Pastarosiomis savaitėmis į daugelio vartotojų pašto dėžutes nuolat skriejo laiškai, o į mobiliuosius telefonus – trumposios žinutės.
Daugelio jų tekstai buvo panašūs – klausimai, ar žmonės nori ir toliau gauti reklaminius bei informacinius pranešimus.
To priežastis – gegužės 25-ąją visoje Europos Sąjungoje įsigaliojęs Bendrasis duomenų apsaugos reglamentas (BDAR).
Tiesa, mūsų šalis kol kas įvardyta tarp aštuonių Bendrijos valstybių, kurios šios direktyvos nėra galutinai perkėlusios į nacionalinę teisę.
Tačiau verslininkai tam rengėsi jau ne vienus metus, todėl kai kurie jų sugebėjo aplenkti įstatymų leidėjus.
Gresia didžiulės bausmės
Dažno iš mūsų piniginėje – kelios ar net keliasdešimt lojalumo kortelių.
Tai reiškia, kad jas išdavusios įmonės tvarko mūsų asmeninius duomenis ir jais naudodamosi siunčia specialiai mums pritaikytus komercinius pasiūlymus.
Tokius, kuriais greičiausiai daugelis susigundo. Bet didelė dalis jų iš esmės beverčiai. Tad praėjusį penktadienį, kai įsigaliojo BDAR, kai kas pavadino „spamo“ – šlamštlaiškių – mirties diena. Nors tai – tik dalis tiesos.
Išties, nesuteikę teisės naudotis savo duomenimis vartotojai nebegali gauti reklaminių laiškų ar žinučių. Tiktai reikia pasitikrinti, ar to iš tiesų nepadarėte.
Jeigu ne, turite teisę reikalauti, kad jus paliktų ramybėje, nes nesutikę taip pasielgti įkyruoliai gali smarkiai nukentėti.
Lietuvos verslas turėjo dvejus metus pasirengti naujo reglamento įsigaliojimui mūsų šalyje. Kaip tai sekėsi, paaiškės laikui bėgant.
Bet akivaizdu, kad dažna įmonė tam skyrė daug dėmesio ir nemenkas investicijas, mat nuo gresiančių baudų sprogsta akys – už netinkamai naudojamus klientų duomenis gali tekti suploti net iki 20 mln. eurų.
Iki šiol baudos įmonių vadovams ar kitiems atsakingiems asmenims siekė 300–3000 eurų.
Rinko mažiau informacijos
Prekybos tinklo „Rimi“ ryšių su klientais vadovės Ievos Ungailaitės teigimu, vienas pavyzdžių, kai yra renkami ir kaupiami asmens duomenys, yra įvairios prekybos tinklų lojalumo programos. Antai „Mano Rimi“ lojalumo programos dalyvių skaičius šiuo metu siekia beveik 1 mln.
„Kad galėtume prižiūrėti ir administruoti savo lojalumo programos dalyvių paskyras, informuoti apie vykstančias akcijas, pateikti pirkėjams pagal jų pirkimo įpročius suformuotus asmeninius pasiūlymus, mes renkame tam tikrus savo pirkėjų duomenis.
Tačiau dar iki BDAR įsigaliojimo jų kiekį sumažinome iki minimalaus“, – tvirtino I.Ungailaitė.
O nuo gegužės 25-osios viskas daroma pagal bendrus reikalavimus visoje ES.
Mat nuo tada visi asmens duomenys renkami ir naudojami tik aiškiai nustatytais tikslais.
Gali būti „užmiršti“
Be to, vartotojai įgyja daugiau teisių sužinoti, kokia informacija apie juos yra kaupiama ir kaip ją ketinama panaudoti, galės reikalauti neteisingus duomenis pakeisti, taip pat apriboti arba visai uždrausti jų naudojimą.
„Taip pat pirkėjas turi teisę būti „užmirštas“. Tai reiškia, kad asmeniui pageidaujant jo duomenys bus ištrinti.
Likusi informacija bus nuasmeninta taip, kad pagal ją negalėtų būti nustatytas informacijos savininkas“, – kalbėjo „Rimi“ ryšių su klientais vadovė.
Ragina atnaujinti duomenis
Ruošdamasi Lietuvoje įsigaliojusiam BDAR lojalumo programos taisykles ir privatumo politiką atnaujino ir „Maxima“.
„Nuo šiol informaciją apie savo klientus saugome ir tvarkome pagal naujausius reikalavimus, kurie užtikrina, kad asmens duomenų apsaugos laikymosi standartai būtų dar aukštesni“, – sakė „Maximos“ atstovė Ernesta Dapkienė.
Praėjusią savaitę tinklas pradėjo raginti savo pirkėjus susipažinti su atnaujinta lojalumo programos „Ačiū“ privatumo politika.
Pasak E.Dapkienės, kiekvieną dieną savo duomenis atnaujina apie 20 tūkst. kortelės turėtojų. Praėjusios savaitės pabaigoje tai buvo padarę apie 120 tūkst. žmonių. Skaičiuojama, kad iš viso Lietuvoje aktyvių „Ačiū“ kortelių yra apie 2 mln.
