Kiekvienai buhalterijai – savaitraštis „Buhalterija“!  

ASMENS DUOMENŲ APSAUGA – SRITIS, KURI 
GALI „PAKIŠTI KOJĄ“ DAUGELIUI ĮMONIŲ

UAB „Pačiolis“ teisininkas Vaidotas Dauskurdas
 

Minėjome Bendrojo duomenų apsaugos reglamento (toliau – Reglamentas) galiojimo Lietuvoje trejų metų sukaktį. Įvertinus šį laikotarpį ir atsižvelgus į tai, kad Reglamentas, likus geram pusmečiui dar iki jo įsigaliojimo, buvo pristatytas visuomenei, atrodytų, kad dauguma įmonių tinkamai įgyvendino jo reikalavimus ir prisitaikė prie naujojo reglamentavimo. Vis dėlto bendraujant su įmonių atstovais ir atsižvelgiant į Valstybinės duomenų apsaugos inspekcijos skelbiamus pranešimus apie atliekamų patikrinimų rezultatus bei į viešojoje erdvėje aprašomus atvejus dėl asmens duomenų praradimo, galima teigti, kad įmonėms šioje srityje dar yra kur tobulėti.

Žvelgiant apibendrintai, manytina, kad Reglamento reikalavimai Lietuvos įmonėse įgyvendinti paviršutiniškai ir minimaliai. Aišku, tam įtakos turi ir tai, kad šis teisės aktas labai nekonkretus: įmonės, neturinčios asmens duomenų apsaugos specialistų, pačios sunkiai pajėgia prisitaikyti prie naujų reikalavimų. Pažeidžiamiausias šioje srityje – smulkusis ir vidutinis verslas, nepajėgęs investuoti lėšų į šių klausimų sprendimą. Tokioms įmonėms Reglamentas – vienas iš daugelio teisės aktų, prie  kurių būtina prisiderinti, ir, deja, ne pirmo būtinumo. Joms yra svarbesnių kasdienių klausimų, nustumiančių į šalį darbus, negeneruojančius pajamų. Pasirinkusieji minėtąją strategiją rizikuoja sulaukti ne tik už tai gresiančių sankcijų – kyla grėsmė verslo reputacijai ir jo ateičiai.

Asmens duomenys saugomi kiekvienoje buhalterijoje

Būtina paminėti, kad klausimai dėl asmens duomenų tinkamo tvarkymo svarbūs ne tik įmonės vadovams ar šios srities specialistams, vadinamiesiems asmens duomenų apsaugos pareigūnams, bet ir buhalteriams. Suprantama, įmonės vadovas yra atsakingas už bendrą įmonėje naudojamų asmens duomenų saugumo užtikrinimą, tačiau kiekvienos įmonės buhalterija neabejotinai susiduria su asmens duomenimis ir tampa tokių duomenų tvarkytoja. Buhalteriai kasdienėje veikloje tvarko darbuotojų, pirkėjų, tiekėjų ir partnerių, jeigu pastarieji yra fiziniai asmenys, duomenis, kurie taip pat laikomi asmens duomenimis, tad buhalteriai neabejotinai atsakingi už tų asmens duomenų, kurie yra renkami ir saugomi buhalterijoje, tinkamą tvarkymą.

