Procesų, susijusių su asmens duomenų apsauga, auditas (BDAR)

Duomenų valdytojai ir duomenų tvarkytojai t. y. organizacijos, kurios atlieka asmens duomenų tvarkymo operacijas, turi įgyvendinti Bendrojo duomenų apsaugos reglamento (BDAR) atitikties reikalavimus, siekiant užtikrinti fizinių asmenų pagrindinės teisės ir laisvės, visų pirma jų teisė į asmens duomenų apsaugą.

Organizacijos, siekdamos užtikrinti atitikties BDAR reikalavimus, pirmiausiai turi įsivertinti – kokie duomenys, kokiems tikslams, kokia apimtimi, kokiais teisiniais pagrindais tvarkomi, kiek laiko saugomi, iš kokių šaltinių gaunami ir kam teikiami. Procesų, susijusių su asmens duomenų apsauga, auditas (pagal BDAR reikalavimus) leidžia konstatuoti, ar duomenų tvarkymo operacijos kelia pavojų duomenų subjektų teisėms ir laisvėms, ir ar tinkamai yra įgyvendinami BDAR numatyti (teisėtumo, sąžiningumo ir skaidrumo, tikslo apribojimo, duomenų kiekio mažinimo, tikslumo, saugojimo trukmės apribojimo, vientisumo ir konfidencialumo bei atskaitomybės) principai.

Organizacijos norėdamos tinkamai įgyvendinti technines ir organizacines priemones turėtų įsivertinti asmens duomenų saugumo priemonių pakankamumą atlikus rizikos vertinimą ir atitikties vertinimą pagal VDAI gaires, LR teisės aktuose nustatytus informacijos saugos ir kibernetinio saugumo reikalavimus , ISO 27001 ir 27002 reikalavimus.

Organizacijoms privalo ne tik užtikrinti atitiktį BDAR reikalavimams, bet ir gebėti ją įrodyti, todėl svarbu turėti tinkamą dokumentaciją. Pažeidus BDAR nuostatas gali būti skirtos administracinės baudos, kurios gali siekti iki 2 – 4% ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, arba iki 10 000 000 – 20 000 000 eurų.

• Surenkame įrodymus ir informaciją
• Įvertiname vidaus teisės aktus padedančius įgyvendinti BDAR reikalavimus
• Pagal poreikį parengiame duomenų žemėlapį (angl. data mapping), patikriname ir atnaujiname duomenų veiklos įrašus
• Išanalizuojame ir įvertiname procesus, kurių metu yra tvarkomi ir valdomi asmens duomenys
• Įvertiname BDAR principų įgyvendinimą bei duomenų subjektų teisių ir laisvių užtikrinimą
• Atliekame įdiegtų organizacinių ir techninių priemonių pakankamumo vertinimą
• Atliekame rizikos vertinimą, pagal poreikį poveikio duomenų apsaugai vertinimą
• Parengiame rekomendacijas neatitiktims ir rizikoms šalinti bei rizikoms valdyti

• Įvertinti vidaus teisės aktai ir nustatytos neatitiktys BDAR reikalavimams. Įvertinti vidaus teisės aktai, reglamentuojantys asmens duomenų apsaugą organizacijoje ir nustatytos neatitiktys
• Parengtas duomenų žemėlapis. Nustatyti tvarkomi duomenys, priskirti atitinkamai duomenų ir veiklos kategorijai
• Patikrinti ir atnaujinti duomenų veiklos įrašai. Įvertinti esami duomenų veiklos įrašai ir, esant poreikiui, atnaujinti detaliai aprašius atliekamą asmens duomenų tvarkymą
• Įvertinti duomenų tvarkymo ir valdymo procesai. Išanalizuota, kaip yra tvarkomi asmens duomenys, ir įvertinti jų tvarkymo procesai
• Atliktas BDAR principų įgyvenimo ir asmens teisių ir laisvių užtikrinimo teisinis vertinimas. Nustatyti asmens duomenų tvarkymo tikslai ir pagrindai, atliktas BDAR principų įgyvendinimo vertimas
• Įvertintos įdiegtų organizacinių ir techninių priemonių atitiktis. Įvertinta atitiktis Valstybinė duomenų apsaugos inspekcijos gairėms. Parengta atitikties įvertinimo ataskaita, kurioje detalizuojamos, atitikties vertinimo metu, nustatytos neatitiktys Valstybinė duomenų apsaugos inspekcijos gairėse pateiktiems reikalavimams ir rekomendacijos nustatytoms neatitiktims pašalinti. Pagal poreikį įvertinta atitiktis LR teisės aktuose nustatytiems informacijos saugos ir kibernetinio saugumo reikalavimams. Parengta atitikties įvertinimo ataskaita, kurioje detalizuojamos, atitikties vertinimo metu, nustatytos neatitiktys LR teisės aktų reikalavimams ir rekomendacijos nustatytoms neatitiktims pašalinti. Pagal poreikį įvertinta atitiktis ISO 27001 ir ISO 27002 reikalavimams. Parengta atitikties ISO 27001 ir ISO 27002 įvertinimo ataskaita, kurioje detalizuojamos, atitikties vertinimo metu, nustatytos ISO 27001 ir ISO 27002 neatitiktys reikalavimams ir rekomendacijos nustatytoms neatitiktims pašalinti
• Atliktas rizikos vertinimas. Parengtas rizikų registras ir rizikos vertinimo ataskaita su rizikos valdymo planu
• Parengtas neatitikčių šalinimo ir rizikų valdymo priemonių planas

Nauda

• Nustatyti asmens duomenų tvarkymo procesai ir jų teisėtumas
• Įvertintas organizacinių ir techninių priemonių pakankamumas ir atitiktis BDAR reikalavimams
• Atliktas poveikio duomenų apsaugai vertinimas
• Nustatytos ir įvertintos rizikos
• Parengtas neatitikčių šalinimo ir rizikų valdymo priemonių planas
• Užtikrintos duomenų subjektų teisės ir laisvės
• Užtikrinta atitiktis BDAR reikalavimams

• Valstybinėje mokesčių inspekcijoje įgyvendintas atitikties vertinimo projektas
• Informatikos ir ryšių departamente atliktas valstybės informacinių išteklių bei ryšių ir informacinių sistemų atitikties vertinimas
• Valstybinėje ligonių kasoje įgyvendintas naudotojų tapatybės ir teisių valdymo bei naudotojų registravimo ir kontrolės sistemos diegimo projektas
• Registrų Centre įgyvendintas nepriklausomo Elektroninės sveikatos paslaugų ir bendradarbiavimo infrastruktūros informacinės sistemos (ESPBI IS) saugumo audito projektas