nPoint duomenų apsaugos rekomendacijos pagal BDAR

2018 m. gegužės 25 d. Lietuvoje bus pradėtas taikyti Bendrasis duomenų apsaugos reglamentas (ES) 2016/679 (BDAR). UAB nSoft parengė bazines rekomendacijas, kurios padės pasiruošti šio reglamento įgyvendinimui. Rekomendacijos apima tik su nPoint susijusias duomenų apsaugos reglamento dalis.

1. Paskirti duomenų apsaugos įgaliotinį (arba komandą), kuri kuruos BDAR reikalavimų įgyvendinimą.
2. Atlikti saugomų duomenų auditą (pridedame paruoštą nPoint sistemoje saugomų duomenų formą, kurią rekomenduojame užpildyti ir jos pagrindu ruošti kitus dokumentus ir tvarkas).
3. Jei siunčiate SMS ar el. pašto pranešimus, įsitikinkite, kad turite visų klientų sutikimus:
   1. Tinka, jei klientas pažymi sutikimą popierinėje sutartyje ar taisyklėse, kurias pasirašo.
   2. Jei kliento duomenys renkami suvedant juos į nPoint kasoje, ir su klientu nėra pasirašoma sutartis, būtina, prie kasos įrengti terminalą, kur klientas aiškiai matytų su kokiomis sąlygomis sutinka, savo sutikimą galėtų atžymėti uždėdamas varneles ant atitinkamų punktų, bei paspausdamas patvirtinimo mygtuką (dėl šių terminalų įrengimo prašome kreiptis į savo vadybininką).
4. Pasirūpinti, kad tinklai, kuriais siunčiama klientų informacija būtų šifruojama (SSL, https, TLS ir pan).
5. Užtikrinti, kad duomenys serveryje būtų šifruojami (mūsų nuomone užtenka šifravimo failinės sistemos, arba virtualios mašinos lygmenyje).
6. Užtikrinti, kad visos atsarginės kopijos būtų šifruojamos.
7. Aprašyti ir pasitvirtinti sekančias tvarkas:
   1. Renkamų klientų duomenų išklotinė su pagrindimu, nurodant taip pat ir kiekvieno duomenų lauko saugojimo trukmę ir trukmės pagrindimą (pridedame paruoštą nPoint sistemoje saugomų duomenų formą, kurią rekomenduojame užpildyti ir jos pagrindu ruošti kitus dokumentus ir tvarkas).
   2. Duomenų nuasmeninimo procedūra, kliento prašymu (nPoint bus parengta speciali formą šiai funkcijai atlikti).
   3. Duomenų eksportavimo iš nPoint kliento prašymu (teisė perkelti, teisė žinoti kokie duomenys sukaupti). (pridedame parengtą nPoint sistemos duomenų eksporto aprašymą).
   4. Reglamentuota atsarginių kopijų laikymo trukmė su pagrindimu.
   5. Tvarka, nurodanti darbuotojams kaip reikia elgtis su klientų asmens duomenimis, kaip juos saugoti, pranešti apie incidentus, bei jų atsakomybė dėl duomenų saugojimo.
8. Pasirūpinti, kad personaliniai kompiuteriai (darbo vietos), būtų tinkamai apsaugoti:
   1. Įjungta ugniasienė.
   2. Įdiegta antivirusinė apsauga.
   3. Naudojamas stiprus slaptažodis.
   4. Įjungti automatiniai operacinės sistemos atnaujinimai.
9. Jei renkate duomenis apie nepilnamečius, atlikite šių duomenų analizę, bei aprašykite jų rinkimo pagrindus. Norime atkreipti dėmesį, kad reglamentas numato griežtesnį nepilnamečių asmenų duomenų rinkimą.

 

Šis aprašymas yra tik rekomendacinio pobūdžio ir negali būti laikomas baigtiniu veiksmų sąrašu norint atitikti visus Bendrojo duomenų apsaugos reglamento (ES) 2016/679 reikalavimus.

Priedai:

• nPoint sistemoje saugomų duomenų forma
• nPoint sistemos duomenų eksporto aprašymas
• Pilnas BDAR tekstas lietuvių kalba
• Pilnas BDAR tekstas anglų kalba (GDPR)
• Interaktyvi BDAR versija (patogesnė peržiūrai)