Gegužės 25 d. minėjome 4 metus su Bendruoju duomenų apsaugos reglamentu (BDAR). Kiekvienais metais Lietuvoje registruojama vis daugiau administracinių baudų dėl BDAR pažeidimų. Vien per pirmąjį praėjusių metų pusmetį Lietuvoje sėkmingų kibernetinių įsilaužimų skaičius išaugo 129 proc., rodo Nacionalinio kibernetinio saugumo centro (NKSC) prie Krašto apsaugos ministerijos duomenys, o dalis jų susiję ir su asmens duomenimis.
Asociatyvi „Pixabay“ nuotr.
Nors Lietuvoje dar prieš įsigaliojant BDAR, asmens duomenų tvarkymas profesiniais tikslais buvo reguliuojamas Asmens duomenų teisinės apsaugos įstatymu jau daugiau nei 20 metų – žmonėms bei verslams vis dar trūksta žinių apie asmens duomenų tvarkymą.
„Dažnai įmonėms atrodo, kad asmens duomenų apsauga yra tik dar vienas trukdis vykdyti veiklą, tačiau tokia nuomonė tikėtina yra dėl to, kad yra neįsigilinama į reglamento ir su jo aiškinimu susijusių dokumentų turinį, nesupranta jo esmės“, - komentuoja įmonės „TermsHub“ teisininkė Aušra Starkutė-Šyvokienė.
Nežinojimas neatleidžia nuo atsakomybės
Teisininkė atkreipia dėmesį, kad dažnai įmonių vadovai nėra įsivertinę rizikos dėl galimo asmens duomenų pažeidimo ir iš to kylančių pasekmių. Taip pat neretai vadovai neturi informacijos apie valdomų asmens duomenų apimtį, jos įtaką galimam pažeidimui. Todėl kalbantis su vadovais apie būtinumą įmonei susitvarkyti atitikimą BDAR reikalavimams, pirmiausia vadovas turi būti supažindinamas su rizikomis, kurias jis turi einamuoju momentu.
„Dažnai teisininkai girdi, kad parengtos taisyklės ir jose numatytų priemonių įgyvendinimas didina finansinę naštą, sunkina veiklą ir reikalauja papildomų resursų ir todėl ieškoma lengvesnių kelių, o tai stipriai didina riziką dėl asmens duomenų galimo pažeidimo“, - pabrėžia A. Starkutė-Šyvokienė.
Pasak jos, visuomenė sąmoningėja, todėl tikėtina, kad svarbių pranešimų apie galimus asmens duomenų apsaugos pažeidimus ateityje bus daugiau.
Duomenų vagystės poveikį mažina gerosios duomenų saugojimo praktikos
Skaitmeninėje erdvėje vykstant informaciniam karui, o darbui iš namų tapus savaime suprantamu reiškiniu, įmonės turėtų susirūpinti savo duomenų saugumu ir įsitikinti, kad jų interneto svetainė atlaikytų kibernetinę ataką. Vengti saugoti perteklinius klientų duomenys ne išeitis, pavienės priemonės veiksmingos tik tam tikra apimtimi.
„Duomenų saugumą užtikrina kompleksiškumas. Taip yra užbėgama už akių dažniausioms saugumo spragoms per kurias užvaldomi duomenys“, – pastebi A. Starkutė-Šyvokienė.
Pasak jos, duomenų saugumą galima užtikrinti per du paprastus žingsnius. Pirmasis žingsnis – dabartinės situacijos analizė. Ją galima atlikti pasitelkus automatinį svetainės slapukų nuskaitymo įrankį, kurį galima rasti internete ir pasinaudoti nemokamai. Tai pirmas žingsnis teisingos slapukų kontrolės link.
Sekantis žingsnis – esamų ir galimų rizikų įvertinimas. Žinodami su kokiomis rizikomis susiduriame ar galime susidurti ateityje, galima pasirinkti atitinkamas saugumo priemones. Pavyzdžiui, įvertindami riziką dėl nešiojamame kompiuteryje esančių duomenų ir tokio kompiuterio vagystės, galime duomenis ir kompiuterį užšifruoti.