Atsakymai į ESET renginio metu užduotus klausimus: Dr. Jevgenij Tichonov

Kitas straipsnis

1. Kiek šiais metais VDAI išnagrinėjo asmens duomenų kibernetinių incidentų?

2019 metais iki rugsėjo 5 d. VDAI išnagrinėjo 81 asmens duomenų saugumo pažeidimą, iš jų 18 pažeidimų įvyko dėl kibernetinio incidento.

2. Šios konferencijos kontekste, kas yra mūsų visų asmens duomenų valdytojas, ESET ar Paysera?

Šios konferencijos kontekste „ESET security days“ konferencijos dalyvių asmens duomenų valdytojas yra konferencijos organizatorius, o UAB „Paysera LT“ – asmens duomenų tvarkytojas, veikiantis pagal duomenų tvarkymo sutartį. Vadovaujantis Bendrojo duomenų apsaugos reglamento (BDAR) 15 straipsniu, dėl informaciją apie Jūsų asmens duomenų tvarkymą galite kreiptis tiesiogiai į duomenų valdytoją. Tokiu atveju galite prašyti pateikti šią informaciją:

1. Asmens duomenų tvarkymo tikslai;

2. Kokie Jūsų asmens duomenys yra tvarkomi?

3. Kam buvo ar bus atskleisti asmens duomenys (gavėjai arba jų kategorijos)? Jei asmens duomenys perduodami į trečiąją valstybę ar tarptautinę organizaciją, pateikiama informacija apie tinkamas su duomenų perdavimu susijusias apsaugos priemones (pagal BDAR 46 straipsnį)

4. Kiek laiko asmens duomenys bus saugomi (ar, jei neįmanoma tiksliai identifikuoti, kriterijai saugojimo laikotarpiui nustatyti)?

5. Dalyvio, kaip duomenų subjekto, teisės ir jų įgyvendinimo būdai;

6. (kai taikoma) Iš kur duomenų valdytojas turi duomenų subjekto asmens duomenis (jei šie asmens duomenys gauti ne iš paties duomenų subjekto tiesiogiai)?

7. (kai taikoma) Ar yra vykdoma automatizuoto sprendimų priėmimo, įskaitant profiliavimą, veiklą? Jei taip, šios veiklos loginis pagrindimas, reikšmė ir numatomos pasekmės duomenų subjektui;

 

3. Jeigu organizacija savo specialių kategorijų duomenis apie darbuotojus saugo cloude (JAV), kokių reikėtų imtis techninių ir organ. priemonių?

Europos sąjungoje veikianti organizacija, tvarkydama asmens duomenis trečiojoje šalyje, privalo laikytis duomenų apsaugos ir saugumo standartų pagal BDAR. Pastebėtina, kad BDAR preambulės 101 punktas nustato, kad duomenų valdytojas privalo užtikrinti, kad dėl tokio perdavimo nesumažėtų fiziniams asmenims garantuojamas apsaugos lygis. Taigi, norint perduoti asmens duomenis į trečiąją valstybę, būtina vadovautis BDAR V skyriumi. Šiame kontekste svarbu atkreipti dėmesį į šiuos aspektus:

• Jei duomenų valdytojas yra registruotas ir veikia JAV (kaip pagrindinė buveinė), asmens duomenų perdavimas jam būtų suderinamas su BDAR, jei toks valdytojas yra sertifikuotas pagal 2016 m. liepos 12 d. Komisijos įgyvendinimo sprendimu (ES) 2016/1250 dėl ES ir JAV „privatumo skydo“ užtikrinamos apsaugos tinkamumo pagal Europos Parlamento ir Tarybos direktyvą 95/46/EB (OL 2016 L 207, p. 1), t. y. pagal Privacy shield reikalavimus, susijusiu JAV ir Europos Sąjungos asmens duomenų apsaugos standartų suderinimu. Sertifikuotų įmonių sąrašas yra viešas (https://www.privacyshield.gov/list), todėl bet kuris asmuo gali atlikti konkretaus duomenų valdytojo paiešką. Jei duomenų valdytojo šiame sertifikuotų įmonių sąraše nėra, duomenų valdytojas turėtų įvertinti, ar konkrečiu atveju nereikėtų gauti Inspekcijos leidimo tokiam asmens duomenų perdavimui (BDAR V skyriuje nustatyta, kokiais atvejais toks leidimas nebūtų reikalingas);

