Institucijos

Atnaujintos gairės dėl asmens duomenų saugumo priemonių ir rizikos įvertinimo

2020 m. birželio mėn. Valstybinė duomenų apsaugos inspekcija atnaujino ir paskelbė „Tvarkomų asmens duomenų saugumo priemonių ir rizikos įvertinimo gairių duomenų valdytojams ir duomenų tvarkytojams“ (toliau – gairės) 3 versiją.

Gairėse pateikiama informacija gali vadovautis organizacijos, valdančios ir (ar) tvarkančios asmens duomenis (duomenų valdytojai ir duomenų tvarkytojai), atlikdamos duomenų tvarkymo operacijas savo veikloje. Gairės padės įvertinti aktualius pavojus asmens duomenų saugumui ir įgyvendinti tinkamas saugumo priemones. Gairės parengtos siekiant padėti duomenų valdytojams ir duomenų tvarkytojams, ypač smulkiajam ir vidutiniam verslui, tačiau taip pat jomis gali naudotis ir kitos organizacijos (pvz, nevyriausybinės organizacijos, viešojo sektoriaus atstovai ar didelės įmonės), atsižvelgdamos į vykdomos veiklos specifiką.

Atkreipiame dėmesį, kad kuriant (diegiant) ar vertinant turimas organizacines ir technines saugumo priemones, organizacijos turi visapusiškai atsižvelgti į duomenų tvarkymo pobūdį, aprėptį, kontekstą bei tikslus ir riziką, susijusią su pavojais fizinių asmenų teisėms ir laisvėms. BDAR 24 ir 32 straipsniai organizacijas įpareigoja visais atvejais atlikti rizikos vertinimą.

Šios gairės parengtos remiantis ENISA rekomendacijomis, ISO standartais LST ISO/IEC 27001:2017 ir LST ISO/IEC 27002:2017. Ši trečioji gairių versija papildyta 2019 m. ISO standartu ISO/IEC 27701:2019 „Saugumo metodai – ISO/IEC 27001 ir ISO/IEC 27002 papildymas dėl privatumo valdymo – reikalavimai ir gairės“.

Prie visų šiose gairėse išvardytų priemonių yra pateikiama nuoroda į susijusį informacijos saugumo valdymo standarto LST ISO/IEC 27001:2017 reikalavimą ir jį papildantį privatumo užtikrinimo reikalavimą pagal ISO/IEC 27701:2019. Paaiškinimai pateikti atsižvelgiant į Bendrąjį duomenų apsaugos reglamentą.

Atkreipiame dėmesį, kad ISO standartai paremti organizacijos rizikų valdymu, o asmens duomenų apsauga vertinama kaip organizacijos saugumo dalis, tuo tarpu Bendrajame duomenų apsaugos reglamente duomenų saugumas yra tik vienas iš asmens duomenų apsaugos komponentų, o rizika vertinama atsižvelgiant į poveikį žmogaus teisėms ir laisvėms. Taip pat dalis terminų, vartojamų Bendrajame duomenų apsaugos reglamente ir standarte ISO/IEC 27701:2019, skiriasi, esama nežymių skirtumų tarp šių terminų apibrėžimų. Terminų atitikmenys:

Bendrasis duomenų apsaugos reglamentas Standartas ISO/IEC 27701:2019
Asmens duomenys
(angl. Personal data)
Asmenį identifikuojanti informacija
(angl. Personally Identifiable Information (PII))
Duomenų valdytojas
(angl. Data controller)
Asmens duomenų valdytojas
(angl. PII controller)
Duomenų tvarkytojas
(angl. Data processor)
Asmens duomenų tvarkytojas
(angl. PII processor)
Duomenų subjektas
(angl. Data subject)
Asmens duomenų subjektas
(angl. PII principal)
Pritaikytoji duomenų apsauga
(angl. Data protection by design)
Pritaikytasis privatumas
(angl. Privacy by design)
Standartizuotoji duomenų apsauga
(angl. Data protection by default)
Standartizuotasis privatumas
(angl. Privacy by default)

 

Parsisiųsti: Tvarkomų asmens duomenų saugumo priemonių ir rizikos įvertinimo gairės duomenų valdytojams ir duomenų tvarkytojams (3 versija).

Valstybinės duomenų apsaugos inspekcijos informacija

Back to top button