Asmens duomenų saugumo pažeidimas
Su Bendrojo duomenų apsaugos reglamentu (BDAR) buvo priimta ir Duomenų valdytojo pareiga informuoti Duomenų subjektą apie asmens duomenų saugumo pažeidimą, o nesant tokios galimybės - paskelbti apie tai viešai, kas savaime gali sukelti rimtą smūgį Duomenų valdytojo reputacijai. Trumpai aptarsime kelis Duomenų saugumo pažeidimo klausimus, apimant ir 2018 m. liepos mėn. Valstybinės duomenų apsaugos inspekcijos (VDAI) pateiktą rekomendaciją.
Kas yra Asmens duomenų saugumo pažeidimas?
BDAR 4 str. 12 p.Tai toks saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami persiųsti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų be leidimo gaunama prieiga.
Ir kiekvienas toks pažeidimas turi būti dokumentuojamas.
Pažeidimo fiksavimas
- Laisvai nustatyta dokumentavimo forma (rašytinė)
- Operatyvus informacijos suvedimas
- Atsakingo asmens paskyrimas
- Prevencinių priemonių numatymas ir įgyvendinimas
- Reguliarus vertinimas
Pažeidimų žurnalas: turinys
- Pažeidimo priežastis, kas ir kur (kokioje sistemoje) nutiko ir kokie duomenys pažeisti
- Pažeidimo pobūdis, poveikis ir pasekmės
- Taisomieji veiksmai, kurių buvo imtasi: kada, kokie, ko buvo siekta ir kas jais pasiekta
- Priežastys dėl su Pažeidimu susijusių sprendimų priėmimo
- Pranešimo VDAI vėlavimo priežastys (jei buvo vėluota)
- Informacija, ar buvo pranešta Duomenų subjektui
Pareiga informuoti
BDAR 33, 34 str.BDAR nustato pareigą informuoti priežiūros instituciją (LR atveju - VDAI) ir Duomenų subjektą (patį asmenį, kurio asmens duomenų saugumui grėsmė galėjo kilti / kilo).
VDAI informavimas
BDAR 33 str.- Operatyvus informacijos pateikimas (rekomenduotina per 72 val. nuo sužinojimo apie pažeidimą arba etapais)
- Nustatyta pranešimo forma (žr>>)
- Paskirtas atsakingas asmuo pažeidimų valdymui
VDAI apie pažeidimą informuojama internetu >>
Duomenų subjekto informavimas
BDAR 34 str.- Esant / galinčiam kilti dideliam pavojui - informavimas privalomas.
- Informavimas aiškia ir paprasta kalba, laisvai pasirinkta forma
- Išimtys, kai Duomenų subjekto galima neinformuoti, pvz. kai buvo taikytos pakankamos techninės ir organizacinės priemonės (pvz., šifravimas); imtasi priemonių kad toks pavojus nebegalėtų kilti arba pažeidimas labai nedidelis ir realių pasekmių nesukėlė / negalėjo sukelt
Esant nedideliam pažeidimui (nekeliančiam/neturėsiančiam kelti grėsmės Duomenų subjekto teisėms ir laisvėms), galima nei VDAI, nei Duomenų subjektui nepranešti
BDAR 33 str. 1d., netiesiogiai ir 34 str. 1 d.Reglamentas nustato pareigą visiems Duomenų valdytojams ar tvarkytojams taikyti tinkamas technines ir organizacines priemones, užtikrinančias objektyviai pakankamą asmens duomenų apsaugą ir savalaikę reakciją į pažeidimą, tačiau kriterijų įvertinti taikomų priemonių pakankamumą nepateikia. Spręsti paliekama pačiam Duomenų valdytojui, nors nuo to priklauso, ar Duomenų valdytojas įgyvendins pareigą informuoti Duomenų subjektą apie pažeidimą.
Techninių / organizacinių priemonių pavyzdžiai
Įrenginio šifravimas
Tai ypač aktualu tai atvejais, kai Juridinio asmens darbuotojai / administracija turi teisę prie juridinio asmens resursų (el. pašto, serverio, saugyklų, kitų sistemų) prisijungti nuotoliniu būdu (pvz. iš namų, viešbučių, oro uostų, kt.), tokiu atveju įrenginio su prieiga prie asmens duomenų praradimo rizika padidėja (nors biure esančius kompiuterius taip pat rekomenduotina šifruoti)
Šifruoto įrenginio praradimas (pvz., pametimas, vagystė) ar gali būti laikomas saugumo pažeidimu, tačiau jei šifro raktas nebuvo prarastas, Duomenų subjektui apie tai galima nepranešti, priešingu atveju - apie galimą grėsmę duomenų saugumui turėtų būti pranešta kiekvienam Duomenų subjektui, kurio duomenys gali būti prieinami per įrenginį.
29 straipsnio darbo grupės gairės Nr. 250Slaptažodžio pasirinkimas
Slaptažodžio sukūrimas neretai yra vienas iš didelių galvos skausmų kiekvienam vartotojui, o ypač, kai reikia juos sukurti kelis. Vis dėl to, tinkamo slaptažodžio pasirinkimas stipriai apsunkina galimybes jį 'nulaužti' ir tokiu būdu sukelti juo apsaugotus asmens duomenis.
Minimalios rekomendacijos slaptažodžiui:
- Sunkiai atspėjami (žr. 2016 m. dažniausiai naudotus slaptažodžius kaip netinkamos praktikos pavyzdį>>) ir žinoti tik konkrečiam darbuotojui
- neapima tiesioginių sąsajų su slaptažodžio naudotoju
- bent iš 8 simbolių, apimant didžiąsias raides, skaičius/kitus ženklus)
- keičiami ne rečiau kaip kartą per tris mėnesius, taip pat susidarius tam tikroms aplinkybėms (pvz., iškilus įsilaužimo grėsmei.)
- nesikartojantis su kitais resursais ar anksčiau buvusiais slaptažodžiais
- neturi sutapti su standartiniu įrangos slaptažodžiu
Tinkama patalpų, kuriose yra saugomi popieriniai dokumentai, apsauga
rakinamos spintos/stačiai, kur laikomi dokumentai su asmens duomenimis, arba rakinami kabinetai, švaraus stalo politikos laikymasis, patalpų nepalikimas be priežiūros ir kt.
Programinės įrangos naudojimas (įsk. antivirusinės, ugniasienės)
Tik oficiali, autorizuota, automatiškai (centralizuotai) atsinaujinanti arba atnaujinama pagal gamintojo rekomendacijas; apribota galimybė vartotojams apeiti saugumo reikalavimus, įdiegti neautorizuotas programas
Žmogiškieji ištekliai
Yra informuoti, apie duomenų tvarkymo taisykles, pasirašytinai supažindinti su konfidencialumo reikalavimais ir įsipareigoję jų laikytis; reguliariai instruktuojami/apmokomi; nustatytas asmenų, turinčių teisę tvarkyti asmens duomenis, ratas
Verta susipažinti:
- 29 str. darbo grupės gairės dėl pranešimus apie asmens duomenų saugumo pažeidimus (2018, anglų k.), kuriomis iš esmės yra paremta VDAI rekomedacija
- VDAI rekomendacija dėl asmens duomenų saugumo pažeidimų nustatymo, tyrimo, pranešimo apie juos ir dokumentavimo tvarkos (2018)
- VDAI rekomendacija "Saugus naršymas internete" (2017)
- VDAI rekomendacija "Asmens duomenų ir privatumo apsauga naudojantis belaidžiais tinklais" (2017)
- Kitos VDAI rekomendacijos >>