Informacija apie asmens duomenų tvarkymą išankstinės konsultacijos teikimo tikslu

Prašymo dėl išankstinės konsultacijos tikslas

☐ Suteikti išankstinę konsultaciją

☐ Nutraukti išankstinę konsultaciją

Prašymo nutraukti išankstinę konsultaciją priežastys:

Prašymo suteikti išankstinę konsultaciją, kurio nagrinėjimo procedūrą prašoma nutraukti, data ir registracijos numeris:

Ar taikoma pareiga kreiptis dėl išankstinės konsultacijos į VDAI dėl numatomo asmens duomenų tvarkymo?

Ar privaloma atlikti PDAV?

☐

Taip

☐

Ne → pildyti šio prašymo nereikia

☐

Nežinau → Žiūrėti^[3]

JEI TAIP, ar atlikus PDAV nustatyta, kad tvarkant asmens duomenis kyla didelis pavojus fizinių asmenų teisėms ir laisvėms?

☐

Taip

☐

Ne → pildyti šio prašymo nereikia

JEI TAIP, ar ėmėtės tinkamų priemonių, kad sumažintumėte pavojų fizinių asmenų teisėms ir laisvėms dėl duomenų tvarkymo?

☐

Taip

☐

Ne

JEI TAIP, ar šios priemonės gali sumažinti padidėjusį pavojų fizinių asmenų teisėms ir laisvėms?

☐

Taip → pildyti šio prašymo nereikia

☐

Ne → pereikite prie kito klausimo

JEI NE, ar tas asmens duomenų tvarkymas yra tarpvalstybinis^[4]?

☐

Taip → atsakykite į skiltyje „Preliminarus vadovaujančios institucijos identifikavimas, esant tarpvalstybiniam duomenų tvarkymui“ pateiktus klausimus, kad nustatytumėte vadovaujančią priežiūros instituciją

☐

Ne → užpildykite toliau pateiktus klausimus nuo 1 iki 34

Preliminarus vadovaujančios institucijos identifikavimas, esant tarpvalstybiniam duomenų tvarkymui

Kur yra įmonės ar įmonių grupės pagrindinė buveinė? Ar buveinė yra nustatyta ir (ar) ji užregistruota ES? Ar paskyrėte įgaliotą asmenį^[5], kuris atstovauja Jums įgyvendinant BDAR nustatytus reikalavimus? Prašome nurodyti valstybę, kurioje yra įgaliotas asmuo.

Nurodykite ES valstybę narę, kurioje  yra pagrindinė duomenų apsaugos pareigūno darbo vieta?

Jei asmens duomenys tvarkomi daugiau nei vienoje ES valstybėje narėje, prašome nurodyti valstybę narę, kurioje yra įmonė, kuri yra atsakinga už duomenų apsaugos srityje priimtų sprendimų vykdymą.

Jei asmens duomenų tvarkymas vykdomas tik vienoje ES valstybėje, tačiau jis kelia didelį pavojų ar gali sukelti didelį pavojų duomenų subjektams daugiau nei vienoje valstybėje narėje, prašome nurodyti tas valstybes nares, kuriose duomenų tvarkymo veikla kelia didelį pavojų duomenų subjektams.

Ar duomenų valdytojas (-ai) dalyvauja tarpvalstybiniame asmens duomenų tvarkyme ar tik jo duomenų tvarkytojai?

Ar jau esate konsultavęsis su kita priežiūros institucija dėl to paties asmens duomenų tvarkymo, keliantį didelį pavojų? Jei taip, prašome nurodyti priežiūros instituciją, kuri jums teikė išankstinę konsultaciją.

I.     BENDROJI INFORMACIJA

Duomenų valdytojo tipas

☐ Vienas duomenų valdytojas

☐ Bendri duomenų valdytojai

Kontaktinio asmens duomenys

Pareigos

Vardas ir pavardė

Telefono ryšio numeris ir (ar) elektroninio pašto adresas

Adresas korespondencijai

Duomenų apsaugos pareigūno duomenys

Ar paskirtas duomenų apsaugos pareigūnas?

☐ Taip

☐ Ne

Ar duomenų apsaugos pareigūnas ir kontaktinis asmuo yra tas pats asmuo?

