Bendrojo duomenų apsaugos reglamento pamokos: tai yra ne sprintas, o maratonas

Teisėtumas, sąžiningumas, skaidrumas ir duomenų kiekio mažinimas – tokie keturi principai įtvirtinti Bendrojo duomenų apsaugos reglamento (BDAR) 5 straipsnio 1 dalyje. Tačiau, pasak duomenų apsaugos specialistų, pirmieji metai po BDAR įsigaliojimo parodė, kad toli gražu ne visos organizacijos jais vadovaujasi.

 2018 m. gegužę pradėjus taikyti BDAR, per metus Valstybinė duomenų apsaugos inspekcija (VDAI) sulaukė daugiau kaip 1 200 vartotojų skundų dėl asmens duomenų pažeidimų.<br> Organizatorių nuotr.
 2018 m. gegužę pradėjus taikyti BDAR, per metus Valstybinė duomenų apsaugos inspekcija (VDAI) sulaukė daugiau kaip 1 200 vartotojų skundų dėl asmens duomenų pažeidimų.<br> Organizatorių nuotr.
 Konferencijoje „ESET Security Day“ Suomijos patirtimi įgyvendinant BDAR dalinsis „Fondia Suomija“ vyresnioji teisininkė Sari Koskela. Nors įsigaliojus BDAR Suomijoje dar nebuvo pritaikytos baudos dėl reglamento nevykdymo, Suomių duomenų apsaugos ombudsmeno duomenimis, 2018 m. buvo pranešta apie 2 700 pažeidimų dėl asmens duomenų apsaugos. <br> Asmeninio arcyvo nuotr.
 Konferencijoje „ESET Security Day“ Suomijos patirtimi įgyvendinant BDAR dalinsis „Fondia Suomija“ vyresnioji teisininkė Sari Koskela. Nors įsigaliojus BDAR Suomijoje dar nebuvo pritaikytos baudos dėl reglamento nevykdymo, Suomių duomenų apsaugos ombudsmeno duomenimis, 2018 m. buvo pranešta apie 2 700 pažeidimų dėl asmens duomenų apsaugos. <br> Asmeninio arcyvo nuotr.
 Rugsėjo 5 d. vyksiančioje kibernetinio saugumo konferencijoje „ESET Security Day“ pranešimą skaitys VDAI IT skyriaus vedėjas  Jevgenijus Tichonovas.<br> Asmeninio archyvo nuotr.
 Rugsėjo 5 d. vyksiančioje kibernetinio saugumo konferencijoje „ESET Security Day“ pranešimą skaitys VDAI IT skyriaus vedėjas  Jevgenijus Tichonovas.<br> Asmeninio archyvo nuotr.
Daugiau nuotraukų (3)

Lrytas.lt

Jul 31, 2019, 11:31 AM

Trūksta komunikacijos

2018 m. gegužę pradėjus taikyti BDAR, per metus Valstybinė duomenų apsaugos inspekcija (VDAI) sulaukė daugiau kaip 1 200 vartotojų skundų dėl asmens duomenų pažeidimų. Anot VDAI, daugiausia žmonės skundžiasi dėl vaizdo stebėjimo, duomenų tvarkymo internete, teisės susipažinti su asmens duomenis, skolininkų asmens duomenų tvarkymo, tiesioginės rinkodaros ir asmens kodo naudojimo. 

Rugsėjo 5 d. vyksiančioje kibernetinio saugumo konferencijoje „ESET Security Day“ pranešimą skaitysiantis VDAI IT skyriaus vedėjas dr. Jevgenijus Tichonovas pabrėžia, kad dažniausiai pretekstas skundams kyla dėl to, kad nevyksta komunikacija tarp duomenų subjekto (vartotojo) ir duomenų valdytojo (organizacijos). Vien šiemet daugiausiai vartotojai skundėsi dėl teisės susipažinti su savo duomenimis (47 atvejai) ir teisės nesutikti su duomenų tvarkymu (15 atvejų).