• Duomenų valdytojas turėtų būti aktyvus vertinant konkrečios paslaugos ar įrankio saugumą (susipažinti su jo privatumo politiką, naudojimo sąlygomis, asmens duomenų tolimesniu tvarkymu trečiojoje valstybėje ir kt.);

• Duomenų valdytojas turėtų įvertinti, kokiems asmenims turėtų būti suteiktos prieigos prie konkrečios informacijos (specialiųjų kategorijų asmens duomenų), tokiu būdų užtikrinant ir būtinumo žinoti principo įgyvendinimą;

• Duomenų valdytojas turėtų imtis priemonių tinkamo slaptažodžio prisijungimui prie konkretaus resurso ar jo dalies nustatymo (laikantis slaptažodžiams ir jų keitimui keliamų reikalavimų);

• Duomenų valdytojas turėtų įvertinti, iš kokių resursų ir kokiu būdu darbuotojai ar kiti asmenys gali jungtis prie resurso, siekiant tvarkyti jame saugomus asmens duomenis, pavyzdžiui, iš kokio tinklo (ar gali jungtis iš namų tinklo ir(ar) įrenginių), ar būtina jungiantis naudoti virtualų privatų tinklą (VPN), ir pan.

• Duomenų valdytojas turėtų įvertinti ar pasitelkiamas debesijos (cloud) teikėjas bus atskiras duomenų valdytojas, bendras duomenų valdytojas ar duomenų tvarkytojas? Jei duomenų tvarkytojas, tuomet su juo turėtų būti pasirašyta duomenų tvarkymo sutartis, nustatant BDAR 28 straipsnyje įtvirtintas nuostatas, ir spręsti klausimą, ar būtų tikslinga nustatyti papildomus reikalavimus, kurie BDAR 28 straipsnyje nėra nustatyti;

Taip pat primename, kad siekiant įvertinti reikalingas taikyti asmens duomenų apsaugos priemones, būtina atsižvelgti ir į Inspekcijos, Europos duomenų apsaugos valdybos ir (ar) kitų institucijų metodinius dokumentus, pavyzdžiui, „Tvarkomų asmens duomenų saugumo priemonių ir rizikos vertinimo gaires asmens duomenų valdytojams ir tvarkytojams“ (nors dokumentas dar derinamas, bet į jas atsižvelgti iš esmės tikslinga), ENISA rekomendacijas „Handbookon Security of Personal Data Processing, February“.

4. Kokia išraiška yra vertinamas asmens duomenų praradimo poveikis?

Poveikio vertinimas yra kokybinis procesas ir duomenų valdytojas privalo atsižvelgti į eilę veiksnių, tokių kaip tvarkomų asmens duomenų kategorijos ir kiekis, duomenų tvarkymo operacijos svarba, organizacijos veiklos specifika, taip pat specialios duomenų subjektų kategorijos ar veiklos sritys. VDAI rekomenduoja atskirai įvertinti poveikį dėl galimo duomenų konfidencialumo (atskleidimo), vientisumo (pakeitimo) ir prieinamumo praradimo (duomenų praradimo). Taip pat VDAI rekomenduoja tokį poveikio fiziniam asmeniui lygio reikšmių įvertinimą:

Žemas: fizinis asmuo gali susidurti su šiokiais tokiais nepatogumais (pvz., sugaištas laikas iš naujo suvedant informaciją, susierzinimas, nepasitenkinimas ir pan.);

Vidutinis: fizinis asmuo gali patirti didelių nepatogumų, kuriuos jis galės įveikti nepaisant tam tikrų sunkumų (pvz., papildomos išlaidos, prieigos prie reikalingų resursų praradimas, stresas, nedideli fiziniai negalavimai ir kt.);

