Kaip organizacijoms pasiruošti planiniam Valstybinės duomenų apsaugos inspekcijos patikrinimui?

Valstybinė duomenų apsaugos inspekcija (VDAI) jau paskelbė šių metų planinių patikrinimų ir stebėsenos planą. Sąraše išvardintos įmonės bei įstaigos bus tikrinamos dėl skirtingų Bendrojo duomenų apsaugos reglamento (BDAR) aspektų laikymosi ir taikymo. Tam, kad patikrinimas vyktų sklandžiai ir netektų taisyti neatitikimų ar net mokėti baudų, sąraše esantiems reikėtų pasiruošti iš anksto, sako Renata Vasiliauskienė, advokatų profesinės bendrijos COBALT vyresnioji teisininkė. Ji atskleidžia, kaip tai padaryti.

„Šiais metais bendrovės bus tikrinamos siekiant nustatyti kelis dalykus. Pirmiausia, kaip jos įgyvendina duomenų subjektų prašymus susipažinti su tvarkomais duomenimis, antra – kokios saugumo priemonės yra taikomos. Be šių dviejų aspektų VDAI paprastai į planinių patikrinimų sąrašą įtraukia ir bendroves, kurios jau anksčiau iš inspekcijos yra gavusios nurodymų. Taip siekiama įvertinti, kaip įgyvendinti anksčiau gauti nurodymai”, – sako R. Vasiliauskienė.

Peržiūrėti dokumentus ir paruošti darbuotojus

Pasiruošimas pirmiausia priklauso nuo patikrinimo būdo, sako teisininkė. Mat jų yra net keli: patikrinimas naudojant kontrolinį klausimyną, patikrinimas vietoje arba kombinuotas patikrinimas.

„Vykdant patikrinimus kontrolinio klausimyno būdu, organizacija patikrinimų plane nustatytu laiku gaus klausimus iš VDAI, į kuriuos turės pateikti atsakymus per nurodytą laikotarpį. Svarbu žinoti, kad tiesiog žodžiu išdėstyti vienos ar kitokios nuomonės nepakanka, BDAR aiškiai įtvirtintas atskaitomybės principas reikalauja, kad organizacijos ne tik teisingai tvarkytų duomenis, bet ir gebėtų įrodyti, kad viskas daroma atsižvelgiant į teisinį reglamentavimą. Dėl šios priežasties svarbu pateikti įrodymus, pavyzdžiui, susirašinėjimą su duomenų subjektu, vidinių susitikimų protokolus, kuriuose svarstomi ir priimami esminiai sprendimai susiję su duomenų apsauga ir kitą informaciją.

Patikrinimų vietoje metu, reikia tinkamai paruošti darbuotojus, kad šie nepasimestų, nebijotų ir galėtų VDAI pareigūnams parodyti, kur ir kaip fiziškai yra tvarkomi duomenys. Bet kuriuo atveju, visada naudinga prieš tokius patikrinimus padaryti BDAR mokymus ir atnaujinti žinias“, – rekomenduoja R. Vasiliauskienė.

Nepaisant to, kokiu būdu vyksta patikrinimai, svarbu pasirūpinti, kad organizacijoje būtų patvirtintos vidinės tvarkos, pavyzdžiui, duomenų subjektų teisių įgyvendinimo tvarka, techninių ir organizacinių saugumo priemonių sąrašas, informacinių technologijų rizikos vertinimas, prieigų suteikimo tvarka ir kitos, vardija teisininkė. Be to, jeigu organizacija yra turėjusi konkrečių situacijų, susijusių su duomenų subjektų prašymų, ji turi surinkti visus įrodymus apie tai, kaip buvo įgyvendintas konkretus prašymas, nes šiuos įrodymus gali būti paprašyta patiekti.

Patikrinimai – sektorių ydoms identifikuoti

Planinių patikrinimų metu neretai nustatoma neatitikimų, sako R. Vasiliauskienė: „Jei jie nežymūs ir organizacija yra nusiteikusi bendradarbiauti, VDAI paskiria terminą trūkumams ištaisyti. Tačiau, jei įmonė ar įstaiga nebendradarbiauja, neteikia prašomos informacijos, gali grėsti ir piniginės baudos“.

Visgi patikrinimus reikėtų vertinti ne kaip grėsmę, bet kaip galimybę matyti platesnį šalies įmonių bei įstaigų veiklos vaizdą. Mat po patikrinimų Valstybinė duomenų apsaugos inspekcija pateikia apibendrintą viešą ataskaitą.

Iš jos galima daryti išvadas apie konkrečių sektorių ydas, BDAR pareigų neįgyvendinimą, sunkumus, su kuriais susiduria organizacijos. Taip pat tokie patikrinimai skatina ir kita organizacijas atkreipti dėmesį į duomenų saugumą.

Tikrinama nuo ministerijos iki bankų

Šiemet patikrinimų ir stebėsenos plane – beveik 30 organizacijų. Dešimt įmonių bus tikrinamos dėl duomenų subjektų teisės susipažinti įgyvendinimo užtikrinimo. Dar šešios – dėl teiktų nurodymų įvykdymo ir, ar nustatytų trūkumų pašalinimo. Stebėti numatyta dešimt įmonių – bus peržiūrimos jų taikomos saugumo priemonės, tokios kaip: privilegijuotosios prieigos teisės, asmens duomenų naikinimas, šifravimo priemonių naudojimas, pakeitimų valdymas.

Patikrinimų sulauks AB „Lietuvos draudimas“, UAB „Capital Real Estate“, UAB „Diagnostikos laboratorija“, UAB „Kardiolita“, AB „SEB bankas“, VšĮ Respublikinė Šiaulių ligoninė, Vilniaus universitetas, VĮ „Regitra, Aplinkos apsaugos departamentas prie Aplinkos ministerijos, Lietuvos Respublikos kultūros ministerija ir kitos įmonės bei įstaigos. Visą sąrašą VDAI skelbia savo internetiniame puslapyje.