2019-02-07
Valstybinė duomenų apsaugos inspekcija (VDAI) patvirtino ir paskelbė 2019 m. prevencinių patikrinimų planą, kurio įgyvendinimo metu numatoma atlikti 75 planinius tikrinimus. Jų metu bus tikrinama, kaip duomenų valdytojai laikosi naujausių duomenų apsaugos reikalavimų.
Remiantis Valstybinė duomenų apsaugos inspekcijos paskelbtu sąrašu, bus tikrinamos šios duomenų valdytojų grupės:
Sporto klubai
Valstybinė duomenų apsaugos inspekcijos planuoja tikrinti, ar sporto klubai teisėtai tvarko sporto klubo lankytojų biometrinius duomenų, nes pirštų atspaudai neretai naudojami kaip praėjimo į sporto klubus kontrolės priemonė.
Sporto ir turizmo prekių bei paslaugų bendrovės
Valstybinė duomenų apsaugos inspekcijos planuoja tikrinti, ar laikomasi duomenų kiekio mažinimo principo, t.y. ar nėra renkami pertekliniai duomenys, tvarkant asmens duomenis nuomos sutarties sudarymo ir vykdymo tikslu, taip pat ar duomenų subjektai yra tinkamai informuojami apie asmens duomenų tvarkymą;
Viešbučiai
Valstybinė duomenų apsaugos inspekcijos planuoja tikrinti, ar nėra tvarkomi pertekliniai duomenys tvarkant viešbučių svečių asmens duomenis;
Greitųjų kreditų bendrovės
Valstybinė duomenų apsaugos inspekcijos planuoja tikrinti, ar greitųjų kreditų bendrovės taiko tinkamas asmens duomenų saugumo užtikrinimo priemones.
Valstybės institucijos
Valstybinė duomenų apsaugos inspekcijos palanguoja tikrinti, ar valstybinių institucijų sudaromos sutartys su duomenų tvarkytojais atitinka Bendrajame duomenų apsaugos reglamente (BDAR) nustatytiems reikalavimams.
Visų įmonių, kurias planuojama patikrinti, sąrašą galite rasti čia
Kaip pasirengti?
Visos įmonės, jei dar nespėjo tuo pasirūpinti, turi užtikrinti, kad iki patikrinimo būtų tinkamai parengta vidinė dokumentacija, galinti patvirtinti, kad įmonės procesai atitinka BDAR reikalavimus.
Rengiant įmonių vidinę dokumentaciją, būtina atsakyti į tokius klausimus:
– kieno ir kokie asmens duomenys tvarkomi?
– kokiu tikslu šie duomenis tvarkomi?
– ar tvarkomi didesnes rizikos grupei priskirtini asmens duomenys, tokie kaip vaizdo duomenys, sveikatos, teistumo, biometriniai duomenys?
– iš kur gaunami šie duomenis?
– kam tokie duomenys perduodami?
– kiek laiko tokie duomenys tvarkomi?
– koks yra toks duomenų judėjimas?
– ar yra užtikrintos atitinkamos techninės ir organizacinės asmens duomenų apsaugos priemonės?
– ar yra užtikrinamos visos BDAR numatytos duomenų subjekto teisės?
– ar sudarytos asmens duomenų tvarkymo sutartis su duomenų tvarkytojais?
– ar duomenys perduodami į trečiąsias valstybes?
Siekdami įgyvendinti BDAR įtvirtintą atskaitomybės principą, įmonės turi dokumentuoti, kokius asmens duomenis ir kokiais teisiniais pagrindais tvarko, kad galėtu įrodyti, jog laikosi visų BDAR nustatytų asmens duomenų tvarkymo principų.
Priklausomai nuo įmonės veikimo apimties ir veiklos srities ECOVIS ProventusLaw siūlo pasirengti:
– Vidinių duomenų tvarkymo taisykles, kurios apimtų klientų, darbuotojų, kandidatų, klientų asmens duomenų tvarkymo principus;
– Privatumo politiką, skirtą klientams;
– Asmens duomenų saugumo pažeidimų nustatymo ir tyrimo tvarką;
– Informacinių ir komunikacinių technologijų naudojimo tvarką, kurioje gali būti aptariamas vaizdo stebėjimas darbo vietoje, GPS sistemų naudojimas, darbuotojų stebėjimas ir kontrolė;
– Saugumo pažeidimo tyrimo tvarką;
– Prieigų prie asmens duomenų valdymo politiką;
– Informacijos saugumo politiką;
– Vaizdo duomenų tvarkymo taisykles, jei vykdomas vaizdo stebėjimas;
– kita
Jei įmonės vykdo didesnei rizikai priskirtas duomenų tvarkymo operacijas, pavyzdžiui, filmuoja savo darbuotojus, tvarko biometrinius, sveikatos ar teistumo duomenis, tikėtina, kad įmonei reikia pasirengti poveikio duomenų apsaugai vertinimo ataskaitas.
Labai tikėtina, kad VDAI pradėjusi tikrinimą, reikalaus būtent šių dokumentų. Įmonės atskaitomybės principas, reiškia, kad įmonė turi dokumentuotai patvirtinti, kad įmonės asmens duomenų tvarkymo procesai atitinka BDAR reikalavimus. Taip pat būtina užtikrinti, kad duomenų subjektai yra tinkamai informuojami apie jų teisės ir yra užtikrinamas duomenų saugumo pažeidimo valdymo procesas.
Tikrins ir IT priemones
Asmens duomenų tvarkymo procesų atitikimas BDAR reikalavimams, apima ne tik būtinos dokumentacijos parengimą, bet ir IT saugumo priemonių atitikimo vertinimą.
Šiuo atveju gali būti tikrinama, ar įmonės vidinėje dokumentacijoje nustatytas procesas atitinka faktą ir ar atsižvelgiant į tvarkomų asmens duomenų kategorijas, įmonė yra pasirinkusi tinkamas technines ir organizacines priemones.
Parengta remiantis Valstybinės duomenų apsaugos inspekcijos informacija