Pasiruošimas duomenų apsaugos egzaminui: liko du mėnesiai

Iki Bendrojo duomenų apsaugos reglamento (BDAR, angl. GDPR) likus kiek daugiau, nei dviems mėnesiams, saugumo ekspertai pajuto augantį įmonių susidomėjimą tiek gerosiomis duomenų apsaugos praktikomis, tiek techninėmis priemonėmis. Pasak „Baltimax“ duomenų apsaugos sprendimų vadovo Augustino Daukšo, įmonėms pakanka atsakyti į kelis klausimus, kad įvertintų savo pasiruošimo būseną.

Kadangi BDAR reglamentuoja asmens duomenų apsaugą, tereikia pažvelgti į visus procesus būtent pro šių duomenų prizmę: kur saugomi asmens duomenys, kas turi teisę prie jų prieiti, ar yra mobilių darbo vietų, turinčių prieigą prie asmens duomenų, per kokius procesus, el. laiškus ar sistemas keliauja šie duomenys, ar nėra kaupiami pertekliniai duomenys ir t.t.

Svarbu atkreipti dėmesį ne tik į apsaugą nuo išorinių grėsmių, bet ir eliminuoti vidaus rizikas. Tarp pastarųjų dažniausiai minimas žmogiškasis faktorius – kai darbuotojai tyčia arba per neatsargumą savo elgesiu kelia grėsmę pavienių duomenų ar ištisų sistemų saugumui.

„Dažniausiai įmonės būna susitvarkiusios prieigos prie jautrių duomenų teises, tačiau neretai problemų kyla ne dėl pačios prieigos, o dėl darbuotojams leidžiamų perteklinių veiksmų: spausdinti, kopijuoti jautrią informaciją, ją siųsti el. paštu sau arba tretiesiems asmenims, kelti į debesis ar USB laikmenas ir pan. Tokių laisvių pagal duomenų saugos gerąsias praktikas neturėtų būti“, – pasakoja „Baltimax“ atstovas.

Kaip esmines duomenų apsaugos dedamąsias saugumo ekspertai įvardina darbo vietų ir tinklo apsaugos priemones, duomenų nutekėjimo prevencijos (DLP) sprendimus, duomenų šifravimą, atsargines duomenų kopijas bei naikinimą, taip pat – reguliarius IT ūkio auditus.

Ne vienkartinė atitiktis, o procesas

„Svarbu suprasti, kad Bendrasis duomenų apsaugos reglamentas nėra vienkartinė atitiktis – įmonėms nepakanka atitikti reglamentą tik vieną dieną, t.y. gegužės 25 d. Naujomis asmens duomenų apsaugos rekomendacijomis reikia remtis jau dabar ir vadovautis visuose tolimesniuose veiklos procesuose“, – komentuoja A.Daukšas.

Organizacijų vadovams kyla neaiškumų ir dėl Bendrajame asmens duomenų reglamente minimo duomenų apsaugos pareigūno (DAP) – kai kurios įmonės šį reikalavimą supranta kaip visiškai naujo darbuotojo reikalaujančią poziciją įmonėje, kai realiai pakanka juo paskirti esamą IT administratorių ar IT skyriaus vadovą. Žinoma, jei šis darbuotojas sutinka su naujomis atsakomybėmis ir turi tinkamas kvalifikacijas.

Be to, duomenų apsaugos pareigūną privalo turėti tik valstybinės institucijos (išskyrus teismus, kai jie vykdo savo teismines funkcijas) ir organizacijos, kurių pagrindinė veikla yra duomenų tvarkymo operacijos, dėl kurių būtina reguliariai ir sistemingai dideliu mastu stebėti duomenų subjektus. Taip pat tos organizacijos, kurių pagrindinė veikla yra specialių kategorijų duomenų tvarkymas dideliu mastu arba asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymas dideliu mastu.

Pasak saugumo ekspertų, vienas pagrindinių reikalavimų duomenų apsaugos pareigūnui yra jo savarankiškumas ir kvalifikacija: šis asmuo turi ne tik gerai žinoti saugumo reikalavimus, bet ir juos vykdyti nepriklausomai nuo vadovo nurodymų, autonomiškai vykdyti savo pareigybes dėl BDAR atitikties. Plačiau apie DAP gaires skelbia Valstybinė duomenų apsaugos inspekcija:  https://www.ada.lt/go.php/lit/Demesio-bendrojo-duomenu-apsaugos-reglamento-gaires-lietuviskai

SIMPLEA specialistai padės pasiruošti artėjančiam BDRA reglamentui