Svarstant, ar tinkamai buhalterijoje tvarkomi duomenys, pirmiausia reikia įvertinti, ar tikrai visų fizinių asmenų duomenis, kurie renkami ir tvarkomi buhalterijoje, tvarkyti tikrai būtina. Be to, ar visi renkami duomenys yra būtini? Ar tinkamas tų duomenų rinkimo ir saugojimo būdas? Tarkime, anksčiau buvo įprasta kopijuoti asmens tapatybę patvirtinantį dokumentą – pasą ar tapatybės kortelę, ir niekam nekildavo klausimų, ar tai teisėta. Įsigaliojus Reglamentui, būtina pagrįsti, kodėl šio dokumento kopija yra daroma ir saugoma įmonėje. Iš asmens tapatybę patvirtinančio dokumento galima sužinoti ne tik asmens vardą, pavardę, asmens kodą, gimimo datą, bet ir asmens pilietybę, tokiame dokumente yra asmens atvaizdo fotografija. Kitaip tariant, turintieji tokio dokumento kopiją turėtų sugebėti aiškiai atsakyti, kokiu tikslu yra renkamas asmens kodas, kam reikalingi duomenys apie asmens pilietybę, kodėl saugomas asmens atvaizdas. Objektyviai vertinant buhalterių atliekamus darbus, jiems pavedamas užduotis, manytina, kad nei duomenys, susiję su asmens (pvz., darbuotojo) tautybe ar pilietybe, nei duomenys, susiję su jo atvaizdu, buhalteriui nėra būtini. Vadinasi, jų rinkimas ir saugojimas būtų nepagrįsti, nes tai prieštarautų Reglamento įtvirtintai nuostatai, kad asmens duomenys turėtų būti tvarkomi tik tuomet, jeigu asmens duomenų tvarkymo tikslo pagrįstai negalima pasiekti kitomis priemonėmis.

Be to, turi būti renkami ir saugomi tik tikrai būtini asmens duomenys, susiję su tikslais, kuriems jie tvarkomi. Tiesa, tokių duomenų tvarkymas ir rinkimas turi būti ribojami pagal tai, kiek jų yra būtina turėti atsižvelgiant į tikslus, kuriems jie tvarkomi. Tai reiškia, kad tais atvejais, kai įmonei reikia tam tikrų asmens duomenų, ji turi teisę juos tvarkyti, tačiau tų asmens duomenų kiekis turi būti adekvatus, asmens duomenys turi būti tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi (duomenų kiekio mažinimo principas). Minėta, kad duomenys su asmens atvaizdu ir duomenys apie asmens tautybę buhalteriui nėra būtini, tad ir jų tvarkymas, padarant asmens tapatybės dokumento kopiją, nebūtų pagrįstas ir teisėtas... Žinoma, kiek kitokia situacija būtų tuo atveju, jeigu kalbėtume apie užsienio valstybės piliečio įdarbinimą įmonėje. Tuomet tokio asmens pilietybės klausimas gali tapti reikšminga aplinkybe, nes, atsižvelgiant į jo pilietybę, įmonei gali atsirasti papildomų prievolių ar klausimų, susijusių su tokio asmens įdarbinimu (pvz., būtinybe įsitikinti, ar asmuo turi leidimą gyventi Lietuvoje, ar jam išduotas leidimas dirbti Lietuvoje bei pan.).

Taigi, priklausomai nuo konkrečios situacijos, vienu atveju tam tikrų duomenų apie asmenį tvarkymas gali tapti Reglamente įtvirtintų principų pažeidimu, o kitais atvejais tai gali būti visiškai teisėtas veiksmas. Svarbu, kaip pati įmonė sugebėtų pagrįsti, kodėl ji renka, saugo ir tvarko tam tikrus asmens duomenis. Kitaip sakant, kiekvienu atveju, kai susiduriama su tam tikrais asmens duomenimis, visada būtina itin priekabiai vertinti būtinybę juos rinkti ir saugoti, būtina vertinti, ar jie yra būtini įmonei, ar galima apsieiti be jų. Jeigu galima apsieiti neturint tam tikrų duomenų, taip ir reikia elgtis – jų tiesiog nerinkti ir nesaugoti, nes jie nėra būtini įmonės veiklai. 