Prireikė kelių mėnesių
Rimtas iššūkis teko ir bankams, ir telekomunikacijų bendrovėms. Pavyzdžiui, „Tele2“, turinčiai 1,8 mln. klientų.
„Tai nėra kas nors itin nauja. Iš esmės tie reikalavimai galiojo ir anksčiau, tačiau galbūt jie nebuvo susisteminti. Dabar tai padarėme. Vis dėlto Lietuvoje visada į asmens duomenų apsaugą buvo žiūrima griežtai“, – kalbėjo įmonės atstovas Andrius Baranauskas.
„Tele2“ asmens duomenų tvarkymo taisyklių susisteminimas užtruko kelis mėnesius. „Darbo buvo išties labai daug, juk turime labai daug klientų, taip pat partnerių“, – sakė A.Baranauskas.
Pateko tarp nepažangiųjų
– Lietuva pateko tarp aštuonių ES atsilikėlių. Negi nespėjome tinkamai pasirengti reglamento taikymui? – „Lietuvos rytas“ paklausė Valstybinės asmens duomenų apsaugos inspekcijos Teisės skyriaus vadovės Danguolės Morkūnienės.
– Šis reglamentas vienodai taikomas visoms ES valstybės narėms. Jis įsigaliojo prieš dvejus metus, tad tiek viešasis, tiek privatus sektorius Lietuvoje turėjo laiko pasirengti.
Akivaizdu, kad ne visi į tą traukinį spėjo, bus vėluojančių. Tai nėra keista, tokių atvejų pasitaikys ir kitose šalyse narėse.
Lietuva atsidūrė tarp aštuonių ES valstybių, kurios nėra visiškai pasirengusios, tačiau taip yra dėl įstatymų bazės.
Seime svarstomas ir Asmens duomenų teisinės apsaugos įstatymo projektas, jis dar nėra priimtas. Planuojama, kad tai bus padaryta birželį drauge su vadinamuoju Policijos asmens duomenų apsaugos įstatymu. Tada Lietuva iš to aštuntuko iškristų.
Tačiau mes pernelyg nevėluojame, tad EK neturėtų imtis sankcijų prieš Lietuvą.
– Į elektroninio pašto dėžutes ar mobiliuosius telefonus iki šiol ateina prašymai patvirtinti, ar sutinkame su atsinaujinusiomis vienos ar kitos įmonės privatumo taisyklėmis, ar norime toliau gauti jų reklaminius pranešimus. Kas keisis šiuo atžvilgiu?
– Aš pati gavau ne vieną tokią žinutę. Tačiau ir iki šiol, norėdami lojalumo kortelės, užpildydavome anketą ir sutikdavome, kad būtų tvarkomi mūsų asmeniniai duomenys.
Dabar iš esmės niekas nesikeičia, tik tie asmens duomenų valdytojai, kurie susirinkdavo juos nepakankamai informavę asmenis, nori pasitikrinti, ar vartotojai ir toliau su tuo sutinka. Tad naudojasi proga paklausti, ar jie ir toliau sutinka gauti pranešimus, dalyvauti lojalumo programoje.
Tai sveikintinas verslo elgesys – jie taip atsirenka klientus, kurie nori gauti jų pranešimus. Reglamentas juk nereikalauja gauti sutikimą iš naujo, jei prieš jį gaunant vartotojas buvo pakankamai informuotas. Jeigu ne, sutikimas būtinas.
Tad, galima sakyti, šiuo metu BDAR atlieka savotišką valymo funkciją.
O mums, klientams, yra patogu, nes nereikia daryti jokių aktyvių veiksmų, kad atšauktume senus sutikimus. Nereikia lįsti į svetaines, ieškoti informacijos, kaip jų atsisakyti.
Be to, įmonės dabar dažnai siunčia ir informaciją apie atsinaujinusią jų privatumo politiką. Tai gera proga pasitikrinti, kokius duomenis apie mus renka, kas yra tų duomenų gavėjai.
Žada ir auklėti, ir bausti
– Kokius namų darbus teko paruošti verslui?
– Įmonėms tai gana didelė administracinė našta. Aišku, toms, kurios nuosekliai rūpinosi asmens duomenų apsauga, tereikėjo pasitikrinti, ką reikia patobulinti.
Tačiau kitoms bendrovėms reikėjo atlikti asmens duomenų auditą, kad išsiaiškintų, kokiais tikslais ir kokius duomenis tvarko, kokias saugumo priemones užtikrina, kokias subjekto teises įgyvendina.
BDAR numato ir naujas prievoles – daryti veiklos įrašus, atlikti poveikio vertinimą, pasiruošti pranešimams apie asmens duomenų pažeidimus.
Nereikia išsigąsti, kad verslas tvarko daug duomenų. Juolab iš to naudos turime ir mes, kaip fiziniai asmenys. Svarbiausia, kad tai būtų daroma atsakingai.
Ką gero reglamentas daro apskritai?
