Nusprendėte perkelti Organizacijos informacinių technologijų infrastruktūrą į "debesį" ("debesų kompiuteriją")? Pavyzdžiui, pradėti naudotis dokumentų ir užduočių valdymo sistema arba darbo laiko apskaitos, darbo užmokesčio skaičiavimo sistema, sukurta debesijos technologijos pagrindu. Arba tiesiog debesies serveryje saugoti savo klientų duomenų bazės atsarginę kopiją. Organizacijos informacinių technologijų paslaugų perkėlimas į debesį turi daug privalumų, pavyzdžiui, veiklos efektyvinimas, kaštų mažinimas ar centralizuotas resursų valdymas. Tačiau šiame procese yra nemažai asmens duomenų apsaugos grėsmių, kurias Organizacija turi suvaldyti.

Kaip pradėti

Šioje gairėje paaiškinami pagrindiniai* veiksmai, kurių reikia imtis iš duomenų apsaugos pusės, norint pradėti perkelti Organizacijos informacinių sistemų technologijų infrastruktūrą ar jos dalį į debesį. Šie veiksmai trumpai apibendrinti čia:

Apibrėžkite tikslą

Nustatykite ir dokumentuokite konkrečią priežastį, tikslą kodėl Jums reikia tvarkyti asmens duomenis, kuriuos ketinate perkelti į debesį.

Nustatykite teisėtą pagrindą ir tvarkymo sąlygas

Nustatykite tinkamą teisėto asmens duomenų tvarkymo pagrindą (BDAR 6 str.) ir sąlygą (BDAR 9 str.). Rekomenduojame Jums pasitarti su duomenų apsaugos pareigūnu. Susisiekime .

Nustatykite rizikas (PDAV)

Apsvarstykite rizikas, susijusias su perkeliamų į debesį asmens duomenų tvarkymu ir nustatykite tinkamas kontrolės priemones, mažinančias šias rizikas. Kreipkitės į duomenų apsaugos pareigūną, kad jis atsakytų į klausimą, ar šioje situacijoje netaikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą ( PDAV). Jei taikomas - jį atlikite. Ar vis dar saugu ir tinkama tęsti?

Tarp kontrolės priemonių yra išsamus potencialaus debesų paslaugos tiekėjo ištyrimas. Tai atlikdama organizacija taip pat įgyvendina duomenų valdytojo funkciją 1.6. Užtikrinti, kad būtų naudojamasi tik tų tvarkytojų paslaugomis, kurie suteikia pakankamas garantijas įgyvendinti tinkamas technines ir organizacines priemones pagal BDAR reikalavimus ir apsaugoti asmens duomenis Tinkamos techninės ir organizacinės priemonės yra tokios, kurios atitinka duomenų valdytojo duomenų tvarkymo veiklos rizikos lygį. Taip pat, kai tiekėjas, kaip būsimas duomenų tvarkytojas įrodo, jog jis turi reikiamus sertifikatus duomenų saugumo srityje bei yra įdiegęs pritaikytąją asmens duomenų apsaugą. Įrodymais gali būti: 1. Cloud computing paslaugų teikėjas pats yra atlikęs PDAV, 2. Tiekėjas yra sertifikuotas ISO 27001 (information security management system) arba 3. Tiekėjas yra sertifikuotas ISO 27018 (code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors)

Kaip duomenų valdytojas gali įgyvendinti šią funkciją? Galimi keli variantai:

  1. Pasitikrinkite, ar tiekėjas yra įsipareigojęs užtikrinti asmens duomenų apsaugą. Ar jo interneto svetainėje yra skiltis "asmens duomenų apsauga"? Arba ar jo svetainėje yra privatumo politika? Ar ji yra pateikiama Jums suprantama aiškia kalba? Ar privatumo politika apima tą paslaugą, kurią ketinate įsigyti?
  2. Jei "debesų kompiuterijos" paslaugų teikėjas yra tarptautinė IT paslaugų įmonė (pvz. Microsoft), tokiu atveju jo interneto svetainėje paprastai skelbiama informacija apie šio paslaugų teikėjo taikomas organizacines ir technines asmens duomenų apsaugos priemones. Tokiose svetainėse paprastai skelbiami ir tiekėjo turimi sertifikatai, susiję su duomenų sauga. Pvz. Microsoft suteikia išsamią informaciją, kaip atlikti PDAV, kai vertinamos šio tiekėjo teikiamos paslaugos: https://docs.microsoft.com/en-us/compliance/regulatory/gdpr
  3. Jei "debesų kompiuterijos" paslaugų teikėjas yra Lietuvos įmonė, duomenų valdytojas gali pateikti jam užpildyti anketą apie taikomas organizacines ir technines duomenų saugos priemones, paprašyti pateikti informaciją apie turimus sertifikatus, užklausti, ar tiekėjas yra atlikęs PDAV. Jeigu tiekėjas yra atlikęs PDAV, reikalinga paprašyti PDAV išvados (ataskaitos). Jeigu neturite tokios anketos, susisiekite su DAP, jis Jums pateiks formą.

