Remiantis naujausia Europos Sąjungos šalių priežiūros institucijų baudų skyrimo praktika akivaizdu, kaip svarbu, ar organizacijose įgyvendinami BDAR reikalavimai ir ar užtikrinamos BDAR organizacinės ir techninės asmens duomenų saugumo priemonės. Kiek anksčiau Valstybinė duomenų apsaugos inspekcija (toliau – VDAI) yra paskelbusi gaires duomenų valdytojams ir tvarkytojams dėl tokių priemonių (toliau – gairės). Kaip pabrėžiama VDAI pranešime, atliekant tikrinimus neatsižvelgiant į organizacijos dydį ar sektorių bus svarbu, kad būtų įgyvendinti bent gairėse nurodyti minimalūs reikalavimai asmens duomenų saugumui užtikrinti. Kitaip tariant, minėtus reikalavimus turi įgyvendinti kiekviena asmens duomenis tvarkanti organizacija, o daugelis jų ir imtis papildomų priemonių, kad užtikrintų tinkamą tvarkomų asmens duomenų saugumo lygį. Viena vertus, šios gairės, tikimasi, įneš teisinio aiškumo taikant Bendrąjį duomenų apsaugos reglamentą (toliau – BDAR). Kita vertus, reikia nepamiršti, kad gairėse numatyti tik minimalūs reikalavimai, todėl toms organizacijoms, kurių atliekamas asmens duomenų tvarkymas bus vertinimas kaip aukštesnės rizikos vien juos pritaikyti neužteks. Kyla klausimas, kokie aspektai turėtų būti vertinami siekiant nustatyti duomenų saugumo riziką ir kokios BDAR organizacinės ir techninės asmens duomenų apsaugos priemonės atsižvelgiant į tai turi būti taikomos?
Asmens duomenų saugumo priemonės: į ką reikia atsižvelgti nustatant?
Kaip nurodoma pačiose gairėse, jose išdėstyti minimalūs organizaciniai ir techniniai duomenų saugumo reikalavimai gali būti laikytini pakankamais tik tose organizacijose, kurių tvarkomų asmens duomenų saugumo rizika, susijusi su pavojais fizinių asmenų teisėms ir laisvėms, yra žema[1]. Vadinasi gairėse skelbiamus reikalavimus galima laikyti tik baziniais, kurie turėtų būti papildyti atsižvelgiant į duomenų saugumo riziką. Taigi duomenų saugumo rizika gali būti vertinama kaip vienas pagrindinių kriterijų nustatant kokios asmens duomenų saugumo priemonės organizacijoje turėtų būti taikomos. Atitinkamai kyla klausimas, į ką turėtų būti atsižvelgiama vertinant riziką? Ar tai, kad organizacija netvarko specialių kategorijų asmens duomenų (pvz., duomenų apie sveikatą, politines pažiūras ir kt.) ir tai, kad organizacijos tvarkomų asmens duomenų mastas nėra didelis (pvz., organizacija nedidelė ir tvarkomi tik organizacijos darbuotojų asmens duomenys) gali būti laikoma žema asmens duomenų saugumo rizika? Deja, gairės šių klausimų nedetalizuoja.
Gairėse tik pažymima, kad BDAR 24 ir 32 str. visais atvejais įpareigoja atlikti rizikos vertinimą. Atitinkamai BDAR 24 str. yra numatyta duomenų valdytojo atsakomybė įgyvendinti tinkamas technines ir organizacines priemones asmens duomenų saugumui užtikrinti. Minėtas straipsnis nustato, kad duomenų valdytojas siekdamas jas įgyvendinti turi atsižvelgti į duomenų tvarkymo pobūdį, aprėptį, kontekstą bei tikslus, taip pat į įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms[2]. Iš esmės BDAR 32 str. atkartoja tuos pačius kriterijus, lemiančius techninių ir organizacinių priemonių pasirinkimą, ypatingai atkreipiant dėmesį į rizikos vertinimą (arba kaip BDAR 32 str. 2 d. nurodyta: „pavojus, kurie kyla dėl duomenų tvarkymo“)[3]. Taigi akivaizdu, kad, siekiant nustatyti, kokios priemonės duomenų saugumui turi būti taikomos, reikalinga įvertinti:
- duomenų saugumo rizika (galimas tikimybes ir pavojaus rimtumą fizinių asmenų teisėms ir laisvėms);
- duomenų tvarkymo pobūdis;
- aprėptis;
- kontekstas;
- duomenų tvarkymo tikslai.
