Institucijos

Ką turi žinoti programinės įrangos kūrėjai ir pirkėjai apie duomenų apsaugą?

Kas svarbu IT produktų kūrėjams?

Bendrasis duomenų apsaugos reglamentas yra aktualus ne tik tiems, kurie renka, saugo, sistemina ar atlieka kitus asmens duomenų tvarkymo veiksmus, bet ir tiems, kurie kuria programinę įrangą, įvairias aplikacijas, programėles (Kūrėjams). Duomenų apsauga tapo neatskiriama naujo produkto technologinės plėtros dalimi.

Kūrėjams neatsižvelgus į Bendrojo duomenų apsaugos reglamento nuostatas, kyla rizika, kad jų sukurta programinė įranga, aplikacija ar programėlė negalės būti naudojama rinkoje, kurioje taikomas minėtas teisės aktas.

Terminas „Pritaikytoji ir standartizuotoji duomenų apsauga“ yra tai, apie ką turi būti girdėjęs Kūrėjas.

Pritaikytoji duomenų apsauga reiškia, kad duomenų apsaugos priemonės turi būti įtrauktos ankstyviausiame produkto ar paslaugos kūrimo etape. Laikantis pritaikytosios duomenų apsaugos turi būti įgyvendintos tiek techninės ir organizacinės asmens duomenų saugumo priemonės, tiek ir būtinos apsaugos priemones, kad asmens duomenų apsaugos tvarkymas atitiktų Bendrojo duomenų apsaugos reikalavimus ir apsaugotų duomenų subjektų teises.

Kalbant apie asmens duomenų tvarkymą, sąvoka „standartizuotai“ taikoma sprendimams dėl konfigūracijos reikšmių ar duomenų tvarkymo parinkčių, kurios yra nustatytos ar numatytos duomenis tvarkančioje sistemoje, pvz., taikomojoje programinėje įrangoje, paslaugoje ar prietaise,  kuriuos naudojant daromas poveikis:

  • surinktų asmens duomenų kiekiui;
  • duomenų tvarkymo apimčiai;
  • duomenų saugojimo laikotarpiui ir prieinamumui.

Tai reiškia, kad sukurtas IT produktas standartizuotai turi leisti jį naudojančiai Įmonei (duomenų valdytojui) rinkti ne daugiau duomenų, nei būtina, netvarkyti surinktų duomenų didesne apimtimi, nei būtina jų tikslams pasiekti, ir nesaugoti duomenų ilgiau nei būtina. Taigi, kuriant IT produktą, kuriuo naudojimas neatsiejamas nuo asmens duomenų tvarkymo, pagrindinis reikalavimas –  užtikrinti, kad jį naudojant būtų standartizuotai taikoma duomenų apsauga.

Kūrėjai ypač turėtų atsižvelgti į reikalavimą suteikti specialią apsaugą vaikams. 2021 m. sausio mėnesį Italijos duomenų apsaugos institucija uždraudė video dalijimosi platformai TikTok rinkti ir naudoti tų naudotojų asmens duomenis, kurių amžiumi šios platformos valdytojas nėra tikras. Tokių veiksmų priežiūros institucija ėmėsi po to, kai 10 metų italė mergaitė mirė nuo uždusimo po to, kai minėtame socialiniame tinkle dalyvavo vadinamajame užtemimo iššūkyje (angl. Blackout Challenge).

Kūrėjas, siekdamas įvertinti, kiek jo kuriamas IT produktas pritaikytas standartizuotai duomenų apsaugai ir ar jis bus galimas naudoti rinkoje, turėtų atlikti Poveikio duomenų apsaugai vertinimą, nors tokia pareiga Bendrajame duomenų apsaugos reglamente numatyta asmeniui, tvarkančiam asmens duomenis.

Atkreiptinas dėmesys, kad Europos duomenų apsaugos valdyba 2020-10-20 Gairėse 4/2019 dėl 25 straipsnio Pritaikytosios ir standartizuotosios duomenų apsaugos ragina duomenų valdytojams, paskyrusiems duomenų apsaugos pareigūną, pasirūpinti, kad duomenų apsaugos pareigūnas aktyviai dalyvautų įtraukiant pritaikytosios ir standartizuotos duomenų apsaugos reikalavimus į viešųjų pirkimų ir kūrimo procedūras, taip pat visame duomenų tvarkymo cikle. Atsižvelgiant į tai, Kūrėjai neabejotinai turi siekti įrodyti, jog jų siūlomame duomenų tvarkymo sprendimo kūrimo cikle yra laikomasi minėtų reikalavimų. Šiam tikslui būtent ir galėtų pasitarnauti tiek atliktas Poveikio duomenų apsaugai vertinimas, tiek Duomenų tvarkymo operacijų sertifikatas.

Kas svarbu IT produktų pirkėjams?

Įmonės ketinančios įsigyti IT produktus, skirtus asmens duomenų tvarkymui, turėtų įsitikinti, kad jos galės jais naudotis ir jų naudojimui kelio nepastos šių produktų neatitikimas Bendrojo duomenų apsaugos reglamento reikalavimams.

Europos duomenų apsaugos valdyba rekomenduoja duomenų valdytojams reikalauti iš gamintojų įrodyti, kaip jų siūloma aparatinė įranga, programinė įranga, paslaugos, sistemos suteikia galimybę duomenų valdytojams laikytis atskaitomybės principo, pavyzdžiui, reikalauti Kūrėjų naudojant pagrindinius veiklos rezultatų rodiklius įrodyti priemonių ir apsaugos priemonių veiksmingumą įgyvendinant principus ir teises. Rekomenduotina teirautis Kūrėjų, ar turi duomenų tvarkymo operacijų sertifikatą, ar yra atlikę poveikio duomenų apsaugai vertinimą.

Naudojant trečiosios šalies programinę įrangą arba standartinę programinę įrangą, Įmonėms, tvarkančioms asmens duomenis, rekomenduojama atlikti produkto rizikos vertinimą, kad būtų išjungtos funkcijos, kurios neturi teisinio pagrindo arba yra nesuderinamos su numatytais asmens duomenų tvarkymo tikslais.

Įmonėms taip pat verta nusimatyti žalos atlyginimo nuostatas, jeigu įsigijus produktą, paaiškėtų, kad IT produktas neatitinka pritaikytosios ir standartizuotosios duomenų apsaugos reikalavimų ir dėl to Įmonė patyrė žalą.

Daiva Tamulionienė yra advokatų kontoros ILAW LEXTAL vyresnioji teisininkė, asmens duomenų apsaugos ekspertė

Back to top button