Asmens duomenų saugumo pažeidimo sąvoka ir pavyzdžiai
Asmens duomenų saugumo pažeidimo sąvoka yra plati ir apima įvairias situacijas. Apsibrėžkime, kad kalbame būtent apie asmens duomenų saugumo pažeidimą, kaip jis suprantamas pagal Bendrąjį duomenų apsaugos reglamentą (BDAR) ir kuris yra vienas iš galimų saugumo pažeidimų įmonėje, kai yra pažeidžiami ne bet kokie duomenys, bet asmens duomenys.
BDAR asmens duomenų saugumo pažeidimą apibrėžia taip: „saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami persiųsti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų be leidimo gaunama prieiga“.
Viešojoje erdvėje dažniausiai girdime apie asmens duomenų saugumo pažeidimus dėl įsilaužimo į sistemas ir duomenų nutekinimo ar išpirkos reikalavimo. Tačiau reikia žinoti, kad asmens duomenų saugumo pažeidimas įvyksta ir kitais atvejais ir tuomet duomenų valdytojas taip pat turi imtis BDAR numatytų veiksmų: pirmiausia, suvaldyti pažeidimą ir sumažinti neigiamas pasekmes, o taip pat pranešti Valstybinei duomenų apsaugos inspekcijai (VDAI) ir duomenų subjektams, kai to reikia. Galima paminėti tokius asmens duomenų saugumo pažeidimo pavyzdžius: įmonės pardavimų vadybininkas prie klientams siunčiamo el. laiško prideda klientų duomenų bazę arba išsiunčia el. laišką klientams, visų gavėjų el. pašto adresus surašęs į laukelį „To“ ar „Cc“ vietoje „Bcc“ laukelio; darbuotojas palieka įmonės kompiuterį kavinėje ir grįžęs paimti jo neberanda arba pameta USB raktą su informacija; dėl bet kokių priežasčių ištrinama ar pakeičiama visa ar dalis klientų duomenų bazės; įvyksta įsilaužimas į patalpas, kuriose saugoma konfidenciali informacija ir pan.
Prevencinės priemonės asmens duomenų saugumo pažeidimui
Jeigu įmonė visai nesirūpina informacijos sauga, asmens duomenų saugumo pažeidimas neišvengiamas. Tačiau imdamasis protingų priemonių duomenų valdytojas ar tvarkytojas gali neabejotinai sumažinti tokių pažeidimų atsiradimo riziką, o jeigu asmens duomenų saugumo pažeidimo išvengti nepavyks, bent jau sušvelninti jo neigiamas finansines, reputacines ir kitas pasekmes tiek pačiai įmonei, tiek asmenims, kurių duomenys bus pažeisti.
Galima išskirti tokias septynias pagrindines prevencines priemones:
1. Duomenų sauga: techninės ir organizacinės priemonės.
Techninės ir organizacinės priemonės apima įvairias, dažnai ko gero savaime suprantamas, priemones (pavyzdžiui, slaptažodžių (stiprių) naudojimą, kompiuterio ekrano ar patalpų su dokumentais rakinimą, atsarginių kopijų darymą, antivirusinių priemonių naudojimą ir kt.), o taip pat ir kitas technines priemones (pavyzdžiui, duomenų šifravimą pažangiomis priemonėmis, techninės ir programinės įrangos atnaujinimą ir pan.) bei organizacines priemones (pavyzdžiui, aiškų suteikiamų teisių nustatymą, atsakingų asmenų paskyrimą, reikiamų tvarkų parengimą ir faktinių verslo procesų suderinimą su tomis tvarkomis ir pan.). Ne kiekvienas verslas turi laikytis tų pačių taisyklių, techninės ir organizacinės priemonės turi būti parinktos protingai ir, vadovaujantis BDAR, tai turi būti daroma atsižvelgiant į tokius kriterijus:
- techninių galimybių išsivystymo lygis (tai nebūtinai turi būti state of the art (liet. paties inovatyviausio) lygio priemonės, tačiau neturi būti ir naudojama gamintojo nebepalaikoma ir neatnaujinama programinė įranga ar pan.),
- įgyvendinimo sąnaudos (reikia vertinti sąnaudų proporcingumą rizikai),
- duomenų tvarkymo pobūdis, aprėptis, kontekstas ir tikslai (pavyzdžiui, jeigu tvarkomi jautrūs sveikatos duomenys, atitinkamai priemonės turi būti aukštesnio lygio),
- duomenų tvarkymo keliami pavojai fizinių asmenų teisėms ir laisvėms (pavyzdžiui, jeigu iš duomenų galima sužinoti rasinę arba etninę kilmę, politines pažiūras, religinius arba filosofinius įsitikinimus, gali kilti didesnis pavojus asmenų teisėms ir laisvėms).