„BDAR akcentuoja, kad duomenų subjektas atiduoda savo asmens duomenis, todėl jis turi dalyvauti asmens duomenų tvarkymo procese. Duomenų valdytojai privalo tai įvertinti ir prireikus peržiūrėti savo duomenų tvarkymo operacijas. Duomenų subjektai neturi būti saugomi nuo informacijos, išskyrus, konfidencialią ar komercinę paslaptį, jie turi gauti visą reikiamą su jais susijusią informaciją pagal BDAR. Taigi tarp duomenų valdytojo ir duomenų subjekto turi vykti komunikacija. Pagrindinė taisyklė: asmens duomenys priklauso fiziniam asmeniui, todėl duomenų valdytojas privalo elgtis etiškai, sąžiningai ir vadovautis skaidrumo principu, įtvirtintu BDAR“, – komentuoja dr. J. Tichonovas.

Žmogiškosios klaidos kaina

VDAI išanalizavusi per pastaruosius metus gautus pranešimus dėl asmens duomenų saugumo pažeidimų, išskyrė dažniausią jų priežastį – žmogiškąją klaidą, kuri lėmė daugiau negu kas antrą asmens duomenų saugumo pažeidimą (71 iš 141). Dažniausia pažeidimo aplinkybė – neautorizuota prieiga prie duomenų ar jų atskleidimas (103 atvejai). Paveiktų fizinių asmenų skaičius – daugiau kaip 163 tūkstančiai.

„Efektyviausia priemonė minimizuoti žmogiškąsias klaidas yra darbuotojų mokymai. Mokymai apie duomenų apsaugą ir saugumo procedūras, pavyzdžiui, slaptažodžių naudojimą ir prieigą prie konkrečių IT sistemų, yra svarbūs tinkamam organizacinių ir techninių saugumo priemonių įgyvendinimui ir prevencijai dėl netyčinio duomenų sunaikinimo, praradimo, pakeitimo, atskleidimo be leidimo ar neteisėtos prieigos prie jų (BDAR 32 straipsnio 2 dalis)“, – vardina VDAI IT skyriaus vedėjas.

J. Tichonovas pabrėžia, kad žinios apie asmens duomenų tvarkymui keliamus reikalavimus ir atsakomybes yra ypač svarbios tiems asmenims, kurie atlieka didelės rizikos asmens duomenų tvarkymo operacijas.

Kai vienas – už visus

Dažniausi iššūkiai duomenų apsaugos srityje, su kuriais susiduria verslas Lietuvoje: painiava IT specialistų atsakomybėse ir nesugebėjimas matyti visumos, kad būtų išlaikomas atitinkamas saugumo lygis visame duomenų tvarkymo procese.Nėra gerai, kai tas pats specialistas turi rūpintis ir kasdienių IT sistemų bei procesų priežiūra ir veiklos tęstinumu, o iš kitos pusės tuo pačiu rūpintis tų pačių IT sistemų kibernetine bei duomenų sauga. Tai nesuderinamos pareigos ir atsakomybės, jų yra skirtingi tikslai ir joms reikalingos skirtingos kompetencijos, todėl jos turi būti atskirtos“, – komentuoja VDAI atstovas.

Kitas aspektas – organizacijose neužtikrinamas tvarkomų asmens duomenų konfidencialumas ir vientisumas, kai nėra vykdoma ir valdoma prieigos kontrolė. Pavyzdžiui, organizacijoje yra keliasdešimt kompiuterinių darbo vietų, tarnybinių stočių ir kitų IT sistemų, vyksta darbuotojų kaita, tačiau beveik visai nėra rūpinamasi prieigos prie IT sistemų valdymu ir kontrole, nėra įdiegtas jos centralizuotas tapatybės valdymo ir prieigos kontrolės sprendimas (pvz., Microsoft Active Directory), darbuotojai dirba su paskyromis, kurioms suteiktas „Administratorių“ vaidmuo, teisės ir panašiai.

