Kas tai? Eksperto įžvalgos

Kokias priemones turi taikyti kiekviena asmens duomenis tvarkanti organizacija? 

Reklama publikuota: 2020-03-03
Verslo ginčų advokatų kontoros „Jurex“ teisininkė Viktorija Aponavičiūtė.
svg svg
Verslo ginčų advokatų kontoros „Jurex“ teisininkė Viktorija Aponavičiūtė.

Kokias organizacines ir technines saugumo priemones turi taikyti kiekviena asmens duomenis tvarkanti organizacija? Atsako „Darbo teisės vadovo“ viena iš autorių, verslo ginčų advokatų kontoros „Jurex“ teisininkė Viktorija Aponavičiūtė.

Bendrajame duomenų apsaugos reglamente (BDAR) ne kartą akcentuojama pareiga imtis tinkamų techninių ir organizacinių priemonių asmens duomenų saugumui užtikrinti, tačiau beveik neužsimenama apie tai, kokios priemonės yra laikomos tinkamomis. Naštą sprendžiant dėl tinkamų priemonių taikymo gali palengvinti praėjusių metų pabaigoje Valstybinės duomenų apsaugos inspekcijos po viešųjų konsultacijų paskelbta galutinė Tvarkomų asmens duomenų saugumo priemonių ir rizikos vertinimo gairių duomenų valdytojams ir duomenų tvarkytojams versija. Gairėse, parengtose tarptautinio ir europinio lygmens standartų pagrindu, aprašytas rekomenduojamas rizikos vertinimo metodas ir pateiktas sąrašas techninių ir organizacinių saugumo priemonių, kurias, atsižvelgiant į duomenų tvarkymo keliamą riziką, inspekcija rekomenduoja taikyti.

Į gairėse pateiktą saugumo priemonių sąrašą verta atkreipti dėmesį kiekvienam duomenų valdytojui ir tvarkytojui. Nors gairės yra rekomendacinio pobūdžio, inspekcija neabejotinai jomis remsis atlikdama patikrinimus, vertindama, ar duomenų valdytojai ir tvarkytojai tinkamai užtikrina duomenų saugą. Taigi nuo to, ar organizacija įgyvendino gairėse nurodytas saugumo priemones, priklausys, ar organizacija bus laikoma atitinkančia BDAR keliamus reikalavimus. Vadovaujantis gairėmis, bet kuris duomenų valdytojas ar tvarkytojas net ir tuo atveju, kai jo atliekama asmens duomenų tvarkymo veikla yra nerizikinga, privalo taikyti toliau nurodytas saugumo priemones.

Turėti bent minimalų asmens duomenų apsaugai skirtą vidinių dokumentų paketą. Kiekviena organizacija turi patvirtinti informacijos saugumo politiką, į kurią būtų įtrauktos nuostatos dėl asmens duomenų apsaugos; reagavimo į saugumo pažeidimus planą, kuriame būtų aptarta pažeidimų identifikavimo, reagavimo į juos ir jų dokumentavimo tvarka, priežiūros institucijos ir duomenų subjektų informavimo tvarkos. Visos asmens duomenis tvarkančios organizacijos taip pat turėtų vesti IT išteklių registrą, kuriame būtų registruojami asmens duomenims tvarkyti naudojami ištekliai (techninė, programinė, tinklo įranga), būti pasirengusios veiklos ar paslaugų tęstinumo planus.

Nemokami naujienlaiškiai į savo el. pašto dėžutę:

Svarbiausios dienos naujienos trumpai: 

Parengti dokumentai turi ne „nugulti stalčiuje“, bet būti realiai taikomi ir reguliariai peržiūrimi. Asmens duomenų saugumo politiką inspekcija rekomenduoja peržiūrėti ir jos efektyvumą įvertinti ne rečiau kaip kartą per metus, IT išteklių registrą atnaujinti bent kas 3 mėnesius.

Užtikrinti tinkamą personalo (darbuotojų) elgesį su asmens duomenimis. Net ir tobulai parengtos tvarkos bus bevertės, jei darbuotojai jų nežinos ir neišmanys pagrindinių asmens duomenų tvarkymo principų. Inspekcija rekomenduoja ne tik užtikrinti, kad visi darbuotojai suprastų savo atsakomybes ir įsipareigojimus asmens duomenų tvarkymo srityje, bet ir reguliariai, bent kartą per metus, organizuoti darbuotojams mokymus apie atitinkamus IT sistemų, asmens duomenų saugumo reikalavimus. Su asmens duomenų tvarkymu susijusios atsakomybės turėtų būti aiškiai paskirstytos ir nurodytos darbuotojų pareigybių aprašymuose.

