Paprastai asmens duomenis organizacijoje tvarko jos darbuotojai. Tam, kad jie tai atliktų tinkamai labai svarbu skirti ypatingą dėmesį jų apmokymui. Parengti dokumentai ar kitos priemonės nebus efektyvios, jeigu darbuotojai nemokės jų taikyti. BDAR mokymai yra viena iš organizacinių asmens duomenų saugumo priemonių, kurią, remiantis Bendrojo duomenų apsaugos reglamento (toliau – BDAR) 37 ir 43 str., turi taikyti kiekviena organizacija. Ilgą laiką po BDAR įsigaliojimo organizacijos BDAR mokymų programas rengdavo ir mokymus organizuodavo mokymų paslaugas teikiančių paslaugų teikėjų pasiūlytomis temomis, tačiau visai neseniai Valstybinė duomenų apsaugos inspekcija (toliau – VDAI) paskelbė gaires, kuriose dėmesį skyrė ir rekomenduojamoms mokymų temoms. Kokias temas VDAI rekomenduoja įtraukti į BDAR mokymus? Ir ar Jūsų organizacijos BDAR mokymai apima šias temas?
BDAR mokymų programa turėtų vadovautis VDAI gairėmis
VDAI mokymų svarbą akcentavo jau senai. Pradedant dar 2018 m. skelbtais 20 minimalių reikalavimų, kurie padės apsaugoti asmens duomenis kiekvienoje organizacijoje[1], kuriose VDAI atkreipė dėmes, kad „organizacija turi užtikrinti, kad visi darbuotojai būtų tinkamai informuoti apie IT sistemų saugumo kontrolę, susijusią su jų kasdieniu darbu“. Taip pat 2019 m. išleistose[2] ir 2020 m. atnaujintomis gairėse dėl asmens duomenų saugumo priemonių ir rizikos įvertinimo[3] akcentavo, kad darbuotojai, susiję su asmens duomenų tvarkymu, turi būti mokomi apie atitinkamus duomenų saugumo reikalavimus ir atsakomybes, rengiant reguliarius mokymus, informavimo renginius ar instruktažus“ bei kad „organizacija turi rengti struktūrines nuolatines personalo mokymų 18 programas, tarp kurių būtų ir speciali programa, skirta mokyti naujus darbuotojus“. O galiausiai 2020 m. gruodžio 11 d. gairėmis Pritaikytoji ir standartizuotoji duomenų apsauga informacinės sistemos gyvavimo cikle[4] pasiūlė ir temas, kurias rekomenduoja įtraukti į mokymų programas.
BDAR mokymų programa: pasiūlymai turiniui
Minėtose VDAI gairėse akcentuojama, kad BDAR mokymai yra viena pagrindinių organizacinių asmens duomenų saugumo priemonių, padedanti užtikrinti bet kokios organizacijos atitiktį BDAR 24, 25, 28, 32 straipsnių ir 39 straipsnio 1 dalies b punkto reikalavimams. VDAI siūlo mokymus skirstyti pagal profesines darbuotojų, tvarkančių asmens duomenis, grupes ir tokie BDAR mokymai ir kompetencijos siūloma turėtų apimti bent šias temas:
- Su asmens duomenų tvarkymu susiję principai, asmens duomenų teisėto tvarkymo sąlygos, specialiųjų kategorijų asmens duomenų, asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymas (BDAR 5–10 straipsniai);
- Duomenų subjekto teisės (BDAR 12–23 straipsniai);
- Duomenų valdytojai ir duomenų tvarkytojai, jų atsakomybės, asmens duomenų saugumo principai (BDAR 24–43);
- Informacijos saugumo valdymo sistemų pagrindai (pvz., ISO 27001, ISF Standard of Good Practice for Information Security);
- Programinės įrangos kūrimo standartai (pvz., ISO 27034, SDL);
- Saugumo testavimas (pvz., OWASP Testing Guide, OWASP ASVS, OWASP Top 10);
- Kibernetinių grėsmių rizikos vertinimas (pvz., STRIDE, DREAD);
- Vidinės organizacijos privatumo, saugos procedūros ir dokumentacija.
