Back to the top

Prieigos prie asmens duomenų valdymo politika

Prieigos prie asmens duomenų valdymo politika

Prieigos prie asmens duomenų valdymo politika (angl. Access Control Policyasmenų teises prieiti prie asmens duomenų nustatantis organizacijos vidaus dokumentas. Pagrindinė šios politikos nuostata – kiekvienam asmeniui turi būti suteikta tik tokia prieiga prie duomenų, kokia yra būtina jo užduotims atlikti, t.y., prieigos kontrolė turi būti grindžiama principu „būtina žinoti“. Šis reikalavimas yra susijęs su Bendrojo duomenų apsaugos reglamento (toliau – BDAR) 5 str. 1 d. c) punkte numatytu principu – duomenų kiekio mažinimas [1].

Prieigos prie asmens duomenų valdymo politika nustato taisykles dėl prieigos prie įvairių sistemų, įrangos ir informacijos. Šia politika siekiama riboti atsitiktinę ar neteisėtą prieigą prie asmens duomenų. Tam yra nustatomos saugumo priemonės, kurios ir techniškai veikia kaip prieigos valdymo priemonė. Šis dokumentas gali veikti prevenciškai – juo siekiama užkirsti kelią informacijos vagystėms, sukčiavimui, o vėliau ir bylinėjimuisi. Prieigos prie asmens duomenų valdymo politika yra organizacijos informacinės saugos sistemos dalis.

Prieigos prie asmens duomenų valdymo politika dažniausia nustatomos prieigos valdymo priemonės yra šios[2]:

  • fizinės prieigos ribojimai – įėjimas į pastatus naudojant ID kortelę, veiksmai, kurių reikia imtis pametus ID kortelę, sąlygos naujos ID kortelės išdavimui;
  • interneto prieigos ribojimai – siejasi su monitoringu. Atliekant monitoringą nustatoma ar naudotojas prieina prie informacijos, kuri yra už principo „būtina žinoti“ ribų, ir jeigu tai nustatoma – apribojama interneto prieiga;
  • naudotojų valdymas – kiekvienam naudotojui suteikiamas prisijungimo ID (vardas) ir slaptažodis, tam kad asmuo galėtų būti identifikuojamas atliekant monitoringą;
  • slaptažodžiai – nustatomi reikalavimai slaptažodžio sudėtingumui;
  • teisių keitimas arba anuliavimas – nustatom atvejai, kada naudotojams gali būti suteikiama mažiau/daugiau prieigos, arba teisė prieiti prie informacijos suteikiama tik iki tam tikros valandos;
  • monitoringas – naudotojų priežiūra, prieigos teisių mažinimas/plėtimas, kontroliavimas;
  • baudos – apibrėžiama kas laikoma pažeidimu, nustatoma kokia gresia atsakomybė;

Dažnai naudojama prieigos prie asmens duomenų valdymo priemonė – naudotojų kategorizavimas (skirstymas į lygius). Tokia praktika taikoma didesnėse įmonėse, kurios turi daug darbuotojų ir individualus prieigos nustatymas pareikalautų didelių sąnaudų. Šiuo atveju grupėms nustatomos bendros prieigos taisyklės ir priskyrus naudotoją tam tikrai grupei, šiam automatiškai pradeda veikti šios taisyklės[3].

Taip pat praktikoje bendrovės pasirenka ir kitokias priemones. Pvz. visiems nustatomi  bendrieji prieigos reikalavimai ir leidimai, o tam tikrais atvejais suteikiama privilegijos – prieiga prie papildomų duomenų.[4]

Ši prieigos valdymo politika pagal VDAI išleistas gaires turi būti įgyvendinta taikant atitinkamas technines priemones, pvz.: naudojant autentifikavimo sistemą (jos naudotojams suteikiant ID (prisijungimo vardą) ir slaptažodį, kuris atitinka kompleksiškumo reikalavimus), vengti naudoti bendras naudotojų paskyras, kuriomis galėtų naudotis keli asmenys, privaloma turėti administratoriaus sistemą, kuri galėtų kurti, naikinti, peržiūrėti, patvirtinti naudotojų paskyras.

Nesilaikydami šių reikalavimų duomenų tvarkytojai ar valdytojai pažeidžia BDAR 32 str. numatytą pareigą įgyvendinti tinkamas organizacines ir technines priemones duomenų saugumui užtikrinti (t.y., 32 str. 1 d. b) užtikrinti nuolatinį duomenų tvarkymo sistemų ir paslaugų konfidencialumą, vientisumą, prieinamumą ir atsparumą). Dėl to šios pareigos nevykdančiai bendrovei gali kilti atsakomybė pagal BDAR 83 str. 4 d. ir užtraukti administracinę baudą iki 10 000 000 Eur arba iki 2% jos ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė, arba valdžios institucijoms ar įstaigoms pagal LR asmens duomenų teisinės apsaugos įstatymo 33 str. administracinę baudą iki 0,5% valdžios institucijos ar įstaigos einamųjų metų biudžeto ir kitų praėjusiais metais gautų bendrųjų metinių pajamų dydžio, bet ne didesnę kaip 30 000 Eur.

[1] Valstybinė duomenų apsaugos inspekcija. TINKAMŲ ORGANIZACINIŲ IR TECHNINIŲ DUOMENŲ SAUGUMO PRIEMONIŲ ĮGYVENDINIMO GAIRĖS ASMENS DUOMENŲ VALDYTOJAMS IR TVARKYTOJAMS. 2018-10-31. https://www.ada.lt/go.php/lit/20-minimaliu-reikalavimu-kurie-pades-apsaugoti-asmens-duomenis-kiekvienoje-organizacijoje-

[2] Prieigos prie asmens duomenų valdymo politikos aprašas (pavyzdys 1)

[3] Prieigos prie asmens duomenų valdymo politikos aprašas (pavyzdys 3)

[4] Prieigos prie asmens duomenų valdymo politikos aprašas (pavyzdys 1)

© 2019 Advokatų kontora Marcinkevičius ir partneriai JURIDICON
error: Informacija saugoma