BDAR: Lietuva ruošiasi

BDAR: Lietuva ruošiasi

2017-10-11

2018 m. paskutinę pavasario savaitę, tiksliau, gegužės 25 dieną, įsigalios Bendrasis duomenų apsaugos reglamentas (BDAR) (angliškai General Data Protection Regulation – BDAR), kuris reguliuos asmens duomenų apsaugą, t. y. sritį, kurią ligi šiol dažna įmonė Lietuvoje vertindavo gana formaliai.

Tad jei norite pasimėgauti kitų metų vasara ir svajojate, kad atostogų planai įvyktų (ir antra pusė būtų laiminga), – pradėkite ruoštis jau dabar. Viena iš pagrindinių priežasčių, kodėl dauguma bendrovių pradėjo galvoti apie reglamento reikalavimų įgyvendinimą, – baudos už netinkamą asmens duomenų valdymą ir jų praradimą. Baudos gali sudaryti iki 20 mln. eurų arba 4 proc. įmonių grupės metinės apyvartos. Jei baudą galima išmatuoti pinigais kiek tūkstančių eurų įvertintumėte reputaciją, prarastą partnerių ir klientų pasitikėjimą, konkurencinį pranašumą?

Laukia 9 pasirengimo mėnesiai

2017 m. liepą Atea apklausė daugiau nei 100 didžiausių Lietuvos organizacijų IT vadovus. Vienas iš klausimų buvo – ar Jūsų organizacija pasiruošusi įgyvendinti 2018 metais įsigaliosiančio Bendrojo duomenų apsaugos reglamento (BDAR) reikalavimus? Atsakymai nenustebino. Su BDAR reikalavimais nesusipažino 4 proc. respondentų. Vos 2 proc. įmonių jau tvarko asmens duomenis pagal BDAR reikalavimus ir tik 18 proc. vykdo pasiruošimo darbus pagal patvirtintą planą. Pasirengimas BDAR reikalavimams gali reikalauti žmogiškųjų išteklių, finansinių investicijų, bet tinkami pakeitimai gali sumažinti asmens duomenų valdymo rizikas ir pagerinti bendrą organizacijos asmens duomenų ir verslo informacijos saugumo suvokimą ir kultūrą.

Keli patarimai kaip pasirengti dabar

Išplėstas taikymas. Reikalavimai taikomi bet kuriai organizacijai, kuri tvarko arba apdoroja Europos Sąjungos piliečių asmens duomenis, neatsižvelgiant į tai, kurioje šalyje yra organizacijos fizinė buveinė.

Sutikimas. Organizacijos turi gauti iš asmens aiškų sutikimą asmens duomenų saugojimui ir naudojimui, taip pat turi būti paaiškinta, kokiems tikslams šie duomenys bus panaudoti.

Privalomas informavimas apie saugumo pažeidimus. Organizacijos privalės informuoti atsakingas institucijas apie asmens duomenų saugumo pažeidimus per 72 val. nuo pažeidimo nustatymo laiko, nebent yra mažai tikėtina, kad toks įvyks turės įtakos „asmenų teisėms ir laisvei“.

Teisė susipažinti su tvarkomais duomenimis. Organizacijos privalės pateikti asmenims informaciją apie tai, kokius asmens duomenis jos valdo, kur saugo ir kokiu tikslu.

Teisė būti pamirštam. Europos Sąjungos piliečiai turės teisę pareikalauti duomenų valdytojo ne tik panaikinti savo asmens duomenis, bet ir sustabdyti dalijimąsi su trečiosiomis šalimis.

Pritaikytoji duomenų apsauga ir poveikio duomenų apsaugai vertinimas. Vienas iš didžiausių pokyčių asmens duomenų tvarkymo procese, kuris nurodo, kad duomenų saugumas turi būti integruotas į procesus ir sprendimus nuo pat jų iniciavimo pradžios.

Galimybė perkelti duomenis. Naujasis reglamentas suteikia teisę asmenims perkelti savo asmens duomenis iš vieno valdytojo (paslaugos tiekėjo) pas kitą. Organizacijos turi užtikrinti, kad galės pateikti valdomus asmens duomenis Europos Sąjungos piliečiui dažniausiai naudojamu, priimtinu elektroniniu formatu.

Duomenų apsaugos pareigūnas (DAP). Duomenų valdytojas ir duomenų tvarkytojas turi pareigą paskirti duomenų apsaugos pareigūną, kai duomenų valdytojo ir duomenų tvarkytojo veikla atitinka visus šiuos kriterijus:

  • Pagrindinė veikla – asmens duomenų tvarkymas;
  • Reguliarus ir sistemingas duomenų subjektų stebėjimas;
  • Duomenų subjektų stebėjimas vykdomas dideliu mastu.

