Duomenų apsaugos pareigūno sertifikatas
December 10, 2017
Konferencija „Duomenų apsaugos diena pokyčius pasitinkant“
February 8, 2018

TOP-10 nemokamų resursų duomenų apsaugos specialistams

Yra parengta nemažai apžvalgų, gairių ir metodinių rekomendacijų, skirtų suprasti Bendrojo duomenų apsaugos reglamento (BDAR) nuostatas. Didžioji jų dalis yra bendro pobūdžio (kai kuriuos aptarėme ankstesniame straipsnyje) ir ne visuomet atsako į praktinius klausimus, kurie kyla taikant reglamentą.

Atsižvelgdami į LDAPA narių poreikius, parengėme mažiau žinomų resursų, skirtų padėti duomenų apsaugos specialistams jų kasdieniame darbe, apžvalgą. Rinkinyje rasite ir naujausius Europos duomenų apsaugos priežiūros institucijų sukurtus įrankius pasiruošimo BDAR įsivertinimui, poveikio duomenų apsaugai vertinimo atlikimui ir pan. Šie resursai yra nemokami, bet kai kurių kūrėjai leidžia juos parsisiųsti tik pateikus savo asmens duomenis. Apie tokio reikalavimo teisėtumą pagal BDAR paliekame spręsti savo skaitytojams.

1. Atviro kodo programėlė, skirta poveikio duomenų apsaugai įvertinimui atlikti

Prancūzijos duomenų apsaugos priežiūros institucijos (CNIL) neseniai paleido poveikio duomenų apsaugai vertinimo programėlės beta versiją. Programėlė bus naudinga duomenų valdytojams, kuriuos BDAR įpareigoja tam tikrais atvejais, prieš pradedant tvarkyti duomenis, atlikti numatytų duomenų tvarkymo operacijų poveikio asmens duomenų apsaugai vertinimą. Programėlė yra prieinama anglų ir prancūzų kalbomis – ją galima išbandyti parsisiuntus.

2. Pritaikytosios ir standartizuotosios duomenų apsaugos gairės, skirtos programinės įrangos kūrėjams

Norvegijos duomenų apsaugos priežiūros institucija (Datalisynet) parengė gaires, skirtas paaiškinti pritaikytosios ir standartizuotosios duomenų apsaugos reikalavimus pagal BDAR. Jos padeda suprasti kaip į programinės įrangos kūrimo procesą integruoti duomenų tvarkymo principus, duomenų saugumo parametrus ir kitus BDAR nustatytus reikalavimus.

3. Atskaitomybės principo įgyvendinimo įrankių rinkinys

Atskaitomybės principas yra viena esminių BDAR naujovių, kurią taip pat galima laikyti Reglamento šerdimi. Šis principas nurodo, kad duomenų valdytojas ne tik turi užtikrinti duomenų tvarkymo principų laikymąsi, bet ir sugebėti įrodyti, pavyzdžiui, duomenų apsaugos priežiūros institucijai paprašius, kad jų yra laikomasi. Nymity bendrovės, besispecializuojančios atitikties sprendimuose, sukurtas įrankių paketas apžvelgia konkrečias organizacines ir technines priemones atskiriems BDAR straipsniams įgyvendinti ir sudaro galimybę sukurti BDAR atitikties „kelią“ savo įmonei.

4. Pasiruošimo BDAR įsivertinimas

Bavarijos duomenų apsaugos priežiūros institucija sukūrė virtualų BDAR žemėlapį – testą, skirtą duomenų valdytojams ir tvarkytojams įsivertinti kaip jie yra pasiruošę BDAR. Anglų ir vokiečių kalbomis sudarytas testas susideda iš 28-ių klausimų. Jį atlikus, pateikiama išsami analizė ir nurodomi veiksmai, kuriuos įmonė turėtų atlikti iki 2018 m. gegužės 25 d. Analogišką įrankį yra sukūrusi ir Jungtinės Karalystės duomenų apsaugos priežiūros institucija (ICO).

