BDAR reikalavimai – vis dažniau Lietuvos teisininkų linksniuojama frazė, o visaverte asmens duomenų apsauga įmonėje susirūpinę globalūs verslai klausia Google: GDPR – kas tai? Sako, kad brangiausia valiuta šiandien yra būtent vartotojų duomenys, tad natūralu, jų apsauga – prioritetas. Bent jau turėtų būti. Šiandien tai ne tik apie moralę, bet ir teisiškai specialiame Bendrajame duomenų apsaugos reglamente apibrėžtus nuostatus. Nebūtina baigti teisės mokslo, kad pastebėtum – vartotojų duomenis apsaugantis dokumentas aktualus kone visiems ambicingiems internetinio verslo kūrėjams. Whatabout komanda – „pamatuojamų“ rezultatų šalininkai, tad nepailstame kartoti, kad reklaminės kampanijos sėkmė priklauso ne tik nuo to, kiek kartų reklama pasidalino ar ją pamėgo socialinių tinklų dalyviai. Norintiems efektyvios ir atsiperkančios reklamos bei kitų pardavimus skatinančių priemonių, svarbiausias yra ROI (arba atsiperkamumo rodiklis), kuris daugeliu atvejų gali būti apskaičiuojamas tik sekant tam tikrus vartotojų veiksmus, atsakingai renkant ir sisteminant duomenis. Tad mums ir daugeliui prekių ženklų augimu besirūpinančių kolegų BDAR principai ir tinkama asmens duomenų apsauga tikrai nėra svetimi terminai. Jei esate šios rinkos naujokai arba staiga susizgribę senbuviai, šiame įraše pabandysime iššifruoti vis dažniau linksniuojamą keturių raidžių trumpinį ir papasakoti apie tai, ką privalo žinoti atsakingas verslas.
BDAR – kas tai?
Jeigu interneto platybėse vystote savo projektą ir manote, kad jums tai neaktualu, siūlome prie šio klausimo sugrįžti dar kartą. Planuojate socialinės medijos kampaniją, kuri pralaužtų jūsų e. prekybos projekto ledus? Taip, jums aktualus duomenų apsaugos įstatymas. Nusprendėte su savo auditorija kartą per mėnesį pasidalinti naudinga informacija ir kviečiate registruotis pirmuosius naujienlaiškio gavėjus? Jums taip pat galioja BDAR nuostatos. Galėtume šį sąrašą dar tęsti ir tęsti, bet apie viską nuo pradžių.
Ką slepia keturių raidžių trumpinys?
Pradėti reikėtų nuo aiškaus suvokimo, kas yra BDAR. Po šiuo keturių raidžių trumpiniu slepiasi Bendrasis duomenų apsaugos reglamentas. Gali būti, kad ne kartą ieškodami informacijos kažkur matėte ir GDPR trumpinį. Iškart išsklaidome šią painiavą – GDPR reikalavimai yra lygiai tas pats minėtasis duomenų apsaugos reglamentas, tik taip jis skamba anglų kalba (angl. k. General Data Protection Regulation).
Kam reikalingi BDAR reikalavimai?
Paprastai tariant, šiame Reglamente rasite ES piliečių duomenų saugumo užtikrinimo reikalavimus, kurie yra taikomi įmonėms ir organizacijoms. Tikslas – apsaugoti vadinamuosius duomenų subjektus renkant, saugant ir perduodant jautrią informaciją. Neapsigaukite, dokumentas galioja nepriklausomai nuo to, kur yra verslo būstinė bei kur duomenys yra apdorojami. Dargi, nuostatos aktualios tiek privataus, tiek valstybinio sektoriaus įmonėms.
Kokia informacija gali būti vadinama asmens duomenimis? Tai informacija, pagal kurią (potencialiai) gali būti nustatoma žmogaus tapatybė. Tam, kad įsivaizduotumėte aiškiau – keli dažnai rinkodaros tikslais renkamų duomenų pavyzdžiai:
- vardas ir pavardė;
- gyvenamosios vietos adresas;
- e. pašto adresas (jei jame minimi vardas, pavardė);
- dokumentų kopijos ir parašas;
- telefono numeris;
- gimimo data;
- informacija apie lokaciją;
- informacija apie pajamas;
- IP adresas;
- kt.
