Created by Unknown User (m.zvinyte@juridicon.lt), last modified by CPO on Oct 03, 2022
Valstybinė duomenų apsaugos inspekcija (toliau - VDAI) parengė ir paskelbė saugumo priemonių ir rizikos įvertinimo gaires asmens duomenis tvarkančioms organizacijoms. Šios gairės yra skirtos padėti organizacijoms įvertinti asmens duomenų saugumui kylančias rizikas (pavojus), kad atsižvelgiant į tai, organizacija galėtų įgyvendinti tinkamas technines ir organizacines saugumo priemones. Taip pat į gairėse išdėstytas nuostatas verta atsižvelgti tiek rengiant asmens duomenų apsaugos dokumentus, tiek įgyvendinant konkrečius asmens duomenų tvarkymo veiksmus.
Saugumo priemonių ir rizikos vertinimas: kada ir kaip reikalinga jį atlikti?
Bendrasis duomenų apsaugos reglamentas 2016/679 (toliau - BDAR) organizacijas įpareigoja jų tvarkomiems asmens duomenims taikyti tinkamas duomenų saugumo priemones (BDAR 24, 32 str.). VDAI ne kartą yra akcentavusi, kad duomenų saugumo priemonės turėtų būti parenkamos atsižvelgiant į organizacijos tvarkomų asmens duomenų pobūdį, aprėptį, kontekstą bei tikslus ir riziką, susijusią su pavojais fizinių asmenų teisėms ir laisvėms. (1) Kitaip tariant, rizikos vertinimas turėtų būti atliekamas kiekvieną kartą organizacijai sprendžiant dėl to kokias duomenų saugumo priemones tvarkomiems asmens duomenims taikyti.
Ankstesnėse savo rekomendacijose VDAI tik atkreipė dėmesį į organizacijų pareigą atlikti rizikos vertinimą, tačiau nedetalizavo jos vertinimo kriterijų. (2) Naujausiose rekomendacijose pateikiamos instrukcijos rizikos vertinimui atlikti, tam organizacijoms reikalinga įvertinti:
grėsmes, susijusias su visa asmens duomenų tvarkymo aplinka ir jų atsiradimo tikimybę.
Atsižvelgiant į aukščiau išvardintus aspektus pagal gairėse nurodytas reikšmes organizacija galės įvertinti kokį rizikos lygį jos atliekamas asmens duomenų tvarkymas atitinka ir kokias technines bei organizacines duomenų saugumo priemones jai rekomenduojama taikyti.
Kokioms organizacijoms taikomos gairės?
VDAI teigimu, gairės skirtos smulkiojo ir vidutinio verslo organizacijoms, tačiau gairėmis galės vadovautis ir valstybės institucijos, didelės organizacijos ar fiziniai asmenys, tvarkydami asmens duomenis.
Sankcijos
Nors už gairėse nurodytų reikalavimų nesilaikymą sankcijos nėra numatytos, tačiau organizacijoms neįgyvendinusios arba įgyvendinusios nepakankamas duomenų saugumo priemones ir rizikuoja susilaukti BDAR numatytų baudų.
Nemokamai pagal šias gaires nustatyti savo organizacijos, verslo proceso ar projekto rizikas - galimas grėsmes ir jų atsiradimo tikimybęgalite čia.
Priimtos saugumo priemonių ir rizikos įvertinimo gairės dėl asmens duomenų tvarkymo
Saugumo priemonių ir rizikos vertinimas: kada ir kaip reikalinga jį atlikti?
Bendrasis duomenų apsaugos reglamentas 2016/679 (toliau - BDAR) organizacijas įpareigoja jų tvarkomiems asmens duomenims taikyti tinkamas duomenų saugumo priemones (BDAR 24, 32 str.). VDAI ne kartą yra akcentavusi, kad duomenų saugumo priemonės turėtų būti parenkamos atsižvelgiant į organizacijos tvarkomų asmens duomenų pobūdį, aprėptį, kontekstą bei tikslus ir riziką, susijusią su pavojais fizinių asmenų teisėms ir laisvėms. (1) Kitaip tariant, rizikos vertinimas turėtų būti atliekamas kiekvieną kartą organizacijai sprendžiant dėl to kokias duomenų saugumo priemones tvarkomiems asmens duomenims taikyti.
Ankstesnėse savo rekomendacijose VDAI tik atkreipė dėmesį į organizacijų pareigą atlikti rizikos vertinimą, tačiau nedetalizavo jos vertinimo kriterijų. (2) Naujausiose rekomendacijose pateikiamos instrukcijos rizikos vertinimui atlikti, tam organizacijoms reikalinga įvertinti:
Atsižvelgiant į aukščiau išvardintus aspektus pagal gairėse nurodytas reikšmes organizacija galės įvertinti kokį rizikos lygį jos atliekamas asmens duomenų tvarkymas atitinka ir kokias technines bei organizacines duomenų saugumo priemones jai rekomenduojama taikyti.
Kokioms organizacijoms taikomos gairės?
VDAI teigimu, gairės skirtos smulkiojo ir vidutinio verslo organizacijoms, tačiau gairėmis galės vadovautis ir valstybės institucijos, didelės organizacijos ar fiziniai asmenys, tvarkydami asmens duomenis.
Sankcijos
Nors už gairėse nurodytų reikalavimų nesilaikymą sankcijos nėra numatytos, tačiau organizacijoms neįgyvendinusios arba įgyvendinusios nepakankamas duomenų saugumo priemones ir rizikuoja susilaukti BDAR numatytų baudų.
Nemokamai pagal šias gaires nustatyti savo organizacijos, verslo proceso ar projekto rizikas - galimas grėsmes ir jų atsiradimo tikimybę galite čia.
Nuorodos
Kur eiti toliau
Panašūs straipsniai