Ar apskaitos programa atitinka BDAR reikalavimus?

MooreStephens.lt vadovė, auditorė Danguolė Pranckėnienė ir B1.lt vadovas Filip Borcov kalba apie apskaitos programinės įrangos atitiktį Bendrojo duomenų apsaugos reglamento (BDAR) reikalavimams. Interviu vyko prieš penketą metų, kai BDAR taisyklės, ir baudos už jų pažeidimus, dar buvo naujiena, tačiau kai kurios mintys ir pasiūlymai aktualūs ir šiandien. Visada įdomu patikrinti, kurios prognozės ir mintys pasitvirtino, o kurios ne. 

• Jūsų tiekėjai privalo atitikti BDAR

D. Pranckėnienė: „Filipai, mes naudojame apskaitos programą B1. Mums svarbu, kad duomenų tvarkytojai, su kuriais mes bendradarbiaujame, turėtų ir vadovautųsi BDAR ir kitus reikalavimus atitinkančias duomenų saugojimo ir tvarkymo tvarkas. Nes ir klientams esame įsipareigoję. Kaip B1 susitvarkė su BDAR?“.

F. Borcov: „Kadangi Jūs įpareigojote mus kaip tiekėjus, mes taip pat turime savo tiekėjus ir žmones įpareigoti. Todėl pirmiausiai pradėjome stebėti savo tiekėjus, kokiems reikalavimams jie atitinka: kur laiko serverius, ką jie nurodo, ar yra duomenų tvarkytojai, ar valdytojai. Žinoma mes negalime suteikti reikalavimų kokiam „Amazon“, tačiau mes rinkdamiesi tarp „Google“ ar „Amazon“ jau vertiname ar jie atitinka reikalavimus, taigi, atsiranda dar vienas kriterijus“.

D. Pranckėnienė: „Manau mes dar turime ir tarpusavyje pasirašyti susitarimą dėl duomenų“.

F. Borcov: „Susitarimas jau yra. Jūs kai patvirtinate registraciją ar atliekate mokėjimą, susipažįstate ir sutinkate su mūsų sąlygomis. O mūsų sąlygose yra numatyta, kokius įsipareigojimus turite Jūs ir kokius mes. Ir ten aprašyta visa atitiktis BDAR reikalavimams“.

• Apskaitos įmonės privalo rūpintis BDAR

D. Pranckėnienė: „Kai mes tik pradėjome naudotis Jūsų programa, aš labai domėjausi kur Jūs saugote duomenis. Nes debesyse yra ne viskas. Debesys Airijoje ar Brazilijoje – yra skirtumas. Aš kaip Europos Sąjungoje veikiančios apskaitos įmonės vadovė negaliu leisti, kad mano klientų duomenys būtų saugomi ne Europos Sąjungoje. Man tai reikia žinoti“.

F. Borcov: „Mes duomenis saugome Lietuvoje. Pagrindinę informaciją. Dalį saugome „Amazon“. Mes esame labai stiprūs dėl to, kad aptarnaujame tūkstančius „hostingo“ kompanijų visame pasaulyje, todėl žinome informacijos saugojimo taisykles skirtingose šalyse. Atrodo, kad Europos sąjunga yra lyderė, bet iš tikrųjų šis įstatymas Rusijoje jau buvo seniai“.

D. Pranckėnienė: „Kinijoje buvo skandalas, kai amerikiečiai norėjo patikrinti kompanijos Kinijoje audito duomenis. Ji yra didelė, biržoje veikianti, įmonė. Kinija neleido išvežti duomenų iš Kinijos.“.

F. Borcov: „Kinija kaip siena, šiuo klausimu. Rusijoje, kiek man teko susidurti, kontrolė yra daug didesnė negu Kinijoje. Manau, kad logiška jog kiekviena valstybė turėtų stengtis visus duomenis laikyti pas save. Pavyzdžiui Lietuva gan neblogai išsisprendė su serveriais. Latviai šiek tiek blogiau, o Jugoslavijoje apie 90 % duomenų nueina į Vokietiją ir Nyderlandus“.

• Apskaitos įmonės ir buhalteriai yra duomenų tvarkytojai ir valdytojai

D. Pranckėnienė: „Apskaitos įmonėms tam, kad sudarytų sutartį su paslaugos teikėju, reikia labai daug žinoti. Nėra jokių rekomendacijų“.

