Kada ir ko mokyti darbuotojus apie duomenų apsaugą?

Daug visuomenės dėmesio sulaukę saugumo incidentai „Citybee“, „Orakulas.lt“, „Darnipora.lt“ atžvilgiu privertė atkreipti dėmesį į tai, ko mokome darbuotojus apie duomenų apsaugą ir kada paskutinį kartą su savo darbuotojais apie tai kalbėjome. Duomenų apsaugos ekspertai sako, kad darbuotojų mokymai turėtų vykti kasmet.

Pastebiu, kad organizacijos paprastai turi bendro pobūdžio taisykles vidaus teisės aktuose dėl darbuotojų mokymo ir jų periodiškumo. Gana dažnai organizacijų vidaus teisės aktai numato, kad „bendrovė privalo užtikrinti duomenų tvarkymo mokymus visiems darbuotojams, kurie tvarko asmens duomenis, vykdydami savo tiesiogines funkcijas“, kad tokie mokymai turėtų būti organizuojami kiekvienam naujam darbuotojui, o esamų darbuotojų atžvilgiu - ne rečiau, kaip kartą per metus. Visgi, praktikoje ne visos organizacijos mokymus organizuoja reguliariai. Be to, gana retai tenka susidurti su organizacijomis, kurios kasmet sudarytų duomenų apsaugos mokymų planus (nors tokia pareiga, mano nuomone, kyla iš BDAR 5 str. 2 d.)

Mokymų plano sudarymas visada priklauso nuo konkrečios organizacijos, jos dydžio, veiklos pobūdžio, incidentų su kuriais organizacija susidūrė ankstesniais laikotarpiais ir t.t. Visgi, mano nuomone, visų organizacijų darbuotojai, nepriklausomai nuo jų atliekamų funkcijų, turi žinoti, ne tik tai, kad BDAR yra taikomas jų organizacijai, bet ir (1) kodėl Jūsų organizacijai yra svarbu atitikti BDAR reikalavimams (nes pvz., organizacija gerbia darbuotojų, klientų, verslo partnerių ir kt. duomenų subjektų teisę į privatumą, nes tinkama privatumo ir duomenų apsauga yra siejama su pasitikėjimu Jūsų organizacija, o susiję pažeidimai gali turėti neigiamos įtakos reputacijai. Be to, organizacijai gali grėsti piniginės baudos, ieškiniai dėl žalos atlyginimo, organizacija gali tapti priežiūros institucijų patikrinimų objektu ir pan.).

(2) Darbuotojai turi suprasti esminius BDAR terminus. Aiškinant kas yra asmens duomenys, specialių kategorijų duomenys ir t.t., rekomenduoju naudoti tuos pavyzdžius, su kuriais susiduriate organizacijos kasdieninėje veikloje. Lengviau suprasti, kas yra duomenų tvarkymas automatiniu būdu, kai pavydžiu duodate naudojamos klientų ar žmogiškųjų išteklių valdymo sistemos pavadinimą, renginio dalyvių sąrašą „excel“ faile ir pan. Pristatant duomenų valdytojų, tvarkytojų sąvokas taip pat rekomenduočiau duoti savo naudojamas klientų ar žmogiškųjų išteklių valdymo sistemas kaip pavyzdį, nes darbuotojams paprasčiau suvokti kas yra „duomenų subjektai“, kokie duomenys yra sistemoje, kodėl Jūsų organizacija yra sistemoje esančių duomenų valdytoja, o sistemos teikėjas - tvarkytojas.

Darbuotojai taip pat turėtų suvokti (3) duomenų tvarkymo principus, tačiau apie juos kalbėti taip pat reikėtų tik per kasdieninės veiklos pavyzdžius, padedant darbuotojams suvokti, ką jie gali reikšti jų darbe. Pvz., tikslo apribojimo principas reiškia, kad mes negalime kandidato į darbo vietą el. pašto, kurį gavome darbuotojų atrankos metu, įtraukti į naujienlaiškių gavėjų sąrašą; duomenų kiekio mažinimo principas reiškia, kad mes turime apsvarstyti ar gimimo data yra tai, ką mums būtina žinoti vykdant rinkodaros kampanijas ir t.t.

(4) Tiesioginė rinkodara yra dar viena sritis, kurios esminius aspektus turėtų suvokti visi organizacijos darbuotojai ir ypač tie, kurie dirba ne tik su Lietuvos rinka, kadangi taikomos taisyklės skiriasi. Lietuvoje turime gauti išankstinį sutikimą vykdydami tiek B2C, tiek B2B tiesioginę rinkodarą.

(5) Duomenų subjektų teisės bei jų teisių įgyvendinimas – kiekviena organizacija turi savo taisykles, procesus teisių įgyvendinimui, todėl mokymų metu šie procesai turėtų būti pristatyti. Svarbiausia, kad darbuotojai gebėtų gavę užklausą ar prašymą, jį identifikuoti kaip „duomenų subjekto“ prašymą, todėl praktinių situacijų pavyzdžiai turėtų būti įtraukiami į mokymus.

Tas pats pasakytina apie (6) duomenų saugumo incidentų valdymą – darbuotojai turėtų gebėti identifikuoti saugumo incidentą ir žinoti kokius veiksmus jie turi atlikti, t. y. ko iš jų tikisi organizacija.

Jei yra galimybė visus aukščiau nurodytus punktus aptarti tik su konkrečiomis darbuotojų grupėmis (žmogiškieji ištekliai, pardavimai, logistika ir t.t.), rekomenduočiau rinktis būtent tokį mokymų būdą. Duomenų subjektų teisių įgyvendinimui, taip pat duomenų saugumo incidentų valdymui rekomenduočiau naudoti imitacijas (pateikti netikrus duomenų subjektų prašymus ir pan.). Tokiu būdu galėsite įvertinti organizacijos procesų veiksmingumą.

Pastarųjų mėnesių įvykiai rodo, kad kibernetinio saugumo aspektų aptarimas su darbuotojais yra ypatingai svarbus. Mokymų turinį dėl kibernetinių grėsmių savo organizacijai rekomenduoju sudaryti bendradarbiaujant su organizacijos saugumo įgaliotiniu arba išorės saugumo ekspertu.

Mano nuomone, kiekviena organizacija turėtų skirti dėmesio bent jau suklastotų el. laiškų (angl. phishing) identifikavimui, nes tai pats populiariausias socialinės inžinerijos būdas. Tokių el. laiškų esame gavę kiekvienas. Esant galimybei, rekomenduočiau į mokymų planus įtraukti socialinės inžinerijos imitacijas darbuotojų atžvilgiu.

Tiems kurie nežino nuo ko pradėti kibernetinio saugumo atžvilgiu, rekomenduoju susipažinti su leidiniu Kibernetinis saugumas ir verslas. Ką turėtų žinoti kiekvienas įmonės vadovas 2020. Leidinys pateikia esminius aspektus į ką atkreipti dėmesį, surašytas paprasta ir nesudėtinga kalba, tad jame galima rasti nemažai naudingos informacijos bei pasisemti idėjų.