Asmens duomenų saugumo pažeidimas

Su Bendrojo duomenų apsaugos reglamentu (BDAR) buvo priimta ir Duomenų valdytojo pareiga informuoti Duomenų subjektą apie asmens duomenų saugumo pažeidimą, o nesant tokios galimybės - paskelbti apie tai viešai, kas savaime gali sukelti rimtą smūgį Duomenų valdytojo reputacijai. Trumpai aptarsime kelis Duomenų saugumo pažeidimo klausimus, apimant ir 2018 m. liepos mėn. Valstybinės duomenų apsaugos inspekcijos (VDAI) pateiktą rekomendaciją.

Kas yra Asmens duomenų saugumo pažeidimas?

BDAR 4 str. 12 p.

Tai toks saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami persiųsti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų be leidimo gaunama prieiga.

Ir kiekvienas toks pažeidimas turi būti dokumentuojamas.

Pažeidimo fiksavimas

  • Laisvai nustatyta dokumentavimo forma (rašytinė)
  • Operatyvus informacijos suvedimas
  • Atsakingo asmens paskyrimas
  • Prevencinių priemonių numatymas ir įgyvendinimas
  • Reguliarus vertinimas

Pažeidimų žurnalas: turinys

  • Pažeidimo priežastis, kas ir kur (kokioje sistemoje) nutiko ir kokie duomenys pažeisti
  • Pažeidimo pobūdis, poveikis ir pasekmės
  • Taisomieji veiksmai, kurių buvo imtasi: kada, kokie, ko buvo siekta ir kas jais pasiekta
  • Priežastys dėl su Pažeidimu susijusių sprendimų priėmimo
  • Pranešimo VDAI vėlavimo priežastys (jei buvo vėluota)
  • Informacija, ar buvo pranešta Duomenų subjektui

Pareiga informuoti

BDAR 33, 34 str.

BDAR nustato pareigą informuoti priežiūros instituciją (LR atveju - VDAI) ir Duomenų subjektą (patį asmenį, kurio asmens duomenų saugumui grėsmė galėjo kilti / kilo).

VDAI informavimas

BDAR 33 str.
  • Operatyvus informacijos pateikimas (rekomenduotina per 72 val. nuo sužinojimo apie pažeidimą arba etapais)
  • Nustatyta pranešimo forma (žr>>)
  • Paskirtas atsakingas asmuo pažeidimų valdymui

VDAI apie pažeidimą informuojama internetu >>

Duomenų subjekto informavimas

BDAR 34 str.
  • Esant / galinčiam kilti dideliam pavojui - informavimas privalomas.
  • Informavimas aiškia ir paprasta kalba, laisvai pasirinkta forma
  • Išimtys, kai Duomenų subjekto galima neinformuoti, pvz. kai buvo taikytos pakankamos techninės ir organizacinės priemonės (pvz., šifravimas); imtasi priemonių kad toks pavojus nebegalėtų kilti arba pažeidimas labai nedidelis ir realių pasekmių nesukėlė / negalėjo sukelt
Jei Duomenų subjekto (ar kelių duomenų subjektų) informavimas sukeltų neproporcingai daug Duomenų valdytojo pastangų, tuomet apie pažeidimą galima pranešti viešai

Esant nedideliam pažeidimui (nekeliančiam/neturėsiančiam kelti grėsmės Duomenų subjekto teisėms ir laisvėms), galima nei VDAI, nei Duomenų subjektui nepranešti

BDAR 33 str. 1d., netiesiogiai ir 34 str. 1 d.
VDAI gali įpareigoti pranešti asmeniui apie asmens duomenų saugumo pažeidimą, jei ji nuspręstų, kad yra didelė tikimybė, kad dėl asmens duomenų saugumo pažeidimo kils didelis pavoju

Reglamentas nustato pareigą visiems Duomenų valdytojams ar tvarkytojams taikyti tinkamas technines ir organizacines priemones, užtikrinančias objektyviai pakankamą asmens duomenų apsaugą ir savalaikę reakciją į pažeidimą, tačiau kriterijų įvertinti taikomų priemonių pakankamumą nepateikia. Spręsti paliekama pačiam Duomenų valdytojui, nors nuo to priklauso, ar Duomenų valdytojas įgyvendins pareigą informuoti Duomenų subjektą apie pažeidimą.

Techninių / organizacinių priemonių pavyzdžiai

Įrenginio šifravimas

Tai ypač aktualu tai atvejais, kai Juridinio asmens darbuotojai / administracija turi teisę prie juridinio asmens resursų (el. pašto, serverio, saugyklų, kitų sistemų) prisijungti nuotoliniu būdu (pvz. iš namų, viešbučių, oro uostų, kt.), tokiu atveju įrenginio su prieiga prie asmens duomenų praradimo rizika padidėja (nors biure esančius kompiuterius taip pat rekomenduotina šifruoti)

Šifruoto įrenginio praradimas (pvz., pametimas, vagystė) ar gali būti laikomas saugumo pažeidimu, tačiau jei šifro raktas nebuvo prarastas, Duomenų subjektui apie tai galima nepranešti, priešingu atveju - apie galimą grėsmę duomenų saugumui turėtų būti pranešta kiekvienam Duomenų subjektui, kurio duomenys gali būti prieinami per įrenginį.

29 straipsnio darbo grupės gairės Nr. 250

Slaptažodžio pasirinkimas

Slaptažodžio sukūrimas neretai yra vienas iš didelių galvos skausmų kiekvienam vartotojui, o ypač, kai reikia juos sukurti kelis. Vis dėl to, tinkamo slaptažodžio pasirinkimas stipriai apsunkina galimybes jį 'nulaužti' ir tokiu būdu sukelti juo apsaugotus asmens duomenis.

Minimalios rekomendacijos slaptažodžiui:

  • Sunkiai atspėjami (žr. 2016 m. dažniausiai naudotus slaptažodžius kaip netinkamos praktikos pavyzdį>>) ir žinoti tik konkrečiam darbuotojui
  • neapima tiesioginių sąsajų su slaptažodžio naudotoju
  • bent iš 8 simbolių, apimant didžiąsias raides, skaičius/kitus ženklus)
  • keičiami ne rečiau kaip kartą per tris mėnesius, taip pat susidarius tam tikroms aplinkybėms (pvz., iškilus įsilaužimo grėsmei.)
  • nesikartojantis su kitais resursais ar anksčiau buvusiais slaptažodžiais
  • neturi sutapti su standartiniu įrangos slaptažodžiu

Tinkama patalpų, kuriose yra saugomi popieriniai dokumentai, apsauga

rakinamos spintos/stačiai, kur laikomi dokumentai su asmens duomenimis, arba rakinami kabinetai, švaraus stalo politikos laikymasis, patalpų nepalikimas be priežiūros ir kt.

Programinės įrangos naudojimas (įsk. antivirusinės, ugniasienės)

Tik oficiali, autorizuota, automatiškai (centralizuotai) atsinaujinanti arba atnaujinama pagal gamintojo rekomendacijas; apribota galimybė vartotojams apeiti saugumo reikalavimus, įdiegti neautorizuotas programas

Žmogiškieji ištekliai

Yra informuoti, apie duomenų tvarkymo taisykles, pasirašytinai supažindinti su konfidencialumo reikalavimais ir įsipareigoję jų laikytis; reguliariai instruktuojami/apmokomi; nustatytas asmenų, turinčių teisę tvarkyti asmens duomenis, ratas