Valstybinė duomenų apsaugos inspekcija (toliau – VDAI) 2020 m. birželio mėn. atnaujino gaires dėl tvarkomų asmens duomenų saugumo priemonių ir rizikos įvertinimo duomenų valdytojams ir duomenų tvarkytojams (toliau – Gairės).
Jose pateikiama informacija aktuali įmonėms, valdančioms ir tvarkančioms asmens duomenis, kaip įsivertinti aktualias vidines bei išorines rizikas asmens duomenų saugumui.
Gairės buvo parengtos vadovaujantis Europos Sąjungos tinklų ir informacijos apsaugos agentūra (ENISA), Tarptautinės standartizacijos organizacijos (ISO) standartais, LST ISO/IEC 27001:2017 ir LST ISO/IEC 27002:2017, o atnaujinta gairių versija buvo papildyta 2019 m. ISO standartu ISO/IEC 27701:2019 „Saugumo metodai – ISO/IEC 27001 ir ISO/IEC 27002 papildymas dėl privatumo valdymo – reikalavimai ir gairės“.
Vadovaujantis Bendruoju duomenų apsaugos reglamentu (toliau – BDAR), duomenų valdytojas, siekdamas užtikrinti ir tam, kad galėtų įrodyti, kad duomenys tvarkomi laikantis BDAR, turi įgyvendinti tinkamas technines ir organizacines priemones. Šios priemonės turi būti parenkamos ir įgyvendinamos atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą bei tikslus, taip pat į įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms, taigi duomenų valdytojai turi prieš pradėdami asmens duomenų tvarkymą:
- atlikti rizikos vertinimą, įsivertinant aktualias galinčias kilti vidines bei išorines rizikas asmens duomenų saugumui;
- po rizikos įvertinimo, organizacija turi parinkti ir įgyvendinti (ar pasitikrinti jau įgyvendintas) technines ir organizacines saugumo priemones, kurios tinka nusistatytam rizikos lygiui.
Rizikos vertinimas gali būti atliekamas procesą skaidant į daugiau žingsnių, kuriuos gali nusistatyti pati organizacija.
Remiantis kitų valstybių praktika ir peržvelgus skiriamas baudas už BDAR nuostatų nesilaikymą, galima pastebėti tendenciją, jog organizacijos susiduria su vis didesniais iššūkiais pasirenkant tinkamas saugumo priemones ir jas taikant. Atnaujintos Gairės padės organizacijoms įsivertinti aktualius pavojus asmens duomenų saugumui ir įgyvendinti tinkamas saugumo priemones.
Su trečiąja gairių versija galite susipažinti čia.
Parengė ECOVIS ProventusLaw advokato padėjėja, duomenų apsaugos specialistė Milda Šlekytė ir teisininkas Andrius Karmonas