Tinkamos organizacinės ir techninės duomenų saugumo priemonės pagal VDAĮ rekomendacijas

Valstybinė duomenų apsaugos inspekcija (toliau – VDAI) parengė gaires ir paskelbė 20 minimalių reikalavimų duomenų valdytojams ir tvarkytojams dėl tinkamų techninių ir organizacinių asmens duomenų saugumo priemonių (toliau – gairės)[1]. Šiuos reikalavimus turi įgyvendinti kiekviena asmens duomenis tvarkanti organizacija, o daugelis jų ir imtis papildomų priemonių, kad užtikrintų tinkamą tvarkomų asmens duomenų saugumo lygį. Kaip praneša VDAI, atliekant tikrinimus neatsižvelgiant į organizacijos dydį ar sektorių bus svarbu, kad būtų įgyvendinti bent gairėse nurodyti minimalūs reikalavimai asmens duomenų saugumui užtikrinti.

Šiomis 2018-10-31d. paskelbtomis gairėmis detalizuojamos Bendrojo duomenų apsaugos reglamento (toliau – BDAR) nuostatos dėl duomenų saugumo priemonių, todėl tikimasi, kad jos įneš taip laukiamo aiškumo taikant BDAR. Gairės numato 10 organizacinių duomenų saugumo priemonių (1 pav.).

Iš esmės organizacinėmis duomenų saugumo priemonėmis laikomas atitinkamų procedūrų dokumentavimas bei mokymai, kuriuos siūloma vykdyti bent kartą per metus, tam, kad būtų užtikrintas darbuotojų supažindinimas su asmens duomenų tvarkymo reikalavimais. Iš minėtose gairėse nurodytų reikalavimų galima spręsti, kad organizacijoms be tiesiogiai BDAR nurodytų (pvz., duomenų apsaugos politika) reikalingi papildomi BDAR dokumentai: prieigos prie asmens duomenų valdymo politika, veiklos tęstinumo procedūra, atsarginių kopijų ir duomenų atstatymo tvarka, mobiliųjų ir nešiojamųjų įrenginių naudojimo ir administravimo tvarka bei IT išteklių, naudojamų asmens duomenims tvarkyti, registras. 

Asmens duomenų saugumui užtikrinti gairės taip pat numato ir technines priemones (2 pav.). Iš esmės šie reikalavimai papildo organizacinius, detalizuodami kokios techninės priemonės turėtų būti pritaikomos, kad būtų įgyvendinti organizaciniai reikalavimai, pvz., organizaciniuose reikalavimuose akcentuojama prieigos prie asmens duomenų valdymo politika, techniniuose – nurodomi minimalūs reikalavimai slaptažodžiams, bei prieigų kontrolės sistemoms.

Tačiau nereikėtų pamiršti, kad gairėse numatyti tik minimalūs reikalavimai, todėl toms organizacijoms, kurių atliekamas asmens duomenų tvarkymas bus vertinimas kaip aukštesnės rizikos vien juos pritaikyti neužteks. Atitinkamai kyla klausimas į ką turėtų būti atsižvelgiama vertinant riziką? Kadangi pačios gairės parengtos kaip šaltinį naudojant ISO/IEC 27001:2017^[2] standartą, galima daryti prielaidą, kad BDAR rizikų vertinimas gali būti atliekamas remiantis šio standarto dokumentacija. Kita vertus ypatingai svarbu, kad pagal šį standartą parengta dokumentacija atitiktų organizacijos vykdomus procesus ir veiklos specifiką, nes priešingu atveju parengti dokumentai bus pernelyg sudėtingi ir neatitiks savo paskirties.

Plačiau skaitykite Teisinerizika.lt publikacijoje čia.