Aukštas: fizinis asmuo gali patirti reikšmingas pasekmes ir norint jas ištaisyti / pašalinti reikės susidurti su rimtais sunkumais (lėšų praradimas, finansinių institucijų įtraukimas į juodąjį sąrašą, turto nuostoliai (žala), darbo vietos praradimas, teisminiai procesai, sveikatos būklės pablogėjimas ir pan.);

Labai aukštas: fizinis asmuo gali turėti labai dideles ar net negrįžtamas pasekmes, kurių negalės ištaisyti / pašalinti (pvz., negalėjimas dirbti, ilgalaikiai psichiniai ar fiziniai negalavimai, mirtis ir pan.).

5. Ar duomenų saugos pareigūnas gali būti asmuo, visiškai nesigaudantis IT?

Pirmiausia, atkreiptinas dėmesys į tai, kad duomenų apsaugos pareigūno (DAP) paskirtis yra informuoti duomenų valdytoją (tvarkytoją) ar jų darbuotojus apie jų pareigas pagal BDAR ir kitus metodinius dokumentus, stebėti, kaip laikomasi šių pareigų, konsultuoti dėl poveikio duomenų apsaugai vertinimo, bendradarbiauti su priežiūros institucija ir būti jos kontaktiniu asmeniu. Taigi, iš esmės DAP privalo suprasti Reglamentą ir konsultuoti dėl jo taikymo, todėl tai apima įvairių klausimų vertinimą, IT sritis nėra išimtis, pvz., BDAR 39 straipsnyje numatyta, kad be kita ko, DAP stebi kaip duomenų valdytojas arba duomenų tvarkytojas laikosi saugos politikos organizacijoje, tinkamai įvertina su duomenų tvarkymo operacijomis susijusį pavojų, o tai reikalauja atitinkamų kompetencijų, tame tarpe ir IT žinių. Tačiau svarbu nepamiršti, kad DAP neprivalo būti vienodai kompetentingas visose duomenų valdytojo veiklos srityse, tačiau jis turi suprasti bent bendruosius saugumui keliamus reikalavimus, o dėl detalios informacijos, įrankių taikymo, jų vertinimo ir kt., jis gali konsultuotis su IT ar kitos srities darbuotojais ar kitais specialistais.

Taigi, tinkamos DAP kompetencijos priklauso nuo konkrečios organizacijos bei duomenų tvarkymo operacijų, konteksto, kokiomis priemonėmis yra tvarkomi asmens duomenys organizacijoje ir pan.

6. How legal is use of face recognition / detection systems in terms of GDPR?

Article 9(1) of the GDPR states that “processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person's sex life or sexual orientation shall be prohibited”.

Article 9(2) of the GDPR sets the list of exceptions when the processing of the biometric data (or special categories of personal data) is allowed. This means that in general, it is possible to use systems of face recognition (detection) if it meets one of the conditions mentioned and upholds the principles relating to the processing of personal data. However, the use of recognition/detection systems depends on the circumstances of specific processing operations. Also, installing and using such systems requires the data controller to meet additional requirements set in GDPR, for example to make Data protection impact assessment, etc.

7. Klausimas VDAI: kokioje būsenoje planai keisti asmens kodus, kad juos būtu galima saugiai naudoti viešai (kiek tai leidžia BDAR)?

VDAI seka informaciją susijusią su planais keisti asmens kodą iš reikšminio į nereikšminį, tačiau šiuo metu teisės aktų projektų, susijusių asmens kodo keitimu nėra pateikta.

Atkreipiame dėmesį, kad bet koks asmens duomenų viešinimas turi atitikti BDAR reikalavimus, t. y. turi atitikti 5 straipsnyje nustatytus principus, atitikti bent vieną teisėto tvarkymo sąlygą, įtvirtintą BDAR 6 arba 9 straipsnyje (priklausomai nuo asmens duomenų kategorijos), todėl ir nereikšminio asmens kodo skelbimas turėtų atitikti tokius reikalavimus.

