GDPR – 5 svarbiausi žingsniai

Nėra vieno standartinio proceso ar techninio sprendimo, kuris padėtų visoms organizacijoms užtikrinti atitikimą GDPR reikalavimams. Kiekviena įmonė, įstaiga turi pati įvertinti, kokius asmens duomenis ji valdo ar tvarko, ar visi jie reikalingi kasdieninėje veikloje, kiek laiko reikia saugoti ir ar organizacija galės toliau sėkmingai vykdyti savo veiklą, jei dalį asmens duomenų paprasčiausiai sunaikins ir/arba nerinks, ar tinkamai dokumentuoti procesai, ar įdiegtos teisingos ir efektyvios techninės priemonės.

Kiekvienas asmens duomenų saugumo procesas turėtų būti paremtas dokumentacija, kurioje būtų nurodyta, kokius asmens duomenis organizacija valdo ir apdoroja, kokiais tikslais, iš ko gaunami ir kam perduodami asmens duomenys, kaip užtikrinamas jų konfidencialumas, vientisumas ir prieinamumas, kaip užtikrinamas duomenų teisingumas ir korekcija, kam suteikiama prieiga prie asmens duomenų.

Taip pat organizacija turi įsitikinti, kad yra nustačiusi tinkamas procedūras, kaip aptikti asmens duomenų saugumo pažeidimus, pranešti ir juos ištirti. Tam tikrais atvejais organizacija turės nedelsdama pranešti asmeniui apie asmens duomenų saugumo pažeidimą, t. y., kai dėl tokio pažeidimo gali kilti didelis pavojus duomenų subjekto teisėms ir laisvėms, pavyzdžiui, gali atsirasti finansinių nuostolių.

Kaip suspėti viską įgyvendinti laiku?

Žemiau pateikiame 5 svarbiausius Jūsų žingsnius, kurių turite imtis iki gegužės 28 d.

  • Kokius asmens duomenis valdome?
  • Kodėl mes juos renkame?
  • Ar tikrai žinome kur yra asmens duomenys?
  • Asmens duomenų registras?

Iš kur gauname asmens duomenis?

  • Informacinės sistemos
  • Internetiniai puslapiai
  • Fizinės laikmenos – anketos, registracijos dokumentai, etc.

Kam perduodame asmens duomenis?

  • Informacinės sistemos
  • Fizinės laikmenos: archyvai, trečiosios šalys, etc.

  • Nekontroliuojama prieiga prie asmens duomenų
  • Nesankcionuotas duomenų perdavimas už organizacijos ribų
  • Nežinomos asmens duomenų laikymo vietos

Techninės priemonės

  • Tinklo ir tarnybinių stočių saugumas
  • Duomenų šifravimas
  • Duomenų praradimo prevencija
  • Prieigos kontrolės priemonės
  • Apsauga nuo kenksmingo kodo
  • Įsilaužimo prevencija
  • Incidentų nustatymo sprendimas ir t.t.

Organizacinės priemonės

  • Asmens duomenų valdymas:

Duomenų klasifikavimas

Procesų aprašymas

Informacijos saugos reikalavimai

  • Personalo valdymo procesas:

Mokymai

Konfidencialumo pasižadėjimai

  • Incidentų valdymas

Tik kai visi organizacijos darbuotojai rūpinsis asmens duomenų sauga – efektyviai veiks ir organizacinės, ir techninės asmens duomenų saugumo kontrolės priemonės. Vienas iš efektyvių būdų padidinti asmens duomenų saugumą organizacijoje gali būti asmens duomenų ir informacijos saugumo mokymai visiems darbuotojams.

Taip pat reguliarios (pvz., kartą per mėnesį) trumpos žinutės įvairiomis aktualiausiomis saugumo temomis gali tapti efektyvia priemone priminti darbuotojams apie asmens duomenų ir apskritai informacijos saugos svarbą.