Kitas pavyzdys: dažnoje buhalterijoje likęs įprotis reikalauti, kad fizinio asmens išrašomoje sąskaitoje būtų nurodomas jo asmens kodas, nors teisės aktai nereikalauja, kad asmens išrašomoje sąskaitoje faktūroje ar PVM sąskaitoje faktūroje būtų nurodytas tiekėjo ar pirkėjo asmens kodas. Asmens kodas pripažįstamas itin svarbiu asmens identifikaciniu duomeniu, pateikiančiu daug įvairios informacijos apie asmenį. Reikšminga ir tai, kad asmens kodo, skirtingai nei telefono numerio ar el. pašto adreso, asmuo neturi galimybės pasikeisti. Štai kodėl jo naudojimas pateisinamas tik tais atvejais, kai tai yra būtina, kai jo negalima pakeisti kitu duomeniu, turinčiu mažiau informacijos nei asmens kodas. Kadangi fizinio asmens išrašomoje sąskaitoje faktūroje ar PVM sąskaitoje faktūroje nurodyti asmens kodą teisės aktai nereikalauja, buhalterijos darbuotojai, priimantys tokią sąskaitą, taip pat negali reikalauti, kad tokią sąskaitą išrašantis asmuo įrašytų šį kodą į sąskaitą. Tačiau, pavyzdžiui, asmens kodo tvarkymas buhalterijoje yra visiškai tinkamas ir pateisinamas, jeigu kalbame apie atvejus, kai teikiamos tam tikros ataskaitos valstybės institucijoms, reikalaujančioms, kad tose ataskaitose būtų nurodytas ir fizinio asmens kodas. Kita vertus, jeigu pats asmuo pateikia sąskaitą, kurioje yra nurodytas jo asmens kodas, buhalterija be jokių abejonių turėtų ją priimti. Aišku, jeigu ji atitinka kitus reikalavimus. Šiuo atveju pats fizinis asmuo pateiktų šiuos duomenis, bet ne įmonės buhalterija reikalautų juos pateikti.

 Svarbiausia – laikytis reikalavimų

Kiekviena įmonė, susidurianti su asmens duomenų tvarkymu (kiekviena įmonė, įdarbinusi bent vieną darbuotoją, su tuo neabejotinai susiduria!), privalo itin skrupulingai atsižvelgti į Reglamente įtvirtintus asmens duomenų tvarkymo principus, nes negebėjimas užtikrinti jų laikymosi gali tapti Reglamente nustatytos atsakomybės ir sankcijų taikymo priežastimi: nesvarbu, ar dėl to, kad nebuvo įgyvendinti Reglamente įtvirtinti reikalavimai, asmens duomenys „nutekėjo“ ar tokių pasekmių nebuvo, – bet kuriuo atveju būtų fiksuojamas pažeidimas ir grėstų administracinių nuobaudų taikymas.

Pagrindinis Reglamente įtvirtintų reikalavimų įgyvendinimo sunkumas tas, kad daug kas priklauso nuo konkrečios situacijos: vienais atvejais tam tikra veikla gali būti pripažinta pagrįsta ir teisėta, kitais atvejais – ne. Viską lems faktinės aplinkybės ir tai, kaip duomenų valdytojas ar tvarkytojas pagrįs ir argumentuos savo priimtus sprendimus bei atliktus veiksmus. Štai kodėl, kuomet kalbama apie asmens duomenų tvarkymą, labai sudėtinga pateikti vienareikšmius patarimus ir rekomendacijas, kurie būtų vienodai tinkami visoms įmonėms, – kiekvieną atvejį reikia vertinti individualiai, atsižvelgiant į visas reikšmingas aplinkybes.

Nepaisant to, būtina pasistengti tai įgyvendinti, nes Reglamente nurodyta, kad įmonė yra atsakinga už tai, jog būtų laikomasi jame įtvirtintų asmens duomenų tvarkymo principų, ir turi sugebėti įrodyti, kad jų laikomasi (atskaitomybės principas). Kitaip tariant, ne duomenų subjektas ir ne kontroliuojanti institucija turi įrodyti, kad buvo pažeisti asmens duomenų tvarkymo principai bei Reglamento reikalavimai, bet pats duomenų tvarkytojas (įmonė) turi pagrįsti, kad savo veikloje šiuos reikalavimus įgyvendino ir įgyvendina. Suprantama, tai nėra paprasta, nes reikalauja papildomų žmogiškųjų ir finansinių išteklių. Paprasčiausias ir greičiausias būdas – kreiptis į specialistus, teikiančius tokias paslaugas, arba pačioje įmonėje įdarbinti šios srities specialistą, galintį sukurti ir įtvirtinti įmonėje procesus, užtikrinančius, kad joje asmens duomenys būtų tvarkomi nenusižengiant Reglamento reikalavimams. Negalintieji tiek investuoti gali pasirinkti kitą kelią – įsigyti kitų specialistų parengtą metodinę literatūrą ar parengtas darbo priemones, kurios padėtų savo jėgomis susitvarkyti šią sritį.

