GDPR

Datu aizsardzības un uzņēmuma
IT drošības novērtējums

Sākot ar 2018. gada 25. maiju, visiem uzņēmumiem, valsts un pašvaldību iestādēm būs jāievēro Vispārīgās datu aizsardzības regulas (GDPR) prasības attiecībā uz personas datu glabāšanu, apriti un apstrādi. Jaunā regula ieviesīs jaunas prasības attiecībā uz datu apstrādi un uzglabāšanu, palielinās datu subjektu kontroli pār to datiem, kā arī noteiks stingrākas prasības pret datu elektronisko apstrādi, piekļuvi datiem un datu uzglabāšanu, tādējādi IT sistēmas būs jāpielāgo tā, lai uzņēmums varētu izpildīt datu subjekta likumīgās prasības un Valsts datu inspekcijas prasības noteiktajos termiņos.

Lai palīdzētu Jūsu uzņēmumam sagatavoties jaunās regulas prasībām, Squalio sadarbībā ar juridiskajiem birojiem piedāvā veikt visaptverošu GDPR atbilstības novērtējumu jeb auditu, kas palīdzēs uzņēmumam ne vien iegūt informāciju par pastāvošā riska tendenci, bet arī izvērtēt, kādi pasākumi ir jāveic, lai uzņēmuma dati būtu drošībā.

GDPR novērtējuma process

GDPR atbilstības novērtējums ir pieejams gan sadarbībā ar juridisko biroju, gan kā atsevišķs IT atbilstības novērtējums

Juridiskā atbilstība

Likumīgās atbilstības izvērtējums tiek veikts trīs etapos:

1. ETAPS – IZVĒRTĒJUMS

Situācijas un datu plūsmas plānošana

Tiek ievākti sākotnējie dati no intervijām ar uzņēmuma vadību un atbildīgajām personām, tiek organizēti semināri, uz kuriem tiek aicinātas attiecīgās personas. Tiek precīzi noskaidrots – kādi personas dati un kādiem mērķiem tiek apstrādāti, kādi līdzekļi, procesi un sistēmas tiek izmantotas šiem mērķiem.

2. ETAPS – IZVĒRTĒJUMS

Trūkumu analīze un ieteikumi

Tiek pārbaudīts, vai personas datu apstrādei ir atbilstošs un likumīgs pamats, tiek izvērtētas un noteiktas jomas, kurās uzņēmumam ir nepieciešams ieviest juridiskus vai organizatoriskus līdzekļus, lai atbilstu regulas prasībām.

3. ETAPS – IEVIEŠANA

Juridisku vai organizatorisku līdzekļu ieviešana

Ieviešana ir atkarīga no izvērtējuma, un to var veikt uzņēmums pats ar juridiskā biroja atbalstu. Šim etapam raksturīgie risinājumi ir: darbinieku apmācības, personas datu apstrādes reģistra izveide, kurā uzņēmums ir datu pārzinis un datu apstrādātājs, datu apstrādes politiku izveide vai atjaunināšana, iekšējo vadlīniju/kārtības noteikumu izveide, regulas procesu un noteikumu izstrāde, līgumu veidnes ar klientiem.

IT atbilstība

Tehnoloģiskās atbilstības novērtējums tiek veikts divos etapos:

1. ETAPS – IZVĒRTĒJUMS

IT drošības un datu noplūdes riska izvērtējums un atbilstība regulai

Tiek izvērtēti IT drošības/personas datu noplūdes riski, noteikta atbilstība regulai no tehnoloģiskās puses un sniegti ieteikumi par IT risinājumu izvēli. Nepieciešamā informācija tiek iegūta, intervējot IT administrāciju, drošības vadītāju vai citus ar IT procesiem saistītus darbiniekus, kā arī veicot programmatūras un IT iekārtu inventarizāciju ar sertificētiem IT rīkiem un metodoloģijām.

Šī etapa noslēgumā klients saņem: atskaiti par IT sistēmu drošību un personas datu noplūdes riska tendenci un izvērtējumu attiecībā uz atbilstību regulai, kurā ir uzskaitīti riski un trūkumi; ziņojumu ar IT risinājumu ieviešanas plānu un ieteikumiem, kas ir sakārtoti pēc prioritāri veicamām darbībām, lai mazinātu noteikto risku un trūkumu ietekmi; izmaksu aprēķinu par IT risinājumu iegādi, ieviešanu un atbalstu, to skaitā par nepieciešamo cilvēkresursu novērtējumu risinājumu ieviešanai un atbalstam no klienta puses.

2. ETAPS – IEVIEŠANA

Balstoties uz izvērtējuma etapā sniegtajiem ieteikumiem, šajā etapā tiek uzlaboti un/vai ieviesti jauni IT risinājumi. Piemēram, piekļuves un tiesību kontroles mehānismi, rīki uzbrukumu un datu noplūdes noteikšanai, detalizēts audits, risinājumi datu klasifikācijai un marķēšanai un citi drošības rīki, kas samazinātu personas datu noplūdes un uzņēmuma IT drošības risku.

Sagatavojies GDPR tagad!