5. BDAR mobilioji programėlė

Advokatų kontora DLA Piper siūlo parsisiųsti mobiliąją programėlę, kuri leidžia patogiai naršyti oficialiame BDAR tekste ir greitai susirasti reikiamą straipsnį pagal raktinius paieškos žodžius. Šalia BDAR straipsnių vartotojas taip pat mato susijusias Reglamento preambulės ir 1995 m. duomenų apsaugos direktyvos 95/46/EB nuostatas. BDAR tekstas yra prieinamas trylika ES kalbų – tarp jų yra anglų kalba, bet, deja, nėra lietuvių kalbos.

6. Vaizdo paskaitų serija, skirta BDAR

Pasiruošimo BDAR įgyvendinimui paslaugas teikianti Jungtinės Karalystės bendrovė IT governance sukūrė seriją vaizdo paskaitų, detaliai nagrinėjančių BDAR reikalavimus. Vaizdo įrašuose, kuriuos galima parsisiųsti arba pasižiūrėti Youtube, ekspertai analizuoja tokias temas kaip BDAR reikalavimai debesijos paslaugas teikiančioms įmonėms, duomenų apsaugos poveikio vertinimas, duomenų apsaugos auditas, reikalavimai pagal BDAR ir Tinklų ir informacinių sistemų saugumo direktyvą ir pan.

7. Poveikio duomenų apsaugai vertinimo šablonas

Teisines paslaugas teikianti Olandijos įmonė White Wire parengė patogų šabloną poveikio duomenų apsaugai vertinimui atlikti, kuris yra prieinamas Word formatu. Prieš pradedant naudotis šiuo šablonu, rekomenduotina susipažinti su 29 straipsnio darbo grupės parengtomis poveikio duomenų apsaugai gairėmis, kuriose yra išsamiai aptarti kokybiško poveikio vertinimo kriterijai.

8. Mobilioji programėlė atitikties BDAR veiksmų planui pasirengti

Advokatų kontora Hogan Lovells sukūrė mobiliąją programėlę, kuri automatiškai sugeneruoja bendrovėms BDAR atitikties veiksmų planus. Norint susikurti savo veiksmų planą, reikia atsakyti į pateiktus klausimus, suvedant pagrindinius duomenis apie konkrečios įmonėms veiklą. Tuomet programėlė generuoja ataskaitą su rekomenduojamais praktiniais veiksmais ir įmonei skirtais atitikties prioritetais.

9. BDAR gairės lėšų pritraukimo specialistams

Jungtinėje Karalystėje įsikūręs Institute of Fundraising, lėšų pritraukimo specialistus (angl. fundraisers) jungianti asociacija, parengė gaires, skirtas lėšų pritraukimo veikla užsiimančiomis organizacijomis, pavyzdžiui, nevyriausybiniam sektoriui. Dalis gairių yra skirta paaiškinti kaip organizacijoms teisėtai vykdyti tiesioginę rinkodarą. Vis gi, reikia turėti omenyje, kad priėmus šiuo metu svarstomą ePrivatumo reglamentą, ES taisyklės dėl tiesioginės rinkodaros gali pasikeisti.

10. BDAR mitų griovėjai

BDAR yra sudėtingas teisinis instrumentas, kurio taikymas kelia nemažai klausimų ir patyrusiems duomenų apsaugos ekspertams. Viešojoje erdvėje yra apstu skirtingų BDAR nuostatų interpretacijų, dalis kurių yra teisiškai neteisingos ir klaidinančios tiek duomenų subjektus, tiek duomenų valdytojus ir tvarkytojus. Jungtinės Karalystės Duomenų apsaugos priežiūros institucija (ICO) pradėjo tinklaraščio įrašų, skirtų tokiems mitams sugriauti, seriją. Tinklaraštyje yra aptariami tokie klausimai, kaip pranešimų apie duomenų saugumo pažeidimus teikimas, BDAR baudų dydis, sutikimo, kaip duomenų tvarkymo pagrindo, ribos ir pan. Panašų mitų sąrašą praeitais metais buvo paskelbusi ir advokatų kontora Fieldfisher.

Straipsnį parengė: Natalija Bitiukova, CIPP/E