Nuo BDAR įsigaliojimo praėjo dveji metai: kokioms nuostatoms VDAI skyrė didžiausią dėmesį?

Jau dveji metai kaip įsigaliojo Bendrasis duomenų apsaugos reglamentas 2016/679 (BDAR), įnešęs nemažai sumaišties ir privertęs organizacijas pertvarkyti savo veiklos procesus. Daugeliui jų įsigaliojęs BDAR vis dar tebekelia klausimus: kaip užtikrinti atitiktį ir ją demonstruoti, kokie procesai turi būti dokumentuoti ir kt.? Pats BDAR numato tik bendruosius reikalavimus asmens duomenų tvarkymui ir jų saugumui, suteikdamas nacionalinėms priežiūros institucijoms (Lietuvos atveju – Valstybinei duomenų apsaugos inspekcijai (VDAI)) teisę tam tikrais atvejais detalizuoti šio teisės akto nuostatas. VDAI ėmėsi šios rolės ir nuo BDAR įsigaliojimo parengė daugiau kaip 20 metodinių dokumentų (rekomendacijų, gairių, DUK ir kt.), skirtų padėti organizacijoms geriau vykdyti BDAR numatytas pareigas. Kokioms nuostatoms buvo skiriamas didžiausias dėmesys? Kurie BDAR reikalavimai tapo aiškesni?

VDAI dėmesys - naujos pareigybės duomenų apsaugos pareigūno skyrimui ir jo įtraukimui į organizacijos veiklą

Su įsigaliojusiu BDAR daugelį organizacijų turėjo papildyti ir naujas kolega – duomenų apsaugos pareigūnas (DAP). Paskirtas duomenų apsaugos pareigūnas organizacijoms padeda siekti organizacijos strateginių tikslų, stebėdamas, kaip organizacija laikosi BDAR reikalavimų, atlieka duomenų tvarkymą bei valdo su duomenų saugumu susijusias rizikas, taip prisidėdamas prie organizacijos vykdomo duomenų tvarkymo atitikties BDAR reikalavimams užtikrinimo. Dar ruošdamasi BDAR įsigaliojimui VDAI buvo parengusi viešąją konsultaciją dėl DAP skyrimo, o vėliau ir DUK dėl pranešimo apie paskirtą DAP ir per 2 metų laikotarpį yra pranešta apie 2 230 paskirtų duomenų apsaugos pareigūnų. Tačiau, remiantis 2019 m. VDAI veiklos ataskaita, manoma, kad DAP yra paskyrusios tik 40 proc. organizacijų, turinčių tokią pareigą, ir tik apie 27 proc. viešojo sektoriaus atstovų, kurie privalo paskirti DAP (vadovaujantis BDAR 37 str. 1 d.). Reaguodama į šią situaciją, VDAI išleido rekomendaciją viešajam sektoriui, kuri itin reikšminga ir kitoms organizacijoms, skiriančioms DAP. Rekomendacijoje VDAI akcentuoja, kad organizacijos vis dar skiria nepakankamą dėmesį DAP įtraukimui į organizacijos veiklos procesus. Siekiant užtikrinti, kad DAP galėtų maksimaliai padėti organizacijai siekti organizacijos strateginių tikslų bei prisidėti prie organizacijos vykdomo duomenų tvarkymo atitikties BDAR reikalavimams užtikrinimo, VDAI organizacijoms rekomenduoja:

• nustatyti ir dokumentuoti vidiniuose dokumentuose: kas, kaip ir kada turi kreiptis į DAP, kaip pasireiškia DAP dalyvavimas organizacijos veikloje, ar konkretus klausimas, ar dokumentas turėtų būti derinamas su DAP;
• tinkamai informuoti savo darbuotojus dėl DAP įtraukimo į organizacijos veiklos procesus, pvz., parengiant atmintinę darbuotojams, kurioje būtų numatyta aukščiau nurodyta informacija;
• užtikrinti, kad DAP vykdytų savo pareigas nepatirdamas interesų konflikto, kuris paprastai kyla, jeigu duomenų apsaugos pareigūnu yra paskiriamas organizacijos darbuotojas iš vyresniosios vadovybės, pavyzdžiui, generalinis direktorius, vyriausiasis finansininkas, vyriausiasis gydytojas, rinkodaros vadovas, žmogiškųjų išteklių vadovas, IT padalinio vadovas ir kt., arba jeigu duomenų apsaugos pareigūnu paskiriamas organizacijos darbuotojas, užimantis  žemesnio lygio pareigas, kurias vykdant reikia nustatyti duomenų tvarkymo tikslus ir priemones     . Tokių pareigų pavyzdžiais galėtų būti saugos įgaliotiniai, vadovų pavaduotojai ir kt., išorinio DAP atveju - jeigu jis yra paskiriamas atstovauti organizaciją, kai nagrinėjamos bylos, susijusios su duomenų apsaugos klausimais;
• užtikrinti DAP nepriklausomumą, t. y.      jis turi tiesiogiai atsiskaityti tik aukščiausio lygio vadovybei, pvz., generaliniam direktoriui.

