Pagalba verslui – parengtos saugumo priemonių ir rizikos įvertinimo gairės dėl asmens duomenų tvarkymo
|Valstybinė duomenų apsaugos inspekcija parengė saugumo priemonių ir rizikos įvertinimo gaires asmens duomenis tvarkančioms organizacijoms. Asmens duomenų apsaugos priežiūros institucijos pateikti rekomendacinio pobūdžio patarimai skirti smulkiojo ir vidutinio verslo įmonėms, tačiau gairėmis galės vadovautis ir valstybės institucijos, didelės įmonės ar fiziniai asmenys, tvarkydami asmens duomenis.
Bendrajame duomenų apsaugos reglamente (BDAR) numatyta, kad kiekvienas asmens duomenis tvarkantis subjektas, ar tai būtų privati įmonė ar valstybės institucija – privalo, atsižvelgti į įvairias aplinkybes, imtis tinkamų saugumo priemonių, kurios užtikrintų jų tvarkomų asmens duomenų saugumą. BDAR nėra numatyta privalomų saugumo priemonių, kurias turi įgyvendinti duomenų valdytojas, norėdamas apsaugoti tvarkomus asmens duomenis. Jas turi nusimatyti pačios organizacijos.
Pastebima nemažai teigiamų asmens duomenų tvarkymo praktikos pokyčių. Pavyzdžiui, organizacijos atsisako belaidžių kompiuterinių tinklų, atskiria vidinius tinklus į atskirus segmentus, neleidžia darbo priemonių naudoti asmeniniais tikslais, daugiau investuoja į darbuotojų švietimą, rūpinasi savo veiklos tęstinumu ir pan. Svarbu pastebėti, kad įdiegtos tinkamos saugumo priemonės padeda apsaugoti ne tik asmens duomenis, bet ir įmonių konfidencialią informaciją, komercines paslaptis, reputaciją.
Valstybinė duomenų apsaugos inspekcija, norėdama padėti organizacijoms geriau vykdyti BDAR numatytas pareigas, parengė „Tvarkomų asmens duomenų saugumo priemonių ir rizikos įvertinimo gaires duomenų valdytojams ir duomenų tvarkytojams“. Pirminė gairių versija buvo pateikta viešosioms konsultacijoms. Pasak priežiūros institucijos vadovo Raimondo Andrijausko: „Sulaukta naudingų pasiūlymų iš įvairių valstybės institucijų, asociacijų, įmonių ir ekspertų. Tai rodo, kad nemažai organizacijų yra įsigilinusios į asmens duomenų apsaugos sritį. Esame dėkingi už naudingas įžvalgas „Infobalt“, Gyvybės draudimo įmonių asociacijai, „Swedbank“, Aplinkos ministerijai, Finansų ministerijai, Valstybės kontrolei, Žemės ūkio ministerijai ir kt. Sulaukėme skirtingų požiūrių į gairėse numatytas rekomendacijas ir, ieškodami balanso tarp jų, galutinėje gairių versijoje atsižvelgėme į daugiau kaip 60 proc. gautų pasiūlymų.“
Nors gairės yra skirtos smulkiojo ir vidutinio verslo įmonėms, tačiau jose naudingos informacijos galės rasti kiekviena organizacija – valstybės institucijos, didelės įmonės ar kiti asmenys, tvarkantys asmens duomenis. Gairėse pateiktais patarimais bus galima pasinaudoti tiek rengiant asmens duomenų apsaugos dokumentaciją, tiek atliekant konkrečius asmens duomenų tvarkymo veiksmus. Svarbu atkreipti dėmesį, kad tai nėra asmens duomenų tvarkymo instrukcijos, o rekomendacinio pobūdžio dokumentas. Visais atvejais kiekviena organizacija turi individualiai vertinti savo asmens duomenų tvarkymą.
Pranešimą paskelbė: Raminta Sinkevičiūtė-Šečkuvienė, Valstybinė duomenų apsaugos inspekcija