8. Priemonių sąrašas... Prioritetai yra kokie nors teikiami, kaip įprasta metodikose ar palengvinimui sudarinėjant planus? Mokymai vaizduojami gale...

Pastebėtina, kad BDAR 32 straipsnio 1 dalyje yra nustatyta, kad duomenų saugumo užtikrinimo techninės ir organizacinės priemonės pasirenkamos atsižvelgiant „į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas bei duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat duomenų tvarkymo keliamus įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms“, t. y. kiekvienas duomenų valdytojas ir duomenų tvarkytojas saugumo priemones turi pasirinkti savarankiškai, įvertinę savo veiklos pobūdį ir modelį.

Inspekcija yra parengusi „Tinkamų organizacinių ir techninių duomenų saugumo priemonių įgyvendinimo gaires asmens duomenų valdytojams ir tvarkytojams“. Šiuose dokumentuose Inspekcija po dešimt minimalių organizacinių ir techninių duomenų saugumo reikalavimų, kurių privalo laikytis bet kuris duomenų valdytojas (tvarkytojas). Tačiau kiekvienas duomenų valdytojas (tvarkytojas) privalo įvertinti, kokia rizika, susijusi su pavojais fizinių asmenų teisėms ir laisvėms, kyla jo tvarkomų asmens duomenų saugumui ir ar, atsižvelgiant į konkrečią jo veiklą bei Reglamento 32 straipsnio 1 dalyje nustatytus kriterijus, Gairėse pateiktos priemonės būtų pakankamos tinkamai asmens duomenų apsaugai, ar reikalinga imtis papildomų organizacinių ir (ar) techninių saugumo priemonių. Rizikos vertinimui Inspekcija parengė „Tvarkomų asmens duomenų saugumo priemonių ir rizikos vertinimo gaires asmens duomenų valdytojams ir tvarkytojams“.

Taigi, Inspekcija parengė ir paskelbė minimalias orientacines priemones, kurios, priklausomai nuo aplinkybių ir konkrečių duomenų tvarkymo operacijų, gali būti ir nepakankamos ir duomenų valdytojas (tvarkytojas) turėtų taikyti ir kitas priemones. Nuspręsti, kokias technines ir organizacines priemones pasirinkti paliekama pačiam duomenų valdytojui, nes jis geriausiai išmano savo vykdomą veiklą. Inspekcijos pateiktos priemonės yra pateikiamos ne prioriteto tvarka, taigi visoms turėtų būti teikiamas vienodas dėmesys.

Svarbu pastebėti, kad duomenų valdytojas (tvarkytojas) mokymams turėtų skirti reikšmingą dėmesį, nes žmogiškoji klaida yra viena dažniausių duomenų saugumo pažeidimų priežasčių (žr. Inspekcijos paskelbtą informaciją šiuo klausimu: vdai.lrv.lt/lt/naujienos/dazniausia-asmens-duomenu-saugumo-pazeidimu-priezastis-zmogiskoji-klaida).

9. Hostinger kompanijoje nutikusio duomenų nutekėjimo atveju, kokie VDAI veiksmai?

VDAI 2019-08-26 gavo UAB „Hostinger“ pranešimą apie asmens duomenų saugumo pažeidimą, kuriuo Inspekcija „dėl visa ko“ buvo informuota apie Hostinger International LTD., veikiančios Kipro Respublikoje, įvykusį asmens duomenų saugumo pažeidimą, kuriuo galėjo būti paveikti ir Lietuvoje tvarkomi asmens duomenys ir, kurį jau tiria Kipro Respublikos CERT bei apie kurį yra pateiktas pranešimas Kipro asmens duomenų apsaugos komisionieriui.