Šiuos aspektus organizacijos taip pat turėtų įvertinti prieš pasirinkdamos, kurį duomenų apsaugos pareigūną skirti: vidinį (asmenį, užimantį ir kitas pareigas organizacijoje) ar išorinį (DAP paslaugas teikiantį paslaugų teikėją).

Rizikų vertinimas ir tinkamų asmens duomenų saugumo priemonių taikymas – dar vienas VDAI prioritetas

BDAR 24 str. ir 32 str. nustato organizacijoms pareigą įgyvendinti tinkamas asmens duomenų saugumo priemones, atsižvelgiant į duomenų tvarkymo keliamus tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms. Kitaip tariant, prieš pasirinkdama duomenų saugumo priemones organizacija turi atlikti rizikos vertinimą. Kadangi BDAR nekonkretizuoja nei rizikos vertinimo atlikimo, nei duomenų saugumo priemonių, VDAI ėmėsi leisti rekomendacijas šiuo aspektu, siekdama padėti organizacijoms įgyvendinti minėtą reikalavimą.

Pirmiausia buvo paskelbti 20 minimalių reikalavimų dėl tinkamų techninių ir organizacinių duomenų saugumo priemonių, kuriuose nustatytos rekomenduojamos duomenų saugumo priemonės bei akcentuojama organizacijų pareiga atlikti rizikos vertinimą, tačiau jo atlikimo metodika nedetalizuota.

Po šių minimalių reikalavimų 2019 m. pabaigoje VDAI priėmė gaires dėl tvarkomų asmens duomenų saugumo priemonių ir rizikos įvertinimo, kuriose palengvino organizacijoms ir rizikų vertinimą, pateikdama šio vertinimo atlikimo metodiką bei pagal nustatytą rizikos lygį rekomenduojamų duomenų saugumo priemonių sąrašą.

Akivaizdu, kad asmens duomenų saugumui VDAI skiria dėmesį ne veltui - kaip rodo praktika, su nepakankamu duomenų saugumu susiję ir pažeidimai - didžiausia VDAI skirta bauda (61,5 tūkst. eur) praėjusių metų pavasarį būtent dėl asmens duomenų saugumo pažeidimo ir su juo susijusių pareigų nevykdymo. Vadovaujantis Europos Sąjungos priežiūros institucijų praktika didžiausios baudos yra skiriamos būtent už duomenų saugumo neužtikrinimą (šiuo metu jau yra skirta baudų už daugiau nei 332 mln. eur).

VDAI siekia palengvinti duomenų saugumo pažeidimų valdymą

BDAR 33,34 str. įtvirtino pareigą organizacijai pranešti apie duomenų saugumo pažeidimus VDAI ir duomenų subjektams (tais atvejais, kai kyla didelis pavojus jų teisėms ir laisvėms). Įsigaliojus BDAR tokia pareiga nustatyta kiekvienai organizacijai, nustačiusiai minėtą pažeidimą savo veikloje. Siekdama palengvinti šios pareigos įgyvendinimą dar pirmais BDAR įsigaliojimo metais VDAI paskelbė ir pranešimo apie duomenų saugumo pažeidimo formą VDAI, ir rekomendacijas dėl asmens duomenų saugumo pažeidimų nustatymo, tyrimo ir pranešimo apie juos bei dokumentavimo tvarkos. Vėlesnėmis savo rekomendacijomis dėl duomenų saugumo priemonių (2019 m.) VDAI taip pat atkreipia dėmesį į asmens duomenų saugumo pažeidimų valdymą išskirdama tris rekomenduojamus dokumentus: reagavimo į saugumo incidentus planą, asmens duomenų saugumo pažeidimų žurnalą ir pranešimo apie asmens duomenų saugumo pažeidimus kompetentingoms institucijoms bei duomenų subjektams tvarką.

