BDAR atitikties projektas: 10 dalykų, kuriuos būtina apsvarstyti

siekiant atitikti BDAR, įmonėje turi būti įdiegta ir veikti: kokiu mastu turės atsakyti už duomenų apsaugos pažeidimus (atskaitomybės mastas), atsakomybė, politika ir procedūros, našumo vertinimo kontrolė ir ataskaitų teikimo mechanizmai. Jūsų sistemoje turėtų būti keletas pagrindinių procesų, kuriuose apimamas incidentų valdymas, pokyčių valdymas, korekciniai veiksmai, rizikos valdymas ir nuolatinis tobulinimas.

ar privatumo ir informacijos saugos rizikos yra įtrauktos į Jūsų įmonės rizikų registrą? Kokia Jūsų įmonėje yra šių rizikų valdymo procedūra? Kokiu mastu įmonių rizikų režimas apima konkrečios informacijos riziką? Kokia rizika yra skirta fizinių asmenų teisėms ir laisvėms? Prieš pradedant BDAR projektą Juridicon rekomenduoja, kad būtų atliktas rizikų vertinimas pagal informacijos saugos metodologiją.

pirmiausia būtina gauti pritarimą iš įmonės aukščiausiosios vadovybės, kitaip sakant, reikalinga Jūsų įmonėje sukurti “C-level” žinomumą apie tai. Labai svarbu, kad jūsų aukščiausio rango vadovai suprastų, kaip laikomasi BDAR verslo pranašumų. Kai kiti didesnio prioriteto projektai pradeda stumti Jūsų įmonės BDAR projektą į šalį, Jūs, kaip vadovas, vykdydamas savo įsipareigojimus privalote imtis veiksmų, kad BDAR atitikties įgyvendinimas būtų užbaigtas laiku. Taip pat būtina nusistatyti tikslus. Jūsų pagrindinis tikslas – BDAR atitiktis, tačiau kiti tikslai gali apimti naujojo teisinio režimo veiksmingumo nustatymą ir duomenų apsaugos užtikrinimą visoje Jūsų veikloje.

Papildomai galite peržiūrėti mūsų parengtą pasiruošimo asmens duomenų apsaugos reglamentui veiksmų planą.

reikia nusistatyti ar DAP yra reikalingas, ar toks paskirtas, ar tinkamai nustatyti jo pareiginiai nuostatai, ar jis gali įvykdyti BDAR reikalavimus. Turėtumėte paskirti duomenų apsaugos pareigūną savo organizacijoje, jeigu tokio reikia, ar kitą asmenį iš išorės, kuris būtų atsakingas už asmens duomenų apsaugos reikalavimų laikymąsi, ir įvertinti šios pareigybės padėtį organizacijoje. Vadovaujantis Reglamento (ES) 2016/679 37 straipsniu, kai kurios organizacijos privalės paskirti duomenų apsaugos pareigūną, pavyzdžiui, valdžios institucijos ar įstaigos, išskyrus teismus, kai jie vykdo savo teismines funkcijas, arba duomenų valdytojo arba duomenų tvarkytojo pagrindinė veikla yra duomenų tvarkymo operacijos, dėl kurių pobūdžio, aprėpties ir (arba) tikslų būtina reguliariai ir sistemingai dideliu mastu stebėti duomenų subjektus. Svarbiausia užtikrinti, kad kas nors Jūsų organizacijoje ar asmuo iš išorės, turintis duomenų apsaugos teisės praktinių ir ekspertinių žinių, būtų atsakingas už duomenų apsaugai taikomų reikalavimų įgyvendinimą. Taigi Jūs turėtumėte nuspręsti, ar reikia paskirti duomenų apsaugos pareigūną, ir jeigu taip, tai įvertinti, ar Jūsų veiksmai, atliekami tvarkant asmens duomenis, atitiks Reglamento (ES) 2016/679 reikalavimus.