Keičia požiūrį į duomenų apsaugą. Verslininkas nebeturėtų tikėtis, kad kas nors kitas įvertins asmens duomenų tvarkymo teisėtumą. Tik jis pats.
– Vis dėlto ar Lietuvos verslininkai spėjo pasirengti žaisti pagal griežtesnes taisykles?
– Negaliu to tvirtinti. Savo interneto svetainėje skelbėme savaitės klausimą: „Ar esate pasiruošę taikyti Bendrąjį duomenų apsaugos reglamentą?“ Kad visiškai pasiruošę, iš 200 balsavusiųjų atsakė 12 proc.
– Jūsų institucijai teks bausti BDAR reikalavimų nesilaikančias įstaigas ar įmones.
Kaip tikrinsite, kokios laukia baudos?
– Ir mes patys rengsime patikrinimus, ir vartotojų skundus aiškinsimės.
Dabar labai daug kalbama apie milžiniškas baudas. Tačiau yra ir kitų svertų padėčiai ištaisyti – priminimai, įspėjimai. Kartais nurodymas yra rimtesnė poveikio priemonė kaip 10 tūkst. eurų bauda.
Juk pertvarkyti duomenų bazę verslui gali kainuoti ir daugiau.
Aišku, mūsų tarnyba – ne šeimos draugas, tad negalime sakyti, kad tikrai nebausime.
Jei pasitaikys šiurkščių pažeidimų, įmonės negalės tikėtis mūsų supratimo. O pačiame reglamente privačiam sektoriui numatyta bauda iki 20 mln. eurų.
Didžiausia bauda viešajam sektoriui galėtų būti 60 tūkst. eurų.
Užkerta kelią naujiems duomenų skandalams
Andrius Iškauskas
Teisininkas
„Tai nėra teisinio reguliavimo revoliucija, greičiau evoliucija. Pagrindiniai duomenų apsaugos aspektai išlieka nepakitę.
Įmonės privalo saugoti asmeninius klientų duomenis, gali jais naudotis tik ribotais tikslais. Tačiau naujasis reglamentas suteikia daugiau galimybių vartotojams kontroliuoti, kas daroma su jų asmens duomenimis.
Tokie pat principai galiojo ir iki šiol, tačiau nebuvo tokių griežtų baudų. Be to, skirtingose Europos šalyse sankcijos už netinkamai tvarkomus asmens duomenis buvo nevienodos. O dabar sankcijos verslą gąsdina, todėl įmonės ėmėsi didelių reformų.
Be to, išsiplėtė teisinio reguliavimo geografija. Ankstesnė direktyva nurodė, kad reikalavimai buvo taikomi tik ES veikiančiam verslui. O dabar reglamentas taikomas ir už ES ribų įsteigtoms įmonėms, jei jos tvarko europiečių duomenis.
Kad ir tam pačiam „Google“ ar kitiems amerikiečių interneto verslo milžinams. Tokių atvejų, kad mes nežinome, kokius asmeninius duomenis turi verslas ir kam juos naudoja, daugiau nebegali būti.
Tai gerai parodė ir „Cambridge Analytica“ skandalas, kai feisbuko vartotojų duomenys buvo perduoti trečiajai šaliai. Jis parodė, kokios gali būti pasekmės, kai asmeninė informacija naudojama neteisėtai.
Paaiškėjo, kad tai gali labai smarkiai paveikti ne tik komercinį žmogaus elgesį, bet ir jo balsą rinkimuose.
Tikiuosi, kad naujasis reglamentas nebus tik popierius, o Lietuvos verslas nepaliks jo stalčiuje taisyklių pavidalu, bet įgyvendins.“
Verta žinoti
Elektroniniu paštu ar trumposiomis žinutėmis siuntinėti tiesioginės rinkodaros pranešimus nuo šiol galima tik turint išankstinį kliento sutikimą (pavyzdžiui, gautą kokios nors akcijos metu, pildant anketą lojalumo kortelei gauti ir pan.). Siunčiant organizacijai būtinas jos vadovo ar įgalioto asmens sutikimas.
Galima naudoti tik pačių klientų suteiktus kontaktus. Asmens duomenimis laikomi ir atsitiktinai surinkti telefono numeriai – tuo iki šiol neretai naudodavosi kai kurios įmonės.
Asmenys gali neduoti sutikimo naudoti savo duomenis tiesioginei rinkodarai, o davę bet kada jį atšaukti. Pranešimų, kuriuose siūloma pasinaudoti visuomenei skirtomis mokamomis ar nemokamomis paslaugomis, siuntimas laikomas irgi tiesiogine rinkodara.
Tačiau, Valstybinės duomenų apsaugos inspekcijos nuomone, tiesioginės rinkodaros pasiūlymais nebūtų laikomi, pavyzdžiui, sveikinimai, elektroninių laiškų siuntimas, kai turinys susijęs su sutarčių vykdymu, priminimas apie skolą ir kt.
Žmogus turi teisę iš siuntėjo gauti informaciją, kaip ir kokie asmens duomenys surinkti, kokiu tikslu jie tvarkomi ir kokiems duomenų gavėjams buvo teikiami bent per pastaruosius vienus metus.