F. Borcov: „Man atrodo, kad reikia skaityti taisykles, ką paslaugos teikėjas, potencialus ar esamas, skelbia. Kaip pavyzdžiui, mes norėjome pasirašyti sutartį su banku, ir bankas mums atsiuntė dviejų šimtų klausimų klausimyną. Mes atsakėme. Mažiau nei per savaitę, banko darbuotojas parašė: „atsiprašome, čia buvo seni klausimai. Gal galite užpildyti šiuos?“. Ir atsiuntė 200 naujų klausimų. Dabar su BDAR yra išprotėjimas. Mes prie kai kurių duomenų esame duomenų valdytojai, kai kurių duomenų tvarkytojai“. 

• Ar verta daryti BDAR auditą?

D. Pranckėnienė: „Mes dabar pasirašėme sutartį su įmone dėl konsultavimo. Sutartis vienkartinė. Įmonė atsiuntė dokumentą, pagal kurį jie prašo įsipareigoti priimti duomenų apsaugos pareigūną ir sumokėti papildomai už jo paslaugas. Pabaigėme paslaugą, duomenis ištrynėme“.

F. Borcov: „Mes pabandėme padaryti auditą. Suradome įmonę, kuri teikia tokias paslaugas. Įkainiai nemaži, pora tūkstančių eurų. Klausiame jų, ar gali mums padaryti auditą, dokumentų mums nereikia, nes pasens per savaitę, bet norime gauti rekomendacijas kaip tinkamai tvarkyti šią sritį. Jie atsiuntė mums klausimyną, mes sakome viskas gerai, bet norime pabendrauti su duomenų apsaugos pareigūnu, pasikalbėti apie tai kodėl tie klausimai ir pan. Nesuradome. Ta prasme, kad standartiniai klausimai ir pagal jų atsakymus jie turi paruošę dokumentų rinkinius“.

• Ar apskaitos įmonė turi panaikinti duomenis klientui išėjus?

D. Pranckėnienė: „Apskaitą suvedei ir klientas išeina. Tu turi sunaikinti duomenis, o jeigu po kurio laiko kyla ginčas. Tai kiek laiko tuos duomenis reikia saugoti?“

F. Borcov: „Darbuotojas turi duoti sutikimą, kad leidžia naudoti duomenis?“.

• Nereikia sutikimo renkant ir saugant teisėtus duomenis

D. Pranckėnienė: „Jeigu yra teisėti pagrindai, sutikimo nereikia. Tu turi 50 metų saugoti darbuotojo duomenis. Toks įstatymas Ir nereikia sutikimo“.

F. Borcov: „Noriu, kad SEB ištrintų visus mano duomenis“.

D. Pranckėnienė: „Problema ta, kad dabar visos sistemos paremtos asmens duomenimis, asmens kodais ir panašiai. Tau paprašius, turi ištrinti, kad užtikrinti duomenų saugumą. Sakykime, kaip sveikatos centruose. Paprašei, duomenis ištrynė, o praėjus dviems metams, paaiškėjo, kad ne tokius vaistus suleido ir netaip gydė. Ir reikia sužinoti dėl ko kilo tau kokios komplikacijos. Ir kas tada, kaip ši pusė?“.

• Ar pasikeitus taisyklėms reikia supažindinti visus?

F. Borcov: „Slidi riba yra taisyklių atnaujinimas“.

D. Pranckėnienė: „Ir turi su visais atnaujinimai supažindinti“.

F. Borcov: „Taip, turiu pranešti, bet, sakykime, tu atsisakei prenumeratos. Kaip aš tau pranešiu? Paskambinsiu? O taisyklėse prisidėjo viena eilutė, turiu pranešti, ar neturiu pranešti, pamiršau kablelį?“. 

• Savo vartotojus ir klientus — turite teisę supažindinti su savo reklama

D. Pranckėnienė: „Teisininkai sako, kad metus laiko po tai kai nutrūksta kliento ir paslaugų teikėjo santykiai, dar galima klientą informuoti apie įmonės produktus. Sakykime, jis dalyvavo seminare ir tada tu metus laiko siunti jam reklamą. Ir jų nereikia klausti, ar sutinka, ar nesutinka“.

• Negalite daryti šaltų skambučių

F. Borcov: „Jeigu aš sakau: O, Jonai, pameni, mes prieš du metus seminare dalyvavome kartu, kartu kavos gėrėme? O jeigu tokių laiškų 12.000?“.

D. Pranckėnienė: „Jeigu tu sakai, kad, Jonai, mes prieš du metus kartu mokėmės, tai tu gali paskambinti, bet tu negali paskambinti Petrutei ir sakyti, kad turime naują programą. Šaltų skambučių negalima daryti“.

