Kas tai? Eksperto įžvalgos

Patvirtintose gairėse asmens duomenų tvarkytojams ir valdytojams – minimalūs reikalavimai

Publikuota: 2018-12-03
Raminta Stravinskaitė, advokatų kontoros GLIMSTEDT vyresnioji teisininkė.
Raminta Stravinskaitė, advokatų kontoros GLIMSTEDT vyresnioji teisininkė.

Valstybinė duomenų apsaugos inspekcija praėjus pusei metų po Bendrojo duomenų apsaugos reglamento įsigaliojimo paskelbė tinkamų organizacinių ir techninių duomenų saugumo priemonių įgyvendinimo gaires duomenų tvarkytojams ir valdytojams.

Gairės parengtos remiantis Europos Sąjungos tinklų ir informacijos saugos agentūros (ENISA) rekomendacijomis ir ISO standartu „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai. LST EN ISO/IEC 27001:2017“. Jose pateikiama 20 organizacinių ir techninių duomenų saugumo priemonių, padėsiančių užtikrinti tvarkomų asmens duomenų saugumą.

Organizacinių saugumo priemonių įgyvendinimo sąrašo viršūnėje turėtų atsidurti:

  • asmens duomenų saugumo politika ir su tuo susijusios procedūros;
  • prieigos prie asmens duomenų valdymo politika;
  • veiklos tęstinumo procedūra, incidento ar asmens duomenų saugumo pažeidimo atveju;
  • atsarginių kopijų ir duomenų atstatymo tvarka;
  • mobiliųjų ir nešiojamų įrenginių naudojimo ir administravimo tvarka; bei
  • IT išteklių, naudojamų asmens duomenims tvarkyti, registras.
  • Techninių duomenų saugumo priemonių sąraše:

  • prieigos kontrolė ir autentifikavimas;
  • techninių žurnalų įrašai ir jų stebėsena;
  • tarnybinių stočių, duomenų bazių apsauga;
  • darbo stočių apsauga;
  • tinklo ir komunikacijos sauga;
  • atsarginių kopijų darymas;
  • programinės įrangos sauga;
  • duomenų naikinimas, šalinimas; bei
  • fizinė sauga.
  • Nepaisant to, neverta  pernelyg  džiūgauti, kad pagaliau atsirado teisinis aiškumas, kokius techninius ir organizacinius reikalavimus reikia įgyvendinti, kad nesulauktumėte milijoninių baudų, tvarkydami jums patikėtus asmens duomenis.

    Kaip nurodo Valstybinė duomenų apsaugos inspekcija, šiose gairėse yra išdėstyti minimalūs organizaciniai ir techniniai duomenų saugumo reikalavimai gali būti laikytini pakankamais tik tose organizacijose, kurių tvarkomų asmens duomenų saugumo rizika, susijusi su pavojais fizinių asmens teisėms ir laisvėms, yra žema.

    Kitaip tariant, ką daryti toms įmonėms, įstaigoms ir organizacijoms, kurių tvarkomų asmens duomenų saugumo rizika yra vidutinė, aukšta ir labai aukšta, lieka ir toliau neaišku.  Be to, tam tikri keliami minimalūs reikalavimai yra gana  abstraktūs, pvz., - fizinė sauga. Rekomendacijose yra nurodoma tik tiek, kad turi būti įgyvendinta fizinė aplinkos, patalpų, kuriose yra IT sistemų infrastruktūra, apsauga nuo neautorizuotos prieigos, tačiau kokias priemones reikėtų įgyvendinti, Valstybinė duomenų apsaugos inspekcija nenumato.

    Inspekcija rekomenduoja kiekvienu individuliu atveju atlikti rizikos vertinimą ir nustatyti asmens duomenų apsaugos priemones, tačiau nei rizikos vertinimo kriterijų, nei pavyzdinio sąrašo asmens duomenų saugumo priemonių nepateikia. Turbūt vienintelė išeitis - asmens duomenis tvarkyti vadovaujantis visomis ENISA rekomendacijomis ir ISO standartu „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai. LST EN ISO/IEC 27001:2017“ ir tikėtis, kad šiuose dokumentuose išvardintų priemonių įgyvendinimas užtikrins tinkamą tvarkomų asmens duomenų apsaugą.

