Šis, laimingai įmonei pasibaigęs, VDAI sprendimas dėl dvigubo pažeidimo yra puiki proga įsivertinti savo įmonės asmens duomenų apsaugos ir vidinės informacijos valdymo procesus.
Pirma – BDAR pažeidimas. Pacientų kontaktiniai duomenys buvo surinkti sveikatos priežiūros paslaugoms teikti, todėl jų naudojimas informuoti apie naują darbo vietą neatitiko pirminio duomenų tvarkymo tikslo. Dėl to VDAI pripažino, kad buvo neteisėtai tvarkomi 1 231 asmens duomenys ir skyrė baudą gydytojai.
Antra – Įstaigos taisyklių pažeidimas:. Klientų ar pacientų kontaktų naudojimas išėjus iš darbo gali kelti ne tik BDAR, bet ir konfidencialumo, lojalumo bei darbo santykių klausimų dėl įvykdytos duomenų vagystės. Darbuotojas pasinaudojo vidine informacija, kad pakenktų įstaigai ir persiviliotų klientus. Tai įprastai pažeidžia konfidencialumo ir darbo sutarčių taisykles. Todėl organizacijoms svarbu aiškiai reglamentuoti, kaip darbuotojai gali naudoti jiems patikėtą informaciją tiek darbo metu, tiek pasibaigus darbo santykiams.

Darbdavio vidinės informacijos apsauga. Klientų ar pacientų duomenų bazės nėra darbuotojo asmeninis turtas. Tačiau svarbu nepamiršti, kad už jų apsaugą ir teisėtą naudojimą atsako duomenų valdytojas ty įmonė, todėl būtina užtikrinti aiškias vidaus taisykles ir veiksmingas kontrolės priemones. Duomenų valdytojas pasielgė teisingai, kai užfiksavo pažeidimą ir iškart pranešė VDAI. Tai ir nuoseklūs dokumentai padėjo įstaigai apsiginti ir įrodyti, kad dėl duomenų nutekėjimo kalta būtent išeinanti darbuotoja.
Pasiruošimas – daugiau nei pusė darbo. Taip pat verta atkreipti dėmesį, kad operatyvus reagavimas į galimą duomenų saugumo incidentą šiuo atveju padėjo sumažinti rizikas bei baudų tikimybę. O laiku užfiksuotas pažeidimas, vidinis tyrimas ir, savalaikis pranešimas VDAI leido parodyti, kad organizacija tinkamai vykdė savo pareigas ir ėmėsi būtinų veiksmų incidentui suvaldyti.
Tam, kad tokios ar panašios situacijos būtų kuo mažiau tikėtinos, organizacijoms paruošėme santrauką rekomenduojamų peržiūrėti ir atnaujinti dokumentų bei vidaus procedūrų:
- Atnaujinti konfidencialumo sutartis – aiškiai apibrėžti konfidencialumo sutartis ir klientų (pacientų) duomenų naudojimo taisykles;
- Sustiprinti IT saugumo taisykles – nustatyti prieigos prie informacinių sistemų kontrolės tvarką ir sistemiškai registruoti prisijungimus bei duomenų peržiūros veiksmus;
- Pasirašyti tvarkingas darbo tvarkos taisykles – darbo tvarkos ir vidaus taisyklėse įtvirtinti draudimą naudoti organizacijos informaciją asmeniniais tikslais;
- Parengti reagavimo planą – turėti aiškų 72 val. reagavimo į duomenų saugumo incidentus planą, įskaitant atsakomybių ir veiksmų apibrėžimus, jei prireiktų apie pažeidimą pranešti VDAI;
- Sunku pratybose, lengva situacijose – duomenų saugumo mokymai bei situacijų analizės darbuotojams kartą per 12 mėn. arba dažniau. Tai praktika be kurios sukurti reikiamą darbuotojų pasirengimą, net ir turint visas paruoštas tvarkas bei procedūras yra labai sunku.
Šios ir panašios priemonės padeda ne tik laikytis teisės aktų reikalavimų, bet ir užtikrintai sumažina organizacijos teisinę, finansinę bei reputacinę riziką.
Pokytis prasideda nuo pirmo žingsnio. Kviečiame registruotis atlikti greitą Jūsų asmens duomenų saugos procesų bei vidinių dokumentų peržiūrą.
UAB Sabelija
Asmens duomenų apsaugos ir teisinių paslaugų centras
