir netinkamas procedūras reaguojant į pažeidimus Airijos duomenų apsaugos priežiūros institucija „Meta“ nubaudė šimtamilijoninėmis baudomis. Viena iš paskirtų baudų siekė net 405 mln. eurų, ir tai yra antra didžiausia už BDAR pažeidimus iki šiol skirta bauda. Matomos aiškios tendencijos, jog, nors nuo BDAR įsigaliojimo reikšmingai nesikeičia baudų skyrimo tempas, tačiau dramatiškai auga jų dydis.
Daugiausia dėmesio verslui reikėtų atkreipti į bendrųjų duomenų apsaugos principų laikymąsi, tinkamo teisinio duomenų tvarkymo pagrindo nustatymą, tinkamų techninių ir organizacinių saugumo priemonių įdiegimą ir duomenų subjektų informavimą. Beveik visos baudos yra skiriamos būtent už šių pareigų nesilaikymą ir su šiais reikalavimais susijusius pažeidimus.
Tiesa, Lietuvoje kol kas ramiau: pernai vienai informacinių technologijų bendrovei dėl nesugebėjimo užtikrinti nuolatinio duomenų tvarkymo sistemų ir paslaugų konfidencialumo bei vientisumo buvo skirta 35 tūkstančių eurų siekianti bauda. Tuo metu vienas Lietuvoje veikiantis sporto klubas dėl neteisėto klientų biometrinių duomenų tvarkymo sulaukė 6 tūkstančių eurų baudos.
Nors Lietuvoje baudos santykinai nedidelės, padėtis gali drastiškai pasikeisti. Didesnes baudas Lietuvoje gali lemti tendencijos visoje ES, įskaitant griežtėjantį požiūrį į privatumo apsaugą. Kita vertus, auga ir visuomenės informuotumas apie jų turimas privatumo teises bei asmenų pasirengimas šias teises ginti. Valstybinės duomenų apsaugos inspekcijos duomenimis, Lietuvoje 2021 m. skundus dėl duomenų apsaugos pažeidimų būtų teikę 19 procentų respondentų, o pernai – jau 24 procentai. Bendrovės, kurios vis dar neužtikrina tinkamos privatumo apsaugos, turėtų suskubti, nes europiniai pavyzdžiai ir besikeičiantis visuomenės požiūris gali auginti ne tik baudų kiekį, bet ir už atsainų duomenų tvarkymą skiriamų baudų dydį, o tai gali brangiai kainuoti.