Back to the top

IT išteklių, naudojamų asmens duomenis tvarkyti, registras

IT išteklių, naudojamų asmens duomenis tvarkyti, registras

IT išteklių, naudojamų asmens duomenis tvarkyti, registras – organizacijos vidaus dokumentas, kuriame registruojami visi IT ištekliai, kurie organizacijoje naudojami  asmens duomenų tvarkyme. IT ištekliai šiame kontekste suprantami kaip:

  • Techninė įranga – visi kompiuterio fiziniai komponentai, kurie naudojami informacijos apdorojimui. Iš esmės tai yra visos kompiuterio dalys, kurios reikalingas jo tinkamam veikimui – monitorius, pelė, klaviatūra, kietasis diskas, procesorius ir pan.
  • Programinė įranga –programos, kurios įdiegtos į kompiuterį. Šios programos sukuriamos programavimo kalbomis, tam kad vykdytų atitinkamas užduotis – pavyzdžiui, klaviatūroje spaudžiant klavišus, Word dokumente atsiranda raidės.
  • Tinklo įranga – tai tokia įranga, kuri reikalinga kelių įrenginių susiekimui per internetą, pavyzdžiui, modemas.

Tvarkant asmens duomenis didžioji dalis įstaigų naudoja būtent šią įrangą ar jos derinius, pavyzdžiui, nusiunčiama apklausa klientui tam, kad jis atsiųstų užpildytą apklausą su asmens duomenimis. Šiuo atveju veikia visos trys anksčiau aptartos įrangos.

IT išteklių, naudojamų asmens duomenis tvarkyti, registras įmonėje reikalingas tam, kad nebūtų spragų ir būtų žinoma visi įrenginiai, kurie naudojami tvarkant asmens duomenis. Toks įrenginių inventorizavimas leidžia kontroliuoti duomenų apdorojimo priemones. IT išteklių, naudojamų asmens duomenims tvarkyti, registras yra bendrovės informacinės saugos sistemos dalis.

Registro turinį sudaro būtent visų IT išteklių aprašymas, t.y. visi IT ištekliai, naudojami asmens duomenų tvarkymui, suregistruojami ir aprašomi. Registro turinį labiausia apibūdina tai, kokia informacija yra pateikiama apie IT įrenginį. Pirmiausia visada bus numatyta bendroji informacija – koks tai įrenginys, t.y., jo pavadinimas, identifikacinis numeris, be to dažnai nurodoma informacija apie įrenginio kainą, nuvertėjimą, įrenginio naudotoją. Bendroji informacija registruose yra panaši, tačiau be šios informacijos registruose gali būti daromi bet kokie kiti įrašai. Kadangi šis registras yra skirtas IT ištekliams, naudojamiems asmens duomenis tvarkyti, todėl be bendrųjų registro duomenų turėtų būti registruojami ir faktai, susiję su duomenų tvarkymu, pavyzdžiui, kokie duomenys laikomi įrenginyje, konfidencialumo reikalavimai įrenginio tvarkomiems duomenims, duomenų atsarginių kopijų darymo tvarkaraštis ir vieta.

Kadangi IT ištekliai suprantami kaip techninė, programinė ir tinklo įranga, manytina, jog registras tokią klasifikaciją turėtų išlaikyti – turėtų būti nurodyta kiekvieno iš įrenginių priskyrimas vienai iš šių grupių. Taip pat Valstybinės duomenų apsaugos inspekcijos (toliau – VDAI) 2018-10-31 išleistose gairėse dėl „Tinkamų organizacinių ir techninių duomenų saugumo priemonių asmens duomenų valdytojams ir tvarkytojams“ (toliau – gairės) numatyta, kad be IT išteklių registravimo reikia registruoti ir tinklo topologiją – įrenginių jungimo į tinklą schemą[1]. Registro tvarkymas turi būti paskirtas konkrečiam asmeniui. Patys IT ištekliai turi būti peržiūrimi ir esant poreikiui atnaujinami (rekomenduojama kartą per 3 mėn.)[2].

VDAI gairės nurodo, jog organizacija turi turėti IT išteklių, naudojamų asmens duomenims tvarkyti, registrą. Šis reikalavimas išplaukia iš BDAR vientisumo ir konfidencialumo principo (5 str. 1 d. f) punktas). Todėl nesant tokio registro, organizacijai gali kilti  atsakomybė pagal BDAR 83 str. 4 d. ir užtraukti administracinę baudą iki 10 000 000 Eur arba iki 2% jos ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė, arba valdžios institucijoms ar įstaigoms pagal LR asmens duomenų teisinės apsaugos įstatymo 33 str. administracinę baudą iki 0,5% valdžios institucijos ar įstaigos einamųjų metų biudžeto ir kitų praėjusiais metais gautų bendrųjų metinių pajamų dydžio, bet ne didesnę kaip 30 000 Eur.

[1] http://ims.mii.lt/ims/%C5%BEodynai/term/t/tinklo_topologija.html

[2] Valstybinė duomenų apsaugos inspekcija. TINKAMŲ ORGANIZACINIŲ IR TECHNINIŲ DUOMENŲ SAUGUMO PRIEMONIŲ ĮGYVENDINIMO GAIRĖS ASMENS DUOMENŲ VALDYTOJAMS IR TVARKYTOJAMS. 2018-10-31. https://www.ada.lt/go.php/lit/20-minimaliu-reikalavimu-kurie-pades-apsaugoti-asmens-duomenis-kiekvienoje-organizacijoje-, 6,7 punktas.

© 2019 Advokatų kontora Marcinkevičius ir partneriai JURIDICON
error: Informacija saugoma