Dėl aplaidžios duomenų tvarkymo įrangos priežiūros galite būti nubausti

Bendrasis duomenų apsaugos reglamentas 32 straipsnyje duomenų valdytojus ir tvarkytojus įpareigoja, kad tvarkant asmens duomenis būtų užtikrintas pavojų atitinkančio lygio saugumas, įskaitant:

  • “reguliarų techninių ir organizacinių priemonių, kuriomis užtikrinamas duomenų tvarkymo saugumas, tikrinimo, vertinimo ir veiksmingumo vertinimo procesą.”

Reguliariai nevykdant įrodymais pagrįsto  įrangos pažeidžiamumo tvarkymo ir dėl to įvykus duomenų saugumo pažeidimui duomenų valdytojui bus skiriama BDAR 83 straipsnyje numatyta nuobauda, kurios dydis pasak 83 straipsnio 4 dalies gali būti iki 10 mln. eurų.

Duomenų tvarkymą atliekant programinės ir kompiuterinės įrangos pagalba susiduriame su elementariu įrangos atnaujinimo, kibernetinio saugumo  spragų paieškos ir testavimo klausimais. Daugumai įmonių tai papildomas galvos skausmas skiriant resursus bei ieškant kompetentingų bei kvalifikuotų kibernetinio saugumo specialistų, kurie užtikrintų tinkamą įrangos kibernetinio saugumo valdymą bei duomenų apsaugą.

Jungtinės karalystės asmens duomenų apsaugos priežiūros institucija ICO pateikia pavyzdį dėl modernių kompiuterinių sistemų kibernetinio saugumo spragų “Meltdown” ir “Spectre”, pažeidžiamumo valdymo užtikrinant asmens duomenų saugumą.  Nurodomos pasekmes duomenų valdytojui jeigu bus pažeistas duomenų konfidencialumas išnaudojant šis įrangos pažeidžiamumą. Pabrėžiama, kad  įmonės turi nedelsdamos suvaldyti šių spragų, kurios palietė modernias kompiuterines sistemas, keliamą pavojų duomenims, taikydami kelių lygių saugumo sprendimus, atnaujinimų diegimo, pažeidžiamumo aptikimo, tikrinimo, vertinimo ir veiksmingumo vertinimo priemones.