Kaip suprantamas atskaitomybės principas, įtvirtintas BDAR 5 str. 2 d.?

1 answer

  1.  
    2
    1
    0

    Ką reiškia BDAR atskaitomybės principas

    BDAR 5 str. 2 d. įtvirtintas atskaitomybės principas reiškia, kad organizacijos turi ne tik užtikrinti BDAR principų įgyvendinimą, bet ir įrodyti, kad jų laikosi, kitaip tariant siekiant užtikrinti šio principo įgyvendinimą reikalinga įgyvendinti du tarpusavyje susijusius elementus:
    1. Organizacija atsakinga už atitiktį BDAR (reikalavimų, principų įgyvendinimą kasdienėje duomenų tvarkymo veikloje. Būti atsakinga už atitiktį reiškia organizacijai būti proaktyviai ir organizuotai vykdyti duomenų apsaugą),
    2. Organizacija turi galėti pademonstruoti kaip laikosi šių reikalavimų (t.y., ne tik laikytis reikalavimų, bet ir sugebėti įrodyti kaip jų laikosi, pvz., pildydama duomenų tvarkymo veiklos įrašus, registruodama BDAR mokymuose dalyvaujančius darbuotojus, pasitvirtindama, reguliariai peržiūrėdama ir atnaujindama atitinkamus procesus reguliuojančius dokumentus ir pan.).

    Kokių priemonių turi imtis organizacijos, siekdamos įgyvendinti atskaitomybės principą (BDAR 5 str.)?

    Organizacijoms, siekiančioms įgyvendinti atskaitomybės principą (BDAR 5 str. 2 d.), rekomenduodama:
    • pasitvirtinti tinkamus dokumentus apie tai, kokie asmens duomenys yra tvarkomi, kaip, kokiu tikslu, kiek laiko (tai gali būti asmens duomenų tvarkymo taisyklės / aprašas); dokumentais pagrįsti organizacijos vykdomi procesus ir procedūras, kuriais siekiama kuo anksčiau spręsti duomenų apsaugos problemas kuriant informacines sistemas ar reaguojant į duomenų pažeidimus;
    • paskirti duomenų apsaugos pareigūną, kuris būtų integruotas į organizacijos planavimą ir veiklą, dalyvautų organizacijos duomenų tvarkymo procesuose ir iniciatyvose, susijusiose su asmens duomenų tvarkymu.
    • atlikti poveikio duomenų apsaugai vertinimus dėl asmens duomenų tvarkymo, dėl kurio gali kilti didelė rizika asmenų interesams;
    • sudaryti rašytines sutartis su organizacijomis, kurios tvarko asmens duomenis organizacijos vardu (duomenų tvarkytojai);
    • taikyti tinkamas duomenų saugumo priemones;
    • registruoti asmens duomenų pažeidimus ir, jei nustatomas pavojus fizinių asmenų teisėms ir laisvėms;
    • laikytis atitinkamų elgesio kodeksų (kai tokie patvirtinti) ir sertifikavimo sistemos.

    Ar priemonės atskaitomybės principo (BDAR 5 str. 2 d.) įgyvendinimui priklauso nuo organizacijos dydžio?

    Pats atskaitomybės principas taikomas visoms organizacijoms nepriklausomai nuo jų dydžio, tačiau priemonės jam įgyvendinti gali skirtis, pvz., duomenų tvarkymo veiklos įrašus paprastai turi pildyti didesnės organizacijos, kuriose dirba daugiau nei 250 darbuotojų. Tiesa, yra išimčių.

    Mažesnės organizacijos, siekdamos užtikrinti atitiktį ir atskaitomybės principo įgyvendinimą, turėtų užtikrinti:
    • gerą darbuotojų duomenų apsaugos ir supratimo lygį (vykdyti BDAR mokymus ir įvykusius mokymus kartu su mokymų medžiaga dokumentuoti, pvz., prie mokymuose dalyvavusių darbuotojo žurnalo pridedant mokymų skaidres, mokymų programą ar kitą mokymų turinį atspindinčią medžiagą);
    • įgyvendinti išsamias, bet proporcingas politikas ir procedūras (BDAR dokumentacija turi būti pritaikyta organizacijai pagal jos atliekamas asmens duomenų tvarkymo veiklas, tvarkomų asmens duomenų pobūdį, apimtį ir pan.);
    • dėmesį įrašų saugojimui (kad atlieka PDAV arba jo neatlikimo motyvus, kokias duomenų saugumo priemones taiko ir pan.).

    Didesnėms organizacijoms rekomenduojama turėtų į duomenų apsaugą žvelgti kompleksiškiau ir pirmiausia inicijuoti projektą atskaitomybės BDAR reikalavimų kontekste įgyvendinimui. Įyvendinę tokį projektą, turėtų parengti ir įgyvendinti duomenų apsaugos programą, kuri apimtų gaires, žmones, procesus.

    Peržiūrėkite BDAR mokymų medžiagą, kad sužinotumėte daugiau apie atskaitomybės principą.

      CommentAdd your comment...