Darbuotojų sąmoningumo ugdymas: kieno pareiga?

2019 m. Valstybinės asmens duomenų apsaugos inspekcijos  (toliau – VDAI) ataskaitos rodo, kad per praėjusius metus dėl duomenų saugumo pažeidimų nukentėjo ar buvo paveikti 906 500 vartotojų Lietuvoje. Kas sąlygoja tokius skaičius? Dažniausiai tai ryšys susiklostęs tarp duomenų valdytojo ir duomenų subjekto bei duomenų valdytojo darbuotojų veiksmų. Tai patvirtina VDAI pateikiamas rodiklis – per 2019 metus gautų skundų skaičius siekia 880. Šis skaičius reiškia, kad net 880 duomenų subjektų nepavyko išspręsti problemos su duomenų valdytoju taikiai. Pagrindinė priežastis yra netinkamas pareigos, informuoti duomenų subjektą apie jo asmens duomenų tvarkymą, įgyvendinimas. Tuo tarpu pranešimų apie pažeidimus skaičius siekia 175. Šiuo atveju VDAI duomenimis viena pagrindinių priežasčių yra konfidencialumo praradimas. Net 157 atvejai, apie kuriuos buvo pranešta, susiję su neautorizuota prieiga ar duomenų atskleidimu.

Neatsiejamai duomenų valdytojo pusėje pagrindinį vaidmenį atlieka darbuotojai. Nuo pirmo „prisilietimo“ prie asmens duomenų juos surenkant iki tolesnio saugojimo, asmens duomenys keliauja per darbuotojų „rankas“. Būtent jie turi gebėti paversti duomenų apsaugos reikalavimus savo kasdienio darbo proceso dalimi, nes pagrindinių asmens duomenų apsaugos nuostatų neišmanymas, nedėmesingumas ar aplaidumas gali sukelti rimtas pasekmes.

Remiantis VDAI tyrimais pagrindinė asmens duomenų apsaugos pažeidimų priežastis – žmogiškoji klaida. Daugiau nei kas antrą pažeidimą lemia netinkami darbuotojų veiksmai. Duomenų subjektai nėra informuojami apie jų asmens duomenų tvarkymą, pateikiami prašymai įgyvendinti duomenų subjektų teises nėra tinkamai administruojami arba ignoruojami, netinkamai identifikuojami asmenys prieš teikiant jiems duomenis, prisijungimo slaptažodžiai paliekami laisvai prieinamoje darbo zonoje, duomenys sunaikinami ir kt. Visa tai tik dalis dažnai pasitaikančių darbuotojų klaidų, kylančių iš nežinojimo arba sąmoningumo stokos. Bet ar galime kaltinti tik darbuotojus? Be abejonės – ne. Visų pirma, bet kurios organizacijos (laikomos duomenų valdytoju) vadovas turi užtikrinti, kad imamasi visų priemonių užtikrinant darbuotojų pasirengimą darbui su duomenų subjektais ir jų teikiamais asmens duomenimis.

Be to, kad darbuotojai turi būti privalomai supažindinami su organizacijoje patvirtinta asmens duomenų tvarkymo politika ir ją lydinčiomis tvarkomis. Viena efektyviausių priemonių – darbuotojų sąmoningumo ugdymas, reguliarūs  mokymai. Labai svarbu mokymų  nelaikyti „eiliniu formalumu“. Kelios valandos per metus neatims labai daug laiko ar finansų, tačiau turės labai didelę naudą visai organizacijai. Mokymų tikslas parodyti, ką reiškia asmens duomenų apsauga  praktiškai, su kokiomis situacijomis galima susidurti, kur prireikus ieškoti informacijos, į ką kreiptis esant pažeidimui, kaip užtikrinti tinkamas saugumo procedūras ir išspręsti daug kitų klausimų. Tik tokiu būdu bus užtikrinamas tinkamas organizacinių ir techninių saugumo priemonių įgyvendinimas, užtikrinama prevencija ir minimalizuojama rizika, naujo duomenų apsaugos pažeidimo atsiradimui.

Be pagrindinių mokymų, reguliariai bent kartą į metus turi vykti teminiai mokymai, kurių metu būtų akcentuojami specifiniai klausimai – pažeidimų valdymas, IT saugumas ir kt.

Už mokymų organizavimą įmonėje yra atsakingas duomenų apsaugos pareigūnas, jam šis reikalavimas numatomas BDAR  39 str., 1 d., b p.,  tačiau jei duomenų valdytojas tokios pareigybės nėra paskyręs, tai visiškai ne problema. Šiandien galima rasti labai įvairių būdų, kaip ugdyti darbuotojų sąmoningumą,, todėl bet kokie pasiteisinimai dėl laiko stokos, organizacijos dydžio ar kompetencijos negali būti laikomi pagrįstais. Esant kompetencijos trūkumui, galima pasisamdyti išorinius konsultantus. Lygiai taip pat, kaip samdomi darbų saugos specialistai. O organizacijos dydžio ar laiko stokos problema taip pat lengvai išsprendžiama nuotoliniais mokymais. Tokius siūlo ir UAB „SQUALIO Lietuva“, siūlanti individualią mokymosi platformą, kurioje darbuotojai jiems patogiu metu gali išklausyti mokymus bei atlikti žinių įvertinimo testus, kas leis organizacijai stebėti darbuotojų pasirengimo lygį bei matyti didžiausias spragas.

Duomenų valdytojas pirmiausiai turi suprasti, kad bendras rezultatas priklauso tik nuo visos komandos sklandaus darbo, todėl reguliarūs mokymai ir žinių gilinimas yra neatsiejama bendro organizacijos veiklos proceso dalis. Tik tuomet, kai organizacija iš savo pusės dėjo visas pastangas siekiant užtikrinti tinkamą pasirengimą asmens duomenų apsaugos atitikčiai, galime nagrinėti paties darbuotojo kaltę.