2018 m. gegužės 25 dieną įsigaliojo 2016 m. balandžio 27 dienos Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB, kitaip žinomas kaip Bendrasis duomenų apsaugos reglamentas (angl. General data protection regulation, trump. GDPR) (toliau – BDAR). BDAR – tiesioginio taikymo teisės akto Europos Sąjungoje įsigaliojimas lėmė plačios apimties asmens duomenų apsaugos reformą Europos Sąjungoje ir organizacijų poreikį iš esmės peržiūrėti savo asmens duomenų apsaugos ir jų tvarkymo procesus, adaptuoti ir transformuoti savo veiklą, siekiant užtikrinti valdomų asmens duomenų saugumą bei duomenų subjektų teisių įgyvendinimą.
Pagrindinis BDAR objektas – automatizuotomis priemonės tvarkomi asmens duomenys. BDAR nustato itin griežtus ir detalius reikalavimus asmens duomenų tvarkymui skaitmeniniu būdu, pasitelkiant kompiuterinę bei programinę įrangą, tame tarpe ir informacines / verslo valdymo sistemas. Tokie reikalavimai susiję ne tik su skaitmeninių duomenų tvarkymo priemonių fizine, technine ir organizacine apsauga, tačiau taip pat ir su duomenų subjektų teisių įgyvendinimu – BDAR nustato kur kas platesnes duomenų subjektų teises, suteikiančias galimybę efektyviau valdyti organizacijų atliekamus jų asmens duomenų tvarkymo veiksmus, o taip pat ir imperatyvius principus – duomenų kiekio mažinimo, proporcingumo ir kt., kurių organizacijos privalo laikytis.
Organizacijos jau dabar susiduria su problemomis įgyvendinant duomenų subjektų teises. Visuomenė yra gerai informuota apie BDAR, todėl duomenų subjektai aktyviai naudojasi savo naujosiomis teisėmis. Organizacijos gauna vis daugiau prašymų, o duomenų subjektų kreipimosi su prašymais tendencija tik didėja. Siekdamos įgyvendinti kompleksiškas duomenų subjektų teises, suvaldyti duomenų subjektų prašymų vykdymo eigą, organizacijos investuoja didelius žmogiškuosius resursus, ko pasekoje organizacijos personalas yra atitraukiamas nuo pagrindinių savo funkcijų vykdymo (BDAR numato, kad duomenų subjektų prašymai turėtų būti įgyvendinti nepagrįstai nedelsiant, tačiau ne vėliau kaip per 30 dienų terminą).
Tinkamas, efektyvus, operatyvus ir mažai personalo resursų reikalaujantis duomenų subjektų teisių įgyvendinimas yra rimtas iššūkis daugeliui organizacijų, tame tarpe net ir toms, kurios jau dabar yra automatizavusios savo ūkinę komercinę veiklą ir naudoja informacines / verslo valdymo sistemas.
OIXIO išskyrė dažniausiai pasitaikančias problemas, su kuriomis organizacijos susiduria įsigaliojus BDAR:
- Organizacijos neturi įrankių, kurie leistų objektyviai, efektyviai ir operatyviai įvertinti tvarkomų duomenų apimties. Dažnu atveju organizacijos tvarkomų duomenų auditą atlieka formaliai, t. y. įvertina savo veiklos procesus ir hipotetiškai nustato galimai tvarkomų duomenų kategorijas, tačiau visiškai neįvertina kokie realūs duomenys yra saugomi atitinkamose sistemose ir duomenų bazėse. Dėl šios priežasties organizacijos ne tik negali tinkamai atlikti tvarkomų duomenų audito, bet taip pat ir tinkamai vesti duomenų tvarkymo veiklos įrašų.
