Asmens duomenų saugumo pažeidimas
Su Bendrojo duomenų apsaugos reglamentu (BDAR) buvo priimta ir Duomenų valdytojo pareiga informuoti Duomenų subjektą apie asmens duomenų saugumo pažeidimą, o nesant tokios galimybės - paskelbti apie tai viešai, kas savaime gali sukelti rimtą smūgį Duomenų valdytojo reputacijai. Trumpai aptarsime kelis Duomenų saugumo pažeidimo klausimus.
Kas yra Asmens duomenų saugumo pažeidimas?
BDAR 4 str. 12 p.Tai toks saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami persiųsti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų be leidimo gaunama prieiga.
Ir kiekvienas toks pažeidimas turi būti dokumentuojamas.
Pažeidimo fiksavimas
Laisvai nustatyta dokumentavimo forma (rašytinė)
Operatyvus informacijos suvedimas
Atsakingo asmens paskyrimas
Prevencinių priemonių numatymas ir įgyvendinimas
Reguliarus vertinimas
Pažeidimų žurnalas: turinys
Pažeidimo priežastis, kas ir kur (kokioje sistemoje) nutiko ir kokie duomenys pažeisti
Pažeidimo pobūdis, poveikis ir pasekmės
Taisomieji veiksmai, kurių buvo imtasi: kada, kokie, ko buvo siekta ir kas jais pasiekta
Priežastys dėl su Pažeidimu susijusių sprendimų priėmimo
Pranešimo VDAI vėlavimo priežastys (jei buvo vėluota)
Informacija, ar buvo pranešta Duomenų subjektui
Pareiga informuoti
BDAR 33, 34 str.BDAR nustato pareigą tam tikrais atvejais informuoti priežiūros instituciją (LR atveju - VDAI) ir Duomenų subjektą (patį asmenį, kurio asmens duomenų saugumui grėsmė galėjo kilti / kilo).
VDAI informavimas
BDAR 33 str.Visais atvejais, kai gali kilti grėsmė asmens teisėms ir laisvėms
Operatyvus informacijos pateikimas (per 72 val. nuo sužinojimo apie pažeidimą arba etapais)
Nustatyta pranešimo forma (žr>>)
Paskirtas atsakingas asmuo pažeidimų valdymui
VDAI apie pažeidimą informuojama internetu >>
Duomenų subjekto informavimas
BDAR 34 str.Esant / galinčiam kilti dideliam pavojui - informavimas privalomas.
Informavimas aiškia ir paprasta kalba, laisvai pasirinkta forma
Išimtys, kai Duomenų subjekto galima neinformuoti, pvz. kai buvo taikytos pakankamos techninės ir organizacinės priemonės (pvz., šifravimas); imtasi priemonių kad toks pavojus nebegalėtų kilti arba pažeidimas labai nedidelis ir realių pasekmių nesukėlė / negalėjo sukelt
Informacija, kurią būtina nurodyti pranešime VDAI ar asmeniui pateikiama BDAR 33 ir 34 str.
Esant nedideliam pažeidimui (nekeliančiam/neturėsiančiam kelti grėsmės Duomenų subjekto teisėms ir laisvėms), galima nei VDAI, nei Duomenų subjektui nepranešti
BDAR 33 str. 1d., netiesiogiai ir 34 str. 1 d.BDAR nustato pareigą visiems Duomenų valdytojams ar tvarkytojams taikyti tinkamas technines ir organizacines priemones, užtikrinančias objektyviai pakankamą asmens duomenų apsaugą ir savalaikę reakciją į pažeidimą, tačiau kriterijų įvertinti taikomų priemonių pakankamumą nepateikia. Spręsti paliekama pačiam Duomenų valdytojui.
Techninių / organizacinių priemonių pavyzdžiai
Įrenginio šifravimas
Tai ypač aktualu tai atvejais, kai Juridinio asmens darbuotojai turi teisę prie juridinio asmens resursų (el. pašto, serverio, saugyklų, kitų sistemų) prisijungti nuotoliniu būdu (pvz. iš namų, viešbučių, oro uostų, kt.), tokiu atveju įrenginio su prieiga prie asmens duomenų praradimo rizika padidėja (nors biure esančius kompiuterius taip pat rekomenduotina šifruoti)
Šifruoto įrenginio praradimas (pvz., pametimas, vagystė) galėtų būti laikomas saugumo pažeidimu, tačiau jei šifro raktas nebuvo prarastas, Duomenų subjektui apie tai galima nepranešti. Jei šifro raktas buvo prarastas - apie galimą grėsmę duomenų saugumui turėtų būti pranešta kiekvienam Duomenų subjektui, kurio duomenys gali būti prieinami per įrenginį (nebent praradimas negalėtų sukelti didelių pasekmių).
29 straipsnio darbo grupės gairės Nr. 250Slaptažodžio pasirinkimas
Slaptažodžio sukūrimas neretai yra vienas iš didelių galvos skausmų kiekvienam vartotojui, o ypač, kai reikia juos sukurti kelis. Vis dėl to, tinkamo slaptažodžio pasirinkimas stipriai apsunkina galimybes jį 'nulaužti' ir tokiu būdu sukelti juo apsaugotus asmens duomenis.
Nacionalinis kibernetinio saugumo centras prengė metodinę informaciją apie slaptažodžių sudarymą >
Minimalios rekomendacijos slaptažodžiui:
Sunkiai atspėjami (žr. 2023 m. dažniausiai naudotus slaptažodžius kaip netinkamos praktikos pavyzdį>>) ir žinoti tik konkrečiam darbuotojui
neapima tiesioginių sąsajų su slaptažodžio naudotoju
bent iš 8 simbolių, apimant didžiąsias raides, skaičius ir kitus ženklus)
keičiami ne rečiau kaip kartą per tris mėnesius, taip pat susidarius tam tikroms aplinkybėms (pvz., iškilus įsilaužimo grėsmei.)
nesikartojantis su kitais resursais ar anksčiau buvusiais slaptažodžiais
neturi sutapti su standartiniu įrangos slaptažodžiu
Tinkama patalpų, kuriose yra saugomi popieriniai dokumentai, apsauga
rakinamos spintos/stačiai, kur laikomi dokumentai su asmens duomenimis, arba rakinami kabinetai, švaraus stalo politikos laikymasis, patalpų nepalikimas be priežiūros ir kt.
Programinės įrangos naudojimas (įsk. antivirusinės, ugniasienės)
Tik oficiali, autorizuota, automatiškai (centralizuotai) atsinaujinanti arba atnaujinama pagal gamintojo rekomendacijas; apribota galimybė vartotojams apeiti saugumo reikalavimus, įdiegti neautorizuotas programas
Žmogiškieji ištekliai
Asmenys informuoti, apie duomenų tvarkymo taisykles, pasirašytinai supažindinti su konfidencialumo reikalavimais ir įsipareigoję jų laikytis; reguliariai instruktuojami, mokomi; nustatytas asmenų, turinčių teisę tvarkyti asmens duomenis, ratas
Verta susipažinti:
Verta susipažinti:
NKSC (2021): interneto svetainės techninės specifikacijos saugumo rekomendacijos >
ENISA (2023): rizikos vertinimo atlikimo rekomendacijos (EN)
VDAI (2023): Ar yra asmenų skaičiaus riba, kai būtina pranešti VDAI?
VDAI (2019): Tapatybės vagystės rizikos mažinimas ir įsilaužimai į interneto svetaines
VDAI (2021): Jei paskyra buvo nulaužta ir (2022): Sukčiavimo internete, ką daryti?