Kiekviena organizacija taip pat turi laikytis „būtinybės žinoti“ principo ir užtikrinti, kad darbuotojai turėtų prieigą tik prie tos informacijos, kuri jiems yra būtina darbo funkcijoms atlikti. Šiuo tikslu reikia parengti prieigų kontrolės politiką ir užtikrinti jos įgyvendinimą techninėmis priemonėmis (įdiegti sistemą, leidžiančią kurti, patvirtinti, peržiūrėti ir panaikinti naudotojų paskyras, bendras paskyras naudoti tik išimtiniais atvejais, prieigai prie sistemų reikalauti bent prisijungimo vardo ir slaptažodžio ir pan.).

Patikrinti, ar duomenų tvarkytojas atitinka jam keliamus reikalavimus. Be BDAR įtvirtintos pareigos su kiekvienu duomenų tvarkytoju sudaryti susitarimus dėl asmens duomenų tvarkymo, inspekcija taip pat rekomenduoja, kad duomenų tvarkytojas pateiktų dokumentais pagrįstus įrodymus dėl atitikties reikalavimams, nustatytiems jam susitarimuose ar kituose dokumentuose.

Atsižvelgiant į svarbų duomenų tvarkytojo vaidmenį užtikrinant asmens duomenų saugumą, pareiga tikrinti pasitelkto duomenų tvarkytojo atitiktį atrodo pateisinama. Vis dėlto kyla klausimas, kaip ši pareiga turėtų būti įgyvendinama praktikoje, t. y. kokie konkretūs įrodymais pagrįsti dokumentai gali patvirtinti duomenų tvarkytojo atitiktį. Paprasčiausia būtų rinktis duomenų tvarkytoją, kuriam yra išduotas informacijos saugumo valdymo sertifikatas (pagal ISO 27001, ISO 27018 ar kitus pripažintus standartus). Jei sertifikato duomenų tvarkytojas neturi, duomenų valdytojas turėtų bent parengti duomenų tvarkytojams skirtą klausimyną, kurį pildydami duomenų tvarkytojai turėtų pateikti konkrečią informaciją apie organizacijoje galiojančias procedūras ir tvarkas, taikomas organizacines ir technines saugumo priemones, pasitelkiamus duomenų subtvarkytojus ir pan. Kai duomenų tvarkytojas yra įsisteigęs JAV, visais atvejais reikėtų patikrinti, ar jis yra prisijungęs prie „Privatumo skydo“ (angl. Privacy Shield) programos.

Kai duomenų tvarkytojas dalyvauja duomenų tvarkymo veikloje, keliančioje bent vidutinę riziką, duomenų valdytojas dar turėtų ir reguliariai tikrinti duomenų tvarkytojo atitiktį nustatytų reikalavimų ir įsipareigojimų lygiui. Tokios pareigos įgyvendinimas yra dar labiau komplikuotas, nes duomenų tvarkytojai dažnai yra didelės, už duomenų valdytoją pajėgesnės įmonės, todėl retas duomenų valdytojas galės atlikti duomenų tvarkytojo auditą, kad įsitikintų jo tinkamumu.

Taikyti technines saugumo priemones. Siekiant efektyviai valdyti su asmens duomenų tvarkymu susijusias rizikas, techninių saugumo priemonių taikymas yra iš esmės neišvengiamas. Be jau aptarto prieigų kontrolės mechanizmo, inspekcija net ir mažiausios rizikos asmens duomenų tvarkymą atliekančioms organizacijoms rekomenduoja taikyti toliau nurodytas technines saugumo priemones.

