Bendrasis duomenų apsaugos reglamentas (toliau – BDAR) įsigalios jau šių metų gegužės 25 d., tad laikas tiksi. BDAR atitikties projektas jau turėtų būti inicijuotas Jūsų įmonėje. Ar jau pradėjote? Jei dar ne, rizikuojate būti nepasiruošę iki BDAR įsigaliojimo. Juridicon atskleidžia 10 aspektų, kurie padės pasiruošti  BDAR įgyvendinimui.

Žemiau pateikiamas sąrašas 10 esminių BDAR atitikties sričių, kurios turėtų apimti ir dalį jūsų projekto:

1. Duomenų apsaugos valdysena

siekiant atitikti BDAR, įmonėje turi būti įdiegta ir veikti: kokiu mastu turės atsakyti už duomenų apsaugos pažeidimus (atskaitomybės mastas), atsakomybė, politika ir procedūros, našumo vertinimo kontrolė ir ataskaitų teikimo mechanizmai. Jūsų sistemoje turėtų būti keletas pagrindinių procesų, kuriuose apimamas incidentų valdymas, pokyčių valdymas, korekciniai veiksmai, rizikos valdymas ir nuolatinis tobulinimas.

2. Rizikų valdymas

ar privatumo ir informacijos saugos rizikos yra įtrauktos į Jūsų įmonės rizikų registrą? Kokia Jūsų įmonėje yra šių rizikų valdymo procedūra? Kokiu mastu įmonių rizikų režimas apima konkrečios informacijos riziką? Kokia rizika yra skirta fizinių asmenų teisėms ir laisvėms? Prieš pradedant BDAR projektą Juridicon rekomenduoja, kad būtų atliktas rizikų vertinimas pagal informacijos saugos metodologiją.

3. BDAR atitikties projektas

pirmiausia būtina gauti pritarimą iš įmonės aukščiausiosios vadovybės, kitaip sakant, reikalinga Jūsų įmonėje sukurti “C-level” žinomumą apie tai. Labai svarbu, kad jūsų aukščiausio rango vadovai suprastų, kaip laikomasi BDAR verslo pranašumų. Kai kiti didesnio prioriteto projektai pradeda stumti Jūsų įmonės BDAR projektą į šalį, Jūs, kaip vadovas, vykdydamas savo įsipareigojimus privalote imtis veiksmų, kad BDAR atitikties įgyvendinimas būtų užbaigtas laiku. Taip pat būtina nusistatyti tikslus. Jūsų pagrindinis tikslas – BDAR atitiktis, tačiau kiti tikslai gali apimti naujojo teisinio režimo veiksmingumo nustatymą ir duomenų apsaugos užtikrinimą visoje Jūsų veikloje.

Papildomai galite peržiūrėti mūsų parengtą pasiruošimo asmens duomenų apsaugos reglamentui veiksmų planą.

4. Duomenų apsaugos pareigūnas

reikia nusistatyti ar DAP yra reikalingas, ar toks paskirtas, ar tinkamai nustatyti jo pareiginiai nuostatai, ar jis gali įvykdyti BDAR reikalavimus. Turėtumėte paskirti duomenų apsaugos pareigūną savo organizacijoje, jeigu tokio reikia, ar kitą asmenį iš išorės, kuris būtų atsakingas už asmens duomenų apsaugos reikalavimų laikymąsi, ir įvertinti šios pareigybės padėtį organizacijoje. Vadovaujantis Reglamento (ES) 2016/679 37 straipsniu, kai kurios organizacijos privalės paskirti duomenų apsaugos pareigūną, pavyzdžiui, valdžios institucijos ar įstaigos, išskyrus teismus, kai jie vykdo savo teismines funkcijas, arba duomenų valdytojo arba duomenų tvarkytojo pagrindinė veikla yra duomenų tvarkymo operacijos, dėl kurių pobūdžio, aprėpties ir (arba) tikslų būtina reguliariai ir sistemingai dideliu mastu stebėti duomenų subjektus. Svarbiausia užtikrinti, kad kas nors Jūsų organizacijoje ar asmuo iš išorės, turintis duomenų apsaugos teisės praktinių ir ekspertinių žinių, būtų atsakingas už duomenų apsaugai taikomų reikalavimų įgyvendinimą. Taigi Jūs turėtumėte nuspręsti, ar reikia paskirti duomenų apsaugos pareigūną, ir jeigu taip, tai įvertinti, ar Jūsų veiksmai, atliekami tvarkant asmens duomenis, atitiks Reglamento (ES) 2016/679 reikalavimus.

5. Pareigos ir atsakomybės

Norint, kad Jūsų BDAR projektas būtų sėkmingas, turėsite nusistatyti, kaip jis bus integruojamas į jūsų sistemą. Kas yra atsakingas ir atskaitingas už kiekvieną procesą? Kokiam asmeniui reikalinga priežiūra? Kokio pobūdžio mokymai yra reikalingi? Tokie klausimai kartu su BDAR reikalavimais informuos, kaip Jūs išplėtėte pagrindinius reikalavimus. Būtina nustatyti įmonės darbuotojų pareigų kiekį ir atsakomybę, įskaitant būtiną mokymą ir darbuotojų supratimo kėlimą. Tam gali padėti BDAR atsakomybių paskirstymas, atsakomybių matrica. Atlikti tyrimai rodo, kad darbuotojų mokymai yra populiariausia visų BDAR rizikų valdymo priemonė.

