Surasti tinkamą paslaugų teikėją dažnai nėra lengva užduotis, nes, be verslo ir organizacinių aspektų, reikia atsižvelgti ir į įstatyminius niuansus – ypač tais atvejais, kai paslaugų teikėjas turi tvarkyti asmens duomenis. ES Bendrajame duomenų apsaugos reglamente (GDPR) akcentuojamas asmens duomenų tvarkymo saugumas, o pastarojo aspekto negalima pražiūrėti ir renkantis paslaugų teikėją. Toliau yra pateikiamos kelios mintys ir rekomendacijos, kaip įvertinti organizacijos gebėjimą atitikti GDPR reikalavimus.
Ar įmonė turi ISO 27001 sertifikatą?
Nors galiojantis ISO 27001 sertifikatas negali būti aiškinamas kaip visų GDPR 32 straipsnio saugumo priemonių įgyvendinimas įmonėje, bet tokio sertifikato turėjimas rodo, kad šiai organizacijai informacijos apsauga ir rizikos įvertinimu pagrįstas valdymas yra prioritetas, į kurį įmonė aktyviai koncentruojasi. GDPR 32 straipsnis ir ISO 27001 turi sąlyginai nemažą bendrą dalį, ypač kalbant apie organizacines saugumo priemones – pavyzdžiui, galima būti tikram, kad ISO 27001 reikalavimus atitinkančioje organizacijoje klientų duomenys yra atskirti nuo plėtrai reikalingų duomenų, darbuotojų prieigos teisės yra periodiškai tikrinamos, o klientų duomenys yra pasiekiami tik iš organizacijos vidaus.
Kokie yra įmonės atsarginių kopijų kūrimo procesai?
Reikėtų nuodugniai ištirti, kaip įmonė organizuoja savo veiklos tęstinumą. Įmonių, turinčių gerai organizuotus atsarginių kopijų kūrimo procesus, tikslas yra kuo labiau sutrumpinti duomenų atkūrimo laiką (tai yra, kaip greitai iš atsarginių kopijų gali būti atkuriami duomenys) ir prarasti kuo mažiau duomenų (tai reiškia maksimalų duomenų kiekį, kuris gali būti prarastas jų atkūrimo metu). Labai geras paslaugų teikėjas sukuria atsarginę duomenų kopiją, kai tik duomenys yra įvedami į sistemą, taip užtikrindamas minimalų duomenų praradimą, palaiko atsarginę infrastruktūrą su atsarginiais duomenimis, kuriuos galima akimirksniu perjungti įvykus didelei avarijai, o svarbiausia, nuolatos tikrina atsarginių kopijų sistemas ir susijusius procesus.
Ar įmonėje dirba duomenų apsaugos specialistas?
Norint susidaryti nuomonę apie duomenų apsaugos svarbą organizacijoje, praktiška išnagrinėti, kas yra atsakingas už duomenų apsaugą organizacijoje ir kaip yra organizuojama atitinkama vidinė struktūra. Kai už duomenų apsaugą atsakingas specialistas organizacijos struktūroje yra tokioje pozicijoje, kad jis iš esmės prižiūri savo viršininko ar įmonės hierarchijoje už jį aukštesnes pareigas užimančio asmens atsakomybės sritį, reikėtų išsiaiškinti, ar nėra galimo interesų konflikto. Geroje valdymo sistemoje su duomenų apsauga susijusios pareigos organizacijoje yra nepriklausomos. Dar geriau, jei organizacijos valdyba, taryba ar kitas aukščiausio lygio valdymo organas tiesiogiai žino su duomenų apsauga susijusius klausimus.
Ar įmonė samdo duomenų subtvarkytojus ir kas jie tokie?
Dažnai paslaugų teikėjai negali suteikti paslaugos be duomenų subtvarkytojų pagalbos, todėl reikėtų atidžiau ištirti, kaip organizacijos duomenų subtvarkytojai užtikrina duomenų apsaugą ir kokią atsakomybę prisiima paslaugų teikėjas už duomenų subtvarkytojų padarytus pažeidimus. Protingas paslaugų teikėjas atskleidžia visus įmonės samdomus duomenų subtvarkytojus ir patvirtina, kad su jais yra pasirašytos GDPR reikalavimus atitinkančios duomenų tvarkymo sutartys. Geras paslaugų teikėjas, prieš samdydamas duomenų subtvarkytoją, atlieka išsamų jo teikiamų paslaugų bei infrastruktūros duomenų apsaugos ir kibernetinio saugumo auditą, ir nesamdo abejotinų duomenų subtvarkytojų. Labai geras paslaugų teikėjas daro visa tai, kas buvo jau paminėta, taip pat nebijo nutraukti bendradarbiavimo su duomenų subtvarkytoju, jei pastarasis padaro rimtą pažeidimą.
Kurie jūsų darbuotojai ir kokiu pagrindu turi prieigą prie mūsų duomenų?