Arba duomenų valdytojas ar duomenų tvarkytojas turi pareigą paskirti duomenų apsaugos pareigūną, kuris atitinka visus šiuos kriterijus:

  • Pagrindinė veikla – specialių kategorijų duomenų tvarkymas arba asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymas;
  • Duomenų tvarkymas atliekamas dideliu mastu.

Tinkamas pasirengimas

Akivaizdu, kad yra keletas svarbiausių sričių, kurios turės didelės įtakos BDAR reikalavimų įgyvendinimui. Daug reikalavimų gali būti įgyvendinta gana greitai ir paprastai. Bet kai kurių reikalavimų įgyvendinimas gali pareikalauti didelių investicijų, turėti įtakos IT, personalui, komunikacijai ir organizacijos valdymui bendrai. Vadovybės ir svarbiausius sprendimus priimančių asmenų palaikymas yra kritiškai svarbus siekiant užtikrinti sėkmingą reikalavimų įgyvendinimą.

Sekantis svarbus žingsnis daugeliui organizacijų yra susidaryti aiškų vaizdą apie asmens duomenų valdymo procesą. Tai galima pasiekti nustačius:

  • Kokie asmens duomenys yra valdomi visoje organizacijoje;
  • Kokie sutikimai gauti iš asmens duomenų savininkų;
  • Kokios sistemos ir procesai įtraukti į asmens duomenų valdymą;
  • Iš kur asmens duomenys yra gaunami ir kam perduodami už įmonės ribų (įtraukiant trečiąsias šalis ir kitas valstybes);
  • Kaip asmens duomenys yra apsaugomi visame duomenų gyvavimo cikle.

Vienas didžiausių iššūkių organizacijoms yra nustatyti organizacijoje esančius asmens duomenis ir kaip jie yra valdomi. Sudėtingos sistemos, nedokumentuoti procesai, informacinės sistemos, nepalaikančios visų organizacijos veiklai reikalingų funkcijų ir panašios problemos verčia darbuotojus ieškoti kitų kelių atlikti pavestas funkcijas, naudojant organizacijos valdomą informaciją, tame tarpe ir asmens duomenis, nesilaikant organizacijos vidinių reikalavimų. Dažnas atvejis, kuomet organizacijos atstovai teigia, kad asmens duomenys turėtų būti saugomi tik pagrindinėje duomenų bazėje, prieiga yra kontroliuojama ir jie yra visiškai užtikrinti, kad daugiau niekur asmens duomenys nėra saugomi ar apdorojami. Bet gilesnė analizė, pokalbiai su darbuotojais, kurie kasdien dirba su asmens duomenimis, procesų vertinimas parodo, kad situacija yra kitokia. Dėl kažkokių priežasčių darbuotojams yra suteikta tiesioginė ir nekontroliuojama prieiga prie pagrindinės duomenų bazės, asmens duomenys yra saugomi kompiuterinėse darbo vietose, iš kurių asmens duomenys gali būti nekontroliuojamai įrašyti į išorines duomenų laikmenas, perduoti trečiosioms šalims, įkelti į debesį ir t.t. Kitaip sakant, atsiranda daug asmens duomenų saugos rizikų, kurių organizacija nenumatė, nematė ir kurias reikia valdyti. Kiti asmens duomenų valdymo rizikos faktoriai gali būti:

  • Informacinės sistemos, įrašančios asmens duomenis į žurnalinius įrašus;
  • Išorinės sistemos, perduodančios asmens duomenis, kurių nereikia organizacijos veiklai vykdyti;
  • Ilgalaikis saugojimas asmens duomenų, kurių organizacija nenaudoja;
  • Ne visada aišku, kam perduodami ir iš ko gaunami asmens duomenys.

Svarbu įvertinti, ar saugomi ir apdorojami asmens duomenys yra gauti su asmens sutikimu ir naudojami tik tam tikslui, kuriam asmuo davė sutikimą. Kartais organizacijos kaupia perteklinius asmens duomenis, kuriuos surenka vadovaudamasi istoriškais procesais. Būtina įvertinti, ar tikrai visi valdomi asmens duomenys reikalingi organizacijos veiklai užtikrinti ir vadovautis „Jeigu nereikia – nesaugokime“ principu. Mažesnis valdomų asmens duomenų kiekis sumažina asmens duomenų saugumo rizikas.