Nustatinėjant, kokios priemonės duomenų saugumui turėtų būti taikomos, yra susiduriama su atitinkama problematika, nes kaip praktiškai atlikti rizikos ir kitų aukščiau paminėtų aspektų vertinimą nedetalizuoja nei BDAR, nei gairės. Kadangi pačios gairės parengtos kaip šaltinį naudojant ISO/IEC 27001:2017[4] standartą, manytina, kad BDAR rizikų vertinimas gali būti atliekamas remiantis šio standarto dokumentacija. Rizikos vertinimui atlikti ir BDAR numatytam atskaitomybės principui (BDAR 5 str. 2 d.) įgyvendinti tikslinga būtų užpildyti rizikos vertinimo ataskaitą, kurioje numatyti atliekamo vertinimo tikslus (pvz., nustatyti visus išteklius, jų pažeidžiamumą ir galimas grėsmes duomenų saugumui), naudojamus metodus (pvz., nustatyti visus išteklius ir jų savininkus, nustatyti galimas rizikas ir jų tikėtinumą, paskirti už šias rizikas ir jų valdymą atsakingus asmenis ir kt.) ir išvadas dėl galimos rizikos (pvz., atsižvelgiant į atliktą rizikos vertinimą duomenų saugumo riziką galima laikyti žema). Iš esmės BDAR rizikų vertinimas turėtų apimti du svarbiausius aspektus: išteklių, kurie gali paveikti asmens duomenų konfidencialumą ir vientisumą identifikavimas ir kiekvieno išteklio grėsmių ir pažeidžiamumo nustatymas.
BDAR organizacinės asmens duomenų saugumo priemonės
Gairėse pateikta 10 minimalių reikalavimų organizacinėms duomenų saugumo priemonėms (1 pav.). Iš šių reikalavimų galima spręsti, kad iš esmės organizacinėmis duomenų saugumo priemonėmis laikomas atitinkamų procedūrų dokumentavimas bei BDAR mokymai. Gairėse siūloma, kad BDAR mokymai būtų vykdomi bent kartą per metus, tam, kad būtų užtikrintas darbuotojų supažindinimas su asmens duomenų tvarkymo reikalavimais. Gairėmis taip pat išplečiamas BDAR nurodytų dokumentų sąrašas. Be BDAR tiesiogiai nurodytų dokumentų, tokių kaip duomenų apsaugos politika, duomenų saugumo pažeidimų žurnalas, minimi ir kiti asmens duomenų tvarkymo dokumentai, turėsiantys užtikrinti asmens duomenų apsaugą:
- prieigos prie asmens duomenų valdymo politika. Nors pačios gairės nedetalizuoja šios politikos turinio, vadovaujantis ISO/IEC 27001:2017 standartu galima teigti, kad prieigos prie asmens duomenų valdymo politika turėtų apimti naudotojų prieigos valdymą (jų registraciją, išregistravimą; prieigos teisių valdymą, priežiūrą ir pašalinimą arba keitimą), naudotojų atsakomybę, prieigos prie sistemų ir taikomų programų valdymą. Valdyti prieigą prie asmens duomenų ypatingai svarbu, kadangi taip užtikrinamas vienas iš BDAR 5 str. nurodytų principų – apsauga nuo duomenų tvarkymo be leidimo. Remiantis naujausia praktika būtent už prieigos prie asmens duomenų netinkamą valdymą vienai Portugalijos ligoninių buvo skirta 400 000 eurų bauda.
- veiklos tęstinumo procedūra. Manytina, kad veiklos tęstinumo procedūra svarbiausia nustatyti reagavimo į incidentus planą bei veiklos atkūrimo po incidento strategiją.
- atsarginių kopijų ir duomenų atstatymo tvarka turėtų numatyti atliekamų atsarginių kopijų reguliarumą ir atliekamas procedūras duomenims atstatyti. Atsarginių kopijų ir duomenų atstatymo tvarka iš esmės taip pat padeda užtikrinti organizacijos veiklos tęstinumą.
- ypač nuotolinį darbą pasirinkusiems darbdaviams ir darbuotojams aktuali mobiliųjų ir nešiojamųjų įrenginių naudojimo ir administravimo tvarka, kuri turėtų numatyti bendrąsias šių įrenginių naudotojų pareigas ir atsakomybes (pvz., kaip reguliariai turėtų būti daromos atsarginės kopijos ir kt.).
- bei IT išteklių, naudojamų asmens duomenims tvarkyti, registras, kuris skirtas visų IT išteklių registracijai, nurodant išteklio pavadinimą, tipą, numerį, vietą ir kitus jį identifikuojančius duomenis. IT išteklių, naudojamų asmens duomenims tvarkyti, registras turėtų būti tvarkomas organizacijos paskirto asmens, pvz., IT specialisto.
Iš esmės šios BDAR organizacinės duomenų saugumo priemonės detalizuoja BDAR 32 str. numatytąsias, pvz., minėtame straipsnyje nurodyto reikalavimo laiku atkurti sąlygas ir galimybes naudotis asmens duomenimis fizinio ar techninio incidento atveju įgyvendinimą turėtų detalizuoti Veiklos tęstinumo procedūra, Atsarginių kopijų ir duomenų atstatymo tvarka.
