Mažiau kaip 900 – tik tiek Lietuvos įmonių ir įstaigų pasirūpino duomenų apsaugos pareigūno (DAP) pareigybe, kurią pradėjus taikyti ES Bendrąjį duomenų apsaugos reglamentą privalo turėti visos valstybinės institucijos. Nors šalyje valstybinių įstaigų per 4 000, Valstybinės duomenų apsaugos inspekcijos (VDAI) direktorius Raimondas Andrijauskas situacijos nedramatizuoja.
Pasak R. Andrijausko, jau pradedami įmonių ir įstaigų tikrinimai pagal BDAR nustatytus reikalavimus, tačiau VDAI supranta, kad nemažai reglamento nuostatų yra sudėtingos, neretai reikalaujančios papildomo aiškinimo, praktika tik pradės formuotis.
Kylančius neaiškumus patvirtina ir besikreipiančiųjų į VDAI skaičius: per pirmąjį šių metų pusmetį VDAI suteikė tiek konsultavimo ir informavimo paslaugų, kiek suteikė per visus 2017 m.
„BDAR, net nepradėjus jo taikyti, jau sukėlė milžinišką efektą visuomenėje. Organizacijos buvo priverstos pasitempti, peržvelgti savo veiklos prioritetus, įsivertinti asmens duomenų tvarkymą, diegti naują požiūrį ir formuoti asmens duomenų tvarkymo kultūrą savo viduje. Nemažai įmonių ir įstaigų jau peržiūrėjo, kitos vis dar peržiūri ir stengiasi tobulinti su asmens duomenų tvarkymu susijusius procesus. Be to, visuomenė tapo sąmoningesnė ir labiau informuota apie savo teises bei galimas rizikas, susijusias su jų asmens duomenų tvarkymu“, – tvirtina VDAI direktorius.
Vis dėlto duomenų apsaugos pareigūnų, kurie galėtų pagelbėti organizacijoms asmens duomenų apsaugos klausimais, paskyrimas vyksta gana lėtai.
Paklausa viršija pasiūlą
Pasak R. Andrijausko, ši BDAR naujovė – paskirti duomenų apsaugos pareigūną – sukėlė tam tikrą sumaištį organizacijose, nes reikia ne tik apsibrėžti šią pareigybę, nustatyti jos kompetencijos ribas, tačiau ir rasti tinkamą žmogų užimti DAP pareigas.
„Duomenų apsaugos pareigūno vaidmuo, iš principo, yra visiškai naujas organizacijų valdymo elementas. Šių specialistų paklausa rinkoje kur kas labiau viršija pasiūlą, o jų rengimas Lietuvoje dar tik žengia pirmuosius žingsnius“, – teigia VDAI direktorius.
Beje, duomenų apsaugos pareigūnas yra privalomas ne tik valstybinėms institucijoms: tokia pareiga tenka ir įmonėms, kurių pagrindinė veikla yra dideliu mastu sistemingai stebėti asmenis arba dideliu mastu tvarkyti specialių kategorijų asmens duomenis.
Remiantis VDAI duomenimis, didžioji dalis apie duomenų apsaugos pareigūną inspekciją informavusių įmonių yra privatūs juridiniai asmenys, daugiausiai užsiimantys prekių ir paslaugų veikla. Duomenų apsaugos pareigūnų, kuriais yra praskirti ar naujai įdarbinti įmonių vidiniai darbuotojai, yra tik apie 15 proc. daugiau, negu samdytų iš išorės.
Anot VDAI vadovo, kvalifikuotų duomenų apsaugos specialistų trūksta ne tik Lietuvoje, bet ir kitose ES valstybėse, su duomenų apsaugos specialistų problema susiduria ir pačios asmens duomenų apsaugos priežiūros institucijos.
Reikalinga kompetencija
Laikyti duomenų apsaugos pareigūną tik formalia pareigybe būtų ydinga praktika. Kalbant apie duomenų apsaugos pareigūno kvalifikaciją pabrėžiamas jo ekspertinių žinių lygis, profesinės savybės ir gebėjimas atlikti užduotis. Svarbu, kad šio specialisto pareigos neturi kelti interesų konflikto: duomenų apsaugos pareigūnu neturėtų būti skiriamas asmuo, kuris dalyvauja sprendžiant, kokie duomenys yra renkami ir naudojami.
„Duomenų valdytojas pats turi būti suinteresuotas, kad duomenų apsaugos pareigūnas būtų aktyvus. Jei DAP bus tik formalumas, tuomet duomenų valdytojas iš jo neturės jokios praktinės naudos. Šis specialistas turi būti įtraukiamas į visus organizacijos planuojamus ir vykdomus veiklos pokyčius, susijusius su asmens duomenų tvarkymu. Tai priemonė organizacijai užtikrinti, kad jos veikla atitinka BDAR reikalavimus ir tinkamai įgyvendinamas atskaitomybės principas“, – sako R. Andrijauskas.
Pasak VDAI direktoriaus, pati BDAR esmė yra keisti organizacijų požiūrį į asmens duomenų apsaugą, ir duomenų apsaugos pareigūno pareigybės įtvirtinimas šiose organizacijose yra viena iš garantijų užtikrinti tinkamą asmens duomenų tvarkymą.
„Tik pačių įstaigų ir įmonių pozicija lems, ar duomenų apsaugos pareigūnas bus tik organizacijos aksesuaras, ar jam bus suteikiama reali teisė gerinti asmens duomenų apsaugą, dalyvauti visuose kūrybiniuose ir įgyvendinimo procesuose, kuriuose naudojami asmens duomenys“, – komentuoja R. Andrijauskas.
Rugsėjo 6 d. kibernetinio saugumo konferencijoje „ESET Security Days“ dalyvausiantis Valstybinės duomenų apsaugos inspekcijos direktorius Raimondas Andrijauskas skaitys pranešimą „Duomenų apsaugos pareigūnas – Bendrojo duomenų apsaugos reglamento naujovė“.
Šiemet jau ketvirtą kartą Vilniuje vyksiančio ir didžiulio IT profesionalų susidomėjimo sulaukiančio renginio „ESET Security Days“ tema bus „Kibernetinis saugumas – nuo teorijos prie praktikos“. Renginyje pranešimus skaitys Lietuvos Respublikos Krašto apsaugos viceministras Edvinas Kerza, LITNET CERT IT saugos grupės vadovas Šarūnas Grigaliūnas, informacinių technologijų ekspertas Marius Pareščius ir kiti.