Skaitmeninių technologijų reguliavimas: BDAR, TIS2 ir DI akto aktualijos

Spartus skaitmeninių technologijų vystimasis sukuria ne tik naujas galimybes, bet ir iššūkius, nes jų teisinis reguliavimas tik vejasi skaitmeninę pažangą. Įmonės ir organizacijos vis dažniau atsiduria kelių skirtingų reguliavimų sankirtoje, ypač kalbant apie duomenų saugumą ir incidentų valdymą.

Trumpai apžvelgsime, kaip Bendrasis duomenų apsaugos reglamentas (BDAR), Tinklų ir informacinių sistemų saugumo direktyva (TIS 2) bei Dirbtinio intelekto aktas (DI aktas) formuoja naują teisinę aplinką ir kokių veiksmų reikėtų imtis organizacijoms.

BDAR, TIS 2 ir DI akto lyginamoji lentelė:

Aspektas

BDAR

TIS2

DI aktas

Įsigaliojimas2018 m.

gegužės 25 d.

2023 m. sausio 16 d.2024 m. gegužės 21 d.
Taikymo pradžiaIškart po įsigaliojimoIki 2024 m. spalio 17 d. (perkėlimas į nacionalinę teisę)Po dvejų metų nuo įsigaliojimo (2026 m. viduryje)
Taikymo sritisVisi duomenų valdytojai ir tvarkytojai, tvarkantys ES piliečių asmens duomenisYpatingos svarbos ir kiti svarbūs sektoriai, vidutinės ir stambios įmonėsDI sistemos pagal rizikos kategorijas, įskaitant didelės rizikos ir bendrosios paskirties DI sistemas
Ypač aktualuSektoriams, tvarkantiems didelius kiekius asmens duomenųApima apie 22 000 Lietuvos subjektųDaugeliui sektorių, įveiklinančių DI
SankcijosIki 20 mln. EUR arba 4% metinės apyvartosIki 10 mln. EUR / 2% apyvartos esminėms įmonėms; iki 7 mln. EUR / 1,4% apyvartos svarbioms įmonėmsIki 35 mln. EUR arba 7% metinės apyvartos už aukščiausios rizikos pažeidimus
Pranešimo terminai72 valandosIšankstinis įspėjimas per 24 valandas, pilna ataskaita per 72 valandas, galutinė ataskaita per mėnesįPer 15 dienų, su konkrečiais terminais kritiniams incidentams
Pranešimo slenkstisAsmens duomenų pažeidimas, galintis kelti riziką fizinių asmenų teisėms ir laisvėmsReikšmingas incidentasRimtas incidentas
Incidento apibrėžimasAsmens duomenų pažeidimas – saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami persiųsti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų be leidimo gaunama prieiga| Reikšmingas incidentas – sukėlęs arba galintis sukelti didelių veiklos sutrikimų teikiant paslaugas arba finansinių nuostolių atitinkamam subjektui; paveikęs arba galintis paveikti kitus fizinius ar juridinius asmenis, sukeldamas didelę materialinę ar nematerialinę žaląRimtas incidentas – incidentas arba DI sistemos veikimo sutrikimas, tiesiogiai ar netiesiogiai sukeliantis: asmens mirtį ar sunkią žalą asmens sveikatai; rimtą ir negrįžtamą kritinės infrastruktūros valdymo ar veiklos sutrikimą; ES teisės aktų, skirtų apsaugoti pagrindines teises, pažeidimą; rimtą žalą turtui ar aplinkai

Euopos Sąjunga toliau stiprina trisinę bazę duomenų apsaugą, kibernetinį saugumą ir dirbtinį intelektą.

Duomenų  apsaugos reglamentavimo naujovės

Nors BDAR galioja jau nuo 2018 metų, Lietuvoje nuo 2024 m. liepos 1 d. įsigaliojo Asmens duomenų teisinės apsaugos įstatymo (ADTAĮ) pakeitimai, kurie įneša keletą svarbių naujovių:

  1. Sprendimų viešinimas: Valstybinė duomenų apsaugos inspekcija (VDAI) ir Žurnalistų etikos inspektoriaus tarnyba privalės viešai skelbti visus sprendimus, priimtus atlikus tyrimus dėl duomenų apsaugos pažeidimų. Pažeidimus padariusių įmonių pavadinimai taip pat bus skelbiami viešai.
  2. Išplėstos NVO teisės: Ne pelno siekiančios organizacijos, veikiančios duomenų apsaugos srityje, galės teikti skundus VDAI nepriklausomai nuo duomenų subjekto įgaliojimų.
  3. Darbuotojų teistumo duomenų tvarkymas: Darbdaviams suteikiama galimybė tvarkyti darbuotojų ir kandidatų teistumo duomenis, kai tai būtina dėl teisėtų darbdavio interesų, laikantis nustatytų sąlygų ir apsaugos priemonių.

Pakeitimai gali padidinti reputacinės žalos riziką įmonėms, kurios nesilaiko duomenų apsaugos reikalavimų, todėl turėtų skirti ypatingą dėmesį duomenų apsaugos atitikčiai.