Vienas iš galimų sprendimų – bendrovės „Pačiolis“ metodinio centro darbuotojų parengti asmens duomenų apsaugos srityje privalomi pavyzdiniai dokumentų šablonai, pateikti darbo priemonėje „Asmens duomenų apsauga: darbo tvarkos, rekomendacijos ir pavyzdžiai.Beje, tai jau antroji atnaujinta darbo priemonės laida, apimanti ne tik parengtus ir leidinyje atspausdintus pavyzdinius šablonus, bet ir jų failus, kurie gerokai palengvins darbą, nes leis pasirengti svarbiausius dokumentus nešvaistant laiko gilinantis į šios srities subtilybes –kiekvienas šioje darbo priemonėje ras sau naudingų ir reikšmingų dokumentų pavyzdžių.

Tam, kad įmonė galėtų pradėti tvarkytis šioje srityje, pirmiausia ji turės paskirti asmenį, atsakingą už šią sritį: nesant tokio atsakingo asmens, mažai tikėtina, kad įmonėje pavyks tinkamai įgyvendinti Reglamento reikalavimus, aprėpti visus įmonėje tvarkomus asmens duomenis ir užtikrinti tinkamų jų tvarkymą. Leidinyje pateiktas tokio dokumento pavyzdys. Antra, privalu įmonėje atlikti esamos situacijos reviziją: nustatyti, kokie asmens duomenys įmonėje yra saugomi ir tvarkomi, kokiais tikslais tai daroma, ar jie gauti teisėtai, taip pat būtina įvertinti, ar įmonėje nerenkami pertekliniai asmens duomenys. Tai revizavus ir užfiksavus, įmonė turės objektyvų asmens duomenų vaizdą. Tokios revizijos darbalapio pavyzdys taip pat pateiktas minėtoje darbo priemonėje. Trečia, asmens duomenų revizijos pagrindu reikėtų įsivertinti, kokius dokumentus, kurie galėtų būti laikomi Asmens duomenų apsaugos politika ar jos sudėtine dalimi, verta pasirengti. Ar pakanka kokio nors vieno dokumento, ar jų reikia gerokai daugiau?. Tai įmonės sprendimas, nes nėra jokių konkrečių nuostatų, kokie dokumentai ir kiek jų turi būti parengta. Leidinyje taip pat esame pateikę daugybę tokių dokumentų pavyzdžių. Galima apsispręsti, ar jie reikalingi įmonei, kokie būtent reikalingi, ir juos koreguoti pagal savo poreikius. Ketvirta, įmonėje turi būti užtikrintas parengtų ir patvirtintų dokumentų taikymas ir įgyvendinimas. Be to, būtina įvertinti, ar nereikia tobulinti ir tikslinti pasirengtų tvarkų. Tai nuolatinis procesas, už kurį turėtų būti atsakingas arba asmuo, paskirtas atsakingu už asmens duomenų tinkamą tvarkymą, arba pats įmonės vadovas. 


Ko gero, tai geriausias sprendimas įmonėms, kurios į šią sritį negali investuoti daug piniginių lėšų. Jeigu norite šuo metu palankiomis sąlygomi įsigyti knygą „Asmens duomenų apsauga“, kuri leis minimaliomis laiko ir finansinėmis sąnaudomis pasirengti svarbiausias tvarkas, kurios užtikrins, kad įmonė skiria reikiamą dėmesį šiai sričiai ir vykdo keliamus reikalavimus.