Daugumai organizacijų BDAR atitiktis vis dar asocijuojasi su „popieriniu“ procesu, tačiau 2026 m. reguliacinė aplinka (ypač įsigaliojusi NIS2 direktyva ir griežtėjanti Valstybinės duomenų apsaugos inspekcijos (VDAI) praktika) reikalauja realaus, faktais grįsto saugumo.

Kiek anksčiau, 2024 m. VDAI atnaujintos Tvarkomų asmens duomenų saugumo priemonių ir rizikos įvertinimo gairės tapo baziniu įrankiu tiek smulkiajam verslui, tiek didelėms įmonėms, siekiančioms įgyvendinti BDAR 24 ir 32 straipsniuose numatytą pareigą – adekvačiai valdyti rizikas.
nuo ko pradėti…

Nuo ko pradėti? Keturių žingsnių modelis

Gairėse pasiūlytas sistemingas požiūris leidžia organizacijoms išvengti chaoso ir tiksliai nukreipti investicijas į saugumą:
  1. Konteksto nustatymas: Duomenų tvarkymo operacijų identifikavimas.
  2. Poveikio vertinimas: Kaip nukentėtų fiziniai asmenys praradus jų duomenis?
  3. Grėsmių analizė: Identifikuojamos grėsmės ir jų tikimybė.
  4. Rizikos lygio nustatymas: Bendro rizikos lygio apskaičiavimas (nuo žemo iki aukšto).
Šis modelis pabrėžia konfidencialumo, vientisumo ir prieinamumo praradimo pasekmes. Jei Jūsų organizacija tvarko specialių kategorijų duomenis ar dirba su pažeidžiamais asmenimis, formalus požiūris čia nebetinka – būtinas profesionalus BDAR auditas, kuris identifikuotų realias „akląsias zonas“.
iso standartai

ISO standartų integracija: aukščiausias pasitikėjimo lygis

VDAI dokumentas nėra tik rekomendacijų rinkinys – jis tiesiogiai remiasi tarptautiniais ISO standartais (ISO/IEC 27001:2022, ISO/IEC 27701:2019). Tai ypač svarbu įmonėms, siekiančioms ne tik formalios atitikties, bet ir tarptautinio pripažinimo bei verslo tęstinumo.
Gairėse detalizuotas priemonių katalogas (organizacinės, technologinės, fizinės priemonės) padeda parinkti adekvačius saugiklius: nuo konfidencialumo sutarčių iki sudėtingų VPN ir BYOD (angl. Bring Your Own Device) taisyklių. Tačiau net ir detalus sąrašas neatstoja individualaus vertinimo – atitikties atotrūkio analizė padeda nustatyti, kurios priemonės Jūsų verslui yra „must have“, o kurios – perteklinės.
praktinė dokumentų vertė

Praktinė vertė: dokumentuota atitiktis

VDAI gairės akcentuoja, kad saugumo priemonių parinkimas nėra baigtinis procesas. Organizacija privalo periodiškai peržiūrėti savo rizikos lygį ir taikomų priemonių efektyvumą.
Tai patogus pagrindas kuriant informacijos saugumo ir privatumo valdymo sistemą. Dokumentuotas rizikos vertinimas yra pagrindinis Jūsų įrodymas priežiūros institucijai, kad laikotės atskaitomybės principo.

papildomos priemonės

Papildomos duomenų saugumo priemonės taikytinos atskiriems sektoriams

Gairėse aiškiai nurodoma, kad prie pateikto priemonių sąrašo organizacija gali (ir kai kada turi) taikyti ir papildomas priemones, atsižvelgdama į konkretaus sektoriaus reikalavimus ir rizikas. Todėl, atlikdami BDAR auditą organizacijoje, kuri veikia, pvz.

  • Finansų sektoriuje, kur KYC / AML, sandorių stebėsena, ilgesni audito logų terminai, keturių akių principas eksportuojant duomenis (kreditų, bankų, mokėjimų priežiūros praktika),

tikriname, ar toje organizacijoje įdiegtos tam sektoriui būdingos priemonės yra tos, kurios papildo bendrą VDAI priemonių sąrašą ir atsižvelgia į konkretaus sektoriaus veiklos, teisės aktų ir rizikų ypatumus. Pavyzdžiai:

Finansų sektorius (bankai, kredito unijos, draudimas, fintech)

  • Stiprinta kliento tapatybės nustatymo (KYC) ir nuotolinės identifikacijos tvarka, prieš atliekant bet kokius asmens ar sąskaitos duomenų pakeitimus.

  • Specialios antifraud ir sandorių stebėsenos sistemos, derinant asmens duomenų apsaugą ir pinigų plovimo prevenciją (duomenų kiekio mažinimas, terminuota saugojimo trukmė).

  • Didesni ir ilgesni audito logų reikalavimai pagal finansų rinką prižiūrinčių institucijų taisykles.

  • Griežta duomenų eksportų kontrolė (keturių akių principas, DLP taisyklės, riboti formatai).

dap

DAP vaidmuo: nuo formalios prievolės iki strateginės vadybos

VDAI gairės aiškiai indikuoja, kad asmens duomenų apsaugos pareigūno (DAP) paskyrimas nėra tik biurokratinis veiksmas – tai esminė organizacinė saugumo priemonė. Šiandien organizacijos privalo vertinti savo atitiktį individualiai: atsižvelgti į veiklos sektorių (pvz., kritinė infrastruktūra ar viešosios paslaugos), tvarkomų duomenų kategorijas (jautrūs darbuotojų ar klientų duomenys) bei nustatytą bendrą rizikos lygį. Geriausias būdas objektyviai pagrįsti šiuos sprendimus – turėti išsamią BDAR audito ataskaitą, kuri ne tik identifikuoja spragas, bet ir teisiškai dokumentuoja, kodėl pasirinktos būtent tokios saugumo priemonės.

Atsižvelgiant į audito rezultatus, vadovai turi rimtai pasverti, koks DAP modelis užtikrins realų verslo atsparumą: ar pakanka standartinio funkcijų vykdymo, ar būtina proaktyvi, technologijomis grįsta valdoma DAP paslauga. Skirtingai nei bazinis konsultavimas, valdoma paslauga suteikia visą atitikties ekosistemą, kuri ne tik stebi procesus, bet ir aktyviai dalyvauja rizikos vertinime bei pokyčių valdyme, taip maksimaliai izoliuojant organizaciją nuo teisinių ir reputacinių grėsmių.
Jūsų organizacijoje atitiktis vis dar atrodo kaip chaosas?
Mes padedame paversti VDAI gaires veikiančia valdymo sistema. Identifikuokite spragas ir sustiprinkite savo verslo atsparumą užsisakydami išsamų BDAR auditą ir rizikų vertinimą.
BDAR rizikos vertinimas

Išsamus BDAR atitikties auditas ir rizikų vertinimas

Daugiau
Asmens duomenų apsauga Rizikų eksperto patarimai

More Posts