Tinklų ir informacinių sistemų saugumo direktyva (TIS 2)

2023 m. sausio 16 d. įsigaliojo TIS 2 direktyva, kuria siekiama sustiprinti kibernetinį saugumą visoje ES. Iki 2024 m. spalio 17 d. jos nuostatos turi būti perkeltos į Lietuvos teisės aktus. Ši direktyva taikoma:

  • Ypatingos svarbos sektoriams (energetika, transportas, bankininkystė, sveikatos priežiūra ir kt.)
  • Kitiems svarbiems sektoriams (pašto paslaugos, atliekų tvarkymas, maisto gamyba ir kt.)
  • Vidutinėms ir stambioms įmonėms (50+ darbuotojų, 10+ mln. EUR metinė apyvarta)

Nustatomi škie pagrindiniaireikalavimai įmonėms

  • Įgyvendinti technines, operatyvines ir organizacines kibernetinio saugumo priemones
  • Pranešti apie didelius kibernetinio saugumo incidentus
  • Užtikrinti veiklos tęstinumą ir tiekimo grandinės saugumą

Už reikalavimų nesilaikymą gali būti skiriamos didelės baudos – iki 10 mln. EUR arba 2% metinės apyvartos.

Dirbtinio intelekto aktas

2024 m. rugpjūčio 1 d. įsigaliojo ES Dirbtinio intelekto aktas (DI aktas) – pirmasis pasaulyje teisės aktas, reglamentuojantis DI technologijų naudojimą. Nors daugelis nuostatų įsigalios tik 2026 metais, kai kurie reikalavimai bus taikomi jau nuo 2025 m. vasario:

  1. Draudžiama DI praktika: Uždraudžiamos DI sistemos, kurios manipuliuoja žmonių elgesiu, išnaudoja pažeidžiamumą ar kuria masines biometrines duomenų bazes.
  2. DI raštingumas: Įmonės privalo užtikrinti, kad darbuotojai, dirbantys su DI sistemomis, turėtų pakankamą raštingumo lygį šioje srityje.

DI aktas numato griežtas sankcijas už pažeidimus – baudos gali siekti iki 35 mln. EUR arba 7% įmonės metinės apyvartos.

Keletas patarimų, padėčiansčių pasiruošti šiems pokyčiams:

  1. Įvertinkite, ar jūsų įmonė patenka į naujų reguliavimų taikymo sritį.
  2. Peržiūrėkite ir atnaujinkite duomenų tvarkymo, kibernetinio saugumo ir DI naudojimo praktikas.
  3. Investuokite į darbuotojų mokymą ir kompetencijų kėlimą.
  4. Sukurkite arba atnaujinkite vidines politikas ir procedūras, atitinkančias naujus reikalavimus.
  5. Reguliariai atlikite rizikų vertinimą ir stebėkite teisės aktų pokyčius

Skaitmeninių techlnologijų pažanga, jų taikymo problematika, formuojama praktika ir  BDAR, TIS2 ir DI akto teisinė bazė, reikalauja iš organizacijų visapusiško požiūrio į duomenų apsaugą, kibernetinį saugumą ir atsakingą DI naudojimą. Nors atitikties užtikrinimas kelia nemažai iššūkių, tai taip pat atveria galimybes organizacijoms sustiprinti savo pozicijas rinkoje, kelti klientų pasitikėjimą ir taikyti inovacijas ir jų pagalbą gerinti veiklos rezultatus,

Organizacijos turėtų vertinti šiuos reguliavimus ne tik kaip teisinę prievolę, bet ir kaip galimybę optimizuoti veiklą, sustiprinti duomenų valdymo praktikas ir kurti patikimesnes, saugesnes sistemas. Geriausia pokyčiams pradėti ruoštis jau šiandien ir užtikrinti ne tik atitiktį, bet ir aukštą saugumo, privatumo, teisėto ir etiško DI taikymo standartą savo veikloje.

 

JUMS GALI BŪTI AKTUALŪS ŠIE MOKYMAI:

dirbtinis-intelektas
Dirbtinis
intelektas
3 ak. val.
95€ (+ PVM)
Dirbtinio intelekto valdymas organizacijoje: teisiniai aspektai
Katerina Jarmolovičienė
Katerina Jarmolovičienė
  • 2024-11-26 Nuotoliniai mokymai
  • 2024-11-26 Vilnius
Plačiau
Kontaktai

Susisiekime
UAB „Mokesčių srautas“
Sėlių g. 33, Vilnius
Pašto kodas: 08109
info@countline.lt
+370 5 263 9922
+370 5 205 3292
+370 5 205 3296
+370 5 200 0595

Rekomenduojame
Naudingos nuorodos
Skubantiems
+370 5 263 9922
Darbo dienomis: 08:00 - 17:00

© Mokesčių Srautas, Sėlių g. 33, 08109 Vilnius. Tel.: +370 5 263 9922. Įmonės kodas: 124388313, PVM mokėtojo kodas: LT243883113, Registras: VĮ Registrų centras.