Valstybinė duomenų apsaugos inspekcija (toliau - VDAI) paskelbė gaires dėl pritaikytosios ir standartizuotosios duomenų apsaugos informacinės sistemos gyvavimo cikle (toliau - gairės). Šios gairės, tikimasi, padės duomenų valdytojams ir duomenų tvarkytojams įgyvendinant Bendrojo duomenų apsaugos reglamento (toliau - BDAR) 25 str. įtvirtintus reikalavimus. Duomenų apsaugos pareigūnas Allaw atkreipia dėmesį ir supažindina su svarbiausiais VDAI gairių aspektais, kurie turėtų būti taikomi keivieno duomenų valdytojo ir duomenų tvarkytojo duomenų tvarkymo veikloje.
Kaip nurodoma pačiose gairėse, jos turėtų padėti duomenų valdytojams ir duomenų tvarkytojams, o visų pirma jos skirtos duomenų valdytojo ar duomenų tvarkytojo informacinių sistemų ar atskiros programinės, techninės įrangos kūrėjams:
Informacinės sistemos gyvavimo ciklas apima visus sistemos būsenos pokyčius nuo jos steigimo pagrindo nustatymo iki veikimo pabaigos, t.y., informacinės sistemos inicijavimas, kūrimas, eksploatavimas, modernizavimas, likvidavimas. Gairėse pateikta gyvavimo ciklo koncepcija taip pat taikytina atskiram programinės ar techninės įrangos vystymui. Gairėse pateikia informacija į kokius aspektus kiekviename iš sistemos gyvavimo etapų reikalinga atkreipti dėmesį. Duomenų apsaugos pareigūnas Allaw atkreipia dėmesį į svarbiausius aspektus ne tik į minėtuose etapuose, bet ir kasdienėje duomenų tvarkymo veikloje.
Kaip ne kartą yra pažymėjusi VDAI, mokymai yra viena pagrindinių organizacinių asmens duomenų saugumo priemonių, padedanti užtikrinti bet kokios organizacijos atitiktį BDAR 24, 25, 28, 32 str. ir 39 str. 1 d. b) punkto reikalavimams. Juo rengti 5pareigoja ir BDAR 37, 43 str. Jie ypatingai svarbūs ir sistemos inicijavimo procese, kai nustatomos asmens duomenų tvarkymo operacijos, asmens duomenų ir duomenų subjektų kategorijos, duomenų teikėjai ir duomenų gavėjai bei identifikuojamas poreikis įgyti papildomas žinias ar kompetencijas.
Vadovaujantis VDAI gairėmis, mokymai ir kompetencijos pagal profesines grupes turėtų apimti bent šias temas:
Svarbu, kad mokymai būtų reguliarūs ir būtų vykdomi bei darbuotojų žinios atnaujinimaos ne rečiau kaip kartą per metus.
Kuriant informacines sistemas / programinę įrangą asmens duomenims tvarkyti ypatingai svarbu, kad jos atitiktų asmens duomenų tvarkymo principus (BDAR 5 str.), leistų įgyvendinti duomenų subjektų teises (BDAR 12-22 str.) bei užtikrintų atitinakamą duomenų saugumo lygį (BDAR 24, 25, 32–34 str.). Nustatant duomenų saugumo priemones organizacijoms pirmiausia reikalinga atlikti rizikos vertinimą (BDAR 24 ir 32 str.). Vadovaujantis naujausiomis VDAI gairėmis atliekant šį vertinimą verta:
VDAI rekomenduoja, kad pačių priemonių nustatymas turėtų remtis ankstesnėmis VDAI Tvarkomų asmens duomenų saugumo priemonių ir rizikos įvertinimo gairėmis duomenų valdytojams ir duomenų tvarkytojams bei OWASP programinės įrangos saugos užtikrinimo standartu (angl. OWASP Application Security Verification Standard 4.0.1).
Atsižvelgiant į tai, kad tiek informacinių sistemų / programinės įrangos, bei duomenų tvarkymo veikla apskritai paprastai yra dinamiška veikla (nereai keičiasi jos apimtis, dalyviai ir pan.) ypatingai svarbu užtiktinti reguliarų pasirinktų priemonių BDAR reikalavimams įgyvendinti peržiūrą ir atnaujinimą. VDAI atkreipia dėmesį, kad nuolat vertinant techninių ir organizacinių saugumo priemonių veiksmingumą turi būti įvertinti:
BDAR e-mokymai
Įsitikinkite, kad Jūsų taikomos duomenų saugumo priemonės atitinka rizikos lygį
Įsitikinkite, kad Jūsų darbuotojai yra praėję BDAR mokymus
Įsitikinkite, kad mokymų programa, kuriuos praėjo Jūsų darbuotojai atitinka reikalavimus
https://vdai.lrv.lt/lt/news/view_item/id.157
https://vdai.lrv.lt/uploads/vdai/documents/files/VDAI_saugumo_priemoniu_gaires-2020-06-18.pdf