Demo Solidi Apsauga Solidi Apsauga

Mes siūlome :

ATLIKSIME ASMENS DUOMENŲ INVENTORIZACIJĄ IR AUDITĄ

Mes galime padėti įsivertinti ir susitvarkyti tvarkomus asmens duomenis t.y. atlikti asmens duomenų tvarkymo auditą. Audito metu nustatoma kokios operacijos atliekamos su duomenimis, kokios duomenų kategorijos tvarkomos, koks yra tvarkomų duomenų judėjimas, t. y. iš kur gaunami, kam perduodami duomenys, ar duomenys patenka už ES teritorijos.

Audito metu vertinama ar įmonės vykdoma asmens duomenų tvarkymo praktika atitinka Bendrajam duomenų apsaugos reglamentui (ES) 2016/697. Vertinimas atliekamas vadovaujantis ISO 27001 ir ISO 27002 standartų reikalavimais. Patikrinus duomenų saugumo priemonių tinkamumą duomenų saugumui užtikrinti bei atlikus tyrimą duomenų tvarkymo vietoje, nustatome duomenų saugumo būklę, identifikuojame galimas rizikas duomenų saugumui bei nustatome didelės rizikos tikimybę. Atlikę įvertinimą pateikiame rekomendacijas dėl organizacinių ir (arba) techninių priemonių įgyvendinimo. Audito metu taip pat įvertinama kokie IT sprendimai, apsaugos priemonės įdiegtos įmonėje, kokia dokumentacijos kokybė. Audito tikslas – atsakyti į esminį klausimą, ar įmonės veikla atitinka reglamentą, ar yra papildomos sritys, reikalavimai, kuriems reikia pasiruošti.

Nustatykite, kokius ir kieno asmens duomenis tvarkote

Asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti pagal identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, socialinės, kultūrinės ir pan. tapatybės požymius. Taigi, asmens duomenys nėra tik asmens vardas, pavardė ar gimimo data. Tai gali būti biometriniai duomenys (veido atvaizdai, pirštų atspaudai), IP adresas, lankomi interneto tinklalapiai, automobilio valstybinis numeris, elektroniniai laiškai, telefono pokalbių įrašai, informacija, susijusi su asmens religiniais įsitikinimais, sveikata, genetinėmis savybėmis ir pan. Duomenų subjektai gali būti bendrovės klientai, darbuotojai, siekiantys įsidarbinti asmenys, į bendrovės vaizdo kamerų stebėjimo lauką patenkantys asmenys, skambinantieji telefonu (jeigu pokalbiai įrašomi) ir t.t.
Tvarkomų duomenų sąrašas turi būti ne preliminarus, bet duomenų kategorijos turi būti konkrečiai apibrėžtos. Jūsų bendrovės darbuotojai geriausiai gali žinoti, kokių asmenų kokius duomenis bendrovė tvarko.

Apibrėžkite, koks yra duomenų tvarkymo tikslas ir teisinis pagrindas 

Duomenų tvarkymas – plati sąvoka, apimanti visus įmanomus veiksmus su asmens duomenimis, tokius kaip jų rinkimas, užrašymas, kaupimas, saugojimas, klasifikavimas, grupavimas, jungimas, keitimas, teikimas, paskelbimas, naudojimas, loginės arba aritmetinės operacijos, paieška, skleidimas, naikinimas ir kitos operacijos. Asmens duomenys turi būti tvarkomi teisėtu, sąžiningu ir skaidriu būdu. Tai reiškia, jog turi būti iš anksto nustatyti asmens duomenų tvarkymo tikslai ir egzistuoti jų tvarkymo teisinis pagrindas (teisėto tvarkymo sąlyga), o duomenų subjektai turi būti informuoti apie jų asmens duomenų tvarkymą. Taigi, bendrovė privalo aiškiai apibrėžti, kokiais tikslais renka asmens duomenis ir atitinkamai asmens duomenų netvarkyti su tais tikslais nesuderinamu būdu. Pavyzdžiui, renkant duomenis asmens tinkamumo dirbti tam tikrą darbą įvertinimo tikslu, tokių duomenų nebus galima naudoti tiesioginės rinkodaros pranešimų siuntimui.
Nustačius duomenų tvarkymo tikslus, svarbu įvertinti, ar kiekvienu konkrečiu tikslu nėra tvarkomi pertekliniai asmens duomenys. Jeigu atitinkami duomenys nėra būtini nustatytiems tikslams pasiekti, jie ir neturi būti renkami, o surinkti duomenys – ištrinami. Pavyzdžiui, sudarant sutartį elektroninėje parduotuvėje bendrovei nėra būtina žinoti pirkėjo asmens kodą.

