Stipresnė asmens duomenų apsauga ir visoje Europoje suvienodinta privatumo teisė bei griežtesnės sankcijos už apsaugos pažeidimus – esminiai pokyčiai, kuriuos atneš kitais metais įsigaliosiantis ES Bendrasis duomenų apsaugos reglamentas (BDAR, angl. GDPR). Tačiau šiai asmens duomenų apsaugos reformai organizacijos kol kas ruošiasi nenoriai.
Šių metų pavasarį tyrimų agentūros „IDC Research“ atlikta apklausa parodė, kad BDAR pasiruošusios buvo tik penktadalis organizacijų. Likus metams iki reglamento įsigaliojimo pusė respondentų dar nežinojo, kokį poveikį joms kels nauji reikalavimai asmens duomenų apsaugai.
Naujesnė apklausa, atlikta agentūros „SAS“, deja, ryškesnių pokyčių šiuo klausimu nerodo: rugsėjį 42 proc. apklaustų organizacijų vis dar nežinojo, kaip turėtų keistis jų saugumo politika įsigaliojus BDAR. Antra tiek – 45 proc. respondentų – jau turi detalius pasiruošimo planus ir numatytus procesus, nors jų efektyvumu abejoja kas trečias besiruošiančiųjų.
Iki BDAR įsigaliojimo likus kiek daugiau nei pusmečiui, toks organizacijų pasiruošimo atidėliojimas glumina saugumo ekspertus. „Asmens duomenų apsaugą reikia stiprinti jau šiandien, nelaukiant naujų teisės aktų. Griežtesnės sankcijos ir baudos, kurios bus taikomos nuo kitų metų gegužės asmens duomenų apsaugos pažeidimų atveju, yra svarbu, tačiau jos neturėtų būti vienintelis motyvas, skatinantis atitikti BDAR“, – komentuoja ESET saugumo sprendimus platinančios įmonės „Baltimax“ pardavimų vadovas Deividas Pelenis.
Organizacijos, netinkamai saugančios savo klientų, partnerių ar trečiųjų šalių asmens duomenis, gali sulaukti baudos iki 4 proc. ankstesnių finansinių metų bendros metinės pasaulinės apyvartos arba iki 20 mln. Eur – priklausomai nuo to, kuri suma yra didesnė.
Pasak ESET, privataus ir viešojo sektoriaus įmonės turi ruoštis BDAR nepriklausomai nuo savo dydžio: jau dabar nustatyti, kaip ir kur saugo asmens duomenis, ar yra duomenų valdytoja, tvarkytoja, ar atlieka abi šias roles. Itin svarbu organizacijoms edukuoti savo personalą apie duomenų saugumą, tinkamą jų valdymą ir galimas saugumo grėsmės, kurioms dažniausiai kelią atveria neatsargūs darbuotojai, spausdami kenksmingas nuorodas, atsisiųsdami užkrėstus failus.
„Įmonės, kurios yra patyrusios kibernetines atakas ar problemų dėl duomenų nutekinimo, ar jų pažeidimo, dažniausiai jau žino, kokių priemonių reikia imtis, kad toks scenarijus nepasikartotų. Būtina ne tik užkirsti kelią potencialioms grėsmėms, bet ir turėti saugumo pažeidimų sprendimo scenarijus, kaip kuo greičiau ir su mažesniais nuostoliais atstatyti duomenis ir sistemas“, – teigia D. Pelenis.
Įsigaliojus BDAR organizacijos privalės per 72 valandas informuoti atitinkamas institucijas apie patirtus saugumo pažeidimus, dėl kurių nukentėjo valdomi ar tvarkomi asmens duomenys. Nauji reikalavimai taip pat apims privačių asmenų sutikimą dėl jų duomenų valdymo, teisę būti užmirštiems ir kitus niuansus.
