Kas yra BDAR atitiktis?

Vis labiau susijusiame pasaulyje BDAR atitiktis tapo kritiniu prioritetu įmonėms, kurios tvarko asmens duomenis, neatsižvelgiant į tai, kur jie veikia. 2018 m. pristatytas BDAR yra ES teisės reglamentas, kuriame daugiausia dėmesio skiriama asmens duomenų apsaugai ir privatumui Europos Sąjungoje. Jei nesiimsite BDAR reikalavimų, gali būti taikomos didelės nuobaudos, todėl labai svarbu visų dydžių įmonėms laikytis taisyklių.

Pagrindinis BDAR tikslas yra apsaugoti asmens duomenis ir suteikti žmonėms daugiau galimybių valdyti savo asmeninę informaciją internete. BDAR aprėptis yra plati, apimanti bet kokią įmonę, kuri apdoroja ES gyventojų asmens duomenis, neatsižvelgiant į įmonės fizinę vietą.

BDAR atitiktis yra ne tik teisinis reikalavimas — tai tapo verslo būtinybe. Organizacijos, kurios atitinka BDAR, rodo įsipareigojimą užtikrinti duomenų privatumą, padedantį skatinti pasitikėjimą klientais, darbuotojais ir partneriais. Atitiktis taip pat padeda įmonėms išvengti didelių finansinių įsipareigojimų, susijusių su duomenų pažeidimais ir BDAR įgaliojimų neatitikimu.

Bendrasis duomenų apsaugos reglamentas buvo įdiegtas 2018 m. gegužės 25 d., pakeičiant Duomenų apsaugos direktyvą 95/46/EK. Ji sukurta reaguojant į greitą duomenų skaitmeninimą ir poreikį išspręsti duomenų privatumo problemas. Visapusiška GDPR sistema skirta sustiprinti duomenų apsaugos įstatymus visoje ES.

Pagrindinis BDAR tikslas yra apsaugoti asmens duomenis ir suteikti asmenims didesnę jų informacijos kontrolę. BDAR aprėptis yra plati, apimanti bet kokią įmonę, kuri apdoroja ES gyventojų asmens duomenis, neatsižvelgiant į įmonės fizinę vietą.

Pagrindiniai principai
BDAR nustatė septynis asmens duomenų apsaugos principus, kurių turi laikytis organizacijos ES arba užsiimančios ES verslu:

1. Teisėtumas, sąžiningumas ir skaidrumas: Duomenys turi būti apdorojami teisėtai, teisingai ir skaidriai.
2. Tikslo apribojimas: Duomenys turi būti renkami ir naudojami tik konkrečiais tikslais.
3. Duomenų minimizavimas: Surinkti duomenys turėtų būti apriboti iki to, kas būtina.
4. Tikslumas: Asmens duomenys turi būti tikslūs ir nuolat atnaujinami.
5. Saugyklos apribojimas: Asmens duomenys neturėtų būti saugomi ilgiau nei būtina.
6. Vientisumas ir konfidencialumas: Asmens duomenys turi būti saugiai apdorojami, apsaugoti nuo neleidžiamo ar neteisėto apdorojimo, atsitiktinio praradimo ar sugadinimo.
7. Atskaitomybė: Organizacijos turi sugebėti įrodyti, kad laikosi visų šių principų.

BDAR suteikia ES piliečiams didelę asmens duomenų kontrolę nustatant aiškias teises apsaugoti jų privatumą. BDAR suteikia ES piliečiams kelias teises į jų asmens duomenis, įskaitant:
 

• Teisė būti informuoti: Asmenys turi teisę būti informuoti apie jų asmens duomenų rinkimą ir naudojimą, įskaitant informaciją apie tai, kodėl jie renkami, kiek laiko jie bus saugomi ir su kuo jie bus bendrinami.

• Prieigos teisė: Asmenys gali prašyti prieigos prie savo asmens duomenų ir gauti jų kopiją, kad jie galėtų suprasti, kaip ir kas juos apdoroja.

• Teisė ištaisyti: Jei asmens duomenys netikslūs arba neišsamūs, asmenys gali prašyti juos pataisyti, užtikrindami, kad jų informacija būtų tiksli ir atnaujinta.

• Teisė ištrinti (teisė pamiršti): Tam tikromis aplinkybėmis asmenys turi teisę prašyti panaikinti savo asmens duomenis, pašalinti jų informaciją iš organizacijos sistemų, jei to nebereikia arba jei jie atšaukia sutikimą.

• Teisė apriboti apdorojimą: Asmenys gali apriboti, kaip apdorojami jų asmens duomenys, ypač, jei jie užginčija jų tikslumą arba jei reikalauja duomenų dėl teisinių pretenzijų.