BDAR 55 straipsnio 1 dalyje nustatyta, kad kiekviena priežiūros institucija turi kompetenciją savo valstybės narės teritorijoje vykdyti pagal šį reglamentą jai pavestas užduotis ir naudotis pagal šį reglamentą jai suteiktais įgaliojimais. BDAR 56 straipsnio 1 dalis numato, kad nedarant poveikio 55 straipsniui, duomenų valdytojo arba duomenų tvarkytojo pagrindinės buveinės arba vienintelės buveinės priežiūros institucija turi kompetenciją veikti kaip vadovaujanti priežiūros institucija, kai tas duomenų valdytojas arba duomenų tvarkytojas vykdo tarpvalstybinį duomenų tvarkymą, vadovaujantis 60 straipsnyje nustatyta procedūra. Vadovaujanti priežiūros institucija yra vienintelė institucija, su kuria duomenų valdytojas arba duomenų tvarkytojas palaiko ryšius, kai jie vykdo tarpvalstybinį duomenų tvarkymą (BDAR 56 straipsnio 6 dalis).

Vadovaujantis šiomis BDAR nuostatomis, asmens duomenų saugumo pažeidimo tyrimas yra atliekamas vadovaujant Kipro asmens duomenų apsaugos komisionieriui.

10. Šifruotos duomenų kopijos. Kaip įgyvendinti subjekto teisę būti pamirštam?

Pastebėtina, kad duomenų subjektas turi teisę būti pamirštam, nepriklausomai nuo to, kokiu būdu duomenų valdytojas tvarko jo asmens duomenis. Atitinkamai duomenų valdytojas spręsdamas dėl saugumo priemonių pasirinkimo, turėtų įvertinti, kokiu būdu jis užtikrins duomenų subjektų teisių įgyvendinimą, jei duomenų subjektas į jį kreiptųsi.

Manome, kad svarbu atkreipti dėmesį, kad duomenų subjekto teisės nėra absoliučios ir ne visais atvejais duomenų valdytojas turi pareigą šias teisės, įskaitant ir teisė būti pamirštam, įgyvendinti. Dėl teisės būti pamirštam pastebėtina, kad Reglamento 17 straipsnio 3 dalyje yra nustatyta, kokiais atvejais ši teisė gali būti neįgyvendinta:

1. siekiant pasinaudoti teise į saviraiškos ir informacijos laisvę;

2. siekiant laikytis ES ar valstybės narės teise, kuri taikoma duomenų valdytojui, nustatytos teisinės prievolės, kuria reikalaujama tvarkyti duomenis, arba siekiant atlikti užduotį, vykdomą viešojo intereso labui, arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas;

3. dėl viešojo intereso priežasčių visuomenės sveikatos srityje pagal Reglamento 9 straipsnio 2 dalies h bei i punktus ir Reglamento 9 straipsnio 3 dalį;

4. archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais laikantis Reglamento 89 straipsnio 1 dalies, jeigu dėl 1 dalyje nurodytos teisės gali tapti neįmanoma arba ji gali labai sukliudyti pasiekti to tvarkymo tikslus; arba

5. siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus.

11. Ar rekomendacijos taps reikalavimais?

VDAI gairės asmens duomenų valdytojams ir tvarkytojams dėl tvarkomų asmens duomenų saugumo priemonių ir rizikos vertinimo yra tik rekomendacinio pobūdžio, už tinkamų techninių ir organizacinių priemonių įgyvendinimą atsakingas duomenų valdytojas. Svarbu pastebėti, kad vien šių gairėse nustatytų priemonių taikymas savaime nereikš, kad organizacija tinkamai saugo jos tvarkomus asmens duomenis. Duomenų valdytojas privalo vertinti, ar nėra tikslinga taikyti papildomas apsaugos priemones arba, ar gairėse nurodytas priemones nėra tikslinga pakeisti kitomis, labiau atitinkančiomis duomenų valdytojo veiklą, jos specifiką, taikomas priemones, įrankius ar kt., jei tokiomis priemonėmis yra užtikrinama pakankamo lygio apsauga.