Tiesa, yra ir specialioji kategorija, kurioje nurodytų duomenų verslas negali tvarkyti, pavyzdžiui – informacija apie politines pažiūras, lytinę orientaciją, rasinę ar etninę kilmę ir pan.
Ko gero, dabar prieš akis kaip filmuose lekia surinkti vartotojų duomenys – naujienlaiškiai, specialūs nuolaidos kodai, registracija į seminarus ar renginius, nario anketa e. prekybos interneto svetainėje, registracija programėlėje, Pixel duomenys ir taip be galo. Visi, atrodytų, kasdieniai su verslo veikla, skaitmenine rinkodara ir kūrybišku pardavimų skatinimu susiję procesai yra susiję ir su duomenų subjektais bei jų teisėmis.
Labai svarbu suprasti – tai ne tik „tvarkingi“ BDAR dokumentai, bet ir realus atsakomybės suvokimas ir visų reikalingų saugos veiksmų užtikrinimas. Nepakanka į interneto svetainę įkelti privatumo politikos šablono. Reikia realiai pasirūpinti veiklos ir duomenų rinkimo, tvarkymo ir perdavimo specifiką atitinkančiu vartotojų informavimu ir IT apsauga, unikalia privatumo politika, prašymo formomis ir kitais niuansais (prie šių dar sugrįšime).
Beje, mūsų SEO specialistės primena, kad visapusis interneto svetainės saugumas, taigi, ir duomenų apsaugos įstatymas – svarbus ir SEO strategijos atžvilgiu. Visi Google naujinimai aiškiai parodo – svarbiausias interneto platybėse yra vartotojas, jo poreikiai ir saugumas.
BDAR (Reglamentas) – kur jį surasti ir kaip teisingai interpretuoti?
Pats Reglamentas įsigaliojo dar 2018 metais, tačiau net ir praėjus gana nemažam laiko tarpui, šiandien didelė dalis interneto svetainių savininkų vis dar gūžčioja pečiais. Tiesa ta, kad oficialias nuostatas tiek lietuvių, tiek anglų ar kitomis aktualiomis kalbomis galite rasti tiesiog Google paieškos sistemoje. Ten pat, geriau paieškoję, rasite ir dešimtis naudingų straipsnių, teisininkų patarimų ir žingsnius, kuriuos turite atlikti.
Kitas klausimas – kaip rastas nuostatas tinkamai interpretuoti ir taikyti pagal unikalią rinką, specifinius procesus, naudojamas originalias skaitmeninės rinkodaros priemones? Jeigu jūsų projektas nėra standartinis ir neturite rimtesnės kortos nei „draugas patarė“ – kreipkitės į nišinėje srityje besispecializuojančius teisininkus. Jie atsakys tiksliai, asmens duomenų apsauga – kas tai jūsų verslo atveju ir kaip atrodo reikalingi žingsniai.
Kas bus, jei duomenis apsaugosite tik iš dalies? Galbūt pasiseks ir kurį laiką nedideli neatitikimai nesukels nesklandumų, bet teisininkai įspėja, kad net ir nedideli BDAR pažeidimai gali sukelti rimtas pasekmes ir baigtis:
a) bauda (-omis);
b) duomenų nutekėjimu (tikrai ne į gero norinčias rankas);
c) įvaizdžio ir pasitikėjimo krizėmis;
d) kasdienių procesų sutrikdymu;
e) visa aukščiau išvardintų problemų puokšte.
Šiuolaikiniam vartotojui tinkama asmens duomenų apsauga įmonėje – vis svarbesnė. Todėl net ir menkiausias duomenų apsaugos pažeidimas verslui gali tapti skaudžia pamoka. Kaip jau supratote, kalbame tiek apie finansinius nuostolius, tiek apie sugadintą reputaciją. Jei krizė rimta ir nesuvaldoma laiku, tai galiausiai atsilieps ir pelno ataskaitoje.
