7 patarimai, kaip pasiruošti duomenų saugumo pažeidimui

7 patarimai, kaip pasiruošti duomenų saugumo pažeidimui

Ar įmanoma išvengti asmens duomenų saugumo pažeidimo? Kad ir kaip norėtųsi tikėti, kad atsakymas į šį klausimą yra teigiamas, labiau tikėtina, kad anksčiau ar vėliau kiekvienas verslas susidurs su asmens duomenų saugumo pažeidimu. Vienais atvejais tai įvyks dėl žmogiškojo faktoriaus organizacijos viduje, kitais – dėl saugos priemonių trūkumo, o dar kitais – dėl įsilaužėlių.

Tad ką daryti, kad būtumėme geriau pasirengę tokiai nelaimei ir išliptumėme sausesni iš vandens?

Asmens duomenų saugumo pažeidimo sąvoka ir pavyzdžiai

Asmens duomenų saugumo pažeidimo sąvoka yra plati ir apima įvairias situacijas. Apsibrėžkime, kad kalbame būtent apie asmens duomenų saugumo pažeidimą, kaip jis suprantamas pagal Bendrąjį duomenų apsaugos reglamentą (BDAR), toks pažeidimas yra vienas iš galimų saugumo pažeidimų įmonėje, kai yra pažeidžiami ne bet kokie, o asmens duomenys.

BDAR asmens duomenų saugumo pažeidimą apibrėžia taip: „saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami persiųsti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų be leidimo gaunama prieiga“.

Viešoje erdvėje dažniausiai girdime apie asmens duomenų saugumo pažeidimus dėl įsilaužimo į sistemas ir duomenų nutekinimo ar išpirkos reikalavimo. Tačiau reikia žinoti, kad asmens duomenų saugumo pažeidimas įvyksta ir kitais atvejais ir tuomet taip pat duomenų valdytojas turi imtis BDAR numatytų veiksmų: pirmiausia, suvaldyti pažeidimą ir sumažinti neigiamas pasekmes, taip pat pranešti Valstybinei duomenų apsaugos inspekcijai (VDAI) ir duomenų subjektams, kai to reikia. Galima paminėti tokius asmens duomenų saugumo pažeidimo pavyzdžius: įmonės pardavimų vadybininkas prie klientams siunčiamo el. laiško prideda klientų duomenų bazę arba išsiunčia el. laišką klientams, visų gavėjų el. pašto adresus surašydamas į „To“ ar „Cc“ vietoje „Bcc“ laukelio; darbuotojas palieka įmonės kompiuterį kavinėje ir grįžęs paimti jo neberanda arba pameta USB raktą su informacija; dėl bet kokių priežasčių ištrinama ar pakeičiama visa ar dalis klientų duomenų bazės; įsilaužiama į patalpas, kuriose saugoma konfidenciali informacija ir pan.

Prevencinės asmens duomenų saugumo pažeidimo priemonės

Jeigu įmonė visai nesirūpina informacijos sauga, asmens duomenų saugumo pažeidimas neišvengiamas. Tačiau imdamasis protingų priemonių duomenų valdytojas ar tvarkytojas gali neabejotinai sumažinti tokių pažeidimų atsiradimo riziką, o jeigu asmens duomenų saugumo pažeidimo išvengti nepavyks, bent jau sušvelninti jo neigiamas finansines, reputacines ir kitas pasekmes tiek pačiai įmonei, tiek asmenims, kurių duomenys bus pažeisti.

Galima išskirti tokias septynias pagrindines prevencines priemones:

  1. Duomenų sauga: techninės ir organizacinės priemonės.

Techninės ir organizacinės priemonės apima įvairias, dažniausiai, savaime suprantamas priemones (pavyzdžiui, slaptažodžių (stiprių) naudojimą, kompiuterio ekrano ar patalpų su dokumentais rakinimą, atsarginių kopijų darymą, antivirusinių priemonių naudojimą ir kt.), taip pat ir kitas technines priemones (pavyzdžiui, duomenų šifravimą pažangiomis priemonėmis, techninės ir programinės įrangos atnaujinimą ir pan.) bei organizacines priemones (pavyzdžiui, aiškų suteikiamų teisių nustatymą, atsakingų asmenų paskyrimą, reikiamų tvarkų parengimą ir faktinių verslo procesų suderinimą su tomis tvarkomis ir pan.). Ne kiekvienas verslas turi laikytis tų pačių taisyklių, techninės ir organizacinės priemonės turi būti parinktos protingai ir, vadovaujantis BDAR, tai turi būti daroma atsižvelgiant į tokius kriterijus:

  • techninių galimybių išsivystymo lygis (tai nebūtinai turi būti state of the art lygio priemonės, tačiau neturi būti naudojama gamintojo nebepalaikoma ir neatnaujinama programinė įranga ar pan.),
  • įgyvendinimo sąnaudos (reikia vertinti sąnaudų proporcingumą rizikai),
  • duomenų tvarkymo pobūdis, aprėptis, kontekstas ir tikslai (pavyzdžiui, jeigu tvarkomi jautrūs sveikatos duomenys, atitinkamai priemonės turi būti aukštesnio lygio),
  • duomenų tvarkymo keliami pavojai fizinių asmenų teisėms ir laisvėms (pavyzdžiui, jeigu iš duomenų galima sužinoti rasinę arba etninę kilmę, politines pažiūras, religinius arba filosofinius įsitikinimus, gali kilti didesnis pavojus asmenų teisėms ir laisvėms).