12. Kokie organizaciniai ir techniniai asmens duomenų saugumo priemonių reikalavimai dažniausiai būna pažeidžiami?

Atlikti tikrinimai parodė, kad dažnu atveju duomenų valdytojai neužtikrina net kai kurių esminių duomenų saugumo priemonių, tokių kaip:

• Detalaus organizacijos informacijos saugos valdymo nustatymas, aiškiai apibrėžiant ir dokumentuojant darbuotojų atsakomybes bei vaidmenis, prieigos kontrolės politikos nustatymas;

• Techninės, programinės ir tinklo įrangos inventorizavimo ir atnaujinimo įgyvendinimas;

• Pagrindinių procedūrų, kurių reikia laikytis incidento ar asmens duomenų saugumo pažeidimo atveju, nustatymas;

• Užtikrinimas, kad darbuotojai gebėtų konfidencialiai tvarkyti informaciją tiek techniniu, tiek asmeninio sąžiningumo požiūriu ir kad jie būtų tinkamai išmokyti IT sistemų saugumo kontrolės.

Atkreiptinas duomenų valdytojų dėmesys į tai, kad būtina turėti prieigų prie kompiuterinių darbo vietų kontrolės sistemą. Ne ką mažiau svarbu duomenų bazes ir taikomąsias programas, tarnybines stotis sukonfigūruoti taip, kad jos naudotų atskirą paskyrą su priskirtomis žemiausiomis operacinės sistemos privilegijomis. Kai prieiga prie naudojamų asmens duomenų yra vykdoma kompiuteriniu tinklu, privaloma naudoti šifruotą komunikacijos kanalą, t. y. kriptografinius protokolus. Taip pat privaloma įgyvendinti fizinę patalpų, kuriose yra IT sistemų infrastruktūra, apsaugą nuo neautorizuotos prieigos.

13.Pirmoji bauda pagal BDAR Lietuvoje būtent privačiame sektoriuje buvo paskirta bendrovei „MisterTango“. VDAI savo pranešime kaip vieną iš argumentų nurodė, jog cituoju:

„Be kita ko, nustatyta, kad įmonėje saugos užtikrinimą ir valdymą bei visos įmonės IT infrastruktūros (techninės ir programinės) valdymą, diegimą ir priežiūrą vykdė vienas darbuotojas. Vienas darbuotojas vykdė tarpusavyje konkuruojančias funkcijas.“ Gal galėtumėte išsamiau pakomentuoti šitą argumentą? Ar reikėtų suprasti, kad atsižvelgiant į tvarkomų duomenų mastą, turėtų būti kelios pareigybės (atskirtos funkcijos) dėl IT saugumo priežiūros/valdymo ir (kita pareigybė) dėl IT saugumo kūrimo/diegimo?

Pagal ISO/IEC 27002:2017 standarto „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“ 6 skyriaus „Informacijos saugumo organizavimas“ 6.2 poskyrio reikalavimus, siekiant sumažinti neteisėtų ar netyčinių pakeitimų arba organizacijos turto netinkamo naudojimo galimybę, turėtų būti aiškiai atskirtos pareigos ir nustatytos atsakomybės ribos. Kitaip tariant, konfliktuojančios pareigybės ir atsakomybių sritys turi būti atskirtos, kad sumažintų neautorizuotų ar netyčinių modifikacijų galimybes ir užtikrinti tinkamą asmens duomenų apsaugos politikos įgyvendinimą. Pagal 6.1 poskyrio reikalavimus, visa atsakomybė už informacijos saugumo reikalavimus turėtų būti apibrėžta ir paskirstyta. Turėtų būti paskirtas subjektas, atsakingas už kiekvieną turtą ar informacijos saugumo procesą, turėtų būti apibrėžti ir dokumentais patvirtinti teisių lygiai.

Jei nėra aiškiai atskirtos pareigos ir nustatytos atsakomybės ribos tarp IT sistemų priežiūrą atliekančių darbuotojų ir už IT sistemų ir duomenų saugumą atsakingų darbuotojų, yra pažeidžiami BDAR 24 straipsnio 1 dalies reikalavimai.

Kitaip tariant, tas pats darbuotojas negali priimti sprendimų dėl asmens duomenų tvarkymo priemonių ir pats savęs kontroliuoti, kaip laikomasi informacijos saugos, pats sau duoti nurodymus ir pan.

Žiūrėti pranešimo video įrašą ESET Youtube paskyroje

 

 

Palikite užklausą