Valstybinė duomenų apsaugos inspekcija yra pirmoji institucija, kuri nagrinėja asmenų skundus, gautus tiek dėl juridinių asmenų, tiek dėl verslu užsiimančių fizinių asmenų padarytų duomenų apsaugos pažeidimų.
Vertinant pateiktus paskutinius Valstybinės duomenų apsaugos inspekcijos skaičius, aiškiai matoma, jog, nuo Bendrojo duomenų apsaugos reglamento įsigaliojimo dienos (2018 m. gegužės 25 d.), pateikiamų skundų skaičius augo beveik dvigubai (2016 m. – gauta 444 skundų, 2017 m. – gauta 480 skundų, 2018 m. – gauta 770 skundų, 2019 m. (¾) – gauta 626 skundai, metų pabaigoje šis skaičius neabejotinai permuš 800 skundų skaičių). Šie skaičiai parodo tai, jog tiek Valstybinė duomenų apsaugos inspekcija, tiek kitos institucijos bei įmonės atliko puikų visuomenės švietimą duomenų apsaugos srityje.
Įsivertinant tai, jog asmenys vis drąsiau naudojasi savo teisėmis, verslininkams vis dažniau tenka imtis už galvos, kadangi dažnu atveju apie duomenų apsaugą bei būtinųjų dokumentų pasirengimą imama galvoti jau tik tuomet, kuomet į duris pasibeldžia Valstybinė duomenų apsaugos inspekcija su gausybe klausimų bei prašymu pateikti dokumentus, kuriuose atsispindėtų atitiktis BDAR bei kitiems duomenų apsaugą reglamentuojantiems teisės aktams.
Žinoma, visuomet esti ir antroji medalio pusė – įvairūs fizinių asmenų prašymai. Šie prašymai gali būti įvairūs, kaip pavyzdžiui.: prašymas informuoti ar yra tvarkomi besikreipiančio asmens duomenys, prašymas persiųsti tam tikrus besikreipiančio asmens duomenis kitam subjektui (jeigu šiuos duomenis įmonė tvarkė) bei kiti (plačiau apie tai galima paskaityti BDAR III skyriuje „Duomenų subjekto teisės“). Jeigu įmonė nėra pasidariusi audito, kuriuo būtų įsivertinama kokius bei kokia apimtimi duomenis ji tvarko, taip pat kam juos teikia ar kiek laiko saugo, tuomet šiai įmonei tikrai būtų sunku tinkamai susitvarkyti su netikėtai apsilankiusią Valstybine duomenų apsaugos inspekcija ar tiesiog tinkamai įgyvendinti besikreipiančio asmens prašymą.
Todėl rekomenduoju visiems duomenų tvarkytojams pasidaryti auditą, kurio pabaigoje turėtumėte sau atsakyti į šiuos klausimus:
- kokiais tikslais yra tvarkomi asmens duomenys?
- kokie asmens duomenys yra tvarkomi (identifikuoti tvarkomus duomenis pagal kiekvieną išsikeltą duomenų tvarkymo tikslą)?
- kokių kategorijų asmens duomenys yra tvarkomi (klientų, darbuotojų, partnerių, kita)?
- kokiais teisiniais pagrindais yra paremtas duomenų tvarkymas (sutarties vykdymas, teisinė prievolė, teisėtas interesas, kita)?
- kam asmens duomenys yra teikiami (atskleidžiami)?
- iš ko asmens duomenys yra gaunami?
- kiek laiko pagal kiekvieną duomenų tvarkymo tikslą yra saugomi asmens duomenys?
- kokios techninės ir organizacinės priemonės taikomos, siekiant užtikrinti tvarkomų duomenų saugumą?
- ar įmonei nėra privalu pasiskirti duomenų apsaugos pareigūną?
Susirinkimas atsakymų į šiuos klausimus būtų vienas iš svarbesnių tikslų, kadangi žinant šiuos aspektus yra galima geriau suprasti kaip įmonės viduje yra tvarkomasi su asmens duomenis. Sekantis etapas būtų pasirengimas dokumentacijos, įskaitant ir privatumo politiką bei slapukų užsklandą, jeigu šie yra renkami.
Todėl patarimas būtų toks, jog geriau iš anksto pasirūpinti savo įmonės viduje tvarkomų duomenų saugumu, ko pasėkoje bus ramiau ir tuomet, jeigu pas Jus netikėtai apsilankytų Valstybinė duomenų apsaugos inspekcija su planiniu patikrinimu ar tiesiog dėl gauto suinteresuoto asmens skundo. Susitvarkymas šių klausimų padės Jums atitinkamai išvengti ir didelių baudų sumų, kurios nuo BDAR įsigaliojimo dienos jau yra galimos skirti (maksimali galimos skirti baudos suma – 20 mln. eurų). Praktikoje jau turime ir realų pavyzdį, kuomet įmonei buvo paskirta 61,5 tūkst. eurų bauda.