Norint, kad Jūsų BDAR projektas būtų sėkmingas, turėsite nusistatyti, kaip jis bus integruojamas į jūsų sistemą. Kas yra atsakingas ir atskaitingas už kiekvieną procesą? Kokiam asmeniui reikalinga priežiūra? Kokio pobūdžio mokymai yra reikalingi? Tokie klausimai kartu su BDAR reikalavimais informuos, kaip Jūs išplėtėte pagrindinius reikalavimus. Būtina nustatyti įmonės darbuotojų pareigų kiekį ir atsakomybę, įskaitant būtiną mokymą ir darbuotojų supratimo kėlimą. Tam gali padėti BDAR atsakomybių paskirstymas, atsakomybių matrica. Atlikti tyrimai rodo, kad darbuotojų mokymai yra populiariausia visų BDAR rizikų valdymo priemonė.

labai svarbu, kad atitikties taikymo sritis būtų aiškiai apibrėžta, atsižvelgiant į visą duomenų apdorojimo procesą, kuriame jūsų įmonė atlieka tam tikras pareigas, tiek kaip duomenų valdytojas, tiek kaip duomenų tvarkytojas taip pat bet kuriais įmonės veiksmais dalijantis duomenimis. Norint nustatyti atitikties taikymo sritį, taip pat turite nusistatyti visas duomenų bazes, kuriose laikomi asmens duomenys, įskaitant ir tarpvalstybinį duomenų apdorojimą.

būtina nustatyti, kiek kiekvienas duomenų tvarkymo principas yra nustatomas kiekvienam procesui, kuriame yra asmens duomenys. Pagrindinis dėmesys turi būti skiriamas teisėtam procesui. Būtina nusistatyti, ar yra kokių nors procesų, kuriems privalomas poveikio duomenų apsaugai vertinimas (PDAV) ir kokiems procesams PDAV gali padėti numatyti duomenų apsaugą pagal projektą ir duomenų apsaugą neįvykdant į(si)pareigojimų. Atsakyti į klausimą, ar PDAV būtinas, padeda nustatyti atrankos klausimai.

Asmeninės informacijos valdymo sistema (toliau – AIVS) – tai plačios apimties dokumentacija, kuri reikalinga norint užtikrinti, kad yra laikomasi BDAR reikalavimų, pavyzdžiui, darbuotojų asmens duomenų saugojimo politika, pranešimo apie duomenų pažeidimą procedūra, prieigos prie asmens duomenų prašymo forma ir procedūra, poveikio duomenų apsaugai vertinimai ir sutikimo formos. Dokumentacijos apimtis turėtų atitikti jūsų įmonės dydį ir sudėtingumą (t. y. atsižvelgiama kuo įmonė verčiasi). AIVS taip pat turėtų būti sprendžiama apie darbuotojų mokymą ir informuotumą. Jūsų privatumo politika turėtų būti prieinama atitinkamoms suinteresuotosioms šalims, įskaitant darbuotojus, kur turėtumėte nurodyti savo poziciją dėl duomenų privatumo ir jų apsaugos. Tada turėsite apibrėžti ir dokumentuoti svarbiausius duomenų apsaugos procesus, kurie politiką paverčia praktika, tokiuose dokumentuose aiškiai nurodykite, kas turi būti atliekama ir iki kada.

Informacijos saugos valdymo sistema (toliau – ISVS) – taikomos techninės ir organizacinės priemonės, užtikrinančios, kad asmens duomenys būtų saugomi spausdintine arba elektronine forma arba tvarkomi pagal jūsų įmonės vidines taisykles. Tai apima saugumo patikros metodikos peržiūrą, nustatytų kibernetinio saugumo sertifikatus, nusistovėjusias elgesio taisykles ir taikomus kodifikuotus teisės aktus.

Jums reikės procesų, kurie leis jums ne tik palengvinti duomenų apsaugos tvarkymą bet ir leis atsakyti į duomenų subjekto, kuris naudojasi bet kokiomis savo teisėmis, iškilusius klausimus.