Įmonėms liko tik 13 mėnesių pasiruošti kitais metais įsigaliosiančiam Europos Sąjungos Asmens duomenų apsaugos reglamentui, kuris įpareigos gerokai atsakingiau tvarkyti ir saugoti savo klientų duomenis. To neužtikrinančioms įmonėms grės baudos iki 20 milijonų eurų arba 4 proc. metinės apyvartos.
„Asmens duomenų apsaugas reglamentas palies daugumą įmonių, kurios kaupia klientų duomenis: nuo šių duomenų rinkimo, jų apdorojimo iki pašalinimo iš sistemos be galimybės atstatyti“, – komentuoja „Safetica“ sprendimus pristatančios įmonės „Baltimax“ pardavimų vadovas Deividas Pelenis.
Naujajame reglamente numatoma, kad įmonės privalės gauti klientų sutikimą dėl jų duomenų kaupimo. Šis sutikimas turi būti aiškus, be jokių dviprasmiškų interpretacijų, taip pat gali būti atšaukiamas paties kliento bet kuriuo metu – įmonės savo ruožtu turės užtikrinti kliento duomenų pašalinimą to paprašius.
Valstybinėms įmonėms bei organizacijoms, dirbančioms su didelėmis duomenų bazėmis, ypač kaupiančioms svarbius duomenis, bus privaloma turėti dedikuotą darbuotoją, atsakingą už privačių duomenų apsaugą ir ES reglamento laikymąsi. Tačiau tai nereiškia, kad mažoms įmonėms nereikia niekuo rūpintis.
„Net ir mažoms įmonėms reikės imtis tinkamų priemonių, kad atitiktų reglamento reikalavimus. Visų pirma, be įmonės naudojamų vidinių sistemų techninių niuansų reikės peržiūrėti vykdomas duomenų apsaugos politikas, kaip ir darbuotojų sutartis, ar jie gali dirbti su duomenimis. Įvykus saugumo incidentui, įmonės privalės pranešti apie duomenų nutekėjimą ne tik atsakingoms institucijoms, bet ir paveiktiems asmenims per 72 valandas“, – aiškina D. Pelenis.
Pasak „Safetica“ atstovų, įmonėms pravartu pasirūpinti ne tik tinkama duomenų apsauga, bet ir sumažinti galimą duomenų nutekėjimo riziką. Praktiškai įmonės turėtų analizuoti, kaip organizacijoje „keliauja“ asmeniniai duomenys, kokie darbuotojai turi prieigą ir kokie pakeitimai yra atliekami.
„Tokio tipo auditas dažnai atskleidžia jau vykstančius saugumo incidentus, kai, pavyzdžiui, darbuotojai dalinasi duomenimis naudodamiesi viešomis debesijos paslaugomis ar nešifruotomis atmintinėmis. Deja, toks darbuotojų elgesys palengvina darbą kibernetiniams nusikaltėliams, siekiantiems pasisavinti jautrius duomenis“, – teigia duomenų praradimo prevencijos sprendimus kuriančios „Safetica Technologies“ saugumo vadovas Matej Zachar.
Saugumo ekspertai įmonėms, siekiančioms laiku pasirengti naujam ES reglamentui, visų pirma rekomenduoja atlikti vidinį auditą dėl darbo su duomenimis, pasitikrinti vykdomą saugumo politiką, ugdyti atsakingus darbuotojus. Taip pat patariama šifruoti saugomus duomenis, daryti atsargines duomenų kopijas, diegti antivirusinius ir kitus saugumo sprendimus, tarp kurių minimi ir duomenų praradimo prevencijos (DLP) įrankiai.