 J. Tichonov astokią situaciją iliustruoja posakiu „grandinė yra tiek stipri, kiek yra stipri jos silpniausia grandis“. „Tai gali būti žmonės, procesai ar techninė įranga. Piktavaliai kaip tik ir ieško tos silpniausios grandies, nes nuo jos lengviausia pradėti. Pastebime, kad organizacijos kartais neišnaudoja jau turimų techninės įrangos ir programinių sistemų galimybių, galbūt kartais tai ir tinkamos kompetencijos, specialistų mokymų klausimas“, – teigia ekspertas.

Suomijos patirtis

Konferencijoje „ESET Security Day“ Suomijos patirtimi įgyvendinant BDAR dalinsis „Fondia Suomija“ vyresnioji teisininkė Sari Koskela. Nors įsigaliojus BDAR Suomijoje dar nebuvo pritaikytos baudos dėl reglamento nevykdymo, Suomių duomenų apsaugos ombudsmeno duomenimis, 2018 m. buvo pranešta apie 2 700 pažeidimų dėl asmens duomenų apsaugos.

Pasak S. Koskelos, praėjusieji metai buvo itin intensyvūs, padedant klientams iš įvairių industrijų įgyvendinti BDAR keliamus reikalavimus, taip pat kuriant įvairias priemones bei šablonus.

„Suomijoje iki BDAR įsigaliojimo duomenų apsaugos lygis įmonėse buvo labai skirtingas. Vienos įmonės skyrė daugiau dėmesio BDAR įgyvendinimui nei kitos. Visgi, pats pagrindinis iššūkis daugeliui organizacijų buvo ir yra suvokimas, kad BDAR įgyvendinimo procesas nėra sprintas, tai labiau maratonas“, – komentuoja Sari Koskela. 

Tarp didžiausių klaidų, kurias daro mažos ir vidutinės įmonės Suomijoje – netinkamas privatumo dokumentų šablonų naudojimas bei procesų eiliškumas. Pasak S. Koskela, ruošti privatumo dokumentus, neatlikus duomenų audito, yra klaidinga praktika, kaip ir naudojimas privatumo dokumentų šablonų, kurie neatitinka įmonės veiklos. 

„Pastebime, kad ypač mažos ir vidutinės įmonės yra linkusios galvoti, kad sudarius tam tikrus teisinius dokumentus, kaip privatumo politikas, visas darbas yra baigtas. Tai toli gražu nuo tiesos. Ypatingai duomenų valdytojai privalo turėti tam tikrus procesus, susijusius su rizikų valdymu, tam, kad atitiktų BDAR reikalavimus, – pasakoja S. Koskela. – Šie vidiniai procesai, pavyzdžiui, duomenų saugumo pažeidimo valdymo procesas, yra būtini tam, kad būtų užtikrinti BDAR reikalavimai. Be to, šie dokumentai neturi jokios vertės, jei duomenų valdytojams nesupranta esminių teisinių aspektų. Svarbu ir tai, kad privatumo dokumentai turi būti atnaujinami nuolat“.

Padedant atlikti duomenų auditus „Fondia Suomija“ pamatė ir kraštutinių situacijų: vienos įmonės kaupė duomenis, kurių netgi nereikėjo atsižvelgiant į verslo poreikius, tuo tarpu kitos kompanijos, išsigandusios BDAR reikalavimų, ištrynė asmens duomenis ar net savo duomenų registrus, nors duomenų rinkimas bei saugojimas jų atžvilgiu buvo teisėtas ir pagrįstas. 
 

UAB „Lrytas“,
A. Goštauto g. 12A, LT-01108, Vilnius.

Įm. kodas: 300781534
Įregistruota LR įmonių registre, registro tvarkytojas:
Valstybės įmonė Registrų centras

lrytas.lt redakcija news@lrytas.lt
Pranešimai apie techninius nesklandumus pagalba@lrytas.lt

Atsisiųskite mobiliąją lrytas.lt programėlę

Apple App Store Google Play Store

Sekite mus:

Visos teisės saugomos. © 2024 UAB „Lrytas“. Kopijuoti, dauginti, platinti galima tik gavus raštišką UAB „Lrytas“ sutikimą.