- Duomenų subjektas su savo duomenimis gali būti supažindinimas tik organizacijos darbuotojams atlikus to asmens duomenų paiešką rankiniu būdu skirtingose programinės įrangos aplinkose ir sistemose (net ir tuo atveju, jei duomenų subjektas prašo susipažinti su duomenimis pakartotinai, organizacija siekdama įvertinti ar nepasikeitė tvarkomų asmens duomenų apimtis, duomenų paiešką privalo atlikti pakartotinai rankiniu būdu);
- Duomenų subjektui paprašius duomenis ištaisyti, ištrinti ar apriboti jų tvarkymą, organizacijai tenka ne tik rankiniu būdu tokius duomenis rasti bei pateikti jų ataskaitą, tačiau taip pat juos rankiniu būdu ištrinti, ištaisyti bei apriboti jų tvarkymą;
- Gavus prašymą perkelti duomenų subjekto duomenis kitam duomenų valdytojui, organizacijoms tenka atitinkamus duomenis surinkti rankiniu būdu, suformuoti įprastai naudojamą ir kompiuterio skaitomą formatą, kad kitas duomenų valdytojas perkeliamus duomenis galėtų panaudoti taip pat efektyviai, kaip ir pati organizacija;
- Įgyvendinant duomenų subjektų prašymus – rankiniu būdu ieškant, pildant, trinant ir perkeliant duomenis organizacijos patiria neproporcingas personalo darbo laiko sąnaudas, personalas atitraukiamas nuo savo pagrindinių darbo funkcijų, krenta darbuotojų darbo efektyvumas, mažėja darbuotojų pasitenkinimas darbo sąlygomis;
- Egzistuoja žmogiškosios klaidos rizika – atsakingiems asmenims prašymus vykdant rankiniu būdu, egzistuoja rizika, kad duomenų subjektas nebus informuotas apie atitinkamų jo duomenų tvarkymą, t. y. tam tikri duomenys per klaidą nebus įtraukti į asmens duomenų ataskaitą;
- Vykdant duomenų subjektų prašymus rankiniu būdu, egzistuoja rizika, kad bus pateikti ne to duomenų subjekto duomenys arba atitinkami veiksmai atlikti ne su to duomenų subjekto duomenimis (pvz. bus ištrinti ne to duomenų subjekto asmens duomenys) arba duomenų subjektai bus pateikti kito asmens duomenys, taip pažeistas ne tik BDAR, bet ir konfidencialumo įsipareigojimai;
- Chaotiškas prašymų vykdymo procesas, „pasimetantys“ prašymai – organizacija neturi galimybės efektyviai dokumentuoti prašymų pateikimo fakto, pateiktų prašymų kiekio (po galėtų apmokestinti pakartotinus prašymus), pateikti įrodymus priežiūros institucijoms ar teismui apie prašymų vykdymo eigą.
Visa tai gali lemti eilę neigiamų pasekmių organizacijai, pradedant personalo nepasitenkinimu, baigiant duomenų subjektų skundais ir Valstybinės duomenų apsaugos inspekcijos taikomomis sankcijomis. Siekiant užtikrinti atitiktį BDAR reikalavimams ir išvengti neproporcingų sąnaudų organizacijoms reikalingas patogus ir paprastas naudoti įrankis, kuris gali būti patikėtas už asmens duomenų apsaugą atsakingam personalui bei administracijai.
Siekdami padėti organizacijoms prisitaikyti naujiesiems reikalavimams, sukūrėme BDAR sprendimą Microsoft Dynamics Business Central (ankščiau Navision, NAV) sistemoms, kuris padengia pirmąją pasiruošimo veiksmų grupę – padeda optimizuoti ir automatizuoti duomenų subjektų teisių įgyvendinimą ir pademonstruoti Jūsų organizacijos atitiktį BDAR.
OIXIO BDAR sprendimas Business Central sistemoje padės ne tik valdyti duomenų subjektų prašymų vykdymo procesą, užtikrinti BDAR numatytą atskaitomybės principo įgyvendinimą, tačiau taip pat padės pademonstruoti organizacijos atitiktį BDAR, pastangas efektyvinti ir skaidrinti duomenų tvarkymo procedūras.
OIXIO BDAR sprendimas Business Central sistemoje apima šiuos funkcionalumus:
- Asmens duomenų paieška. Šis įrankis leidžia išfiltruoti Microsoft Dynamics Business Central sistemoje/duomenų bazėje esančius asmens duomenis, iš kurių gali būti suformuojamos asmens duomenų ataskaitos *.xml formatu. Atsakingas asmuo turi galimybę pasirinkti kokiose sistemos lentelėse bei laukuose ieškoti atitinkamo duomenų subjekto asmens duomenų.