Nuo ko pradėti ir ką daryti? Įsivertinti veiklos modelį, tvarkomus asmens duomenis, nustatyti galimas rizikas, rizikos lygį ir pagal tai parinkti reikiamas technines ir organizacines priemones. Tam gali pasitarnauti VDAI parengtos Tvarkomų asmens duomenų saugumo priemonių ir rizikos įvertinimo gairės duomenų valdytojams ir duomenų tvarkytojams.
2. Reagavimo į asmens duomenų saugumo pažeidimą tvarkos parengimas.
Tai yra viena iš organizacinių priemonių, tad 1 punkte aptartos priemonės ją apima, tačiau ji yra itin svarbi, todėl verta išskirti atskirai.
Svarbu turėti individualiai konkrečios organizacijos parengtą procedūrą, kuria būtų vadovaujamasi, jeigu įvyktų asmens duomenų saugumo pažeidimas. Ji neapsaugos nuo asmens duomenų saugumo pažeidimo ir neišspręs visų klausimų, tačiau aiški ir konkrečiai organizacijai pritaikyta tvarka padės tinkamai ir operatyviai sureaguoti, jeigu toks pažeidimas įvyks, ir suvaldyti jį, sumažinant ar net visai eliminuojant neigiamas pasekmes įmonei ir asmenims.
Tvarka turi būti rengiama, derinant ją su visais susijusias darbuotojais ar konsultantais: duomenų apsaugos pareigūnu ar kitu už asmens duomenų apsaugą atsakingu asmeniu, IT specialistais, teisininkais. Su parengta tvarka turi būti supažindinami visi įmonės darbuotojai. Ji turi būti reguliariai peržiūrima ir, kai reikia, atnaujinama. Kaip ir kitose tokio pobūdžio tvarkose, naudinga įtraukti praktinių pavyzdžių, ją būtina priderinti prie įmonės veiklos ir vidinių procesų specifikos. Jeigu kalbame apie įmonių grupę, rekomenduotina turėti bendrą tvarką, taip užtikrinant vieningą praktiką visoje grupėje.
Nuo ko pradėti ir ką daryti? Suburti komandą, sudarytą iš reikiamos kompetencijos darbuotojų ir konsultantų, kurie aptars įmonės situaciją ir poreikius bei parengs reikiamus dokumentus bei procesus.
3. Darbuotojų mokymai.
Tai yra dar viena organizacinė priemonė, kurią verta išskirti atskirai. Paprastai daugiau nei pusė asmens duomenų saugumo pažeidimų įvyksta dėl žmogiškojo faktoriaus. Dažnai tai yra veiksmai, kurie gali pasirodyti naivūs, padaromi iš nežinojimo ar dėl to, kad į duomenų apsaugą nėra kreipiama dėmesio. Jokios vidinės tvarkos ar dažniausiai taikomos techninės priemonės nepadės apsisaugoti nuo šio straipsnio pradžioje minėtų klasikinių situacijų, kai el. laiškai išsiunčiami su priedais, kurių neturėjo būti prisegta, ar ne taip, kaip turėjo būti išsiųsti. Todėl reguliarūs darbuotojų mokymai, pradedant nuo asmens duomenų apsaugos pagrindų, ir, ypač svarbu, šviečiant darbuotojus apie būtent su jų funkcijomis susijusį asmens duomenų tvarkymą, procesus, priemones, yra būtina priemonė kiekvienoje įmonėje.
Nuo ko pradėti ir ką daryti? Reguliariai šviesti darbuotojus asmens duomenų apsaugos klausimais. Darbuotojai gali būti siunčiami į trečiųjų šalių vykdomus mokymus, o taip pat mokymus galima vykdyti įmonės ar grupės viduje. Svarbu be bendrinių (įvadinių) mokymų organizuoti ir specialius mokymus ar konsultacijas darbuotojams pagal jų veiklos specifiką (juk pardavimo vadybininkams bus aktualūs vieni klausimai, buhalterijai – kiti ir pan.).
4. Duomenų kiekio mažinimas ir saugojimo laikotarpio trumpinimas.
BDAR numato duomenų kiekio mažinimo principą (duomenys turi būti renkami adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi) ir saugojimo trukmės apribojimo principą (duomenys turi būti laikomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi).
