Ateinančių metų gegužės 25 d. Europos Sąjungoje (ES) įsigalios Bendrasis duomenų apsaugos
reglamentas (angl. General Data Protection Regulation – GDPR), kurio pagrindinis tikslas yra kovoti su
asmens duomenų praradimu, atskleidimu ar netinkamu nanudojimu. Tai sveikintinas žingsnis
informacinio saugumo požiūriu, bet kartu tai ir rimta prievolė Lietuvos verslininkams.
Ateinančių metų gegužės 25 d. Europos Sąjungoje (ES) įsigalios Bendrasis duomenų apsaugos reglamentas (angl. General Data Protection Regulation – GDPR), kurio pagrindinis tikslas yra kovoti su asmens duomenų praradimu, atskleidimu ar netinkamu nanudojimu. Tai sveikintinas žingsnis informacinio saugumo požiūriu, bet kartu tai ir rimta prievolė Lietuvos verslininkams.
Debesų kompiuterijos ir IT įmonė „SQUALIO“ atkreipia dėmesį, kad reglamentas fiziniams asmenims suteiks papildomą apsaugą jų duomenims, o juridiniams asmenims – nustatys naujų apribojimų ir reikalavimų. Nors įgyvendinant GDPR reglamentą daugiausia dėmesio bus skiriama asmens duomenų tvarkymo procedūrai, tačiau neatskiriama reglamento dalis yra ir techniniai sprendimai, skirti užtikrinti asmens duomenų saugumą ir mažinti jų praradimo riziką.
„Fizinių asmenų duomenys yra apibrėžiami labai plačiai. Iš esmės tai yra visi duomenys, susiję su identifikuotu fiziniu asmeniu ar netgi jo veikla internete. Jei įmonė turi klientų duomenų bazę, atsiliepimų arba pasiūlymų anketų, el. pašto adresų, paveikslėlių, stebėjimo kamerų vaizdo įrašų, klientų lojalumo programų duomenų, CV ir kitų duomenų, naudoja biometrines identifikavimo technologijas įmonei taikomas naujasis reglamentas. Taip pat svarbu kuriems verslo partneriams perduodami asmens duomenys. Žodžiu, naujasis reglamentas svarbus kiekvienai šalies įmonei“, – aiškina bendrovės „SQUALIO Lietuva“ direktorius Martynas Bieliūnas.
Bauda už reglamento reikalavimų nesilaikymą yra didžiulė – iki 20 milijonų eurų, arba 4 % nuo įmonės apyvartos. Jei tai įmonių grupė, bauda skaičiuojama nuo visos grupės apyvartos.
Kaip pasirengti naujajam reglamentui?
M. Bieliūno teigimu, įmonė turi įvertinti rizikas, žinoti turimų fizinių asmenų duomenų apimtį bei kur jie laikomi. Svarbu ne tik juos teisingai saugoti, bet ir nustatyti, kam jie gali būti prieinami, o norint tinkamai pasirengti GDPR reglamento įgyvendinimui, reikia atlikti šiuos veiksmus:
- Duomenų radimas („inventorizacija“) pirmiausia būtina suprasti, kur ir kodėl šie duomenys saugomi. Šiuo tikslu daug programinės įrangos gamintojų yra sukūrę aktualią įrankių kategoriją „eDiscovery“, kuri padės veiksmingai ir greitai valdyti savo turimus dokumentus. Taip pat reikia ir įvertinimo ar nelikę „nepastebėtų“ asmens duomenų ar jų saugojimo vietų.
- Duomenų valdymas – parengti įmonės dokumentaciją ir apibrėžti, kurie įmonės darbuotojai gali patekti prie fizinių asmenų duomenų, pavyzdžiui, buhalteriai, rinkodara, personalo skyrius ir pan. Taip pat būtina darbuotojus tinkamai apmokyti ir informuoti
- Duomenų apsauga – viena iš pagrindinių IT saugumo sąlygų yra visų galutinių vartotojų įrenginių, tarp jų ir išmaniųjų, duomenų šifravimas tiek jų saugykloje, tiek duomenų perdavimo metu.. Kuo daugiau fizinių asmenų duomenų įmonė turi, tuo didesnė rizika, kad jie pateks į nepatikimas rankas. Taip pat būtinos ir platesnė informacinės apsaugos priemonės, apimančios ne tik asmens duomenis bet ir bendrąsias IT rizikas: ugniasienės, antivirusai ir kt.Duomenų stebėjimas ir pateikimas – įmonės IT infrastruktūroje turi veikti stebėsenos sistema, stebinti kompiuterių tinklus, netipinius vartotojų autorizavimo veiksmus ir elgseną, kad įsilaužimo į bendrovės infrastruktūrą atveju atsakingi darbuotojai bei atitinkamos valstybinės institucijos būtų apie tai laiku informuoti.
- Pasiruošimas duomenų savininkų teisių užtikrinimui – naujasis reglamentas numato kur kas platesnes teises fiziniams asmenims, pvz. “teisę būti užmirštam”, bei prievolę informuoti fizinį asmenį jei jo duomenys nutekėjo. Įmonės turi būti pasiruošusios įvykdyti šiuos teisėtus fizinių asmenų reikalavimus.
Tokiems sprendimams įgyvendinti reikalinga sudėtinga IT infrastruktūra, todėl smulkioms ir vidutinėms įmonėms šias funkcijas bus daug lengviau vykdyti naudojantis debesų kompiuterijos paslaugomis. Didieji gamintojai, tarp jų – „Microsoft“ ir „Google“, „Oracle“, jau dabar realizavo šias funkcijas savo nuotolinių kompiuterinių išteklių paslaugose, kaip kad Microsoft „Office 365“ ar Google „G Suite“.
Norint tinkamai pasirengti GDPR reglamentui, kuris galios visoms Lietuvos įmonėms, pirmuosius žingsnius reikia žengti jau dabar. Reikia pažymėti, kad naujasis reglamentas yra rūpinimasis tinkama fizinių asmenų duomenų apsauga ir saugesne skaitmenine aplinka.
Siekdama palengvinti įmonių darbą ruošiant dokumentus, bendrovė „Squalio“ parengė nemokamą teisinių dokumentų paketą su naudingais reglamentą atitinkančiais pavyzdžiais.
