Saugumo priemonių ir rizikos vertinimas: kada ir kaip reikalinga jį atlikti?

Bendrasis duomenų apsaugos reglamentas 2016/679 (toliau - BDAR) organizacijas įpareigoja jų tvarkomiems asmens duomenims taikyti tinkamas duomenų saugumo priemones (BDAR 24, 32 str.).  VDAI ne kartą yra akcentavusi, kad duomenų saugumo priemonės turėtų būti parenkamos atsižvelgiant į organizacijos tvarkomų asmens duomenų pobūdį, aprėptį, kontekstą bei tikslus ir riziką, susijusią su pavojais fizinių asmenų teisėms ir laisvėms. (1) Kitaip tariant, rizikos vertinimas turėtų būti atliekamas kiekvieną kartą organizacijai sprendžiant dėl to kokias duomenų saugumo priemones tvarkomiems asmens duomenims taikyti.

Ankstesnėse savo rekomendacijose VDAI tik atkreipė dėmesį į organizacijų pareigą atlikti rizikos vertinimą, tačiau nedetalizavo jos vertinimo kriterijų.  (2) Naujausiose rekomendacijose pateikiamos instrukcijos rizikos vertinimui atlikti, tam organizacijoms reikalinga įvertinti:

1. duomenų tvarkymo apimtį ir kontekstą;
2. poveikį, kylantį fizinių asmenų pagrindinėms teisėms ir laisvėms, dėl galimo asmens duomenų saugumo pažeidimo;
3. grėsmes, susijusias su visa asmens duomenų tvarkymo aplinka ir jų atsiradimo tikimybę.

Atsižvelgiant į aukščiau išvardintus aspektus pagal gairėse nurodytas reikšmes organizacija galės įvertinti kokį rizikos lygį jos atliekamas asmens duomenų tvarkymas atitinka ir kokias technines bei organizacines duomenų saugumo priemones jai rekomenduojama taikyti.

Kokioms organizacijoms taikomos gairės?

VDAI teigimu, gairės skirtos smulkiojo ir vidutinio verslo organizacijoms, tačiau gairėmis galės vadovautis ir valstybės institucijos, didelės organizacijos ar fiziniai asmenys, tvarkydami asmens duomenis. 

Sankcijos

Nors už gairėse nurodytų reikalavimų nesilaikymą sankcijos nėra numatytos, tačiau organizacijoms neįgyvendinusios arba įgyvendinusios nepakankamas duomenų saugumo priemones ir rizikuoja susilaukti BDAR numatytų baudų. 

Nemokamai pagal šias gaires nustatyti savo organizacijos, verslo proceso ar projekto rizikas - galimas grėsmes ir jų atsiradimo tikimybę galite čia.

Short Description Klientų teisinis konsultavimas hide Doctype it-process hide Name Konsultavimas hide Short Name The shortened name of the document to be unique within the doctype's defined context. hide Parent hide Audience hide Sritis hide Categories hide Tags hide Flags Flags are like tags, but are not documented. For teams that require each tag to have a tag document, flags do not define such a demand. hide Iteration hide Susijusios paslaugos Atotrūkio vertinimas pagal BDAR reikalavimus (preliminarus) Allaw® duomenų apsaugos pareigūnas kaip paslauga Galimų grėsmių nustatymas ir jų atsiradimo tikimybės vertinimas Poveikio duomenų apsaugai vertinimas Tinkamų saugumo priemonių asmens duomenų saugumui užtikrinti parinkimas Asmens duomenų fiksavimas (projekto, verslo proceso) asmens duomenų analizė Asmens duomenų judėjimo fiksavimas Asmens duomenų inventorizacija (auditas) hide Type hide Lifecycle Phase hide Participants hide Triggered by hide Susijusi informacija Priemonė PDAV (poveikio duomenų apsaugai vertinimui) atlikti Atitikties BDAR mokymų medžiaga BDAR mokymų (įvadiniai) medžiaga hide Pateikti užklausą Allaw duomenų apsaugos pareigūnas, https://allaw.lt/klauskite-teisininko/ hide Outcome List hide Impact List hide Sort Key Add a character sequence to support sorting documents. hide