Šių principų laikymasis yra reikšmingas ir mažinant neigiamas pasekmes, kurios gali kilti patyrus asmens duomenų saugumo pažeidimą. Juk kuo mažiau duomenų tvarkoma, tuo mažesnė rizika, mažesnis pavojus duomenų subjektams, vadinasi, ir lengvesnės pasekmės verslui, jeigu įvyktų pažeidimas.
Nuo ko pradėti ir ką daryti? Atlikti tvarkomų asmens duomenų inventorizaciją, įsivertinti, kokius duomenis tvarkote, kurie iš tų duomenų išties reikalingi, kiek laiko juos reikia saugoti, ir imtis priemonių duomenų kiekiui sumažinti bei nustatytam reikiamam saugojimo laikotarpiui įgyvendinti.
5. Esamų dokumentų ir procesų peržiūra, įvertinimas.
Atliekant minėtą asmens duomenų inventorizaciją, kartu reikėtų įvertinti ir esamus su asmens duomenų tvarkymu susijusius procesus bei turimus asmens duomenų tvarkymą reguliuojančius dokumentus. Jeigu procesai yra neaiškūs (neapibrėžti), didelė rizika, kad kiekvienas darbuotojas juos interpretuos savaip, asmens duomenys bus tvarkomi be sistemos ir, galbūt, nesilaikant BDAR reikalavimų, o iš to kils ir jų saugumo pažeidimo rizika.
Tvarkingi ir ne tik BDAR reikalavimus, bet ir įmonėje taikomus procesus atitinkantys dokumentai padės sumažinti klaidų riziką, o taip pat pagelbės, jeigu nutiks asmens duomenų saugumo pažeidimas bei dėl to bus pradėtas priežiūros institucijos tyrimas.
Kartu reikia įsivertinti, galbūt kurie nors duomenų tvarkymo tikslai gali kelti didesnį pavojų asmenų teisėms ir laisvėms ir dėl to pagal BDAR reikalavimus būtina atlikti poveikio duomenų apsaugai vertinimą. Tokiais atvejais poveikio duomenų apsaugai vertinimas pasitarnaus kaip prevencinė priemonė, nes atliekant jį bus galima nustatyti su duomenų tvarkymu susijusias rizikas ir priimti sprendimus, kaip jas mažinti.
Nuo ko pradėti ir ką daryti? Kreiptis į savo duomenų apsaugos pareigūną ar teisininkus, kurie padės įvertinti esamus dokumentus ir procesus bei pateiks rekomendacijas.
6. Duomenų tvarkytojų parinkimas, sutartys su jais
Kai į asmens duomenų tvarkymą yra įtraukti ir duomenų tvarkytojai (pavyzdžiui, IT paslaugas ar buhalterines paslaugas teikiantys asmenys ar įmonės), svarbu pasirinkti paslaugų teikėjus patikimus tiek profesine prasme, tiek požiūrio į duomenų saugą prasme. Taip pat svarbu sudaryti tinkamas sutartis dėl asmens duomenų tvarkymo, jose be kita ko aptariant ir technines bei organizacines priemones, kurių turi laikytis duomenų tvarkytojas, ir jo pareigą nedelsiant informuoti, jeigu jis sužinotų apie asmens duomenų saugumo pažeidimą.
Nuo ko pradėti ir ką daryti? Renkantis paslaugų teikėją, susipažinti su potencialių paslaugų teikėjų asmens duomenų tvarkymo praktikomis, asmens duomenų tvarkymo sutartimis (kurias praktikoje dažniausiai pateikia paslaugų teikėjai, taikydami vieningą tvarką visiems savo klientams).
7. Kibernetinių rizikų (angl. cyber risk) draudimas
Nors sąraše pateiktas paskutinis, draudimo nuvertinti nereikėtų, ypač jeigu veikla susijusi su ypatingais duomenimis ar tvarkomas didelis kiekis asmens duomenų. Paskutinė vieta sąraše jam skirta pirmiausia dėl to, kad prieš kreipiantis dėl draudimo, reikėtų pasidaryti visus prieš tai aptartus namų darbus, nes draudimo bendrovė norės matyti, kad imatės reikiamų priemonių duomenų apsaugai.
Kibernetinių rizikų draudimas nepadės sumažinti asmens duomenų saugumo pažeidimo rizikos, tačiau gali kompensuoti išlaidas, patirtas tokiam pažeidimui nutikus.
Nuo ko pradėti ir ką daryti? Pasirinkti jūsų veiklai tinkamą kibernetinių rizikų draudimą, prieš tai pasidarius namų darbus, numatytus 1–6 punktuose.
