Asmens duomenų apsauga
Nuo 2018 m. gegužės 25 d. pradėtas taikyti Bendrasis duomenų apsaugos reglamentas (toliau tekste – BDAR arba Reglamentas). Šiuo Reglamentu nustatomos taisyklės, susijusios su fizinių asmenų apsauga tvarkant jų asmens duomenis.
Pagal BDAR 4 straipsnyje pateikiamą apibrėžimą, duomenų tvarkymas yra bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip antai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas.
Reglamento nuostatų pažeidimas (priklausomai nuo pažeidžiamų nuostatų) gali užtraukti administracinę baudą, kurios maksimalus dydis svyruoja nuo 10 000 000 EUR iki 20 000 000 EUR, arba įmonės atveju – nuo 2 % iki 4 % jos ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, priklausomai nuo to, kuri suma yra didesnė.
BDAR išplečia įmonių duomenų apsaugos pareigas:
- Dauguma įmonių periodiškai turi atlikti poveikio duomenų apsaugai vertinimus.
- Įmonėms reikia vesti išsamią asmens duomenų tvarkymo dokumentaciją (vien Asmens duomenų tvarkymo taisyklių tikrai nepakanka).
- Iš esmės visos įmonės turės paskirti duomenų apsaugos pareigūną (arba pirkti duomenų apsaugos pareigūno paslaugas).
- Įmonės turi nedelsiant informuoti priežiūros instituciją, o kai kuriais atvejais ir duomenų subjektus, apie duomenų pažeidimo incidentus.
- Įmonės turi turėti BDAR atitinkančius duomenų subjektų (klientų, vartotojų, darbuotojų, etc.) sutikimus ir užtikrinti duomenų subjektų teises.
Asmens duomenų tvarkymas ir apsauga yra būtina efektyvios įmonės veiklos dalis. Asmens duomenų apsauga yra žinių valdymo proceso įmonėje dalis. Efektyvi organizacija privalo:
- valdyti žinias ir informaciją, užtikrinti jų saugumą ir tinkamą vadybą;
- maksimaliai laikytis organizacijos be popieriaus principų, kas ženkliai palengvina ir supaprastina visus procesus;
- pasirinkti ir taikyti racionalias bei proporcingas žinių ir informacijos apsaugos priemones.
Įmonės ar organizacijos tvarkomi asmens duomenys, kaip ir kita informacija, yra jos turtas ir pagrindas sėkmingai veiklai, dėl to reikia jį saugoti. Asmens duomenys gali būti prarandami tiek dėl piktavališkų išorinių poveikių, tiek ir dėl pačios įmonės aplaidumo. Kad to išvengti, svarbu aiškiai žinoti tvarkomus duomenis ir imtis tinkamų apsaugos priemonių.
Įmonių ar organizacijų tvarkomi asmens duomenys paprastai yra susiję su darbuotojais, vartotojais, klientais ar pacientais. Dalis tokių duomenų yra jautrūs ir intymūs asmens duomenys, įstatymiškai vadinami ypatingais asmens duomenimis. Šių duomenų saugumo užtikrinimas ir asmenų privatumo gerbimas yra labai svarbi verslo dalis. Įmonės ar organizacijos privalo rūpintis savo klientų teisėmis ir interesais.
Asmens duomenų apsauga prisideda prie įmonės ar organizacijos reputacijos kūrimo bei pasitikėjimo įmone užtikrinimo. Ignoruodami duomenų apsaugą palaipsniui prarandate pasitikėjimą, reputaciją, vėliau netenkate klientų ir pajamų.
Įmonės, aplaidžiai tvarkančios asmens duomenis ir nevykdančios privalomų pagal įstatymus pareigų, duomenų praradimo atveju yra atsakingos už savo klientų teisių pažeidimą, joms gresia didelės administracinės baudos, taip pat pretenzijos dėl civilinės žalos asmeniui atlyginimo.
Duomenų apsaugos auditas
Duomenų apsaugos auditas bent kartą per 1-2 metus turėtų būti atliktas kiekvienoje įmonėje ar organizacijoje. Diegiant naujus IT sprendimus, pradedant naują įmonės veiklą ar projektą, kuriame bus tvarkomi asmens duomenys taip pat turi būti atliekamas poveikio duomenų apsaugai vertinimas. Poveikio duomenų apsaugai vertinimą sudaro ribotos apimties duomenų apsaugos auditas, sprendimų parinkimas ir jų poveikio (galimų duomenų apsaugos pokyčių) analizė.
Duomenų apsaugos auditas yra verslo planavimo ir žinių valdymo įmonėje dalis. Jis gali atsakyti tik duomenų apsaugos klausimus, bet ir suformuluoti strateginius verslo sprendimus ir padėti nustatyti prioritetus, optimizuoti žinių valdymą, identifikuoti bendras įmonės žinių valdymo problemas, kibernetinio saugumo spragas. Auditas leidžia pasirinkti bei taikyti tinkamas duomenų apsaugos kietąsias ir minkštąsias priemones, nustatyti, kokią dokumentaciją ji turi tvarkyti, pasirinkti tinkamus darbuotojų mokymus.
Duomenų apsaugos auditai ir poveikio duomenų apsaugai vertinimai yra privaloma ir periodinė atitikties Reglamentui dalis.
Duomenų apsaugos auditas yra esamos situacijos įmonėje ar organizacijoje analizė. Pagrindiniai duomenų apsaugos audito žingsniai yra:
- Įmonės (ar įmonių grupės) duomenų tvarkymo tikslų identifikavimas.
- Įmonės (ar įmonių grupės) tvarkomų duomenų identifikavimas.
- Įmonės (ar įmonių grupės) duomenų tvarkymo priemonių (paprastai tai informacinės sistemos) identifikavimas.
- Įmonės (ar įmonių grupės) duomenų srautų identifikavimas.
- Įmonės pareigybių, tvarkančių asmens duomenis, identifikavimas ir jų teisių identifikavimas.
- Esamų techninio ir organizacinio saugumo priemonių inventorizacija.
Praktiškai atlikus duomenų apsaugos auditą galima identifikuoti brangius ir perteklinius įmonių procesus, padėti įmonėms įdiegti bepopierinius procesus, taip mažinant sąnaudas, didinant organizacijos greitį ir efektyvumą.