Naujienos

Verslo laukia permainos, pareikalausiančios papildomų investicijų

internetine apskaitos programaKomentuoja UAB DINETA Produkto vystymo skyriaus vadovas Giedrius Židonis.

2018 metų gegužės mėnesį įsigalios Bendrasis duomenų apsaugos reglamentas (BDAR), kuris bus taikomas visoms Europos Sąjungos valstybėms. Todėl jau kitų metų gegužę Jūsų įmonę gali pasiekti kliento laiškas, kuriame, atsižvelgiant į BDAR 15 straipsnio nuostatas, bus prašoma pateikti tokią ar panašią informaciją: „1. Kokius mano asmens duomenis tvarkote ir kokia forma (el. paštas, DB, tel., vaizdo ir (ar) garso įrašai ir k. t.)? 2. Kaip dažnai darote ir kaip saugote mano duomenų atsargines kopijas? 3. Kokias technologijas ir kaip naudojate tam, kad nustatytumėte, ar mano duomenys nebuvo neteisėtai nutekinti?“ Ir tai tik maža dalis teisių, kurias įgis asmenys, įsigaliojus naujam reglamentui. Kol kas šios permainos gali atrodyti pakankamai tolimos, tačiau mąstyti apie jas svarbu jau dabar, nes dokumente išvardytų privalomųjų priemonių pritaikymas gali pareikalauti nemenkų išlaidų.

Pirmiausia, įsigaliojus šiam reglamentui, visos įmonės privalės užtikrinti asmens duomenų apsaugą, įsidiegdamos asmens duomenų tvarkymo procedūras – tai yra esminis reglamente nurodytas reikalavimas. Minėtos procedūros prasideda nuo įmonėje tvarkomų asmens duomenų sąrašo ir tvarkymo taisyklių sudarymo įmonėse, kurioms keliami mažesni reikalavimai, ir gali siekti asmens duomenų rizikos vertinimą, auditą bei duomenų apsaugos pareigūno paskyrimą įmonėse, kurioms taikomi aukštesni reikalavimai. Bet kuriuo atveju, šių minimalių priemonių nebuvimas įmonėje užtrauks įvairaus dydžio baudas.             

Be to, pasirūpinti, kad įmonėje būtų valdomi asmens duomenų tvarkymo procesai, neužteks. Baudos bus taikomos ir už asmens duomenų tvarkymo pažeidimus arba šių pažeidimų slėpimą nuo duomenų savininko. Taigi, norint užtikrinti tinkamą asmens duomenų valdymo procesą, įmonėms neišvengiamai bus reikalinga atitinkama programinė įranga, kuri automatizuotų šias procedūras ir leistų tinkamai tvarkyti duomenis bei nuimtų šias neišvengiamas laiko sąnaudas nuo įmonės darbuotojo pečių, kuriam, kitu atveju, tektų visa tai atlikti rankiniu būdu.

Pagaliau, bus svarbu užtikrinti ir kibernetinį asmens duomenų saugumą nuo išorės įsibrovimų, todėl bus reikalingi sprendimai, apsaugantys nuo kibernetinių atakų. Tokių programinės įrangos elementų neturėjimas gali būti laikomas nesirūpinimu tvarkomais asmens duomenimis, o už tai atitinkamai skiriamos baudos. Sumos už šiuos pažeidimus gali siekti iki 4 proc. metinės įmonės apyvartos arba iki 20 milijonų eurų, priklausomai nuo pažeidimų sunkumo.

Kiek tiksliai tai kainuos, dabar atsakyti sunku, nes kainą sudarys daug kintamųjų (įmonės dydis, veiklos pobūdis ir kt). Kaip ir minėta, įmonės, kurioms keliami aukšti reikalavimai dėl jautrių duomenų apie asmenis saugojimo (pvz.: kredito unijos, bankai, medicinos įstaigos ir pan.), privalės atlikti kur kas daugiau procesų, todėl jose pirmųjų metų išlaidos duomenų apsaugai gali šoktelti iki 64000–76000 eurų. Vien naujos duomenų apsaugos pareigūno darbo vietos sukūrimas turėtų kainuoti apie 2000–3000 eurų per mėnesį, t. y. 24000–36000 eurų per metus. Auditas, procesų sukūrimas, rizikos vertinimas – tai dar maždaug 20000 eurų, programinė įranga ir kiti IT sprendimai – apie 10000 eurų, o draudimas metams maždaug 10000 eurų. Vidutinei įmonei, kuriai nekeliami aukšti reikalavimai dėl veiklos pobūdžio, galbūt užteks vidinių resursų procesams susitvarkyti. Naudojantis IT sistemomis kaina siektų apie 10000 eurų, o užsisakius debesų technologijas siūlančių įmonių paslaugas, kai už įranga reikia mokėti tik mėnesinį mokestį, galimai pakaks vos 1000 eurų per metus.

Reaguoti į šiuos reglamento reikalavimus ir ruoštis pokyčiams privalės visi. Tai palies ne tik įmones, kurioms tokias sistemas teks įsidiegti, bet ir šias ar panašias sistemas kuriantį verslą.