Duomenų tvarkymas yra teisėtas tik tuo atveju, jei:

  • duomenų subjektas davė sutikimą, kad jo asmens duomenys būtų tvarkomi konkrečiais tikslais;
  • tai būtina siekiant įvykdyti sutartį (pvz. sudarant sutartį dėl prekių pardavimo);
  • tai būtina, kad būtų įvykdytos teisinės prievolės (pvz. mokesčių sumokėjimas);
  • tai būtina siekiant apsaugoti duomenų subjekto ar kito asmens gyvybinius interesus;
  • tai būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas;
  • tai būtina siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų (pavyzdžiui, siekiant išvengti žalos dėl bendrovės turto praradimo yra vykdomas vaizdo stebėjimas bendrovės teritorijoje).
Svarbu įvertinti, ar kiekvienu atveju duomenų tvarkymas yra atliekamas, esant kuriai nors iš šių sąlygų. Priešingu atveju, toks duomenų tvarkymas neturėtų būti vykdomas.

Įvardinkite, iš kur asmens duomenys yra gauti ir/ar kam teikiami

Aiškiai nustatykite, kokiais būdais gaunate asmens duomenis: iš paties duomenų subjekto ar ir iš kitų šaltinių, pavyzdžiui, jungtinių skolininkų duomenų rinkmenų. Taip pat nustatykite,  kokiems tretiesiems asmenims jie yra arba gali būti perduodami, pavyzdžiui Valstybinei mokesčių inspekcijai.

Nustatykite asmens duomenų saugojimo trukmę

Asmens duomenys gali būti saugomi ne ilgiau, nei tai yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi. Pagrįstas saugojimo terminas, priklausomai nuo duomenų tvarkymo tikslo ir duomenų pobūdžio, konkrečiu atveju gali būti labai skirtingas. Pavyzdžiui, vaizdo duomenis gali būti tikslinga saugoti kelias savaites, o sutarties vykdymo tikslu renkamus duomenis – keletą metų.  Duomenų saugojimo terminus tam tikrais atvejais gali nustatyti teisės aktai.
Suėjus nustatytiems terminams asmens duomenys privalo būti sunaikinti. Todėl svarbu bendrovėje įdiegti procedūras, kurios užtikrintų, kad duomenys, pasibaigus jų saugojimo terminui, toliau nebebūtų tvarkomi.
→ Kitos paslaugos

BŪSIME JŪSŲ ĮMONĖS IŠORINIU DUOMENŲ APSAUGOS PAREIGŪNU

Viena iš Bendrojo duomenų apsaugos reglamento naujovių – tam tikrų duomenų valdytojų (tvarkytojų) pareiga paskirti duomenų apsaugos pareigūną.

Mes pasirengę suteikti Jums konstruktyvią pagalbą, pateikdami  konkrečius patarimus, kaip praktiškai pasirengti reglamento taikymui ir būti duomenų apsaugos pareigūnu Jūsų įmonėje. Reikia pagalbos? Skambinkite mums telefonu 8 615 18383 ir mes suteiksime Jums nemokamą konsultaciją.

Duomenų apsaugos pareigūnas – ekspertas, stebintis ir analizuojantis, kaip duomenų valdytojas (tvarkytojas) laikosi asmens duomenų tvarkymui keliamų reikalavimų, konsultuojantis vadovus ir darbuotojus asmens duomenų tvarkymo klausimais bei veikiantis kaip tarpininkas tarp duomenų valdytojo (tvarkytojo) ir priežiūros institucijos.

Duomenų apsaugos pareigūną privalote paskirti, jei:

  • duomenis tvarkote kaip valdžios institucija arba įstaiga, išskyrus teismus, kai jie vykdo savo teismines funkcijas;
  • pagrindinė veikla yra duomenų tvarkymo operacijos, dėl kurių pobūdžio, aprėpties ir (arba) tikslų būtina reguliariai ir sistemingai dideliu mastu stebėti duomenų subjektus;
  • duomenų valdytojo arba duomenų tvarkytojo pagrindinė veikla yra specialių kategorijų duomenų tvarkymas dideliu mastu.
Duomenų valdytojas – organizacija ar asmuo, kuris naudoja asmens duomenis profesiniais tikslais, pvz., valstybės institucija, įstaiga, savivaldybė, ligoninė, poliklinika, policija, bankas, kredito unija, draudimo bendrovė, e. parduotuvė, kelionių agentūra, mokykla, advokatas, antstolis, notaras ir t. t. Jis nustato duomenų tvarkymo tikslus ir priemones, t. y. kokiu apibrėžtu ir teisėtu tikslu, teisiniu pagrindu vadovaudamasis ir kokius asmens duomenis tvarko, kam teikia, kaip užtikrina duomenų subjekto teises, kokią programinę įrangą naudoja duomenims tvarkyti ir t. t.
Duomenų tvarkytoju laikomas juridinis ar fizinis asmuo, duomenų valdytojo įgaliotas tvarkyti asmens duomenis.