  1.   Siekiant išvengti asmens duomenų praradimo, reguliariai daryti asmens duomenų atsargines kopijas. Rekomenduojama kasdien daryti pridedamąją kopiją, o bent kas savaitę – ir pilną. 2.   Daryti kiekvienos sistemos, naudojamos asmens duomenims tvarkyti, techninių žurnalų įrašus, kuriuose būtų fiksuojama prieigos data, laikas, peržiūrėjimo, keitimo, panaikinimo veiksmai ir kita įmanoma informacija. Įrašų turi būti neįmanoma pakeisti, jie turi būti apsaugoti nuo neautorizuotos prieigos ir saugomi bent 6 mėnesius. 3.   Užtikrinti tinkamą tarnybinių stočių ir duomenų bazių apsaugą (jos turi naudoti atskiras paskyras su priskirtomis žemiausiomis operacinės sistemos privilegijomis, jose turi būti tvarkomi tik tie duomenys, kurie yra reikalingi darbui, atitinkančiam duomenų tvarkymo tikslus). 4.   Negali būti galimybės apeiti IT sistemos saugos nustatymus, apsaugos sistemos (antivirusinės programos ir pan.) turi būti atnaujinamos kas savaitę, turi būti uždrausta diegti neautorizuotą programinę įrangą, IT sistemos turi turėti nustatytą sesijos laiką. Inspekcija rekomenduoja, kad sesijos laikas visais atvejais būtų ne ilgesnis kaip 15 minučių. Ši inspekcijos rekomendacija kelia abejonių dėl jos proporcingumo, nes laikantis rekomendacijos darbuotojams prie kiekvienos įmonėje naudojamos sistemos tektų prisijungti po keliolika kartų per dieną. Nustačius 15 minučių sesijos laiką, taptų neįmanomas ir naudojimasis tam tikromis sistemos funkcijomis, pavyzdžiui, į programą įdiegto laikmačio, fiksuojančio atitinkamai užduočiai atlikti skirtą laiką, naudojimas (jei užduotis atliekama nesinaudojant programa). Sesijos trukmė turėtų būti nustatoma vadovaujantis rizika pagrįstu požiūriu ir priklausyti nuo konkrečioje sistemoje tvarkomų asmens duomenų masto ir jautrumo, taip pat kitų sistemos apsaugai pritaikytų priemonių. Jei kitomis saugumo priemonėmis yra užtikrinamas pakankamas duomenų saugumas, turėtų būti galima nustatyti ir ilgesnį nei 15 minučių sesijos laiką. 5.   Kai prie IT sistemų prieinama internetu, privaloma naudoti šifruotą komunikacijos kanalą. Taip pat turi būti aiškiai aprašytos mobiliųjų, nešiojamųjų įrenginių administravimo procedūros, įrenginiai užregistruoti, autorizuoti. Administratoriai turi turėti galimybę nuotoliniu būdu ištrinti duomenis iš mobiliųjų ir nešiojamųjų įrenginių, įrenginiuose saugomi privatūs ir organizacijos duomenys turi būti aiškiai atskirti siekiant užtikrinti darbuotojo privatumą. 6.   Informacinėse sistemose naudojama programinė įranga turi atitikti programinės įrangos saugos gerąją praktiką, kuriant programinę įrangą taikomą saugos gerąją praktiką, programinės įrangos kūrimo struktūras (angl. frameworks), standartus (pvz., „Agile“, OWASP ir kt.). 7.   Duomenų naikinimo atveju turi būti užtikrinama, kad jis būtų negrįžtamas – popierinės laikmenos naikinamos smulkintuvais arba kitomis mechaninėmis priemonėmis, iš kitų laikmenų duomenys trinami naudojantis patikima programine įranga, o jei to padaryti neįmanoma, turi būti sunaikinama pati laikmena. 8.   Turi būti užtikrinta ir fizinė patalpų bei infrastruktūros apsauga nuo neautorizuotos prieigos – patalpos rakinamos, įrengta signalizacijos sistema, tarnybinės stotys saugomos atskirose izoliuotose patalpose ar spintose ir pan.

Inspekcijos rekomenduojamų minimalių techninių ir organizacinių saugumo priemonių sąrašas aiškiai liudija, kad asmens duomenų tvarkymo saugumu turėtų rūpintis visos organizacijos, nepriklausomai nuo tvarkomų asmens duomenų masto ir jautrumo. Organizacijos, neįgyvendinusios nurodytų techninių ir organizacinių saugumo priemonių ar jas įgyvendinusios netinkamai, gali būti laikomos pažeidusiomis BDAR 25 str. 1 d. įtvirtintą pareigą imtis tinkamų techninių ir organizacinių saugumo priemonių tvarkomų asmens duomenų saugumui užtikrinti. Už šį pažeidimą gali būti skirta bauda iki 10 000 000 Eur arba įmonės atveju – iki 2 % jos ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė.

Pasirinkite jus dominančias įmones ir temas – asmeniniu naujienlaiškiu informuosime iškart, kai jos bus minimos „Verslo žiniose“, „Sodros“, Registrų centro ir kt. šaltiniuose.

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Valdyti Sutinku