6. Atitikties taikymo sritis

labai svarbu, kad atitikties taikymo sritis būtų aiškiai apibrėžta, atsižvelgiant į visą duomenų apdorojimo procesą, kuriame jūsų įmonė atlieka tam tikras pareigas, tiek kaip duomenų valdytojas, tiek kaip duomenų tvarkytojas taip pat bet kuriais įmonės veiksmais dalijantis duomenimis. Norint nustatyti atitikties taikymo sritį, taip pat turite nusistatyti visas duomenų bazes, kuriose laikomi asmens duomenys, įskaitant ir tarpvalstybinį duomenų apdorojimą.

7. Proceso analizė

būtina nustatyti, kiek kiekvienas duomenų tvarkymo principas yra nustatomas kiekvienam procesui, kuriame yra asmens duomenys. Pagrindinis dėmesys turi būti skiriamas teisėtam procesui. Būtina nusistatyti, ar yra kokių nors procesų, kuriems privalomas poveikio duomenų apsaugai vertinimas (PDAV) ir kokiems procesams PDAV gali padėti numatyti duomenų apsaugą pagal projektą ir duomenų apsaugą neįvykdant į(si)pareigojimų. Atsakyti į klausimą, ar PDAV būtinas, padeda nustatyti atrankos klausimai.

8. Asmeninės informacijos valdymo sistema

Asmeninės informacijos valdymo sistema (toliau – AIVS) – tai plačios apimties dokumentacija, kuri reikalinga norint užtikrinti, kad yra laikomasi BDAR reikalavimų, pavyzdžiui, darbuotojų asmens duomenų saugojimo politika, pranešimo apie duomenų pažeidimą procedūra, prieigos prie asmens duomenų prašymo forma ir procedūra, poveikio duomenų apsaugai vertinimai ir sutikimo formos. Dokumentacijos apimtis turėtų atitikti jūsų įmonės dydį ir sudėtingumą (t. y. atsižvelgiama kuo įmonė verčiasi). AIVS taip pat turėtų būti sprendžiama apie darbuotojų mokymą ir informuotumą. Jūsų privatumo politika turėtų būti prieinama atitinkamoms suinteresuotosioms šalims, įskaitant darbuotojus, kur turėtumėte nurodyti savo poziciją dėl duomenų privatumo ir jų apsaugos. Tada turėsite apibrėžti ir dokumentuoti svarbiausius duomenų apsaugos procesus, kurie politiką paverčia praktika, tokiuose dokumentuose aiškiai nurodykite, kas turi būti atliekama ir iki kada.

9. Informacijos saugos valdymo sistema

Informacijos saugos valdymo sistema (toliau – ISVS) – taikomos techninės ir organizacinės priemonės, užtikrinančios, kad asmens duomenys būtų saugomi spausdintine arba elektronine forma arba tvarkomi pagal jūsų įmonės vidines taisykles. Tai apima saugumo patikros metodikos peržiūrą, nustatytų kibernetinio saugumo sertifikatus, nusistovėjusias elgesio taisykles ir taikomus kodifikuotus teisės aktus.

10. Duomenų subjektų teisės

Jums reikės procesų, kurie leis jums ne tik palengvinti duomenų apsaugos tvarkymą bet ir leis atsakyti į duomenų subjekto, kuris naudojasi bet kokiomis savo teisėmis, iškilusius klausimus.

Taigi, gegužės mėnuo ir BDAR įsigaliojimo terminas artėja. Kiekviena įmonė, kuri tvarko asmens duomenis, privalo iki gegužės 25 d. pasirengti naujajam reguliavimui. Kitu atveju rizikuoja gauti didelę baudą iš priežiūros institucijos arba ieškinį iš nukentėjusiojo asmens.

Jeigu dar nepradėjote rengti BDAR atitikties projekto, tai rekomenduojame pradėti bent dabar, nes kitu atveju, Jūs nesilaikysite BDAR nurodytų reikalavimų. Nedarykite klaidos: tai yra sudėtinga veikla, kuri turės įtakos Jūsų verslui, o laiko vis mažėja.

Jeigu jau esate pradėję ruošti BDAR atitikties projektą, Jūs jau žinote, kad geras metodas yra nusistatyti ko dar nesate padarę – įvertinti dabartines darbo eigas, procesus ir procedūras – nusistatyti atitikties spragas, kurias turite užpildyti.

Artėjant BDAR įsigaliojimui, laikydamiesi šių punktų Jūs galėsite suskirstyti prioritetus savo BDAR atitikties projektui kiekvienoje iš sričių, laikydamiesi terminų ir biudžeto.

-Teisinerizika.lt

Susiję sprendimai ir teisinės paslaugos:

BDAR-Atitikties-Radaras - asmens duomenų apsaugos reglamento paslaugos

BDAR atitikties lygio įvertinimas

Asmens duomenų apsauga

Asmens duomenų tvarkymo taisyklės

Kitas
Naujienos Teisininko patarimai