Nuo ko pradėti ir ką daryti? Įsivertinti veiklos modelį, tvarkomus asmens duomenis, nustatyti galimas rizikas, rizikos lygį ir pagal tai parinkti reikiamas technines ir organizacines priemones. Tam gali pasitarnauti VDAI parengtos Tvarkomų asmens duomenų saugumo priemonių ir rizikos įvertinimo gairės duomenų valdytojams ir duomenų tvarkytojams.

  1. Reagavimo į asmens duomenų saugumo pažeidimą tvarkos parengimas.

Tai yra viena iš organizacinių priemonių, tad patenka į 1 punkte aptartas priemones, tačiau ji yra itin svarbi, todėl verta išskirti atskirai.

Svarbu turėti individualiai konkrečios organizacijos parengtą procedūrą, kuria būtų vadovaujamasi, jeigu įvyktų asmens duomenų saugumo pažeidimas. Ji neapsaugos nuo asmens duomenų saugumo pažeidimo ir neišspręs visų klausimų, tačiau aiški ir konkrečiai organizacijai pritaikyta tvarka padės tinkamai ir operatyviai sureaguoti, jeigu toks pažeidimas įvyks, ir suvaldyti jį, sumažinant ar net visai eliminuojant neigiamas pasekmes įmonei ir asmenims.

Tvarka turi būti rengiama, derinant ją su visais susijusiais darbuotojais ar konsultantais: duomenų apsaugos pareigūnu ar kitu už asmens duomenų apsaugą atsakingu asmeniu, IT žmonėmis, teisininkais. Su parengta tvarka turi būti supažindinami visi įmonės darbuotojai. Ji turi būti reguliariai peržiūrima ir, kai reikia, atnaujinama. Kaip ir kitose tokio pobūdžio tvarkose, naudinga įtraukti praktinių pavyzdžių, ją būtina priderinti prie įmonės veiklos ir vidinių procesų specifikos. Jeigu kalbame apie įmonių grupę, rekomenduotina turėti bendrą tvarką visai grupei, taip užtikrinant vienodą praktiką visoje grupėje.

Nuo ko pradėti ir ką daryti? Suburti komandą, susidedančią iš reikiamos kompetencijos darbuotojų ir konsultantų, kurie aptars įmonės situaciją ir poreikius bei parengs reikiamus dokumentus bei procesus.

  1. Darbuotojų mokymai.

Tai yra dar viena organizacinė priemonė, kurią verta išskirti atskirai. Paprastai daugiau nei pusė asmens duomenų saugumo pažeidimų įvyksta dėl žmogiškojo faktoriaus. Dažnai tai yra veiksmai, kurie gali pasirodyti naivūs, padaromi iš nežinojimo ar dėl to, kad į duomenų apsaugą nėra kreipiamas dėmesys. Jokios vidinės tvarkos ar dažniausiai taikomos techninės priemonės nepadės apsisaugoti nuo šio straipsnio pradžioje minėtų klasikinių situacijų, kai el. laiškai išsiunčiami su priedais, kurių neturėjo būti, ar ne taip, kaip turėjo būti išsiųsti. Todėl reguliarūs darbuotojų mokymai, pradedant nuo asmens duomenų apsaugos pagrindų ir, ypač svarbu, šviečiant darbuotojus apie būtent su jų funkcijomis susijusį asmens duomenų tvarkymą, procesus, priemones, yra būtina priemonė kiekvienoje įmonėje.

Nuo ko pradėti ir ką daryti? Reguliariai šviesti darbuotojus asmens duomenų apsaugos klausimais. Darbuotojai gali būti siunčiami į trečiųjų šalių vykdomus mokymus, taip pat mokymus galima vykdyti įmonės ar grupės viduje. Svarbu be bendrinių (įvadinių) mokymų organizuoti ir specialius mokymus ar konsultacijas darbuotojams pagal jų veiklos specifiką (juk pardavimo vadybininkams bus aktualūs vieni klausimai, buhalterijai – kiti ir pan.).

  1. Duomenų kiekio mažinimas ir saugojimo laikotarpio trumpinimas.

BDAR numato duomenų kiekio mažinimo principą (duomenys turi būti renkami adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi) ir saugojimo trukmės apribojimo principą (duomenys turi būti laikomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai yra būtina, tais tikslais, kuriais asmens duomenys yra tvarkomi).

