Teisėtumas, sąžiningumas, skaidrumas ir duomenų kiekio mažinimas – tokie keturi principai įtvirtinti Bendrojo duomenų apsaugos reglamento (BDAR) 5 straipsnio 1 dalyje. Tačiau, pasak duomenų apsaugos specialistų, pirmieji metai po BDAR įsigaliojimo parodė, kad toli gražu ne visos organizacijos jais vadovaujasi.
Teisėtumas, sąžiningumas, skaidrumas ir duomenų kiekio mažinimas – tokie keturi principai įtvirtinti Bendrojo duomenų apsaugos reglamento (BDAR) 5 straipsnio 1 dalyje. Tačiau, pasak duomenų apsaugos specialistų, pirmieji metai po BDAR įsigaliojimo parodė, kad toli gražu ne visos organizacijos jais vadovaujasi.
Trūksta komunikacijos
2018 m. gegužę pradėjus taikyti BDAR, per metus Valstybinė duomenų apsaugos inspekcija (VDAI) sulaukė daugiau kaip 1 200 vartotojų skundų dėl asmens duomenų pažeidimų. Anot VDAI, daugiausia žmonės skundžiasi dėl vaizdo stebėjimo, duomenų tvarkymo internete, teisės susipažinti su asmens duomenis, skolininkų asmens duomenų tvarkymo, tiesioginės rinkodaros ir asmens kodo naudojimo.
Rugsėjo 5 d. vyksiančioje kibernetinio saugumo konferencijoje „ESET Security Day“ pranešimą skaitysiantis VDAI IT skyriaus vedėjas dr. Jevgenij Tichonov pabrėžia, kad dažniausiai pretekstas skundams kyla dėl to, kad nevyksta komunikacija tarp duomenų subjekto (vartotojo) ir duomenų valdytojo (organizacijos). Vien šiemet daugiausiai vartotojai skundėsi dėl teisės susipažinti su savo duomenimis (47 atvejai) ir teisės nesutikti su duomenų tvarkymu (15 atvejų).
„BDAR akcentuoja, kad duomenų subjektas atiduoda savo asmens duomenis, todėl jis turi dalyvauti asmens duomenų tvarkymo procese. Duomenų valdytojai privalo tai įvertinti ir prireikus peržiūrėti savo duomenų tvarkymo operacijas. Duomenų subjektai neturi būti saugomi nuo informacijos, išskyrus, konfidencialią ar komercinę paslaptį, jie turi gauti visą reikiamą su jais susijusią informaciją pagal BDAR. Taigi tarp duomenų valdytojo ir duomenų subjekto turi vykti komunikacija. Pagrindinė taisyklė: asmens duomenys priklauso fiziniam asmeniui, todėl duomenų valdytojas privalo elgtis etiškai, sąžiningai ir vadovautis skaidrumo principu, įtvirtintu BDAR“, – komentuoja dr. J. Tichonov.
Žmogiškosios klaidos kaina
VDAI išanalizavusi per pastaruosius metus gautus pranešimus dėl asmens duomenų saugumo pažeidimų, išskyrė dažniausią jų priežastį – žmogiškąją klaidą, kuri lėmė daugiau negu kas antrą asmens duomenų saugumo pažeidimą (71 iš 141). Dažniausia pažeidimo aplinkybė – neautorizuota prieiga prie duomenų ar jų atskleidimas (103 atvejai). Paveiktų fizinių asmenų skaičius – daugiau kaip 163 tūkstančiai.
„Efektyviausia priemonė minimizuoti žmogiškąsias klaidas yra darbuotojų mokymai. Mokymai apie duomenų apsaugą ir saugumo procedūras, pavyzdžiui, slaptažodžių naudojimą ir prieigą prie konkrečių IT sistemų, yra svarbūs tinkamam organizacinių ir techninių saugumo priemonių įgyvendinimui ir prevencijai dėl netyčinio duomenų sunaikinimo, praradimo, pakeitimo, atskleidimo be leidimo ar neteisėtos prieigos prie jų (BDAR 32 straipsnio 2 dalis)“, – vardina VDAI IT skyriaus vedėjas.
Dr. Jevgenij Tichonov pabrėžia, kad žinios apie asmens duomenų tvarkymui keliamus reikalavimus ir atsakomybes yra ypač svarbios tiems asmenims, kurie atlieka didelės rizikos asmens duomenų tvarkymo operacijas.
Kai vienas – už visus
Dažniausi iššūkiai duomenų apsaugos srityje, su kuriais susiduria verslas Lietuvoje: painiava IT specialistų atsakomybėse ir nesugebėjimas matyti visumos, kad būtų išlaikomas atitinkamas saugumo lygis visame duomenų tvarkymo procese.Nėra gerai, kai tas pats specialistas turi rūpintis ir kasdienių IT sistemų bei procesų priežiūra ir veiklos tęstinumu, o iš kitos pusės tuo pačiu rūpintis tų pačių IT sistemų kibernetine bei duomenų sauga. Tai nesuderinamos pareigos ir atsakomybės, jų yra skirtingi tikslai ir joms reikalingos skirtingos kompetencijos, todėl jos turi būti atskirtos“, – komentuoja VDAI atstovas.