• Teisė į duomenų perkeliamumą: Asmenys gali gauti savo asmens duomenis struktūrizuotu, dažnai naudojamu ir automatiškai skaitomu formatu ir perkelti juos kitam duomenų valdytojui, jei pasirenka.

• Teisė prieštarauti: Asmenys turi teisę nesutikti, kad būtų apdorojami jų asmens duomenys, ypač jei jie naudojami tiesioginės rinkodaros tikslais arba jei jie yra konkrečioje situacijoje, kuri reikalauja privatumo.
  
  

Kartu šios teisės užtikrina, kad asmenys aiškiai matytų ir galėtų kontroliuoti savo asmens duomenis, taip sustiprinant organizacijų skaidrumą ir atskaitomybę. Be šių teisių, BDAR taip pat nustato griežtas gaires, kaip organizacijos turi gauti ir valdyti sutikimą iš asmenų prieš apdorojant savo duomenis.

Sutikimo reikalavimai
BDAR reikalauja, kad prieš rinkdamos ir saugodamos savo duomenis organizacijos gautų aiškų sutikimą iš asmenų. Šis sutikimas turi būti duotas laisva valia, konkretus, informuotas ir nedviprasmiškas, užtikrinant, kad asmenys visiškai suprastų, ką jie sutiko surinkti.

Be sutikimo gairių, BDAR pabrėžia aktyvias duomenų apsaugos priemones. Didelės rizikos apdorojimo veiklos atveju organizacijos turi atlikti poveikio asmens duomenų apsaugai vertinimą, kad įvertintų ir sumažintų galimą riziką asmenų teisėms ir laisvėms.

Poveikio duomenų apsaugai vertinimas (DPIA)
Atliekant bet kokias tvarkymo operacijas, galinčias reikšmingai paveikti asmenų teises ir laisves, poveikio duomenų apsaugai vertinimas yra privalomas. Šis įvertinimas įvertina riziką, susijusią su asmens duomenų tvarkymu, ir apibrėžia priemones, skirtas sumažinti šią riziką, apsaugoti asmenų privatumą ir užtikrinti atitiktį.

Pradinis įvertinimas ir spragų analizė
BDAR atitikties užtikrinimas prasideda nuo išsamaus dabartinės duomenų naudojimo praktikos organizacijoje įvertinimo. Tai apima visų duomenų apdorojimo veiklų, įskaitant duomenų rinkimą, saugojimą, bendrinimą ir naikinimą, nustatymą ir susiejimą. Tikslas – gauti išsamų supratimą apie tai, kur laikomi asmens duomenys, kaip jie siunčiami organizacijoje ir kas turi prieigą prie jų.

Surinkus informaciją apie dabartines duomenų tvarkymo praktikas, kitas žingsnis yra atlikti spragų analizę. Ši analizė lygina esamą organizacijos praktiką su BDAR reikalavimais, kad būtų tiksliai nustatytos sritys, kuriose nesilaikoma. Dažnos spragos gali būti aiškių duomenų tvarkymo įrašų nebuvimas, netinkami sutikimo mechanizmai arba nepakankamos saugumo priemonės.

Šių spragų šalinimas yra labai svarbus BDAR atitikčiai užtikrinti ir dažnai reikalauja bendradarbiavimo tarp skyrių, pvz., IT, teisinių ir žmogiškųjų išteklių, kad būtų galima sukurti darnios atitikties strategiją. Suprasdami, kur šiuo metu yra organizacija, įmonės gali sukurti struktūrinį veiksmų planą, kad sumažintų atitikties spragas ir sustiprintų duomenų privatumo priemones.

Duomenų susiejimas ir dokumentacija
Duomenų susiejimas yra svarbiausia BDAR atitikties dalis, nes ji aiškiai rodo, kaip duomenys juda organizacijoje. Šis procesas apima kiekvieno asmens duomenų rinkinio sekimą nuo jo rinkimo taško iki saugojimo, apdorojimo, bendrinimo ir, galiausiai, naikinimo. Susiedamos duomenų srautus, organizacijos gali nustatyti nereikalingas duomenų apdorojimo veiklas, rasti duomenų saugyklas ir užtikrinti, kad būtų renkami ir saugomi tik susiję duomenys. Be to, duomenų susiejimas padeda įmonėms aptikti galimas saugos spragas, ypač kai duomenys perduodami tarp sistemų arba trečiųjų šalių.

Be duomenų srautų susiejimo, BDAR reikalauja, kad organizacijos tvarkytų išsamius duomenų apdorojimo veiklos įrašus. Šie įrašai turėtų apimti duomenų rinkimo paskirtį, apdorojimo teisinius pagrindus, duomenų saugojimo laikotarpius ir visas trečiąsias šalis, susijusias su duomenų apdorojimu.