 Kokiais atvejais įmonėje reikalingas arba nereikalingas duomenų apsaugos pareigūnas:

    • 1 pavyzdys
Sveikatos priežiūros įstaigos pagrindinė veikla – teikti sveikatos priežiūros paslaugas viso miesto ar rajono gyventojams. Sveikatos priežiūros įstaiga, siekdama tinkamai teikti šias paslaugas, pagal teisės aktus privalo tvarkyti tam tikrus pacientų asmens duomenis. Atsižvelgiant į tai, asmens duomenų tvarkymas būtų laikomas pagrindine sveikatos priežiūros įstaigos veikla. Vertinant tai, kad sveikatos paslaugos teikiamos viso miesto ar rajono mastu, manytina, kad asmens duomenų tvarkymas vykdomas dideliu mastu. Pažymėtina, kad kiekvieno paciento atžvilgiu pagal teisės aktus yra pildoma asmens sveikatos istorija, o tai vertintina kaip reguliarus ir sistemingas asmens stebėjimas. Taigi aptariamu atveju, sveikatos priežiūros įstaiga turi paskirti duomenų apsaugos pareigūną.
    • 2 pavyzdys
Parduotuvė vykdo vaizdo stebėjimą turto apsaugos tikslu. Šiuo atveju vaizdo duomenų tvarkymas nėra būtinas, siekiant vykdyti prekybą, todėl toks duomenų tvarkymas nėra pagrindinė parduotuvės veikla ir ji pareigos paskirti duomenų apsaugos pareigūną neturi, nepaisant to, kad tam tikrais atvejais vaizdo stebėjimas gali būti didelio masto ir turi reguliaraus ir sistemingo stebėjimo požymius.
    • 3 pavyzdys
Asmuo, užsiimantis individualia veikla, internete prekiauja savo užauginta produkcija viename mieste ir naudojasi informacinių technologijų paslaugas teikiančios įmonės paslaugomis, kuri prižiūri šio asmens internetinį tinklalapį bei teikia tikslinės reklamos ir tiesioginės rinkodaros paslaugas individualia veikla užsiimančio asmens klientams. Tokio asmens, užsiimančio individualia veikla, atliekamas asmens duomenų tvarkymas nebus laikomas didelio masto, tačiau informacinių technologijų paslaugas teikiančios įmonės, kaip duomenų tvarkytojo, kuris turi daug tokio pobūdžio klientų, veikla, atsižvelgiant į aptarnaujamų klientų ir jų duomenų subjektų skaičių, gali būti laikoma didelio masto ir tokia įmonė turės pareigą paskirti duomenų apsaugos pareigūną. Įvertinimo dėl duomenų apsaugos pareigūno skyrimo būtinumo rezultatus patariame išsamiai aprašyti parengiant išvadą, kuri prireikus galės būti pateikta priežiūros institucijai.

PASKIRKITE DUOMENŲ APSAUGOS PAREIGŪNĄ

Duomenų apsaugos pareigūnu gali būti skiriamas tiek įmonės darbuotojas, tiek ir specialių žinių turintis išorinis paslaugų teikėjas. Taip pat galima paskirti vieną duomenų apsaugos pareigūną visai įmonių grupei. Konkretūs kvalifikaciniai, išsilavinimo reikalavimai asmens duomenų apsaugos pareigūnui nėra nustatyti, tačiau šias pareigas einantis asmuo turėtų išmanyti teisinius ir techninius asmens duomenų apsaugos aspektus, sektoriaus, kuriame veikia įmonė, specifiką ir pačios įmonės veiklą. Nepriklausomai nuo to, ar duomenų apsaugos pareigūnu paskirsite darbuotoją, ar išorės paslaugų teikėją, turite užtikrinti duomenų apsaugos pareigūno nepriklausomumą, t. y.
  • neduoti duomenų apsaugos pareigūnui jokių privalomų nurodymų ir instrukcijų jo veiklos klausimais;
  • netaikyti drausminių nuobaudų dėl duomenų apsaugos pareigūno funkcijų vykdymo;
  • užtikrinti, kad tarp duomenų apsaugos pareigūno ir kitų jo, kaip darbuotojo, funkcijų nekiltų interesų konflikto. Pavyzdžiui, interesų konfliktas egzistuotų, jei duomenų apsaugos pareigūnu būtų paskirtas vienas iš vadovaujančias pareigas užimančių įmonės darbuotojų.
Duomenų apsaugos pareigūnas nėra asmeniškai atsakingas už duomenų valdytojo (tvarkytojo) padarytus asmens duomenų tvarkymo pažeidimus, atsakomybė už pažeidimus bet kokiu atveju tenka duomenų valdytojui (tvarkytojui).

