Poveikio duomenų apsaugai vertinimas (PDAV) yra vienas svarbiausių įrankių, kuris gali padėti užtikrinti, kad organizacijos tinkamai valdo asmens duomenis ir sumažina galimas saugumo rizikas.
Pagal Bendrąjį duomenų apsaugos reglamentą (BDAR) – poveikio duomenų apsaugai vertinimas yra privalomas tais atvejais, kai duomenų tvarkymo procesai kelia didelę riziką duomenų subjektų teisėms ir laisvėms.
Poveikio duomenų apsaugai vertinimas atliekamas tik formaliai
Viena iš dažniausiai pasitaikančių klaidų – poveikio duomenų apsaugai vertinimas atliekamas tik dėl „varnelės“ be realaus grėsmės vertinimo. Organizacijos parengia bendrinę ataskaitą, tačiau neatlieka išsamios rizikų analizės.
Kaip išvengti?
- PDAV turėtų būti ne formalumas, o realus rizikų vertinimo procesas.
- Vertinimas turi apimti išsamią duomenų tvarkymo analizę, įskaitant potencialias grėsmes ir priemones joms sumažinti.
- Į procesą būtina įtraukti ne tik teisininkus, bet ir IT specialistus bei duomenų apsaugos pareigūnus.
Netinkamai identifikuojamos rizikos
Kita dažna klaida – organizacijos netinkamai nustato ar nepakankamai įvertina duomenų tvarkymo keliamas rizikas. Pvz., kai kurios įmonės neatsižvelgia į išorines kibernetines grėsmes arba vidinius pavojus, tokius kaip netinkamas darbuotojų prieigos valdymas.
Kaip išvengti?
- Rizikos turėtų būti vertinamos atsižvelgiant į realius grėsmių scenarijus.
- Rekomenduojama atlikti rizikos analizę naudojant tarptautinius standartus, tokius kaip ISO 27001.
- Įtraukti kibernetinio saugumo specialistus, kurie padėtų įvertinti techninius aspektus.
Poveikio duomenų apsaugai vertinimas atliekamas per vėlai arba visai neatliekamas
BDAR aiškiai nurodo, kad poveikio duomenų apsaugai vertinimas turi būti atliekamas prieš pradedant naują duomenų tvarkymo veiklą, jei ji kelia didelę riziką. Tačiau kai kurios įmonės PDAV atlieka jau po to, kai sistema įdiegta, o kartais – net tik po to, kai įvyksta duomenų pažeidimas.
Kaip išvengti?
- PDAV turi būti atliekamas ankstyvame projekto etape, geriausia – planuojant naują duomenų tvarkymo veiklą ar diegiant naują sistemą.
- Reikia numatyti reguliarius vertinimus, ypač jei organizacijoje keičiasi technologijos ar
Duomenų subjektų teisių neįtraukimas
Poveikio duomenų apsaugai vertinimas turi įvertinti ne tik technines ir organizacines priemones, bet ir duomenų subjektų teises. Tačiau daugelis organizacijų nepakankamai analizuoja – kaip jų tvarkomi duomenys gali paveikti asmenų privatumą.
Kaip išvengti?
- Atlikdami PDAV – atsižvelkite į asmenų teisę susipažinti su savo duomenimis, teisę juos ištrinti, teisę apriboti jų tvarkymą.
- Jei kyla didelė rizika duomenų subjektų teisėms – būtina imtis papildomų apsaugos priemonių, pvz., šifravimo, anonimizavimo ar prieigos kontrolės griežtinimo.
Poveikio duomenų apsaugai vertinimas yra svarbus procesas, kuris padeda išvengti duomenų saugumo pažeidimų ir sumažinti rizikas, kurios susijusios su BDAR reikalavimais.
Partnerio turinys