    Pavyzdžiui, vien tik kalbant apie fizinę asmens duomenų apsaugą, standartas numato tokius reikalavimus kaip:

  • IT sistemos infrastruktūros fizinis perimetras turėtų būti neprieinamas leidimo neturintiems darbuotojams;
  • nustatytos saugumo zonos ir patekimo į jas kontrolė, -  naudojamas ir stebimas fizinis registracijos žurnalas ar elektroninė kontrolės sistema, fiksuojanti patekimą į saugumo zonas;
  • aiškiai nustatyta organizacijos visų darbuotojų ar patalpų lankytojų identifikavimo tvarka naudojant atitinkamas priemones, pvz. tapatybę nustatančias korteles;
  • visose saugumo zonose turėtų būti įdiegtos įsilaužimo aptikimo sistemos;
  • turėtų būti pastatyti fiziniai barjerai, jei įmanoma, užtikrinantys neteisėtą fizinį patekimą;
  • serverinėje turi būti įdiegta automatinė gaisro apsaugos sistema, tikslios kontrolės oro kondicionavimo sistema ir nenutrūkstamas elektros energijos tiekimas (UPS);
  • nenaudojamos saugumo zonos turėtų būti fiziškai užrakintos ir reguliariai tikrinamos;
  • IT palaikymo paslaugas iš išorės teikiantiems asmenims turėtų būti nustatytas ribotas patekimas į saugumo zonas.
  • Taip pat ypatingą dėmesį skirčiau įvykių registravimui ir stebėsenai, kadangi tai yra esminis saugos reikalavimas, kuris leidžia identifikuoti ir stebėti, sekti naudotojų veiksmus.

    Valstybinė duomenų apsaugos inspekcija į tą taip pat atkreipia dėmesį ir nurodo, kad techninių žurnalų įrašai turi būti įgyvendinti kiekvienai IT sistemai, taikomajai programai, naudojamai asmens duomenų apdorojimui ir pan. Papildomai nurodyčiau, kad turėtų būti registruojami sistemos administratorių ir sistemos operatorių veiksmai, įskaitant  papildomų teisių vartotojui suteikimą/ištrynimą/pakeitimą, o stebėsenos sistema turėtų tvarkyti operacijų įrašus (angl. log files) ir teikti ataskaitas apie sistemos  būklę bei pranešti apie potencialius perspėjimus.

    Rašyti komentarą

    Rašyti komentarą

    „Alibaba“ įkūrėjas: dirbti 12 val. per parą, 6 dienas per savaitę – palaima Premium 9

    Kai vis aktyviau diskutuojama apie darbo savaitės trumpinimą bei tokio pokyčio naudą darbuotojams, Jacko Ma,...

    Vadyba
    11:11
    Darbuotojus motyvuoja robotai Algis ir Pūkis Premium

    Robotai ir darbų automatizacija dažnai įsivaizduojami kaip žmogiškosios darbo jėgos priešai. Tačiau bent jau...

    Vadyba
    07:05
    Pesimistinis scenarijus: iki 2030 m. Lietuvoje liks 2,4 mln. gyventojų 38

    Per ateinančius šešerius metus žmonių skaičius Lietuvoje gali sumažėti iki 2,5 mln. žmonių, o iki 2030 m.

    Vadyba
    2019.04.16
    Vilniaus kino klasteris siekia užsienio dėmesio Baltijos regionui Verslo tribūna

    Kartu su „Kino pavasariu“ neseniai praūžė ir svarbiausias metų kino industrijos renginys Lietuvoje „Meeting...

    Paslaugos
    2019.04.16
    Kaip išlikti įsitraukus į savo darbą

    Darbuotojo įsitraukimas – naudingas ne tik jį samdančiai įmonei, bet ir pačiam darbuotojui. Naujas tyrimas...

    Vadyba
    2019.04.15
    Kai liežuvis tampa CEO priešu – įmonei tai gali brangiai kainuoti

    Kartais nereikšminga frazė gali sukelti sumaištį, ypač jei tą frazę ištarė vadovas. Vadybos specialistai...