Kitas aspektas – organizacijose neužtikrinamas tvarkomų asmens duomenų konfidencialumas ir vientisumas, kai nėra vykdoma ir valdoma prieigos kontrolė. Pavyzdžiui, organizacijoje yra keliasdešimt kompiuterinių darbo vietų, tarnybinių stočių ir kitų IT sistemų, vyksta darbuotojų kaita, tačiau beveik visai nėra rūpinamasi prieigos prie IT sistemų valdymu ir kontrole, nėra įdiegtas jos centralizuotas tapatybės valdymo ir prieigos kontrolės sprendimas (pvz., Microsoft Active Directory), darbuotojai dirba su paskyromis, kurioms suteiktas „Administratorių“ vaidmuo, teisės ir panašiai.
Dr. J. Tichonov tokią situaciją iliustruoja posakiu „grandinė yra tiek stipri, kiek yra stipri jos silpniausia grandis“. „Tai gali būti žmonės, procesai ar techninė įranga. Piktavaliai kaip tik ir ieško tos silpniausios grandies, nes nuo jos lengviausia pradėti. Pastebime, kad organizacijos kartais neišnaudoja jau turimų techninės įrangos ir programinių sistemų galimybių, galbūt kartais tai ir tinkamos kompetencijos, specialistų mokymų klausimas“, – teigia ekspertas.
Suomijos patirtis
Konferencijoje „ESET Security Day“ Suomijos patirtimi įgyvendinant BDAR dalinsis „Fondia Suomija“ vyresnioji teisininkė Sari Koskela. Nors įsigaliojus BDAR Suomijoje dar nebuvo pritaikytos baudos dėl reglamento nevykdymo, Suomių duomenų apsaugos ombudsmeno duomenimis, 2018 m. buvo pranešta apie 2 700 pažeidimų dėl asmens duomenų apsaugos.
Pasak S. Koskelos, praėjusieji metai buvo itin intensyvūs, padedant klientams iš įvairių industrijų įgyvendinti BDAR keliamus reikalavimus, taip pat kuriant įvairias priemones bei šablonus.
„Suomijoje iki BDAR įsigaliojimo duomenų apsaugos lygis įmonėse buvo labai skirtingas. Vienos įmonės skyrė daugiau dėmesio BDAR įgyvendinimui nei kitos. Visgi, pats pagrindinis iššūkis daugeliui organizacijų buvo ir yra suvokimas, kad BDAR įgyvendinimo procesas nėra sprintas, tai labiau maratonas“, – komentuoja Sari Koskela.
Tarp didžiausių klaidų, kurias daro mažos ir vidutinės įmonės Suomijoje – netinkamas privatumo dokumentų šablonų naudojimas bei procesų eiliškumas. Pasak S. Koskela, ruošti privatumo dokumentus, neatlikus duomenų audito, yra klaidinga praktika, kaip ir naudojimas privatumo dokumentų šablonų, kurie neatitinka įmonės veiklos.
„Pastebime, kad ypač mažos ir vidutinės įmonės yra linkusios galvoti, kad sudarius tam tikrus teisinius dokumentus, kaip privatumo politikas, visas darbas yra baigtas. Tai toli gražu nuo tiesos. Ypatingai duomenų valdytojai privalo turėti tam tikrus procesus, susijusius su rizikų valdymu, tam, kad atitiktų BDAR reikalavimus, – pasakoja S. Koskela. – Šie vidiniai procesai, pavyzdžiui, duomenų saugumo pažeidimo valdymo procesas, yra būtini tam, kad būtų užtikrinti BDAR reikalavimai. Be to, šie dokumentai neturi jokios vertės, jei duomenų valdytojams nesupranta esminių teisinių aspektų. Svarbu ir tai, kad privatumo dokumentai turi būti atnaujinami nuolat“.
Padedant atlikti duomenų auditus „Fondia Suomija“ pamatė ir kraštutinių situacijų: vienos įmonės kaupė duomenis, kurių netgi nereikėjo atsižvelgiant į verslo poreikius, tuo tarpu kitos kompanijos, išsigandusios BDAR reikalavimų, ištrynė asmens duomenis ar net savo duomenų registrus, nors duomenų rinkimas bei saugojimas jų atžvilgiu buvo teisėtas ir pagrįstas.
Jau penktą kartą Vilniuje vyksianti saugumo konferencija „ESET Security Day“ rugsėjo 5 d. tradiciškai suburs IT bendruomenę aptarti aktualias kibernenetinio saugumo temas. Pranešimus skaitys saugumo evangelistas Tony Anscombe, Nacionalinio kibernetinio saugumo centro direktorius Rytis Rainys, IT saugumo specialistai Vytautas Butrimas ir Darius Povilaitis, VDAI atstovas Dr. Jevgenij Tichonov, Fondia Suomija vyr. Teisininkė Sari Koskela ir kiti. Pagrindinė šių metų konferencijos tema – tobula įmonės IT saugumo politika.