Esminiai BDAR principai: užtikrinkite duomenų apsaugą savo interneto svetainėje
Pereikime prie dalies, dėl kurios, ko gero, čia ir atsidūrėte. Whatabout SEO, Google Ads ir socialinių medijų komandos turėjo galimybę prisiliesti ne prie vieno e. prekybos ar kito pobūdžio internetinio projekto augimo. Todėl puikiai žinome, kokia svarbi yra visapusiškai „tvarkinga“ interneto svetainė. Ne tik graži, bet ir saugi IT bei teisine prasmėmis.
Atrinkome kelis esminius teisininkų patarimus, kurie leis susikurti Bendrojo duomenų apsaugos reglamento reikalavimus atitinkančio projekto pamatą. Taigi keli svarbiausi niuansai:
1) Unikali privatumo politika. Kiekvienos įmonės privatumo politika skiriasi, tad šablonų ieškoti neverta. Laikydamiesi Reglamento reikalavimų, savo interneto svetainėje nurodykite:
- kas esate ir ką veikiate;
- rekvizitus ir už privatumo politiką atsakingo (būtinai pasiekiamo) asmens kontaktus;
- kokio tipo duomenis ir kokiu tikslu renkate;
- kokias priemones tam naudojate;
- informaciją apie pagal BDAR taikomą duomenų apsaugą (idealu, su nuorodomis į oficialius šaltinius, kur lankytojai galės sužinoti apie BDAR – kas tai ir kaip veikia);
- asmeninę vartotojų informaciją gaunančių trečiųjų asmenų interneto svetaines (pavyzdžiui, Google Analytics, Facebook Pixel ir pan.);
- naudojamų įskiepių ir kitų programų pavadinimus;
ko imtumėtės duomenų vagystės akivaizdoje.
Panašu, kad teks pasiraitoti rankoves ir peržiūrėti visas naudojamas programas, papildyti trūkstamą informaciją apie įmonę ir pagalvoti, o kas būtų, jeigu būtų. Kita vertus, galbūt tai galimybė atgauti ramybę ir susitvarkyti – pašalinti visas neefektyvias, abejotinas programėles ir įskiepius, susikurti naujas interneto svetainės skiltis, kurioms niekuomet nepakanka laiko.
2) Individualiai parengtas pranešimas apie slapukus (angl. k. cookies). Kad ir kaip mielai skamba angliškas terminas cookies, po juo slepiasi dar viena atsakomybė. Slapukų pranešimo esmė – supažindinti lankytoją su interneto svetainės privatumo politika, įspėti apie slapukus ir renkamus duomenis bei to tikslus. Pranešime turėtų atsirasti ir laukelis vartotojo sprendimui – sutikti su visais slapukais, sutikti tik su pasirinktais, atsisakyti visų.
3) Galimybė panaikinti apie vartotoją surinktus duomenis. Kitas labai svarus žingsnis – sukurti užklausų formas ar suteikti galimybę vartotojams patiems tvarkyti arba ištrinti apie juos surinktus duomenis. Apskritai, pagal naujausius reikalavimus, duomenų subjektas turi turėti galimybę panaikinti visą apie jį surinktą informaciją (pats arba pateikti užklausą jums).
4) Nuostatas atitinkančios formos (užsakymai, užklausos, atsiskaitymai ir kt.). Interneto svetainėje esančiose formose, nesvarbu, tai pirkėjo paskyros kūrimas ar užsakymo pateikimo forma, pridėkite laukelį, kurį pažymėdamas vartotojas sutinka su privatumo politika (būtinai pridėkite nuorodą į šios aprašą). Jei pirkėjui kils klausimų, tiesiai iš privatumo politikos jis galės nukeliauti į oficialius puslapius ir detaliau pasidomėti, BDAR arba, globalios įmonės atveju, GDPR – kas tai ir kaip veikia. Taip galėsite būti ramūs, kad turite visavertį sutikimą saugoti, tvarkyti ar perduoti duomenis.