    Vadyba
    2019.04.14
    Dėl prastos komunikacijos darbuotojai nori mesti darbą 2

    Vidinė komunikacija – svarbus įmonės sėkmės veiksnys. Jis ne tik daro įtaką bendrovės finansiniams...

    Vadyba
    2019.04.13
    Kokia „Amazon“ įkūrėjo J. Bezoso metinė alga 9

    Jeffo Bezoso, JAV prekybos milžinės „Amazon“ įkūrėjo ir turtingiausio pasaulio žmogaus, darbo užmokestis...

    Vadyba
    2019.04.13
    Kaip „Danske Bank“ darbuotojų mokymo trukmę sumažino 5 kartus Premium 12

    Standartizuoti veiklos procesai įmonėje padeda darbuotojams taupyti laiką bei įgalina juos dirbti...

    Vadyba
    2019.04.12
    Teatras ir verslas: ko iš režisierių gali išmokti vadovai? Verslo tribūna

    Teatras ir verslas yra panašūs tuo, kad tiek spektaklio premjerą, tiek verslo projektų sėkmę nulemia stipri...

    Rinkodara
    2019.04.11
    Kaip „Air Asia“ CEO 0,26 USD vertės bendrovę išaugino iki milijardinio verslo 1

    Sėkmingam vadovui svarbu ne tik mokėti keistis pačiam, bet ir gebėti suburti gabių specialistų komandą,...

    Vadyba
    2019.04.11
    Paskirta nauja švietimo, mokslo ir sporto viceministrė 1

    Švietimo, mokslo ir sporto ministerijoje darbą pradėjo nauja viceministrė Kornelija Tiesnesytė, kuruojanti...

    Vadyba
    2019.04.11
    Ateities profesijai specialistų reikia jau dabar Verslo tribūna

    Nors praėjusiame dešimtmetyje mobilusis telefonas tebuvo daiktas paskambinti anksti ryte ar vėlai vakare, kai...

    Ateities miestas
    2019.04.11
    Pamatyti, kad darbuotojas išeis, galima prieš 9 mėnesius 5

    Pirmieji ženklai, signalizuojantys apie kolektyvo nario būsimą pabėgimą iš įmonės, matyti likus 9 mėnesiams...

    Vadyba
    2019.04.10
    Darbas ne biure – nauja norma, su kuria darbdaviai turi susitaikyti

    Galimybė dirbti nebūtinai biure yra nauja norma tarp darbuotojų. Be to, renkantis darbovietę vis didesniu...

    Vadyba
    2019.04.09
    Vadovės ambicija: LRT – patraukliausias darbdavys Premium 11

    „Tiek daug ir taip intensyviai gyvenime dar nedirbau“, — prisipažįsta Monika Garbačiauskaitė-Budrienė, metus...

    Vadyba
    2019.04.09
    E. Musko atleistą vadovą pasamdė J. Bezosas 3

    Geri vadovai be darbo nebūna, ko gero, taip būtų galima apibūdinti Jeffo Bezoso, „Amazon“ įkūrėjo, sprendimą...

    Vadyba
    2019.04.08
    Grįžtamasis ryšys veikia, kai vadovas supranta tokios praktikos svarbą Premium

    Efektyvus grįžtamasis ryšys gali būti darbuotojų ugdymo, skatinimo bei motyvacijos didinimo priemonė. Kad...

    Vadyba
    2019.04.08
    Mentorių turėti nori, bet ne visiems pavyksta tokį sutikti

    Tinkamas mentorius gali padėti darbuotojui greičiau tobulėti. Bėda ta, kad toli gražu ne visiems pavyksta...

    Vadyba
    2019.04.07
    Patrauklaus darbdavio įvaizdis: gražesnių skelbimų nepakanka 4

    Susidaro įspūdis, kad patrauklaus darbdavio įvaizdis (angl. employer branding), paskutiniu metu yra...

    Rinkodara
    2019.04.07

    Verslo žinių pasiūlymai

    Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
    Sutinku Plačiau