☐ Taip → toliau šioje prašymo dalyje pateikite informaciją tik dėl nuomonės pateikimo

☐ Ne

Vardas ir pavardė

Telefono ryšio ir (ar) elektroninio pašto adresas

Ar duomenų apsaugos pareigūnas atlieka kitas funkcijas?

☐ Taip → nurodykite kokias kitas (ne duomenų apsaugos pareigūno) funkcijas atlieka:

☐ Ne

Ar duomenų apsaugos pareigūnas pateikė nuomonę dėl duomenų tvarkymo?

☐ Taip → prašome pateikti

☐ Ne → prašome pirmiausia pasikonsultuoti su duomenų apsaugos pareigūnu prieš kreipiantis į VDAI

Informacija apie asmenis, atlikusius PDAV

Pareigos ir atsakomybės (pavyzdžiui, asmuo atsakingas už saugumo užtikrinimą)

Vieta organizacijos struktūroje

Vardas ir pavardė

Telefono ryšio numeris ir (ar) elektroninio pašto adresas

Ar asmens duomenų tvarkymą atliksite patys?

☐ Taip→ užpildykite skiltis apie pasitelktą duomenų tvarkytoją

☐ Ne

Duomenų tvarkytojo (juridinio asmens) pavadinimas, duomenų tvarkytojo (fizinio asmens) vardas, pavardė

Duomenų tvarkytojo (juridinio asmens) juridinio asmens kodas arba duomenų tvarkytojo (fizinio asmens) fizinio asmens kodas, gimimo data (jeigu asmuo neturi asmens kodo)

Duomenų tvarkytojo (juridinio asmens) buveinės adresas arba duomenų tvarkytojo (fizinio asmens) Lietuvos Respublikos gyventojų registre nurodytos gyvenamosios vietos adresas

Duomenų tvarkytojo telefono ryšio ir (ar) elektroninio pašto adresas

Ar duomenų tvarkytojas pateikė savo nuomonę dėl numatomo asmens duomenų tvarkymo?

☐ Taip → pridėkite ją

☐ Ne

Ar duomenų tvarkymas dėl kurio kreipėtės į VDAI yra reglamentuojamas teisės aktu?

☐ Ne

☐ Taip

Ar rengiant teisės akto projektą buvo atliktas PDAV?

☐ Taip → nurodykite teisės akto pavadinimą ir pridėkite PDAV, atliktą rengiant teisės aktą, arba pateikite nuorodą į jį, jei jis skelbiamas viešai

☐ Ne

Ar atliekant šį duomenų tvarkymą bus laikomasi elgesio kodekso, ar jis bus atliekamas pagal sertifikatą?

☐ Ne

☐ Taip → prašome pateikti elgesio kodeksą ar nuorodą į jį, jei jis viešai prieinamas valstybine kalba, bei nurodyti sertifikatą

II.        DUOMENŲ TVARKYMO APRAŠYMAS

Ar šis duomenų tvarkymas dėl kurio teikiate šį prašymą yra naujas?

☐ Ne → nurodykite, kas yra keičiama duomenų tvarkyme:

☐ Taip

Jei išankstinės konsultacijos kreipiamasi dėl naujo duomenų tvarkymo, detaliai aprašykite duomenų tvarkymo operacijas ir pateikite duomenų tvarkymo veiklos įrašą pagal BDAR 30 straipsnį. Tuo atveju, jeigu šis tvarkymas susijęs kompleksiškai su kitu duomenų tvarkymu, prašome pateikti duomenų judėjimo schemą ir / ar tinklo topologiją.

Jei esamame duomenų tvarkyme yra pasikeitimų dėl kurių kreipiamasi su šiuo prašymu ir kuris kelia didelį pavojų fizinių asmenų teisėms ir laisvėms, prašome detaliai aprašyti duomenų tvarkymo operacijas (pavyzdžiui, pateikti duomenų tvarkymo veiklos įrašą pagal BDAR 30 straipsnį) ir nurodykite, kokius pakeitimus planuojate atlikti. Galite pateikti duomenų judėjimo schemą ir / ar tinklo topologiją.

Kokiu būdu ir kaip bus atliekamas duomenų tvarkymas, pavyzdžiui, automatiniu ar neautomatiniu būdu, popierine ar elektronine forma. Ar bus naudojama prieglobos paslauga ir jei taip, kokio tipo ir kokia apimtimi? Ar bus naudojamas dirbtinis intelektas ar kitos naujos technologijos?