Poveikio duomenų apsaugai vertinimas – VDAI papildė BDAR skelbiamą sąrašą ir parengė formą

Įgyvendindama BDAR 35 str. 5 d. VDAI paskelbė sąrašą duomenų tvarkymo operacijų, kurias ketinančios atlikti organizacijos, privalo atlikti poveikio duomenų apsaugai vertinimą. Taip pat buvo parengta poveikio duomenų apsaugai atlikimo forma, kuri detalizuoja BDAR 35 str. 7 d. reikalavimus ir palengvina šio proceso atlikimą duomenų valdytojams. Atkreiptinas dėmesys, kad atliekant poveikio duomenų apsaugai vertinimą (PDAV) negali būti apsiribojama fomaliu formos užpildymu, tačiau tai turi būti išsamus ir tikras galimų pavojų vertinimas, kuris leistų tinkamai įgyvendinti reikiamas technines ir organizacines priemones duomenų saugumui užtikrinti.

2020 metų VDAI prioritetas – asmens duomenų apsaugos iššūkių Covid-19 kontekste valdymas

Susiklosčiusi neeilinė situacija dėl pasaulinės Covid-19 pandemijos, pasikeitęs darbo organizavimas, organizacijoms ėmusis darbą organizuoti nuotoliniu būdu, natūraliai organizacijoms sukėlė daug ir su asmens duomenų tvarkymu bei jų apsauga susijusių klausimų: kiek ir kokių asmens duomenų dėl susiklosčiusios situacijos organizacijos gali tvarkyti; kokias priemones naudoti nuotoliniu būdu vykdomam asmenų identifikavimui; ar galima teikiant paslaugas telefonu įrašinėti pokalbius. Su tokiais ir daug kitų klausimų susiduriančias organizacijas VDAI ėmė konsultuoti viena po kitos leisdama rekomendacijas dėl asmens duomenų tvarkymo ir darbo organizavimo nuotoliniu būdu. Vien per 2 karantino mėnesius VDAI išleido 5 rekomendacijas skirtingiems sektoriams (švietimo, sveikatos priežiūros įstaigoms), kurių nuostatos aktualios ir kitoms nuotoliniu būdu darbą organizuojančioms organizacijoms.

Atsakymus į aktualius duomenų apsaugos klausimus Jums pateiks Allaw BDAR elektroninis vedlys: https://juridicon.lt/dap

Nuorodos

https://vdai.lrv.lt/uploads/vdai/documents/files/Viesoji%20-%20dap_2017.pdf (Žiūrėta: 2020-06-16)  

https://www.ada.lt/go.php/lit/Kaip-teisingai-pateikti-pranesima-apie-duomenu-apsaugos-pareiguna-valstybinei-duomenu-apsaugos-inspekcijai/2 (Žiūrėta: 2020-06-16)

https://vdai.lrv.lt/lt/naujienos/bendrajam-duomenu-apsaugos-reglamentui-dveji (Žiūrėta: 2020-06-16)

https://vdai.lrv.lt/uploads/vdai/documents/files/2019%20m_%20VDAI%20ataskaita%202020-02-28.pdf (Žiūrėta: 2020-06-16)

https://vdai.lrv.lt/uploads/vdai/documents/files/Rekomendacija-del-DAP-viesajame-sektroiuje-2019-06-13.pdf (Žiūrėta: 2020-06-16)

https://www.ada.lt/go.php/lit/20-minimaliu-reikalavimu-kurie-pades-apsaugoti-asmens-duomenis-kiekvienoje-organizacijoje-/3 (Žiūrėta: 2020-06-16)

https://vdai.lrv.lt/uploads/vdai/documents/files/VDAI_saugumo_priemoniu_gaires-2019-12-18.pdf (Žiūrėta: 2020-06-16)

https://www.enforcementtracker.com/?insights (Žiūrėta: 2020-06-16)

https://vdai.lrv.lt/uploads/vdai/documents/files/Rekomend_ADSP_2018.pdf (Žiūrėta: 2020-06-16)