Šis įrankis leidžia organizacijai efektyviai, paprastai ir be žmogiškųjų klaidų rizikos atlikti Microsoft Dynamics Business Central duomenų bazėje esančių asmens duomenų paiešką automatizuotai. - Asmens duomenų ataskaitų generavimas. Atlikus atitinkamo asmens paiešką ir išfiltravus jo duomenis, atsakingas asmuo gali suformuoti asmens duomenų ataskaitą, o taip pat pasirinkti kokie laukai, duomenys bus įtraukti į *.xml formato ataskaitą, iš anksto nustatyti kokie duomenys bus išfiltruojami ir perkeliami į *.xml ataskaitą. Šis sprendimas leidžia ataskaitos formavimo metu suformuoti tokių duomenų ataskaitą, su kokiais susipažinti prašo pats duomenų subjektas. Pvz. tam tikrais atvejais duomenų subjektas gali prašyti susipažinti tik su jo kontaktiniais duomenimis arba duomenis, kurie buvo perduoti tretiesiems asmenims, o kitais atvejais gali reikėti pateikti ir duomenis apie jo įsigytas prekes ar paslaugas. Atitinkamus nustatymus gali atlikti sistemos administratorius konfigūruodamas BDAR funkcionalumą, pvz. įsigaliojus naujoms teisės aktų redakcijoms, Valstybinės duomenų inspekcijos reikalavimams ar rekomendacijoms.
Asmens duomenų ataskaitų formavimo įrankis leidžia patogiai automatizuotai suformuoti duomenų ataskaitas ir jas pateikti BDAR reikalaujamu formatu. - Duomenų subjektų užklausų registras. Sprendimas leidžia fiksuoti koks duomenų subjektas dėl asmens duomenų tvarkymo ar duomenų subjekto teisių įgyvendinimo ir kada toks kreipimasis buvo pateiktas. Atsakingas organizacijos asmuo, naudodamasis šiuo funkcionalumu registruoja gautas užklausas į BDAR užklausų registrą, gali stebėti pateiktų užklausų istoriją, nustatyti per kiek laiko buvo įvykdytas duomenų subjekto prašymas (pvz. pateikti ataskaitą Valstybinei duomenų apsaugos inspekcijai). Duomenų subjektų užklausų registras veikia kaip platforma asmens duomenų paieškai ir ataskaitų generavimui. Iš atitinkamos užklausos gali būti vykdoma atitinkamo duomenų subjekto duomenų paieška ir formuojama ataskaita *.xml formatu.
Registras užtikrina BDAR atskaitomybės principo įgyvendinimą ir pademonstruoja organizacijos pastangas užtikrinti efektyvų ir savalaikį duomenų subjektų teisių įgyvendinimą. Registras taip pat gali padėti vykdyti nuolatinę asmens duomenų tvarkymo apimties stebėseną.
Atitinkamai tokie BDAR sprendimo funkcionalumai padeda organizacijai (t. y. jos įgaliotiems ir už asmens duomenų apsaugą atsakingiems asmenims):
Pirma, atlikti veiksmus susijusius su Asmens duomenų subjektų teisių įgyvendinimu, t. y. OIXIO BDAR sprendimas leidžia patogiai ir efektyviai įgyvendinti duomenų subjektų teises ir taip užtikrinti atitiktį BDAR:
- Teisė susipažinti su asmens duomenimis. BDAR funkcionalumas apima duomenų subjektų užklausų ir prašymų registrą. Šis sprendimas leidžia atsakingiems asmenims efektyviau valdyti prašymų vykdymą ir pateikti priežiūros institucijų reikalaujamą informaciją apie prašymų vykdymo eigą, pateiktų duomenų ataskaitas (kokie duomenys ir kada buvo pateikti) ir kt.
- Teisė į duomenų perkeliamumą. Sprendimas leidžia paieškos metu rastus duomenis išsaugoti *.xml formatu, taip, kaip to reikalauja BDAR – įprastu, sąveikiu ir kompiuterio skaitomu formatu (žr. BDAR 68 preambulės punktą, 20 str. 1 p., 29 str. duomenų apsaugos darbo grupės rekomendacijos dėl teisės į duomenų perkeliamumą). Organizacija operatyviai ir per trumpą laiko tarpą, nenaudojant neproporcingus žmogiškuosius resursus, gali atlikti duomenų perkėlimą kitam duomenų valdytojui ar pačiam duomenų subjektui.