BDAR techninės asmens duomenų saugumo priemonės
Gairės taip pat pateikia 10 minimalių reikalavimų techninėms duomenų saugumo priemonėms (2 pav.) . Iš esmės šie reikalavimai papildo organizacinius, detalizuodami, kokios techninės priemonės turėtų būti pritaikomos, kad būtų įgyvendinti organizaciniai reikalavimai. Pvz., organizaciniuose reikalavimuose akcentuojama Prieigos prie asmens duomenų valdymo politika, techniniuose – nurodomi minimalūs reikalavimai slaptažodžiams, bei prieigų kontrolės sistemoms. Nesenas atvejis Vokietijoje parodė, kad šių reikalavimų įgyvendinimas ypatingai svarbus tam, kad būtų užtikrinama asmens duomenų apsauga nuo neteisėtos prieigos. Įsilaužus į vienos Vokietijos socialinės žiniasklaidos bendrovės duomenų bazę, buvo paskelbti daugiau nei 300 tūkstančių vartotojų slaptažodžiai ir el. pašto adresai. Kaip buvo konstatuota taip nutiko dėl to, kad bendrovė saugojo šiuos duomenis paprastu tekstu. Taip buvo neįgyvendinami BDAR reikalavimai, konkrečiai buvo nesilaikoma BDAR 32 str. reikalavimų, todėl jai buvo skirta 20 000 eurų bauda.
Galima pastebėti, kad kai kurie techniniai reikalavimai yra konkretesni, pvz., gairėse nurodomas siūlomas atsarginių kopijų darymo dažnumas, neaktyvios sesijos laikas ar techninių žurnalų saugojimo laikotarpis. Kita vertus, yra labai abstrakčių reikalavimų, pvz., gairėse tik paminima, kad turi būti įgyvendinta fizinė asmens duomenų sauga, nedetalizuojant konkrečių jos įgyvendinimo priemonių. Fiziniam ir aplinkos saugumui daugiau dėmesio skiriama ISO/IEC 27001:2017 standarte, detalizuojančiame priemones, skirtas vietos, įrangos ir darbo procedūrų saugumui. Todėl tų aspektų, kurių gairės nedetalizuoja reguliavimui, tikslinga taikyti ISO/IEC 27001:2017 standarto nuostatas. Pasitikrinimui, ar įgyvendinami BDAR reikalavimai, padeda BDAR atitikties lygio įvertinimas.
Išvados
Kaip tik dar kartą patvirtino nesena Europos Sąjungos priežiūros institucijų praktika, ypatingai svarbu užtikrinti, kad BDAR organizacinės ir techninės asmens duomenų saugumo priemonės atitiktų galimas duomenų saugumo rizikas, nes priešingu atveju bendrovė rizikuoja sulaukti sankcijų. VDAI paskelbtose gairėse pažymi, kad kiekviena organizacija turi įsivertinti, kokia rizika kyla asmens duomenų saugumui ir, priklausomai nuo to, turi būti taikomos atitinkamos priemonės. Nors VDAI paskelbtos gairės detalizuoja BDAR nuostatas, vis dėlto lieka neaišku, kokiais kriterijais vadovaujantis turėtų būti vertinama duomenų saugumo rizika ir kokias papildomas priemones taikyti, jeigu nustatoma aukštesnė rizika, nei nurodyta gairėse. Galima tik daryti prielaidą, kad tokiu atveju būtų tikslinga vadovautis ISO/IEC 27001:2017 standarto nuostatomis. Taip pat ypatingai svarbu, kad pagal šį standartą parengta dokumentacija atitiktų organizacijos vykdomus procesus ir veiklos specifiką, nes priešingu atveju parengti dokumentai bus pernelyg sudėtingi ir neatitiks savo paskirties. Įgyvendinus organizacines ir technines asmens duomenų saugumo priemones, verta atlikti BDAR atitikties lygio įvertinimą, kuris leistų žinoti, kad bauda nebus paskirta.
Šaltiniai
[1] VDAI gairės dėl „Tinkamų organizacinių ir techninių duomenų saugumo priemonių įgyvendinimo gairės asmens duomenų valdytojams ir tvarkytojams“, 2018-10-31.
[2] Bendrasis duomenų apsaugos reglamentas 2016/679 32 str. 1,2 d.24 str. 1 d.
[3] Bendrasis duomenų apsaugos reglamentas 2016/679 32 str. 1,2 d.
[4] Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai. LST EN ISO/IEC 27001:2017).
[5] VDAI atnaujino gaires dėl asmens duomenų saugumo priemonių ir rizikos įvertinimo