PASKELBKITE IR PRANEŠKITE PRIEŽIŪROS INSTITUCIJAI DUOMENŲ APSAUGOS PAREIGŪNO KONTAKTINIUS DUOMENIS

Kadangi duomenų apsaugos pareigūnas veikia kaip tarpininkas tarp duomenų valdytojo (tvarkytojo) ir priežiūros institucijos, priežiūros institucijai turite pranešti paskirto duomenų apsaugos pareigūno kontaktinius duomenis, leidžiančius tiesiogiai su juo susisiekti: elektroninio pašto adresą ir (ar) telefono numerį. Taip pat galite nurodyti ir tokio asmens vardą bei pavardę (pavadinimą). Pareiga paskelbti duomenų apsaugos pareigūno kontaktinius duomenis apima tiek pareigą informuoti duomenų valdytojo (tvarkytojo) darbuotojus, tiek ir kitus duomenų subjektus, pateikiant informaciją, pavyzdžiui, įmonės interneto svetainėje.
→ Kitos paslaugos

PARUOŠIME REIKIAMUS DOKUMENTUS BDAR ATITIKČIAI

Konsultuojame įmones ir organizacijas, kokią dokumentaciją įmonės turi turėti, norint atitikti BDAR reikalavimus.  Ruošiame duomenų tvarkymo procedūras, tvarkas, duomenų tvarkymo taisykles.

    • Atstovaujame Jūsų interesus Valstybinėje duomenų apsaugos inspekcijoje. Padedame parengti reikiamą dokumentaciją ar paaiškinimus, kreipiantis dėl konsultacijų į VDAI.
    • Padedame parengti duomenų subjekto teisių įgyvendinimo tvarką. Duomenų subjektas turi turėti teisę susipažinti su apie jį surinktais asmens duomenimis ir galimybę ta teise lengvai ir pagrįstais laiko tarpais pasinaudoti, kad žinotų apie duomenų tvarkymą ir galėtų patikrinti jo teisėtumą.
    • Įvykus asmens duomenų saugumo pažeidimui, įmonė turi informuoti VDAI ir duomenų subjektus per 72 val., jei kyla grėsmė jų teisėms. Padedame parengti informavimo apie pažeidimus procedūrą bei dokumentacijos šablonus.
  • Padedame parengti elgesio kodeksus, atsižvelgdami į konkrečiuose veiklos sektoriuose atliekamo duomenų tvarkymo ypatumus ir konkrečius, pvz., labai mažų, mažųjų ir vidutinių įmonių ir organizacijų, poreikius. Elgesio kodeksuose nustatomos duomenų valdytojų ir duomenų tvarkytojų pareigos, teisės, veiksmai, atsižvelgiant į pavojų, kuris tvarkant duomenis gali kilti fizinių asmenų teisėms ir laisvėms.
→ Kitos paslaugos

UŽTIKRINSIME KIBERNETINĮ IR DUOMENŲ SAUGUMĄ JŪSŲ ĮMONĖJE

Užtikrinant kibernetinį saugumą bei duomenų apsaugą organizacijoje, visų pirma atliekamas IT ir asmens duomenų vertinimas (auditas), kurio metu įvertinama organizacijos saugumo būklė ir norminių dokumentų laikymosi tvarka. Vertinimas (auditas) atliekamas vadovaujantis ISO 27001 ir ISO 27002 standartų reikalavimais.

Kokiais atvejais rekomenduojama atlikti vertinimą (auditą):

  • organizacijoje nebuvo atliekamas IT sistemų vertinimas;
  • organizacija išaugo, padidėjo teikiamų paslaugų ar tinklo dalyvių skaičius;
  • buvo užfiksuotas konfidencialios informacijos nutekėjimas;
  • įvyko didelio mąsto kibernetinis incidentas, kurio metu išaiškėjo svarbūs operacinių sistemų pažeidžiamumai ir kt.
Auditas atliekamas siekiant:
  • suprasti, kaip informacija šiuo metu yra apsaugota, ir gauti rekomendacijas tolesniam darbui;
  • įvertinti įmonės informacinių sistemų atitikimą standartams, pavyzdžiui ISO 27001 ar ISO 27002.
Audito rezultatas:
  • dokumentas, kuriame pateikiamas dabartinio informacinio saugumo lygio atitikties įmonės normatyviniais dokumentais įvertinimas;
  • rekomendacijų, kaip įmonės informacinę sistemą suderinti su reikalavimais ir normomis informacijos saugumo srityje, sąrašas.
→ Kitos paslaugos

MES GALIME