You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 17 Next »

Valstybinė duomenų apsaugos inspekcija (toliau - VDAI) parengė ir paskelbė saugumo priemonių ir rizikos įvertinimo gaires asmens duomenis tvarkančioms organizacijoms. Šios gairės yra skirtos padėti organizacijoms įvertinti asmens duomenų saugumui kylančias rizikas (pavojus), kad atsižvelgiant į tai, organizacija galėtų įgyvendinti tinkamas technines ir organizacines saugumo priemones. Taip pat į gairėse išdėstytas nuostatas verta atsižvelgti tiek rengiant asmens duomenų apsaugos dokumentus, tiek įgyvendinant konkrečius asmens duomenų tvarkymo veiksmus.

Saugumo priemonių ir rizikos vertinimas: kada ir kaip reikalinga jį atlikti?

Bendrasis duomenų apsaugos reglamentas 2016/679 (toliau - BDAR) organizacijas įpareigoja jų tvarkomiems asmens duomenims taikyti tinkamas duomenų saugumo priemones (BDAR 24, 32 str.).  VDAI ne kartą yra akcentavusi, kad duomenų saugumo priemonės turėtų būti parenkamos atsižvelgiant į organizacijos tvarkomų asmens duomenų pobūdį, aprėptį, kontekstą bei tikslus ir riziką, susijusią su pavojais fizinių asmenų teisėms ir laisvėms. (1) Kitaip tariant, rizikos vertinimas turėtų būti atliekamas kiekvieną kartą organizacijai sprendžiant dėl to kokias duomenų saugumo priemones tvarkomiems asmens duomenims taikyti.

Ankstesnėse savo rekomendacijose VDAI tik atkreipė dėmesį į organizacijų pareigą atlikti rizikos vertinimą, tačiau nedetalizavo jos vertinimo kriterijų.  (2) Naujausiose rekomendacijose pateikiamos instrukcijos rizikos vertinimui atlikti, tam organizacijoms reikalinga įvertinti:

  1. duomenų tvarkymo apimtį ir kontekstą;
  2. poveikį, kylantį fizinių asmenų pagrindinėms teisėms ir laisvėms, dėl galimo asmens duomenų saugumo pažeidimo;
  3. grėsmes, susijusias su visa asmens duomenų tvarkymo aplinka ir jų atsiradimo tikimybę.

Atsižvelgiant į aukščiau išvardintus aspektus pagal gairėse nurodytas reikšmes organizacija galės įvertinti kokį rizikos lygį jos atliekamas asmens duomenų tvarkymas atitinka ir kokias technines bei organizacines duomenų saugumo priemones jai rekomenduojama taikyti.

Kokioms organizacijoms taikomos gairės?

VDAI teigimu, gairės skirtos smulkiojo ir vidutinio verslo organizacijoms, tačiau gairėmis galės vadovautis ir valstybės institucijos, didelės organizacijos ar fiziniai asmenys, tvarkydami asmens duomenis. 

Sankcijos

Nors už gairėse nurodytų reikalavimų nesilaikymą sankcijos nėra numatytos, tačiau organizacijoms neįgyvendinusios arba įgyvendinusios nepakankamas duomenų saugumo priemones ir rizikuoja susilaukti BDAR numatytų baudų. 

Nemokamai pagal šias gaires nustatyti savo organizacijos, verslo proceso ar projekto rizikas - galimas grėsmes ir jų atsiradimo tikimybę galite čia.


Doctype
plain-confluence-page

Link to this page
  • No labels