Duomenų privatumo kaina: žvilgsnis į BDAR baudas ir taisyklių nesilaikymo sąnaudos
Laikraščių antraštėse
Šiomis dienomis istorijos apie rimtus duomenų saugumo pažeidimus – jokia ne naujiena, vis tik į pranešimus apie tai, kad 2019 m. liepą didelei bendrovei įvykdžius pažeidimą, atskleista daugiau nei 100 mln. klientų asmeniniai duomenys, buvo atkreiptas didelis dėmesys. Daugumos tokių istorijų esmė – susirūpinimas klientų privatumu bei finansiniu poveikiu nuo saugumo pažeidimų nukentėjusioms organizacijoms ir įtaka jų prekės ženklui. Be viso to, dėl šių įvykių gali būti paskirtos naujuosiuose duomenų privatumo nuostatuose numatytos baudos.
Geriausiai žinomas – Europos Sąjungos bendrasis duomenų apsaugos reglamentas (BDAR). Jungtinėse Valstijose 2020 m. sausio 1 d. įsigaliosiančiu Kalifornijos vartotojų privatumo įstatymu bus įtvirtintas nuosavas, į BDAR panašus reglamentas dėl asmens duomenų, kuriuos renka ir naudoja bendrovės.
Dažnai neatsižvelgiama į tai, kad privatumo nuostatų laikymasis gali sukurti bendrovėms naujų galimybių. „Nuostatų laikymasis gali sustiprinti ryšius su klientais“, – pažymi Vanessa Leemans, „Aon“ „Cyber Solutions EMEA“ komercijos direktorė. „Visuomenės nuomonė apie duomenų privatumą keičiasi, ir klientai skiria vis didesnį dėmesį tam, kaip organizacijos saugo jų asmens duomenis. Organizacijos, pasinaudodamos nuostatais, gali parodyti, kiek jos vertina savo klientus.“
Kodėl tai svarbu?
BDAR nustato griežtus asmens duomenų rinkimo, naudojimo, valdymo, apsaugos ir dalijimosi standartus bendrovėms. Baudos už reglamento pažeidimą gali svyruoti nuo 20 mln. EUR (22,5 mln. JAV dol.) iki 4 proc. visų metinių grupės pajamų (pagal tai, kuri suma didesnė).
Visoms bendrovėms, kurios siūlo prekes ir paslaugas Europos gyventojams (arba, kitaip tariant, renka jų asmens duomenis), netgi už ES ribų veikiančioms organizacijoms, reikės laikytis BDAR. Visų pirma, reglamente reikalaujama, kad organizacijos įrodytų, jog laikosi reglamento ir suteikia asmenims keletą su jų duomenimis susijusių teisių, įskaitant teisę, kad jų duomenys būtų panaikinti.
ES privatumo nuostatuose taip pat reikalaujama, kad organizacijos apsvarstytų privatumo rizikas kuriant naujus produktus ar paslaugas, visų pirma siekiant užtikrinti, kad būtų renkama, naudojama ir saugoma kuo mažiau asmens duomenų. Be to, per 72 valandas nuo bet kokio duomenų saugumo pažeidimo, kuriuo keliama grėsmė asmenų duomenims, organizacijos privalo informuoti priežiūros institucijas.
Įsigaliojęs 2018 m. gegužę, įstatymas paskatino paskirtąsias reguliavimo institucijas bausti bendroves už pažeidimus, kai kurias – šimtais milijonų.
Pavyzdžiui, 2019 m. liepą JK informacijos komisaro biuras paskelbė du pranešimus apie ketinimą skirti baudas: 183 mln. svarų sterlingų (222 mln. JAV dol.) oro linijų bendrovei ir 99 mln. svarų sterlingų (120 mln. JAV dol.) tarptautiniam viešbučių tinklui.
Pagal BDAR baudos ir kitos reguliavimo priemonės neapsiriboja duomenų saugumo pažeidimais: bendrovėms skirtos baudos už netinkamus pranešimus dėl privatumo arba sutikimo ir duomenų rinkimo mechanizmų trūkumus.
Suprantama, didelės baudos už netinkamą vartotojų duomenų tvarkymą patraukė daugumos bendrovių valdybų dėmesį. Pavyzdžiui, tuo pačiu metu, kai buvo paskelbta apie BDAR baudas, JAV federalinė prekybos komisija skyrė 5 mlrd. JAV dol. administracinę baudą socialinės žiniasklaidos bendrovei.
Kas toliau?
Organizacijos turi ne tik laikytis nuostatų, bet ir aktyviai stengtis juos įgyvendinti šiomis priemonėmis:
- dažnai atlikti saugumo auditus, kurie padėtų apibrėžti turimų asmens duomenų apsaugą;
- rengti planus, skirtus užtikrinti nuolatinę stebėseną ir pastangas laikytis duomenų saugumo nuostatų;
- užtikrinti, kad jų ryšiai su trečiosios šalies duomenų tvarkytojais bent minimaliai atitiktų BDAR standartus;
- reagavimo į incidentus planuose įrašyti pranešimų apie duomenų saugumo pažeidimus tvarką bei įtraukti visas atitinkamas suinteresuotąsias šalis.
„Nors BDAR daro teigiamą įtaką ES piliečių privatumui, vis dar esama susirūpinimo dėl finansinio poveikio organizacijoms“, – teigia Onno Janssen, „Aon“ „Risk Consulting and Cyber Solutions EMEA“ generalinis direktorius. „Reikės nuolatinių pastangų BDAR daromo poveikio valdymui. Organizacijos gali apsisaugoti pačios, visos bendrovės mastu taikydamos strategiją, padedančią įgyti kibernetinį atsparumą ir patenkinti savo klientų ir akcininkų lūkesčius“.