Kas tai yra duomenų apsaugos auditas ir kiek jis kainuoja?

Pastarąjį pusmetį kiekvieną savaitę sulaukiu klausimų apie duomenų apsaugos audito galimybes ir kainas.

Duomenų apsaugos auditą mes tikrai atliekame, galime pasiūlyti techninio supratimo ir teisinio išmanymo derinį, labai didelę duomenų apsaugos versle patirtį, racionalius praktinius sprendimus. Nesiūlome nereikalingų (bet konsultantams pelningų) sprendimų.

Apibendrinant per beveik dvidešimt metų sukauptą asmens duomenų ir privatumo teisinės apsaugos konsultavimo patirtį parengiau automatinę DUOMENŲ APSAUGOS AUDITO KAINOS SKAIČIUOKLĘ.

Duomenų apsaugos auditas yra esamos duomenų tvarkymo situacijos įmonėje ar organizacijoje analizė. Išplėstinis duomenų apsaugos auditas, apimantis ne tik situacijos analizę, bet ir sprendimų parinkimą ir jų poveikio (galimų duomenų apsaugos pokyčių) analizę, Bendrojo duomenų apsaugos reglamento lietuviškame vertime yra vadinamas poveikio duomenų apsaugai vertinimu.

Pagal Bendrojo duomenų apsaugos reglamento (GDPR) 35 straipsnį „tais atvejais, kai dėl duomenų tvarkymo rūšies, visų pirma, kai naudojamos naujos technologijos, ir atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, fizinių asmenų teisėms bei laisvėms gali kilti didelis pavojus, duomenų valdytojas, prieš pradėdamas tvarkyti duomenis, atlieka numatytų duomenų tvarkymo operacijų poveikio asmens duomenų apsaugai vertinimą“.

Duomenų tvarkymui naudojamomis „naujomis technologijomis“ yra laikomas ir elektroninis paštas, ir nutolusios prieigos SaaS (pvz. CRM sistemos), ir debesų kompiuterijos paslaugos (įskaitant ir duomenų saugyklas), taip pat nuotolinė prieiga prie fiziniuose serveriuose esančių informacinių sistemų. Tyrimai rodo, kad bent vieną iš šių technologijų kasdien naudoja daugiau nei 90% Lietuvos įmonių, o tai reiškia, kad poveikio asmend duomenų apsaugai vertinimą (išplėstinį duomenų apsaugos) auditą reikės atlikti beveik visoms įmonėms.

Poveikio duomenų apsaugai vertinimas bus absoliučiai būtinas, jei įmonėje atliekamas automatinis profiliavimas (automatinė duomenų analizė), jei tvarkomi asmenų teistumo duomenys dideliu mastu, jei vykdomas sistemingas viešos vietos stebėjimas dideliu mastu. Valstybinė duomenų apsaugos inspekcija nustatys ir kitas duomenų tvarkymo veiklas, kurioms bus privalomas poveikio duomenų apsaugai vertinimas.

GDPR 35 str. 7 dalis nustato minimalų poveikio asmens duomenų apsaugai vertinimo turinį. Jo ataskaitoje turi būti bent jau:

  1. sistemingas numatytų duomenų tvarkymo operacijų aprašymas ir duomenų tvarkymo tikslai, įskaitant, kai taikoma, teisėtus interesus, kurių siekia duomenų valdytojas;
  2. duomenų tvarkymo operacijų reikalingumo ir proporcingumo, palyginti su tikslais, vertinimas;
  3. duomenų apsaugos rizikų vertinimas; ir
  4. taikomų apsaugos priemonių, saugumo priemonių ir kitų būdų kaip užtikrinamos duomenų subjektų teisės aprašas.

Duomenų apsaugos auditas yra proga įmonėje aiškiai identifikuoti ir inventorizuoti:

  1. Įmonės duomenų tvarkymo tikslus.
  2. Įmonės tvarkomų duomenų identifikavimas.
  3. Įmonės duomenų tvarkymo priemonių (paprastai tai informacinės sistemos) identifikavimas.
  4. Įmonės duomenų srautų identifikavimas.
  5. Įmonės pareigybių, tvarkančių asmens duomenis, identifikavimas ir jų teisių identifikavimas.
  6. Taikomas techninio ir organizacinio saugumo priemones ir jų pakankamumą.

Jeigu įmonė yra įmonių grupės dalis, arba įmonėje planuojamas duomenų tvarkymo projektas paliečiantis kelias įmonės, tuomet duomenų apsaugos auditas ar poveikio duomenų apsaugai vertinimas turi būti atliekamas įmonių grupės mastu.

Plačiau apie duomenų apsaugos auditą ir mūsų duomenų apsaugos komandą galite paskaityti čia ir čia.

Šiame tinklaraštyje talpinu ir kitą informaciją apie privatumą, asmens duomenis ir kt. Jei reikia racionalaus ir nesavanaudiško patarimo, visuomet galite kreiptis.

Parašykite komentarą

El. pašto adresas nebus skelbiamas. Būtini laukeliai pažymėti *