Kaip teigiama VDAI pranešime, gairės parengtos siekiant padėti duomenų valdytojams ir duomenų tvarkytojams, ypač smulkiajam ir vidutiniam verslui, tačiau taip pat jomis gali naudotis ir kitos organizacijos (pvz, nevyriausybinės organizacijos, viešojo sektoriaus atstovai ar didelės įmonės), atsižvelgdamos į vykdomos veiklos specifiką. Svarbiausia, kad gaires taikančios organizacijos, vertindamos turimas organizacines ir technines saugumo priemones, visapusiškai atsižvelgtų į duomenų tvarkymo pobūdį, aprėptį, kontekstą bei tikslus ir riziką, susijusią su pavojais fizinių asmenų teisėms ir laisvėms. 

Kaip gairės gali padėti duomenų valdytojams ir tvarkytojams?

BDAR 24 ir 32 straipsniai organizacijas įpareigoja visais atvejais atlikti rizikos vertinimą prieš pradedant taikyti organizacines ir technines duomenų saugumo priemones, taip pat rizikos vertinimas turi būti atliekamas poveikio duomenų apsaugai vertinimo metu (BDAR 35 str.). VDAI skelbiamose gairėse yra pateikta rizikos vertinimo schema, kuria vadovaudamosios organizacijos gali nustatyti galimas grėsmes, susijusias su visa asmens duomenų tvarkymo aplinka, įvertinti jų atsiradimo tikimybę bei fizinių asmenų teisėms ir laisvėms kylantį poveikį. Ir atitinkamai pagal šiuos rodiklius nustatytą rizikos lygį, pasirinkti tinkamas organizacines ir techines duomenų saugumo priemones iš gairėse rekomenduojamo sąrašo. Todėl tikimasi, kad gairės padės orgnizacijoms įvertinti aktualius pavojus asmens duomenų saugumui ir įgyvendinti tinkamas saugumo priemones.

Kaip atnaujintos gairės?

Be jau ankstesnėse gairų versijose naudotų šaltinių: ENISA rekomendacijų, ISO standartų LST ISO/IEC 27001:2017 ir LST ISO/IEC 27002:2017, ši, trečioji gairių versija, papildyta 2019 m. ISO standartu ISO/IEC 27701:2019 „Saugumo metodai – ISO/IEC 27001 ir ISO/IEC 27002 papildymas dėl privatumo valdymo – reikalavimai ir gairės“ (toliau - ISO/IEC 27701:2019). Gairėse pateikta  rizikų vertinimo schema ar nurodytos organizacinių ir techninių duomenų saugumo priemonių turinys nepakito, tačiau prie visų minėtose gairėse išvardytų priemonių VDAI pateikė nuorodą ne tik į susijusį informacijos saugumo valdymo standarto LST ISO/IEC 27001:2017 reikalavimą, bet ir jį papildantį privatumo užtikrinimo reikalavimą pagal ISO/IEC 27701:2019. 

Taip VDAI pateikė nuorodas į papildomus reikalavimus, pagal minėtą ISO/IEC 27701:2019 standartą, tačiau paties gairių turinio nepapildė, kas leidžia spręsti jog minėto ISO standarto nuostatos (į kurias nuorodos nurodytos VDAI gairėse) turi būti taikomos tiesiogiai.

VDAI taip pat atkreipia dėmesį, kad ISO standartai paremti organizacijos rizikų valdymu, o asmens duomenų apsauga vertinama kaip organizacijos saugumo dalis, tuo tarpu BDAR duomenų saugumas yra tik vienas iš asmens duomenų apsaugos komponentų, o rizika vertinama atsižvelgiant į poveikį žmogaus teisėms ir laisvėms. 

Nuorodos