Trūkumų analizė

Nėra vieno standartinio proceso ar techninio sprendimo, kuris padėtų visoms organizacijoms užtikrinti atitikimą GDPR reikalavimams. Kiekviena įmonė, įstaiga turi pati įvertinti, kokius asmens duomenis ji valdo ar tvarko, ar visi jie reikalingi kasdieninėje veikloje, kiek laiko reikia saugoti ir ar organizacija galės toliau sėkmingai vykdyti savo veiklą, jei dalį asmens duomenų paprasčiausiai sunaikins ir/arba nerinks, ar tinkamai dokumentuoti procesai, ar įdiegtos teisingos ir efektyvios techninės priemonės.

Kiekvienas asmens duomenų saugumo procesas turėtų būti paremtas dokumentacija, kurioje būtų nurodyta, kokius asmens duomenis organizacija valdo ir apdoroja, kokiais tikslais, iš ko gaunami ir kam perduodami asmens duomenys, kaip užtikrinamas jų konfidencialumas, vientisumas ir prieinamumas, kaip užtikrinamas duomenų teisingumas ir korekcija, kam suteikiama prieiga prie asmens duomenų. Trūkumų analizės metu organizacija turi įvertinti, ar visi BDAR reikalavimai yra atspindėti esančioje dokumentacijoje, kokie procesai reikalauja pokyčių ir kaip tai įtakos organizacijos veiklą. Atitinkamas dėmėsis turi būti skirtas techninių priemonių įgyvendinimo reikalavimų aprašymui.

Trūkumų vertinimo metu turi būti įvertintas esamų techninių sprendimų efektyvumas ir atitikimas dokumentuotiems asmens duomenų saugumo reikalavimams. Kartais užtenka nedidelių pokyčių informacinėje sistemoje arba techniniame sprendime, siekiant suvaldyti asmens duomenų saugumo rizikas, bet kartais gali prireikti ir didesnių pokyčių, reikalaujančių nemažų investicijų ir žmogiškųjų resursų.

Taip pat organizacija turi įsitikinti, kad yra nustačiusi tinkamas procedūras, kaip aptikti asmens duomenų saugumo pažeidimus, pranešti ir juos ištirti. Tam tikrais atvejais organizacija turės nedelsdama pranešti asmeniui apie asmens duomenų saugumo pažeidimą, t. y., kai dėl tokio pažeidimo gali kilti didelis pavojus duomenų subjekto teisėms ir laisvėms, pavyzdžiui, gali atsirasti finansinių nuostolių.

 

Silpniausia grandis – žmogus

Trūkumų analizė parodo organizacijos silpnąsias vietas asmens duomenų valdymo srityje. Esamos situacijos tobulinimo proceso metu būtina vadovautis protingumo kriterijumi – pastangos apsaugoti valdomus ar apdorojamus asmens duomenis turi būti adekvačios saugomos informacijos vertei.

Vienas iš efektyvių būdų padidinti asmens duomenų saugumą organizacijoje gali būti asmens duomenų ir informacijos saugumo mokymai visiems darbuotojams.

„Kad ir kokios geros techninės ir organizacinės priemonės būtų įdiegtos organizacijoje, žmogus yra viena silpniausių grandžių visame asmens duomenų ir informacijos saugumo valdymo procese. Darbuotojai nelinkę laikytis saugumo reikalavimų, kurie jiems gali pabloginti darbo sąlygas. Todėl saugos mokymų metu darbuotojams turėtų būti išdėstoma, ko organizacija siekia įdiegdama naujus procesus, naujas technines priemones ir Atea atstovas. Informacijos saugos mokymai turi būti reguliarūs, kartojami ne rečiau kaip 1 kartą per metus, siekiant atnaujinti darbuotojų žinias ir supažindinti su naujausiomis grėsmėmis ir įdiegtomis organizacinėmis bei techninėmis saugumo priemonėmis.

Reguliarios (pvz., kartą per mėnesį) trumpos žinutės įvairiomis aktualiausiomis saugumo temomis gali tapti efektyvia priemone priminti darbuotojams apie asmens duomenų ir apskritai informacijos saugos svarbą.

Tik kai visi organizacijos darbuotojai rūpinsis asmens duomenų sauga – efektyviai veiks ir organizacinės, ir techninės asmens duomenų saugumo kontrolės priemonės, o vadovai galės ramiai išeiti atostogauti.

Jurij Šugalskij
IT konsultacijų verslo vystymo vadovas