Portugalijos Bareiro miesto ligoninei skirta 400 tūkst. eurų bauda už BDAR pažeidimus, susijusius su jos pacientų duomenų apsauga ir prieigos prie jų suteikimu. Didžiosios Britanijos Informacijos komisaro biuras įspėjo Kanados kompaniją „AggregateIQ“, kuri yra susijusi su feisbuko duomenimis prekiavusia „Cambridge Analytica“ – jai gresia iki 17 mln. svarų bauda.
Lietuvos institucijos taip pat nesnaudžia: antai rudenį Valstybinė duomenų apsaugos inspekcija atliko tikrinimus 12-oje stambių prekybos bendrovių, iš kurių 11 tvarko fizinių asmenų duomenis lojalumo programos ir tiesioginės rinkodaros tikslais. Visose jose rasta asmens duomenų tvarkymo pažeidimų – joms pateikti nurodymai šiuos pažeidimus pašalinti. Be to, inspekcija atlieka tikrinimus reaguodama į žmonių skundus, tiesa, kol kas apsiriboja nurodymais pažeidimus ištaisyti.
Mažųjų ir milžinų iššūkiai – skirtingi
„BDAR nėra „laikina mada“, ir tik laiko klausimas, kada šie pabaksnojimai pirštu virs baudomis. Privatumo apsauga rodo pagarbą savo klientui ir įmonės brandą. Nesirūpinant savo klientų ir partnerių asmens duomenų apsauga galite tiesiog prarasti konkurencingumą ir sukelti nereikalingas rizikas savo verslui“, – sako duomenų apsaugos konsultacijų kompanijos „Privacy partners“ vykdantysis partneris Martynas Bieliūnas.
Jis pastebi, kad duomenų saugumo ir kitais BDAR reikalavimais labiausiai susirūpinti derėtų vidutinio dydžio įmonėms. Jos dažniausiai neturi IT ir duomenų apsaugos niuansus išmanančių specialistų, tačiau jų naudojamų IT paslaugų infrastruktūra yra sudėtingesnė nei pačių mažiausių bendrovių.
Tuo metu didelės bendrovės susiduria su kitais iššūkiais: nors BDAR temą jos puikiai žino, dėl savo kompleksiškumo jos tik dabar diegia privatumo apsaugos programas. Be to, jose yra daug rizikos taškų, kuriuos numatyti ypač sudėtinga.
Dažniausiai pasitaikančios problemos – tai asmens duomenų naudojimas be sutikimo ar tinkamo teisinio pagrindo, jų perdavimas ar pardavimas tretiesiems asmenims. Įmonės renka per daug duomenų, jie per ilgai saugomi ir kartais naudojami ne tiems tikslams, kam buvo surinkti ir kam gautas žmonių sutikimas.
BDAR svarbus ne tik juridiškai
„Rimta problema ta, kad įmonės yra linkusios beatodairiškai pasitikėti turima IT infrastruktūra ir debesijos paslaugomis bei standartinėmis apsaugos priemonėmis, kurios retai kada būna tinkamai sukonfigūruotos. Daug verslų neturi tinkamų rezervinių kopijų, jau nekalbant apie veiksmų planą, ką daryti, jei pas juos įvyktų didesnio masto IT incidentas. Dažnai net nėra aišku, kuriose sistemose yra laikomi asmens duomenys, darbuotojų kompiuteriai ir išmanieji įrenginiai nėra tinkamai apsaugoti nei nuo įsilaužimo, nei nuo jų pametimo ar pavogimo“, – vardija M. Bieliūnas.
Anot jo, apie BDAR reikalavimus ir šio reglamento svarbą turi suvokti įmonės vadovas, kadangi tai apima ne tik teisinius niuansus, bet ir verslo procesus, IT ir debesijos sistemas. Todėl būtinas integruotas požiūris ir kompleksinis verslo procesų, teisinės dalies ir IT bei debesijos tvarkymas užtikrinant BDAR atitiktį.
Tad kokių veiksmų turi imtis verslai, kad užtikrintų duomenų saugumą? Pirmiausia, įmonių vadovai ar už duomenų saugą atsakingi specialistai turėtų įvertinti, kuriose sistemose saugomi žmonių duomenys, kaip jie ten patenka ir kaip yra tvarkomi, ar jų nėra renkama pernelyg daug ir ar jie nėra saugomi per ilgai. Antra, svarbu atsižvelgti į tai, kokios apsaugos priemonės reikalingos šioms sistemoms: duomenų šifravimas, prieigos ribojimas ir panašiai. Jei yra sistemų, kuriose saugoma daug asmens duomenų, koks būtų poveikis įsilaužimo ar duomenų praradimo atveju? Ir trečia, visi įmonės ar organizacijos darbuotojai turi turėti bent jau minimalų supratimą apie IT saugumą ir laikytis IT higienos darbe ir namuose.
Priklausomai nuo įmonės dydžio ir veiklos pobūdžio, šiems žingsniams įgyvendinti joms gali reikėti įdarbinti duomenų apsaugos specialistą arba kreiptis į specializuotas šių paslaugų įmones.
Sisteminis požiūris į saugumą
Milda Klimašauskaitė, „Microsoft“ debesijos sprendimų produktų vadovė kompanijoje „Telia“, pastebi, kad norint tinkamai pasirūpinti svarbiais duomenimis – ar tai būtų klientų asmens duomenys, ar įmonės konfidenciali informacija – reikalingas sisteminis požiūris į saugumą.
„Darbo vieta šiandien neapsiriboja vien kompiuteriu, tai – visi įrenginiai, kuriais žmonės dirba, kuriuose skaito, peržiūri darbo dokumentus. Tai gali būti keli kompiuteriai, planšetės, telefonai. Ir nebūtinai tik tie, kuriuos suteikė darbdavys: darbo reikalus dažnai tenka tvarkyti ir asmeniniais įrenginiais, pavyzdžiui, į namų kompiuterį ar asmeninį telefoną atsisiunčiame darbinius dokumentus“, – sako M. Klimašauskaitė.
Darbdavio pareiga – imtis visų priemonių, kad duomenų nutekėjimui ir kitiems saugumo pažeidimams būtų užkirstas kelias. Pavyzdžiui, nuo netyčinio duomenų nutekėjimo galima apsisaugoti debesijoje saugomiems dokumentams nustačius atitinkamus apribojimus ir naudojant slaptažodžius. Virusų ir įsilaužėlių gali padėti išvengti ne tik antivirusas su ugniasiene, bet ir papildomos priemonės, tokios kaip patikimas elektroninio pašto brukalų filtras. Visas šias ir daugelį kitų įmonėms reikalingų IT ūkio valdymo priemonių suteikia „Microsoft 365“ sprendimas.
Ne mažiau svarbu stiprinti darbuotojų IT žinias ir ugdyti jų sąmoningumą bei suteikti jiems visas darbui reikiamas priemones, kad jie nesinaudotų asmeniniais įrenginiais ir programomis.
Turite klausimų apie „Microsoft 365“ ar kitas verslui skirtas IT paslaugas? Kreipkitės į savo „Telia“ vadybininką arba susisiekite telefonu 1816.
Užsakymo nr.: PT_79683109