Duomenų apsaugos strategijų įgyvendinimas
Patikimos duomenų apsaugos strategijos nustatymas yra labai svarbus BDAR atitikčiai užtikrinti. Šiose strategijose nurodoma, kaip organizacijoje turi būti tvarkomi asmens duomenys, įskaitant tokias sritis kaip prieiga prie duomenų, saugojimas ir sauga. Gerai sukurta asmens duomenų apsaugos strategija teikia gaires dėl priimtino duomenų naudojimo, padeda darbuotojams suprasti savo vaidmenį išlaikant duomenų saugą ir nustato standartą, kaip organizacija atitinka BDAR įsipareigojimus. Efektyvios asmens duomenų apsaugos strategijos turėtų būti pasiekiamos, aiškios ir reguliariai peržiūrimos, siekiant užtikrinti, kad jos atitiktų besikeičiančius duomenų privatumo reikalavimus ir technologijas.

Norint įgyvendinti šias strategijas visoje organizacijoje, reikia mokymo. Darbuotojai visais lygiais turėtų suprasti BDAR principus ir būti raginami vadovautis geriausia duomenų tvarkymo praktika. Užtikrindamos, kad darbuotojai žinotų duomenų apsaugos svarbą ir savo vaidmenį apsaugant asmeninę informaciją, organizacijos gali sumažinti atsitiktinių duomenų pažeidimų riziką. Šis struktūrinis metodas ne tik palaiko BDAR atitiktį, bet ir prisideda prie bendros duomenų sauga – sužinokite apie įmonės duomenų apsaugą ir slaptos informacijos apsaugąduomenų saugos.

JAV įmonėms BDAR laikymasis sukelia papildomų sudėtingumų. Už ES ribų veikiančios organizacijos gali būti ne taip gerai susipažinusios su BDAR standartais, o atitiktis reikalauja laikytis griežtų įsipareigojimų, net fiziškai nevykdant veiklos Europoje. JAV įmonės, tvarkančios ES piliečių asmens duomenis, turi paskirti ES atstovą, vadovautis transatlantiniais duomenų perdavimo įstatymais ir pritaikyti savo procesus, kad jie atitiktų aukštus BDAR standartus.

Yra daugybė įrankių ir išteklių, padedančių organizacijoms, įskaitant JAV įsikūrusias įmones, pasiekti ir išlaikyti BDAR atitiktį, pvz., duomenų apsaugos programinė įranga, atitikties kontroliniai sąrašai ir mokymo programos.

Norėdami užtikrinti BDAR atitiktį, apsvarstykite galimybę įgyvendinti šį kontrolinį sąrašą:


Reguliarūs auditai ir stebėjimas:
Reguliariai kontroliuokite savo duomenų apdorojimo veiklą, kad nustatytumėte nuokrypius nuo BDAR reikalavimų. Nuolat stebėkite savo sistemas ir duomenų saugos priemones.

Mokymo ir sąmoningumo programos:
Pateikite išsamius mokymus savo darbuotojams apie BDAR atitiktį. Įsitikinkite, kad visi darbuotojai supranta savo vaidmenis ir pareigas, susijusias su asmens duomenų apsauga.

Reagavimas į duomenų pažeidimus ir baudos:
Sukurkite patikimą reagavimo į incidentus planą, kad nedelsdami išspręstumėte duomenų pažeidimus ir sumažintumėte jų poveikį. Būkite pasirengę tvarkyti galimas baudas ir nuobaudas už reikalavimų neatitikimą.

Nuolat tobulinant duomenų privatumą, BDAR atitikties užtikrinimas ir išlaikymas gali būti sudėtinga ir daug išteklių reikalaujanti užduotis visų dydžių įmonėms. Taikant griežtus teisės aktus, skirtus asmenų asmens duomenims apsaugoti, įmonėms reikia patikimų sprendimų, kurie palaikytų jų atitikties laikymosi pastangas visais lygiais. Kad būtų palaikomas jūsų atitikties laikymasis, „Microsoft“ siūlo įrankius ir sprendimus, pvz., „Microsoft Purview“ ir kitus duomenų saugos sprendimus, kad galėtumėte efektyviai naršyti duomenų apsaugos įsipareigojimus.

Integruodamos šiuos įrankius,įmonės gali supaprastinti atitikties procesus, automatizuoti pagrindines ataskaitų teikimo užduotis ir pagerinti bendrą duomenų saugą, sumažindamos reikalavimų nesilaikymo riziką.