Prieigos prie asmens duomenų valdymo politika (angl. Access Control Policy) - tai organizacijos vidaus dokumentas, nustatantis asmenų teises prieiti prie asmens duomenų.
Šis reikalavimas yra tiesiogiai susijęs su Bendrojo duomenų apsaugos reglamento (BDAR) 5 straipsnio 1 dalies c) punkte numatytu principu - duomenų kiekio mažinimu. Politika siekia riboti atsitiktinę ar neteisėtą prieigą prie asmens duomenų, nustatydama saugumo priemones, kurios techniškai veikia kaip prieigos valdymo priemonė.
Šis dokumentas gali veikti prevenciškai - juo siekiama užkirsti kelią informacijos vagystėms, sukčiavimui, o vėliau ir galimam bylinėjimuisi. Prieigos prie asmens duomenų valdymo politika yra neatsiejama organizacijos informacinės saugos sistemos dalis.
Pagrindinės prieigos valdymo priemonės
Prieigos prie asmens duomenų valdymo politikoje dažniausiai nustatomos šios prieigos valdymo priemonės:
- Fiziniai prieigos ribojimai: tai apima taisykles dėl patekimo į pastatus (pvz., naudojant ID kortelę), veiksmus, kurių reikia imtis pametus ID kortelę, bei sąlygas naujos ID kortelės išdavimui.
- Interneto prieigos ribojimai: tai susiję su interneto naudojimo monitoringo atlikimu. Stebima, ar naudotojas prieina prie informacijos, esančios už principo „būtina žinoti“ ribų, ir jeigu tai nustatoma - interneto prieiga yra apribojama.
- Naudotojų valdymas: kiekvienam naudotojui suteikiamas unikalus prisijungimo ID (vardas) ir slaptažodis, kad būtų galima jį identifikuoti atliekant monitoringą.
- Slaptažodžiai: nustatomi griežti reikalavimai slaptažodžio sudėtingumui.
- Teisių keitimas arba anuliavimas: nustatomi atvejai, kada naudotojams gali būti suteikiama mažiau ar daugiau prieigos, arba teisė prieiti prie informacijos gali būti suteikiama tik iki tam tikros valandos.
- Monitoringas: tai naudotojų priežiūra, prieigos teisių mažinimas/plėtimas ir kontroliavimas.
- Baudos: apibrėžiama, kas laikoma pažeidimu, ir nustatoma, kokia atsakomybė gresia už taisyklių nesilaikymą.
Dažnai naudojama prieigos prie asmens duomenų valdymo priemonė - naudotojų kategorizavimas (skirstymas į lygius). Tokia praktika taikoma didesnėse įmonėse, kur daug darbuotojų ir individualus prieigos nustatymas pareikalautų didelių sąnaudų. Šiuo atveju grupėms nustatomos bendros prieigos taisyklės, ir priskyrus naudotoją tam tikrai grupei, jam automatiškai pradeda veikti šios taisyklės.
Praktikoje bendrovės pasirenka ir kitokias priemones. Pavyzdžiui, visiems nustatomi bendrieji prieigos reikalavimai ir leidimai, o tam tikrais atvejais suteikiama privilegija - prieiga prie papildomų duomenų.
Techninės ir organizacinės priemonės
Pagal Valstybinės duomenų apsaugos inspekcijos (VDAI) išleistas gaires, prieigos valdymo politika turi būti įgyvendinta taikant atitinkamas technines priemones. Tai apima:
- Naudojant autentifikavimo sistemą (naudotojams suteikiant ID (prisijungimo vardą) ir slaptažodį, kuris atitinka kompleksiškumo reikalavimus).
- Vengiant naudoti bendras naudotojų paskyras, kuriomis galėtų naudotis keli asmenys.
- Privaloma turėti administratoriaus sistemą, kuri galėtų kurti, naikinti, peržiūrėti ir tvirtinti naudotojų paskyras.
Svarbu žinoti: Būtina bent kartą per metus patikrinti saugiklių bloko (po kapotu) būklę, nuvalyti apnašas ir oksidus nuo saugiklių bei pajudinti kontaktus, ypač po žiemos, kai naudojamos druskos. Vandens drenažo kanalai po priekiniu stiklu mėgsta užsikišti, dėl to gali apsemti valytuvų varikliuką. Taip pat gali tekti valyti kondicionieriaus drenažą.
Atsakomybė už BDAR pažeidimus
Nesilaikydami šių reikalavimų, duomenų tvarkytojai ar valdytojai pažeidžia BDAR 32 straipsnio pareigą įgyvendinti tinkamas organizacines ir technines priemones duomenų saugumui užtikrinti. Tai reiškia, kad nesilaikoma 32 straipsnio 1 dalies b punkto reikalavimo užtikrinti nuolatinį duomenų tvarkymo sistemų ir paslaugų konfidencialumą, vientisumą, prieinamumą ir atsparumą.
Dėl šios pareigos nevykdymo bendrovei gali kilti atsakomybė pagal BDAR 83 straipsnio 4 dalį. Gali būti skiriama administracinė bauda iki 10 000 000 Eur arba iki 2% jos ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė. Valdžios institucijoms ar įstaigoms pagal LR asmens duomenų teisinės apsaugos įstatymo 33 straipsnį gali būti skiriama administracinė bauda iki 0,5% einamųjų metų biudžeto ir kitų praėjusiais metais gautų bendrųjų metinių pajamų dydžio, bet ne didesnė kaip 30 000 Eur.