Šių principų laikymasis yra reikšmingas ir mažinant neigiamas pasekmes, kurių gali kilti patyrus asmens duomenų saugumo pažeidimą. Juk kuo mažiau duomenų tvarkoma, tuo mažesnė rizika, mažesnis pavojus duomenų subjektams, vadinasi, ir lengvesnės pasekmės verslui, jeigu įvyktų pažeidimas.

Nuo ko pradėti ir ką daryti? Atlikti tvarkomų asmens duomenų „inventorizaciją“, įsivertinti, kokius duomenis tvarkote, kurie iš tų duomenų išties reikalingi, kiek laiko juos reikia saugoti, ir imtis priemonių sumažinti duomenų kiekius bei įgyvendinti nustatytą reikiamą saugojimo laikotarpį.

  1. Esamų dokumentų ir procesų peržiūra, įvertinimas.

Atliekant minėtą „inventorizaciją“, kartu reikėtų įvertinti ir esamus su asmens duomenų tvarkymu susijusius procesus bei turimus asmens duomenų tvarkymą reguliuojančius dokumentus. Jeigu procesai yra neaiškūs (neapibrėžti), didelė rizika, kad kiekvienas darbuotojas juos interpretuos savaip, asmens duomenys bus tvarkomi be sistemos ir, galimai, nesilaikant BDAR reikalavimų, o iš to kils ir jų saugumo pažeidimo rizika.

Tvarkingi ir ne tik BDAR reikalavimus, bet ir įmonėje taikomus procesus atitinkantys dokumentai padės sumažinti klaidų riziką, taip pat pagelbės, jeigu nutiks asmens duomenų saugumo pažeidimas bei dėl to bus pradėtas priežiūros institucijos tyrimas.

Kartu reikia įsivertinti, galbūt kurie nors duomenų tvarkymo tikslai gali kelti didesnį pavojų asmenų teisėms ir laisvėms, ir dėl to pagal BDAR reikalavimus būtina atlikti poveikio duomenų apsaugai vertinimą. Tokiais atvejais poveikio duomenų apsaugai vertinimas pasitarnaus kaip prevencinė priemonė, nes atliekant jį bus galima nustatyti su duomenų tvarkymu susijusias rizikas ir priimti sprendimus, kaip jas mažinti.

Nuo ko pradėti ir ką daryti? Kreiptis į savo duomenų apsaugos pareigūną ar teisininkus, kurie padės įvertinti esamus dokumentus bei procesus ir pateiks rekomendacijas.

  1. Duomenų tvarkytojų parinkimas, sutartys su jais.

Kai į asmens duomenų tvarkymą yra įtraukti ir duomenų tvarkytojai (pavyzdžiui, IT paslaugas ar buhalterines paslaugas teikiantys asmenys / įmonės), svarbu pasirinkti patikimus paslaugų teikėjus tiek profesine, tiek požiūrio į duomenų saugą prasme. Taip pat svarbu sudaryti tinkamas sutartis dėl asmens duomenų tvarkymo, jose, be kita ko, aptariant ir technines bei organizacines priemones, kurių turi laikytis duomenų tvarkytojas, ir jo pareigą nedelsiant informuoti, jeigu jis sužinotų apie asmens duomenų saugumo pažeidimą.

Nuo ko pradėti ir ką daryti? Renkantis paslaugų teikėją, susipažinti su potencialių paslaugų teikėjų asmens duomenų tvarkymo praktikomis, asmens duomenų tvarkymo sutartimis (kurias praktikoje dažniausiai pateikia paslaugų teikėjai, taikydami bendrą tvarką visiems savo klientams).

  1. Kibernetinių rizikų (cyber risk) draudimas

Nors sąraše paskutinis, kibernetinių rizikų draudimo nuvertinti nereikėtų, ypač jeigu veikla susijusi su ypatingais duomenimis ar tvarkomas didelis kiekis asmens duomenų. Paskutinė vieta sąraše jam skirta pirmiausia dėl to, kad, prieš kreipiantis dėl draudimo, reikėtų pasidaryti visus prieš tai aptartus namų darbus, nes draudimo bendrovė norės matyti, kad imatės reikiamų duomenų apsaugos priemonių.

Kibernetinių rizikų draudimas nepadės sumažinti asmens duomenų saugumo pažeidimo rizikos, tačiau gali kompensuoti sąnaudas, patirtas tokiam pažeidimui nutikus.

Nuo ko pradėti ir ką daryti? Pasirinkti jūsų veiklai tinkantį kibernetinių rizikų draudimą, prieš tai pasidarius namų darbus pagal 1–6 punktus.

Publikaciją parengė Giedrė Rimkūnaitė-Manke, advokatų kontoros „Glimstedt“ advokatė, ekspertė, intelektinės nuosavybės, technologijų, žiniasklaidos ir komunikacijų, duomenų apsaugos praktikos vadovė, projekto „Glimstedt dokas“ iniciatorė

Užsisakykite svarbiausias naujienas

Glimstedt dokas

Verslo poreikiams pritaikyti, patyrusių advokatų parengti, aukštos kokybės dokumentai greitai ir už prieinamą kainą. Be įsipareigojimų ar registracijų.

Glimstedt dokas