VDAI rekomendacijos dėl internetinių parduotuvių tvarkomų asmens duomenų saugumo priemonių
Valstybinė duomenų apsaugos inspekcija (toliau – VDAI), atlikusi internetinių parduotuvių tvarkomų asmens duomenų saugumo priemonių stebėseną, teikia rekomendacijas.
Stebėsena atlikta vadovaujantis VDAI 2024 metų planinių patikrinimų ir stebėsenos planu rašytinės apklausos būdu. Stebėsenos metu įvertintos 10 internetinių parduotuvių tvarkomų asmens duomenų saugumo priemonės (privilegijuotųjų prieigos teisės, asmens duomenų naikinimas, šifravimo priemonių naudojimas, pakeitimų valdymas).
VDAI, įvertinusi atliktos stebėsenos rezultatus, teikia šias rekomendacijas:
1. Užtikrinti privilegijuotųjų prieigos teisių valdymo kontrolę.
Rekomenduojama atlikti reguliarų privilegijuotųjų prieigos teisių auditą, siekiant užtikrinti, kad prieiga prie asmens duomenų būtų suteikiama tik tiems darbuotojams, kuriems tai būtina pagal jų funkcijas. Taip pat siūloma įdiegti automatizuotas priemones, leidžiančias stebėti ir analizuoti veiksmus, atliekamus su šia prieiga, užtikrinant BDAR atitiktį.
2. Sukurti ir įgyvendinti efektyvius asmens duomenų naikinimo procesus.
Rekomenduojama sukurti aiškias ir dokumentuotas asmens duomenų naikinimo procedūras, kurios užtikrintų, kad pasibaigus nustatytam saugojimo terminui nereikalingi ar pasenę duomenys būtų sunaikinti saugiai ir laiku. Tai svarbu siekiant sumažinti perteklinių duomenų laikymo riziką ir atitikti BDAR reikalavimus.
3. Naudoti pažangias šifravimo priemones duomenų saugumui užtikrinti.
Rekomenduojama diegti pažangius šifravimo sprendimus, kurie apsaugotų asmens duomenis tiek jų perdavimo, tiek saugojimo metu. Šifravimo priemonių naudojimas turėtų būti periodiškai tikrinamas, siekiant užtikrinti jų efektyvumą ir suderinamumą su BDAR nuostatomis.
4. Tobulinti pakeitimų valdymo procesus.
Rekomenduojama įdiegti griežtas pakeitimų valdymo procedūras, kurios apimtų naujų sistemų, programinės įrangos ar duomenų apdorojimo metodų diegimą. Visi pakeitimai turėtų būti iš anksto įvertinti, dokumentuoti ir patvirtinti, kad būtų užtikrintas duomenų saugumas ir BDAR atitiktis.
5. Reguliariai peržiūrėti ir atnaujinti duomenų apsaugos politiką.
Siūloma reguliariai peržiūrėti organizacijos duomenų apsaugos politiką, atnaujinant ją pagal naujausius teisės aktų reikalavimus ir gerąsias praktikas. Į politiką turėtų būti įtrauktos visos pagrindinės sritys, įskaitant prieigos teisių valdymą, šifravimo priemonių naudojimą, duomenų naikinimą ir pakeitimų valdymą.
Atnaujinimo data: 2025-03-28
Taip pat skaitykite:
Tęsiamas Valstybinės duomenų apsaugos inspekcijos bendradarbiavimas su Mykolo Romerio universitetu
Airijos Duomenų apsaugos komisija skyrė baudą „TikTok“
Kviečiame į atvirų durų dienas ir siūlome darbą
EDAV 2024 m. metinė ataskaita: asmens duomenų apsauga besikeičiančioje aplinkoje
„Meta“ vykdys dirbtinio intelekto mokymus su asmens duomenimis – norintys nesutikti turi paskubėti