Kaip teigiama VDAI pranešime, gairės parengtos siekiant padėti duomenų valdytojams ir duomenų tvarkytojams, ypač smulkiajam ir vidutiniam verslui, tačiau taip pat jomis gali naudotis ir kitos organizacijos (pvz, nevyriausybinės organizacijos, viešojo sektoriaus atstovai ar didelės įmonės), atsižvelgdamos į vykdomos veiklos specifiką. Svarbiausia, kad gaires taikančios organizacijos, vertindamos turimas organizacines ir technines saugumo priemones, visapusiškai atsižvelgtų į duomenų tvarkymo pobūdį, aprėptį, kontekstą bei tikslus ir riziką, susijusią su pavojais fizinių asmenų teisėms ir laisvėms. 

Kaip gairės gali padėti duomenų valdytojams ir tvarkytojams?

BDAR 24 ir 32 straipsniai organizacijas įpareigoja visais atvejais atlikti rizikos vertinimą prieš pradedant taikyti organizacines ir technines duomenų saugumo priemones, taip pat rizikos vertinimas turi būti atliekamas poveikio duomenų apsaugai vertinimo metu (BDAR 35 str.). VDAI skelbiamose gairėse yra pateikta rizikos vertinimo schema, kuria vadovaudamosios organizacijos gali nustatyti galimas grėsmes, susijusias su visa asmens duomenų tvarkymo aplinka, įvertinti jų atsiradimo tikimybę bei fizinių asmenų teisėms ir laisvėms kylantį poveikį. Ir atitinkamai pagal šiuos rodiklius nustatytą rizikos lygį, pasirinkti tinkamas organizacines ir techines duomenų saugumo priemones iš gairėse rekomenduojamo sąrašo. Todėl tikimasi, kad gairės padės orgnizacijoms įvertinti aktualius pavojus asmens duomenų saugumui ir įgyvendinti tinkamas saugumo priemones.

Kaip atnaujintos gairės?

Be jau ankstesnėse gairų versijose naudotų šaltinių: ENISA rekomendacijų, ISO standartų LST ISO/IEC 27001:2017 ir LST ISO/IEC 27002:2017, ši, trečioji gairių versija, papildyta 2019 m. ISO standartu ISO/IEC 27701:2019 „Saugumo metodai – ISO/IEC 27001 ir ISO/IEC 27002 papildymas dėl privatumo valdymo – reikalavimai ir gairės“ (toliau - ISO/IEC 27701:2019). Gairėse pateikta  rizikų vertinimo schema ar nurodytos organizacinių ir techninių duomenų saugumo priemonių turinys nepakito, tačiau prie visų minėtose gairėse išvardytų priemonių VDAI pateikė nuorodą ne tik į susijusį informacijos saugumo valdymo standarto LST ISO/IEC 27001:2017 reikalavimą, bet ir jį papildantį privatumo užtikrinimo reikalavimą pagal ISO/IEC 27701:2019. 

Taip VDAI pateikė nuorodas į papildomus reikalavimus, pagal minėtą ISO/IEC 27701:2019 standartą, tačiau paties gairių turinio nepapildė, kas leidžia spręsti jog minėto ISO standarto nuostatos (į kurias nuorodos nurodytos VDAI gairėse) turi būti taikomos tiesiogiai.

VDAI taip pat atkreipia dėmesį, kad ISO standartai paremti organizacijos rizikų valdymu, o asmens duomenų apsauga vertinama kaip organizacijos saugumo dalis, tuo tarpu BDAR duomenų saugumas yra tik vienas iš asmens duomenų apsaugos komponentų, o rizika vertinama atsižvelgiant į poveikį žmogaus teisėms ir laisvėms. 

Short Description Klientų teisinis konsultavimas hide Doctype it-process hide Name Konsultavimas hide Short Name The shortened name of the document to be unique within the doctype's defined context. hide Parent hide Audience hide Sritis hide Categories hide Tags hide Flags Flags are like tags, but are not documented. For teams that require each tag to have a tag document, flags do not define such a demand. hide Iteration hide Susijusios paslaugos Allaw® duomenų apsaugos pareigūnas hide Type hide Lifecycle Phase hide Participants hide Triggered by hide Susijusi informacija Poveikio duomenų apsaugai vertinimas (paslauga) hide Pateikti užklausą Priemonė PDAV (poveikio duomenų apsaugai vertinimui) atlikti hide Outcome List hide Impact List hide Sort Key Add a character sequence to support sorting documents. hide

Nuorodos