Kaip saugiai keistis jautriais duomenimis el. paštu ir nepažeisti BDAR?

El. paštas – pagrindinė priemonė komunikacijai, kurią naudojame bendraudami su klientais, kolegomis, verslo partneriais. Komunikuojame nuolat bei keičiamės įvairia informacija, įskaitant asmens duomenis. Neseniai su kolegomis iš ATEA ir Hermitage Solutions kalbėjome apie asmens duomenis, ką laikome „jautriais“ duomenimis pagal Bendrąjį duomenų apsaugos reglamentą (BDAR) ir kaip reikėtų tokiais duomenimis keistis el. paštu.

Tie, kurie neturėjo galimybės dalyvauti seminare, dalinuosi savo pranešimo santrauka. Renginio įrašą peržiūrėti ir pasemti minčių technologiniams sprendimams galite čia.

Pagal BDAR asmens duomenys - bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti. Mes asmenį galime identifikuoti tiesiogiai pagal, pvz., vardą, pavardę, gimimo datą, kt., arba netiesiogiai, pvz., pagal valstybinį transporto priemonės numerį, tel. numerį, IP adresą, kt. Atskiri duomenys, kuriuos sujungus galime identifikuoti asmenį taip pat laikomi asmens duomenimis. Anonimizuoti, užšifruoti ar pseudonimizuoti asmens duomenys, kurie vis tiek gali būti naudojami asmens tapatybei nustatyti, irgi laikomi asmens duomenimis, todėl patenka į BDAR taikymo sritį. Taigi, sąvoka „asmens duomenys“ - plati.

Jautrūs duomenys (neskelbtini duomenys arba specialių kategorijų duomenys) – tai duomenys, kurie atskleidžia rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus, duomenys apie narystę profesinėse sąjungose, sveikatos duomenys, duomenys apie lytinį gyvenimą ir lytinę orientaciją, biometriniai duomenys ir genetinė informacija. Kiekviena organizacija savo veikloje susiduria su „jautriais“ asmens duomenimis, pvz., darbuotojų sveikatos duomenys, kuriuos tvarkome įgyvendindami LR Darbo kodekso, LR darbuotojų saugos ir sveikatos įstatymo, kt. nuostatas.

Kiekviena organizacija turėtų turėti Duomenų saugumo pažeidimų registrą, kuriame būtų dokumentuoti visi incidentai, su jais susijusios faktinės aplinkybės, jų poveikis, taisomieji veiksmai, kurių buvo imtasi, dokumentuotas sprendimas ar kyla pareiga apie pažeidimą pranešti Valstybinei duomenų apsaugos inspekcijai bei duomenų subjektams (BDAR 33 str. 5 d.). Toks registras ne tik padeda užtikrinti atitiktį BDAR reikalavimams priežiūros institucijos atliekamo patikrinimo metu, bet, visų pirma, leidžia organizacijai įvertinti, kaip ir ar veikia jos BDAR atitikties procesai (incidentų nebuvimas – pirmas signalas, kad atitikties procesai gali neveikti). Taip pat registras leidžia identifikuoti dažniausiai pasitaikančius incidentus ir svarstyti papildomų priemonių taikymą jų prevencijai.

Mano praktikoje dažniausiai pasitaiko tokie atvejai, kada el. laiškas yra išsiunčiamas netinkamam gavėjui. Šiuos atvejus lengva valdyti įvedant papildomus technologinius sprendimus el. pašte, kurie priverstų vartotoją kartotinai patvirtinti el. laiško gavėją prieš išsiunčiant el. laišką. Apgaulingi el. laiškai (angl. phishing scams) būtų antra incidentų grupė, su kuria tenka susidurti. Šiuo atveju gelbėja komunikacija su IT skyriumi bei švietėjiškų kampanijų organizavimas, kurių metų organizacijos darbuotojai būtų informuojami, jog būtų budrūs.

Nematomos kopijos (arba BCC eilutė) – dar vienas atvejis, kada naujienos, pasiūlymai, kvietimai, informacija apie paslaugų, kontaktų pasikeitimus ir pan. yra siunčiami el. laišku ir visi gavėjai (pvz., organizacijos klientai) yra surašomi į gavėjų eilutę, tokiu būdu gavėjai gali matyti vieni kitų el. pašto adresus. Mano praktikoje tokių atvejų nėra labai daug, bet vis dar pasitaiko ir ypač mažose organizacijose. Taip nutinka paprastai dėl žinių (patirties) trūkumo.

Įgyvendindami BDAR atitikties procesus mes visada turime galvoti apie tai, kaip užtikrinsime rizikas atitinkantį asmens duomenų saugumą. Visgi, kalbėdama apie el. paštą norėčiau paliesti konkretesnius klausimus, susijusius su saugumu mums naudojant el. paštą ir įgyvendinant duomenų subjektų teises. Gana dažnai duomenų subjektai savo teises įgyvendina pateikdami prašymus el. paštu. Priklausomai nuo prašymo pobūdžio ir turėdami galimybę identifikuoti asmenį pagal el. pašto adresą, mes duomenų subjektams taip pat paprastai atsakome el. paštu. Atsakant į duomenų subjektų prašymus, mano nuomone, visais atvejais turėtų būti taikomas el. laiško šifravimas, o jei atsakymą sudaro „jautrūs“ duomenys – toks el. laiškas papildomai turėtų būti apsaugomas slaptažodžiu, kuris duomenų subjektui būtų suteikiamas atskiru el. laišku, tam, kad jis galėtų peržiūrėti el. laiško turinį.

Asmens duomenų saugojimas ir trynimas (įskaitant el. pašte esančius duomenis) man yra viena sudėtingiausių BDAR įgyvendinimo sričių. Kiekviena organizacija turi turėti tai reguliuojančias taisykles, apimančias ir duomenų saugojimą, trynimą el. pašte. Tokių taisyklių įgyvendinimui taip pat galima naudoti papildomas technologines priemones, kurios leistų priskirti konkrečiam el. laišku atitinkamą saugojimo terminą, kuriam pasibaigus el. laiškas su asmens duomenimis būtų automatiškai ištrinamas.

Kaip jau minėta, pasemti minčių technologiniams sprendimams galite peržiūrėję renginio „Kaip saugiai keistis jautriais duomenimis el. paštu ir nepažeisti BDAR?“ įrašą čia.

Taip pat kviečiu pasinaudoti nemokamos pirminės konsultacijos galimybe ir pasitarti su vienu iš Fondia Lietuva teisininkų. Virtualų susitikimą asmens duomenų apsaugos klausimais galite paskirti Jums patogiu laiku paspaudę Calendly nuorodą.