Taip pat organizacija, kaip duomenų valdytojas privalo  1.9. Užtikrinti, kad bet kuris pagal duomenų valdytojo įgaliojimus veikiantis asmuo, turintis prieigą prie asmens duomenų, tvarkytų juos tik pagal duomenų valdytojo nurodymus . Todėl su tiekėju turi būti pasirašomas atskiras susitarimas dėl asmens duomenų tvarkymo, kuriame būtų aprašyti visi duomenų valdytojo nurodymai. 

Būkite skaidrūs

Organizacija, kaip duomenų valdytojas privalo  1.3. Suteikti duomenų subjektui visą pagal BDAR reikalaujamą informaciją glausta, skaidria, suprantama ir lengvai prieinama forma, vartojant aiškią ir suprantamą kalbą.

Taigi, įsitikinkite, kad šį asmens duomenų tvarkymą apima tinkama privatumo politika ( privatumo pranešimas), taigi Jūs esate skaidrūs apie šį asmens duomenų tvarkymą, įskatant apie duomenų subjektų asmens duomenų perdavimą naujam tiekėjui - debesies paslaugų teikėjui.

Registruokite tvarkymą

Duomenų valdytojo prievolės taip pat yra  1.7. Registruoti su asmens duomenimis susijusią tvarkymo veiklą, už kurią yra atsakingas duomenų valdytojas . Todėl užtikrinkite, kad šis asmens duomenų tvarkymas yra registruotas Organizacijos tvarkomų asmens duomenų veiklos įrašuose, kad jame nurodytas debesies paslaugų teikėjas. 

Svarbu

*Šis trumpas "kaip" vadovas nepima visų funkcijų, kurias turi atlikti duomenų valdytojas, prieš pradėdamas "debesų kompiuteriją". Pavyzdžiui, turėti patvirtintas Asmens duomenų tvarkymo taisykles, Asmens duomenų saugumo pažeidimų žurnalą ir t.t. Rekomenduojame, prieš diegiant, pasitarti su savo srities duomenų apsaugos čempionu ar koordinatoriumi ir/arba duomenų apsaugos pareigūnu.

Jei į debesį ketinate perkelti specialių kategorijų asmens duomenis, papildomai skaitykite: Noriu tvarkyti specialių kategorijų asmens duomenis

Grėsmės

Dėmesio

„The Top Threats“ darbo grupė atliko tyrimą ir parengė 2016 ataskaitą, kurioje buvo identifikuotos 12 esminių probleminių dalykų debesies saugumui (pagal tyrime nurodytą svarbą) (Top Threats Working Group 2016):


1. Duomenų pažeidimai, pavyzdžiui, dėl to, kad duomenys perduodami laikyti į valstybes, kuriose nesuteikiama pakankama asmens duomenų apsauga.
2. Silpnas tapatybės, ją patvirtinančių dokumentų ir prieigos valdymas.
3. Nesaugios API (angl. application programming interface).
4. Sistemos ir PĮ pažeidžiamumas.
5. Paskyros užvaldymas.
6. Piktavaliai naudotojai organizacijos viduje.
7. Sudėtingos nuolatinės grėsmės.
8. Duomenų praradimas.
9. Nepakankamai išsamus tiekėjo ištyrimas (angl. due diligence), pavyzdžiui, teikėjo primestos naudotojui sąlygos, leidžiančios tiekėjui apdoroti asmens duomenis neatsižvelgiant į naudotojo nurodymus.
10. Piktnaudžiavimas ar aplaidus DK paslaugų naudojimas.
11. Paslaugos teikimo nutrūkimas (angl. denial of service).
12. Bendrai naudojamos technologijos klausimai.

Nepakankamas susitarimas dėl asmens duomenų tvarkymo yra viena iš priežasčių, kada skiriamos BDAR baudos.

Dokumentai

Pildykite, jei šių asmens duomenų iki šiol netvarkėte, tai yra nauja asmens duomenų tvarkymo veikla:

Prašymo registruoti naują duomenų tvarkymo veiklą forma

Susisiekime


Daugiau apie paslaugą

Papildoma informacija

Kur eiti toliau