Paslaugų teikėjo darbuotojai negali turėti prieigos prie klientų duomenų be rimtos priežasties. Kiekviena organizacija „svarbias priežastis“ apibrėžia skirtingai, todėl prasminga nurodyti aplinkybes, kuriomis tokios privilegijos yra suteikiamos. Geras paslaugų teikėjas savo klientams visuomet yra pasirengęs suteikti informaciją apie tai, kas iš jo darbuotojų, kodėl ir kada turėjo prieigą prie kliento duomenų. Labai geras paslaugų teikėjas pateiks skaidrias prieigos prie klientų duomenų aplinkybes, pasidalys aktualia informacija be reikalo nedelsdamas ir sugebės organizuoti savo įmonės vidaus procesus taip, kad klientų privatumo pažeidimai būtų minimalūs.
Ar esate patyrę kokių nors duomenų nutekėjimų?
Didžiausias iššūkis paslaugų teikėjams yra užtikrinti klientų duomenų saugumą. Pravartu pasidomėti, kaip tai buvo užtikrinama anksčiau ir ar praeityje organizacija buvo tiesiogiai paveikta duomenų nutekėjimo. Bendradarbiavimas su duomenų nutekėjimą patyrusia įmone nebūtinai turi būti iš karto atmetamas, tačiau tokiu atveju paslaugų teikėjas turi įtikinti savo klientus, kad iš šios patirties buvo pasimokyta.
Ar galite mums parodyti, kaip veikia jūsų teikiama paslauga su realiais duomenimis?
Kiekvienas paslaugų teikėjo darbuotojas turėtų žinoti duomenų apsaugos svarbą, o darbdaviai privalo apmokyti visus darbuotojus, vienaip ar kitaip dirbančius su asmens duomenimis. Jei paslaugų teikėjo atstovas pareiškia norą išmėginti paslaugą su tikrais asmens duomenimis prieš sudarydamas atitinkamas sutartis, yra pagrindo manyti, kad mokymai nebuvo labai efektyvūs.
Kokį funkcionalumą siūlote galutinio vartotojo privatumui užtikrinti?
Informacija apie tai, kaip klientai gali apsaugoti savo duomenų subjektų privatumą paslaugų teikėjo programinėje įrangoje yra ne mažiau svarbi nei tinkamų organizacinių ir techninių saugumo priemonių įgyvendinimas. Geras paslaugų teikėjas gali padėti klientui atsakyti į duomenų subjektų užklausas. Tačiau labai geras paslaugų teikėjas pasiūlys priemonių, leidžiančių klientui tai padaryti savarankiškai – tokiu būdu sutrumpindamas atsakymų duomenų subjektams laiką.
Ar siūlote kokių nors būdų einamiesiems duomenims ištrinti? Kokie jie?
Paprastai paslaugų teikėjai vadovaujasi įprasta praktika saugoti klientų duomenis tol, kol galioja paslaugų teikimo sutartis. Daug kas priklauso nuo teikiamų paslaugų pobūdžio ir daugeliu atvejų toks poreikis yra pagrįstas. Tačiau klientui gali atsirasti poreikis ištrinti kai kuriuos duomenis ar jų dalį paslaugų teikimo metu. Labai geri paslaugų teikėjai tai apgalvoja iš anksto ir klientams siūlo galimybę savarankiškai išsitrinti einamuosius duomenis.
Ar mes galime apriboti įvairių naudotojų prieigos teisę prie duomenų tiek, kiek tai susiję su jūsų teikiama paslauga? Kaip?
Techninės ir organizacinės priemonės, kurias paslaugų teikėjas įgyvendina pagal 32 straipsnį, gali būti įspūdingos, tačiau jų gali nepakakti, jei programinė įranga nėra sukurta atsižvelgiant į vartotojų privatumą. Programinės įrangos privatumo ir duomenų saugumo funkcijos tapo būtinos, todėl geras paslaugų teikėjas turi suprasti įstatymų reikalavimus, kad patenkintų klientų poreikius. Renkantis paslaugų teikėją yra labai svarbu sutelkti dėmesį į praktinius programinės įrangos aspektus, pavyzdžiui, įvertinti, ar galutiniams vartotojams gali būti suteikiama prieiga tik prie minimalaus darbui atlikti reikalingo duomenų kiekio.
Privatumas yra viena pagrindinių mūsų teisių ir neatsiejama žmonijos dalis.
Duomenų tvarkytojo įsitraukimas neišvengiamai kelia riziką duomenų valdytojui, o tokie santykiai gali egzistuoti tik tuo atveju, jei tarp šalių yra pasitikėjimas. Be užduodamų klausimų ir gautų atsakymų galutiniam sprendimui įtakos turi ir kitos šalies bendravimo skaidrumas, naudojama retorika ir iniciatyva nuolat tobulinti atliekamą darbą.
Mes „Fleet Complete“ įmonėje raginame visus esamus ir būsimus klientus atkreipti dėmesį į duomenų apsaugą, nes tik tokiu būdu abi šalys gali būti užtikrintos, kad pagrindinės žmonių teisės yra saugomos. Jei turite klausimų, nedvejodami su mumis susisiekite.
{{cta(‘7a09d119-e44e-40a4-9956-14eb0bf26006′,’justifycenter’)}}