Kitaip tariant, remiantis anksčiau nurodytomis, VDAI gairėmis organizacija kiekvienais metais turėtų pasirengti šias mokymų programas:
- Įvadinius mokymus naujai priimtiems darbuotojams;
- Mokymus pagal profesines darbuotojų grupes;
- Periodinių (kasmetinių) mokymų programą darbuotojų žinioms atnaujinti.
BDAR mokymų programas paprastai parengia ir BDAR mokymus organizuoja organizacijos duomenų apsaugos pareigūnas. Kiekvienai organizacijai tiek pačiai rengiantis, tiek užsakant šią paslaugą iš paslaugų teikėjų verta pasitikrinti ar siūlomos temos apima aukščiau išvardintas temas, atitinka organizacijos vykdomus procesus ir ar BDAR mokymai efektyviai padės užtikrinti, kad visi darbuotojai būtų tinkamai informuoti apie BDAR reikalavimus juos vykdant.
BDAR mokymų forma
Ankstesnėse VDAI gairėse nurodoma, kad darbuotojai gali būti apmokomi rengiant reguliarius mokymus, informavimo renginius ar instruktažus[5]. Taigi formą gali pasirinkti pati organizacija. Šiomis dienomis, dėl Covid-19 pandemijos, itin aktualūs BDAR mokymai nuotoliniu būdu su mokymų lektoriais ar individuali kiekvieno darbuotojo atliekama e-mokymų medžiagos analizė. Juridicon komanda siūlo abi šias galimybes, tiek nuotolinius mokymus, tiek e-mokymus apibendrinant žinių testu ir taip leidžiant įsitikinti kaip darbuotojai įsisavino mokymų medžiagą.
BDAR mokymų periodiškumas
Itin svarbu, kad mokymus organizacija vykdytų periodiškai, VDAI teigimu, ne rečiau kaip kartą per metus. Tik taip organizacija galės užtikrinti, kad jos darbuotojai turi aktualias žinias, reikalingas tinkamai vykdyti organizacijos valdomų asmens duomenų tvarkymą.
Išvados
BDAR mokymai itin svarbūs, siekiant užtikrinti, kad organizacijos darbuotojų vykdomas asmens duomenų tvarkymas atitiktų BDAR reikalavimus ir leistų išvengti žmogiškųjų klaidų, kurios lemtų duomenų saugumo pažeidimus. BDAR mokymų programa reikalauja ypatingo dėmesio, jos turinys turi būti suderintas su VDAI rekomendacijomis bei organizacijos atliekamais procesais. Mokymų vykdymas ir jose įgytų žinių periodinis atnaujinimas, ne rečiau kaip kartą per metus, leis organizacijoms efektyviai spręsti kasdienius duomenų tvarkymo klausimus.
[1] https://vdai.lrv.lt/lt/naujienos/20-minimaliu-reikalavimu-kurie-pades-apsaugoti-asmens-duomenis-kiekvienoje-organizacijoje
[2] https://vdai.lrv.lt/uploads/vdai/documents/files/VDAI_saugumo_priemoniu_gaires-2019-12-18.pdf
[3] https://vdai.lrv.lt/lt/naujienos/atnaujintos-gaires-del-asmens-duomenu-saugumo-priemoniu-ir-rizikos-ivertinimo
[4] https://vdai.lrv.lt/uploads/vdai/documents/files/Pritaikytoji_ir_standartizuotoji_apsauga_IS_gyvavimo_cikle_2020-12.pdf
[5] https://vdai.lrv.lt/lt/naujienos/atnaujintos-gaires-del-asmens-duomenu-saugumo-priemoniu-ir-rizikos-ivertinimo
