Asmens duomenų apsaugos rizikos vertinimas

Duomenų valdytojai ir duomenų tvarkytojai pagal Bendrojo duomenų apsaugos reglamento (BDAR) reikalavimus privalo įgyvendinti tinkamas technines ir organizacines priemones, kad būtų užtikrintas pavojų atitinkančio lygio saugumas. Asmens duomenų apsaugos rizikos vertinimas gali padėti pasirinkti optimaliausias technines ir organizacines priemones. Organizacija turi įvertinti fizinių asmenų pagrindinėms teisėms ir laisvėms kylantį poveikį dėl galimo asmens duomenų saugumo pažeidimo.

Rizikos vertinimo požiūris pagal Valstybinės duomenų apsaugos inspekcijos parengtas gaires yra paremtas šiais keturiais žingsniais: 1) Duomenų tvarkymo operacijos nustatymas ir jos kontekstas; 2) Poveikio supratimas ir vertinimas; 3) Galimų grėsmių nustatymas ir jų atsiradimo tikimybės vertinimas; 4) Rizikos įvertinimas.

Priemonės saugumui užtikrinti turi padėti suvaldyti riziką veiksmingai ir laiku, t. y. kur ir kada reikia. Tinkamų techninių ir organizacinių priemonių neturėjimas gali būti laikomas BDAR nuostatų pažeidimu ir tokiu atveju gali būti skirtos administracinės baudos, kurios gali siekti iki 2 – 4% ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, arba iki 10 000 000 – 20 000 000 eurų.

• Surenkame įrodymus ir informaciją
• Vertiname informaciją
• Nustatome duomenų tvarkymo operacijas ir jų metu tvarkomus duomenis
• Įvertiname poveikį fizinių asmenų pagrindinėms teisėms ir laisvėms dėl galimo asmens duomenų saugumo pažeidimo
• Nustatome grėsmes, susijusias su asmens duomenų tvarkymo aplinka (išorės arba vidaus) ir įvertiname jų atsiradimo tikimybę
• Identifikuojame ir įvertiname asmens duomenų apsaugos organizacines ir technines priemones bei jų pakankamumą
• Įvertiname rizikos lygį pagal asmens duomenų tvarkymo operacijos poveikio ir atitinkamos grėsmės atsiradimo tikimybės vertinimo rezultatus
• Nepriimtinoms rizikos valdyti parengiame rizikos valdymo priemonių planą

• Parengtas duomenų tvarkymo operacijų ir jų metu tvarkomų duomenų sąrašas. Parengtas duomenų tvarkymo operacijų ir jų metu tvarkomų duomenų sąrašas, nustatoma – 1) Kokios yra organizacijos asmens duomenų tvarkymo operacijos? 2) Kokios kategorijos asmens duomenys yra tvarkomi? 3) Koks tvarkymo tikslas? 4) Kokios priemonės naudojamos tvarkyti asmens duomenis? 5) Kur vykdomas asmens duomenų tvarkymas? 6) Kokios yra duomenų subjektų kategorijos? 7) Kas yra duomenų gavėjai?
• Įvertintas poveikis fizinių asmenų pagrindinėms teisėms ir laisvėms dėl galimo asmens duomenų saugumo pažeidimo. Įvertintas poveikis (žemas, vidutinis ir aukštas) dėl duomenų konfidencialumo, vientisumo ir prieinamumo praradimo
• Įvertintos rizikos asmens duomenų saugumui. Nustatytos grėsmės, susijusios su visa asmens duomenų tvarkymo aplinka (išorės arba vidaus), ir įvertinta jų atsiradimo tikimybė. Įvertintas rizikos lygis, pasirinktos tinkamas saugumo priemonės asmens duomenų saugumui užtikrinti
• Parengta rizikos vertinimo ataskaita. Parengta rizikos įvertinimo ataskaita, kurioje aprašoma rizikos vertinimo metodika ir rizikos vertinimo rezultatai
• Parengtas rizikos valdymo priemonių planas. Parengtas rizikos valdymo priemonių planas, skirtas nepriimtinų rizikų lygiui mažinti

• Nustatytos ir įvertintos asmens duomenų apsaugos spragos, grėsmės ir rizikos, turinčios įtaką fizinių asmenų pagrindinėms teisėms ir laisvėms dėl galimo asmens duomenų saugumo pažeidimo
• Nepriimtinoms rizikos valdyti parengtas rizikos valdymo priemonių planas (priemonių prioritetai ir įgyvendinimo kalendorinis grafikas), padedantis tinkamai suvaldyti asmens duomenų apsaugos rizikas
• Laiku suplanuotos pakankamos (proporcingos nustatytoms rizikoms) techninės ir organizacinės priemonės
• Užtikrinta atitiktis BDAR reikalavimams

• Valstybinėje mokesčių inspekcijoje įgyvendintas atitikties vertinimo projektas
• Informatikos ir ryšių departamente atliktas valstybės informacinių išteklių bei ryšių ir informacinių sistemų atitikties vertinimas
• Valstybinėje ligonių kasoje įgyvendintas naudotojų tapatybės ir teisių valdymo bei naudotojų registravimo ir kontrolės sistemos diegimo projektas
• Registrų Centre įgyvendintas nepriklausomo Elektroninės sveikatos paslaugų ir bendradarbiavimo infrastruktūros informacinės sistemos (ESPBI IS) saugumo audito projektas