Specialistai atkreipia dėmesį, kad reglamentas fiziniams asmenims suteiks papildomą apsaugą jų duomenims, o juridiniams asmenims – nustatys naujų apribojimų ir reikalavimų. Nors įgyvendinant reglamentą daugiausia dėmesio bus skiriama asmens duomenų tvarkymo procedūrai, tačiau neatskiriama reglamento dalis yra ir techniniai sprendimai, skirti užtikrinti asmens duomenų saugumą ir mažinti jų praradimo riziką.
„Fizinių asmenų duomenys yra apibrėžiami labai plačiai. Iš esmės tai yra visi duomenys, susiję su identifikuotu fiziniu asmeniu ar netgi jo veikla internete. Jei įmonė turi klientų duomenų bazę, atsiliepimų arba pasiūlymų anketų, el. pašto adresų, paveikslėlių, stebėjimo kamerų vaizdo įrašų, klientų lojalumo programų duomenų, CV ir kitų duomenų, naudoja biometrines identifikavimo technologijas įmonei taikomas naujasis reglamentas. Taip pat svarbu kuriems verslo partneriams perduodami asmens duomenys. Žodžiu, naujasis reglamentas svarbus kiekvienai šalies įmonei“, – aiškina bendrovės „SQUALIO Lietuva“ direktorius Martynas Bieliūnas.
Bauda už reglamento reikalavimų nesilaikymą yra didžiulė – iki 20 milijonų eurų, arba 4 proc. nuo įmonės metinės apyvartos. Jei tai įmonių grupė, bauda skaičiuojama nuo visos grupės apyvartos.
Kaip pasirengti naujajam reglamentui?
M. Bieliūno teigimu, įmonė turi įvertinti rizikas, žinoti turimų fizinių asmenų duomenų apimtį bei kur jie laikomi. Svarbu ne tik juos teisingai saugoti, bet ir nustatyti, kam jie gali būti prieinami, o norint tinkamai pasirengti reglamento įgyvendinimui, reikia atlikti šiuos veiksmus:
· Duomenų radimas („inventorizacija“) pirmiausia būtina suprasti, kur ir kodėl šie duomenys saugomi. Šiuo tikslu daug programinės įrangos gamintojų yra sukūrę įrankių, kurie padės veiksmingai ir greitai valdyti savo turimus dokumentus. Taip pat reikia ir įvertinimo ar nelikę „nepastebėtų“ asmens duomenų ar jų saugojimo vietų.
· Duomenų valdymas – parengti įmonės dokumentaciją ir apibrėžti, kurie įmonės darbuotojai gali patekti prie fizinių asmenų duomenų, pavyzdžiui, buhalteriai, rinkodara, personalo skyriai ir pan. Taip pat būtina darbuotojus tinkamai apmokyti ir informuoti.
· Duomenų apsauga – viena iš pagrindinių IT saugumo sąlygų yra visų galutinių vartotojų įrenginių, tarp jų ir išmaniųjų, duomenų šifravimas tiek jų saugykloje, tiek duomenų perdavimo metu. Kuo daugiau fizinių asmenų duomenų įmonė turi, tuo didesnė rizika, kad jie pateks į nepatikimas rankas. Taip pat būtinos ir platesnė informacinės apsaugos priemonės, apimančios ne tik asmens duomenis bet ir bendrąsias IT rizikas.
· Duomenų stebėjimas ir pateikimas – įmonėse turi veikti stebėsenos sistema, stebinti kompiuterių tinklus, netipinius vartotojų autorizavimo veiksmus ir elgseną, kad įsilaužimo į bendrovės infrastruktūrą atveju atsakingi darbuotojai bei atitinkamos valstybinės institucijos būtų apie tai laiku informuoti.
· Pasiruošimas duomenų savininkų teisių užtikrinimui – naujasis reglamentas numato kur kas platesnes teises fiziniams asmenims, pavyzdžiui, „teisę būti užmirštam“ bei prievolę informuoti fizinį asmenį, jei jo duomenys nutekėjo. Įmonės turi būti pasiruošusios įvykdyti šiuos teisėtus fizinių asmenų reikalavimus.
Kai kurios didžiosios šalies įmonės naujiems reikalavimams pasiruošimą pradėjo dar pernai, tačiau tokių nėra daug, tad Valstybinė duomenų apsaugos inspekcija mano, kad laiku tai spės padaryti ne visi.
Ką reikia žinoti apie BDAR? Kaip pasiruošti, kur kreiptis pagalbos ir patarimų? Apie visa tai – lapkričio 29 d. Kaune vyksiančioje konferencijoje "Revoliucija duomenų apsaugos srityje: kam turime pasiruošti 2018 m.?
Naujausi komentarai