F. Borcov: „O iš kur tada nauji klientai?“.

D. Pranckėnienė: „O pagal BDAR, kam tau tie nauji klientai?“. 

• Kaip gauti kompensaciją už neužsakytą laišką

F. Borcov: „Klausimas ką su tuo daryti. Dabar prašyti kompensacijos, nes gavau naujienlaiškį? Dabar kas bus kaltas už naujienlaiškio siuntimą: užsakovas, siuntėjas?“

D. Pranckėnienė: „Ne, dabar galima pasiskųsti kažkam, kas ateis ir patikrins kur tu mano duomenis naudoji“.

F. Borcov: „Sakykime, laiškus siunčia viena kompanija, duomenis pardavė kita kompanija, o užsakovas dar trečia kompanija“.

D. Pranckėnienė: „Jokių pardavimų. Tu kai darai taisykles, turi nurodyti, kad iš teisėtų šaltinių gavai sąrašus. Tu negali pirkti sąrašų“.

• Ar galima panaikinti smeižtą?

F. Borcov: „Ar galima panaikinti šmeižtą? Rusijoje buvo apie diskutuojama. Man patiko jų pokalbiai, keli pavyzdžiai: ar el.paštas yra asmens duomenys? Tarkim, esu [email protected], prašome mane identifikuoti? Arba jeigu tavęs prašo asmens dokumento, paprašyk leidimo tvarkyti tavo asmens duomenis ir visur praeisi be paso“.

• Kodėl nėra centrinio registro taisyklėms ir slapukams?

F. Borcov: „Esame IT įmonė ir tikrai suprantame slapukų politiką. Ir vistiek teisininkams sumokėjome triženklę sumą, kad jie mums atsakytų į klausimus, kurie mus domina. Jie labai padėjo, atsakė. Bet man įdomu, kad su slapukais, kaip ir taisyklėmis. Aš užsiregistravau ir pasikeitė taisyklės, įrodyk, kad prieš du metus buvo tokios taisyklės. Nėra jokio centrinio registro“.

• Ar VMI privalo pateikti visus duomenis, kuriuos saugo apie Jus?

D. Pranckėnienė: „Slapukai yra BDAR politikos dalis. Aš turiu kitą patirtį. Kaip apskaitos įmonė kreipiausi į VMI norėdama, sužinoti, kas mus VMI nurodė kaip apskaitos įmonę. Jie atsakė, kad tai paslaptis. Aš galvoju, kad juokauja, nes antstolis prašo pateikti duomenis apie įmonę, apie kurią net negirdėjau. Pasirodo, prieš kelis metus, atėjo žmogus derėtis dėl mūsų apskaitos paslaugų pirkimo. Apsikeitėme vizitinėmis. Ir jis mus VMI nurodė, kaip jo apskaitą tvarkančią įmonę, nes mūsų sutikimo, kad mes sutinkame tvarkyti mokesčių mokėtojo apskaitą, nereikia. Jokia sutartis nebuvo pasirašyta. Tai kai aš gavau sąrašą, kam neva mes vedame apskaitą, man akys ant kaktos iššoko. Sąraše nurodytos įmonės, kurių jau šešis metus nematėme, seniausiai atsiskaitę ir perdavę dokumentus esame. Tai yra klaiku ir aš, kaip direktorė, neturiu teisės gauti šios informacijos“.

• Ar buhalteris namie turi atitikti BDAR reikalavimams?

F. Borcov: „Ar buhalterė, kuri viena namie dirba, turi atitikti BDAR reikalavimus? Ji gaunasi ir duomenų valdytoja, ir tvarkytoja.“.

D. Pranckėnienė: „Bet tu pagalvok, kiek jai reikia įdėti darbo, kad atitikti BDAR taisyklėms. O gal mažoms įmonėms nebus taikomos BDAR taisyklės?“.

F. Borcov: „Buhalterė vienareikšmiškai turi žinoti kas yra BDAR. Anksčiau visi žinojo, kad blogai pavogti mašiną, dabar visi turi žinoti, kad duomenys taip pat yra turtas ir, kad duomenų negalima viešinti. Tad buhalterė privalo tai žinoti ir turi juos saugoti, t.y. rūpintis, kad jie nedingtų. Manau, jeigu būtų centrinis registras, viskas būtų aiškiau. Tarkim, centriniame registre numatyta, kad taisyklės gali būti keičiamos nedažniau nei kartą per metus, ar pusmetį, arba nurodyta, kad, sakykime, Filipas neturi prenumeratos, o jam atėjo iš kokios įmonės naujienlaiškis, jis gali parodyti tą laišką ir kreiptis dėl duomenų apsaugos, kodėl gavo tą laišką ir pan.“.

Ačiū už pokalbį!