- Teisė „būti pamirštam“ ir teisė reikalauti ištaisyti duomenis. Pasinaudojus BDAR sprendimo paieškos įrankiu atsakingas asmuo gali identifikuoti kuriose lentelėse ir laukuose yra tam tikri asmens duomenys, juos pataisyti, ištrinti ar atlikti kitus reikiamus pakeitimus (jei tai leidžia sistema – jei tokių duomenų modifikavimas neįtakotų sistemos vientisumo). OIXIO BDAR sprendimas taip pat leidžia sukurti atitinkamus duomenų nuasmeninimo šablonus ir nuasmeninti duomenų bazėje esančius duomenis, t. y. juos konvertuoti į atitinkamą simbolių kodą. Šis sprendimas ypač aktualus tuomet, kai organizacija neturi techninės galimybės ištrinti atitinkamus asmens duomenis.
Antra, OIXIO BDAR sprendimas Business Central sistemoje taip pat pasitarnaus vykdant ir kitas Jūsų organizacijos, kaip duomenų valdytojo pareigas:
- Duomenų tvarkymo veiklos įrašų pildymas. BDAR numato, kad duomenų valdytojas privalo tvarkyti duomenų tvarkymo veiklos, už kurią jis yra atsakingas. Panaudojant BDAR sprendimo paieškos įrankį, organizacijos atsakingi asmenys reguliariai gali peržiūrėti kokie duomenys yra tvarkomi ir ar nėra poreikio atnaujinti duomenų tvarkymo veiklos įrašų (ar nepasikeitė asmens duomenų apimtys, jų kategorijos ir jų tvarkymo tikslai, identifikavus duomenų apimtis, vertinti ar tokie duomenys tvarkomi teisėtai).
- Duomenų tvarkymo teisėtumo vertinimo įrankis – BDAR atitikties užtikrinimas yra tęstinis procesas, net ir tuo atveju jei Jūsų organizacija mano esanti užtikrinus atitiktį, yra pasirengimo etape ar planuoja pradėti pasirengimą, pasinaudojant BDAR sprendimu galite įvertinti ar atitinkami Jūsų tvarkomi duomenys Jums reikalingi, ar juos tvarkote teisėtu pagrindu, ar Jums nereikia gauti atitinkamo duomenų subjekto sutikimo, taip įgyvendinant BDAR duomenų tvarkymo principus (žr. BDAR 5 str.);
Atkreiptinas dėmesys, kad Valstybinei duomenų apsaugos inspekcijai atliekant planinį organizacijos patikrinimą, pradėjus tyrimą pagal atitinkamą skundą arba įvykus duomenų apsaugos pažeidimui, inspekcija vertina organizacijos pastangas atitikti BDAR reikalavimus bei pasitelkiamas organizacines bei technines priemones. Šiuo atveju BDAR įrankis yra vienas iš atitiktį BDAR demonstruojančių priemonių, t. y. padeda organizacijai efektyviau ir objektyviau vykdyti savo, kaip duomenų valdytojo, pareigas, pademonstruoti kaip ir kokiais įrankiai naudojantis yra atliktas duomenų tvarkymo auditas, pildomi duomenų tvarkymo veiklos įrašai ir kt.
Pademonstruokite atitiktį jau dabar!
BDAR įsigaliojo dar 2018 m. gegužės 25 dieną, todėl organizacijoms svarbu nieko nedelsiant peržiūrėti savo duomenų tvarkymo procesus, duomenų bazėje ir sistemose saugomų duomenų apimtis, įvertinti ar esama organizacijos situacija atitinka BDAR reikalavimus ir jų vykdymas ateityje nesukels organizacijos veiklos trikdžių, nelems BDAR pažeidimo ir Valstybinės duomenų apsaugos inspekcijos taikomų sankcijų.
OIXIO BDAR sprendimas Business Central sistemai padeda optimizuoti duomenų valdytojo pareigų vykdymo procesus, pašalinti galimų pažeidimų ir sankcijų riziką, sumažinti už asmens duomenų apsaugą ir duomenų subjektų prašymų vykdymą atsakingo personalo reikiamo darbo laiko sąnaudas, taip jam leidžiant susikoncentruoti ties pagrindinių darbo funkcijų atlikimu ir taip kuriant realia pridėtinę vertę Jūsų organizacijai.
Raskite mūsų sprendimą Microsoft AppSource
Užtikrinkite atitiktį ir spręskite BDAR iššūkius Dynamics 365 Business Central sistemoje.
Donatas Statulevičius
LinkedIn