5) Saugi ir atnaujinta turinio valdymo sistema bei įskiepiai. Kada paskutinį kartą atnaujinote savo interneto svetainę? Jeigu paskutiniai naujinimai buvo atlikti seniau nei prieš metus, laikas pajudinti savo IT skyrių arba kreiptis į specialistus. Atnaujinkite tiek turinio valdymo sistemas, tiek įskiepius – jie turi būti parengti taip, kaip nurodo naujausi BDAR reikalavimai.
6) IT saugumo priemonės. Dar šiek tiek apie IT specialistų darbus – svarbu pasirūpinti ne tik tinkama turinio valdymo sistema ar įskiepiais, bet ir tiesiog bendru saugumu. Įsitikinkite, kad serveris, kurioje talpinama jūsų interneto svetainė, yra pakankamai pajėgus ir saugus. Imkitės papildomų priemonių – antivirusinės programos, įskiepiai.
7) Saugiai laikomos atsarginės interneto svetainės kopijos. Profesionalūs serverių nuomos ekspertai siūlo tam tikrus serverių nuomos planus, į kuriuos įtrauktas ir reguliarus duomenų kopijų (angl. k. backup) kūrimas. Kopijos reikalingos dėl kelių priežasčių: jei informacija dėl nenumatytų priežasčių dingtų ar neišsisaugotų, jūs neliekate prie suskilusios geldos; taip pat – kopijos praverčia įsilaužimo atveju. Teisininkai prideda – nekurkite daugiau nei 3 interneto svetainės kopijų su jautria klientų informacija. Asmens duomenų apsauga yra prioritetas, nesvarbu, tai pagrindinė platforma ar atsarginis šios variantas.
8) Krizių valdymo planas. Galiausiai – pasirūpinkite krizių valdymo planu. Tam tikras jo gaires reikėtų nurodyti ir privatumo politikoje. Tačiau tai nėra tik formalumas, pagalvokite, ką realiai darytumėte, jei duomenys nutekėtų. Tai padės sukurti patikimos įmonės įvaizdį ir kas būtų, jeigu būtų atveju nepasimesti, nepalikti pasitikėjusių vartotojų nežinioje.
Beje, jeigu internetinį verslą pradėjote dar tada, kai BDAR principai negaliojo, visus su (potencialaus) pirkėjo duomenimis susijusius procesus reikėtų atnaujinti ir pritaikyti, kad būtų užtikrinta atitiktis. Pavyzdžiui, jeigu dar prieš Reglamento įsigaliojimą rinkote ir skaitmeninės rinkodaros tikslais vis dar naudojate interneto svetainės lankytojų e. pašto adresus, būtinai išsiųskite bendruomenės nariams naujas sutikimo formas, kuriomis jie patvirtintų – galite siųsti rinkodaros ar informacinį turinį ir toliau.
Žinoma, tai tik esminiai aspektai. Gera žinia – detaliau paanalizavę Google lengvai randamas esmines nuostatas, suprasite, kas yra asmens duomenų apsauga internete ir kokios tiksliai yra šios dedamosios. Didelis pliusas – individuali teisininkų konsultacija. Taip pat, labai naudinga kartkartėmis investuoti ir į darbuotojų edukaciją. Kai visa komanda supranta, kaip tinkamai apsaugoti jautrią informaciją, įmonėje kur kas mažiau nesusipratimų.
Realybė šiandien tokia, kad atsakingu verslu negali vadintis tie, kurie rimtai nežiūri į renkamą ir saugomą informaciją, o BDAR įstatymas – vis dar nepažintas. Net jei prekės siunčiamos ekologiškose pakuotėse, o per didžiąsias metų šventės aukojama nepelno siekiančioms organizacijoms (kas yra nuostabu) – visas socialiai atsakingo verslo įvaizdis subliūkšta sulig minute, kai sužinoma apie nutekėjusius duomenis ir to rizikas. Ką norime pasakyti? Turbūt tai, kad pradėkite savo įmonės virtualius namus statyti nuo tvirto pamato.
O jei prireiks mūsų pagalbos ne tik pamatuojamos, bet ir atsakingai kuriamos reklamos bei kitų pardavimus skatinančių priemonių klausimais – kviečiame pasikalbėti.