III.       DUOMENŲ TVARKYMO TIKSLAI

Konkrečiai, išsamiai, aiškiai ir tiksliai apibūdinkite duomenų tvarkymo tikslą (venkite abstrakčių duomenų tvarkymo formuluočių, kaip pavyzdžiui, IT saugumas, paslaugos kokybės gerinimas, analizė).

IV.       KOKIA YRA NUMATOMO ASMENS DUOMENŲ TVARKYMO SĄLYGA (-OS) PAGAL BDAR 6 STRAIPSNIO 1 DALĮ?^[6]

☐

BDAR 6 straipsnio 1 dalies a punktas

Nurodykite kaip gausite duomenų subjekto sutikimą ir kokią informaciją apie duomenų tvarkymą jam pateiksite.

☐

BDAR 6 straipsnio 1 dalies b punktas

Prašome detaliai paaiškinti, kodėl numatomas duomenų tvarkymas yra būtinas sutarties vykdymui ar iki sutartinių veiksmų atlikimui.

☐

BDAR 6 straipsnio 1 dalies c punktas

Nurodykite teisės aktą ar nuorodą į teisės akto konkrečią nuostatą (straipsnį, straipsnio dalį, punktą ir kt.) numatančią teisinę prievolę, kurios vykdymui būtina tvarkyti duomenis.

☐

BDAR 6 straipsnio 1 dalies d punktas

Nurodykite gyvybinius duomenų subjekto ar kito fizinio asmens interesus, kuriuos siekiant apsaugoti būtina tvarkyti asmens duomenis.

☐

BDAR 6 straipsnio 1 dalies e punktas

Nurodykite teisės aktą ar nuorodą į teisės akto konkrečią nuostatą (straipsnį, straipsnio dalį, punktą ir kt.) numatančią užduotį, kuri vykdoma viešojo intereso labui arba pavestas viešosios valdžios funkcijas.

☐

BDAR 6 straipsnio 1 dalies f punktas

Aprašykite teisėtus interesus, kurių siekiate šiuo duomenų tvarkymu ir pagrįskite, kuo šie interesai yra viršesni už duomenų subjekto teises.

Ar duomenų tvarkymas apima ir tokių duomenų tvarkymą, kurie buvo surinkti kitais tikslais negu tie tikslai dėl kurių bus atliekamas numatomas tolesnis duomenų tvarkymas (BDAR 6 straipsnio 4 dalis)?

☐ Ne

☐ Taip

Ar numatomas tolesnis duomenų tvarkymas pagrįstas duomenų subjekto sutikimu?

☐ Taip

☐ Ne

Ar numatomas tolesnis duomenų tvarkymas pagrįstas teisės aktais?

☐ Taip→ pateikite nuorodą į jį

☐ Ne

Jei numatomas tolesnis duomenų tvarkymas nepagrįstas teisės aktais, kokiu būdu numatomo duomenų tvarkymo tikslas yra suderinamas su pradiniu duomenų rinkimo tikslu?

Koks pirminis duomenų tvarkymo tikslas?

Iš kokių šaltinių numatoma rinkti asmens duomenis?

☐ duomenų subjektų

☐ trečiųjų asmenų → nurodykite juos:

Kokios ketinamų tvarkyti asmens duomenų kategorijos?

☐ asmens duomenys (BDAR 6 straipsnis)

☐ specialių kategorijų asmens duomenys (BDAR 9 straipsnis)

☐ asmens duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas (BDAR 10 straipsnis)

☐ asmens kodai (ADTAĮ 3 straipsnis)

Jei ketinama tvarkyti specialių kategorijų asmens duomenis, nurodykite, kuria išimtimi, numatyta BDAR 9 straipsnio 2 dalyje, grindžiate jų tvarkymą.^[7]

☐

BDAR 9 straipsnio 2 dalies a punktas

Nurodykite kokiu būdu gausite duomenų subjekto sutikimą.

☐

BDAR 9 straipsnio 2 dalies b punktas

Nurodykite konkretų teisės aktą bei jo punktus.

☐

BDAR 9 straipsnio 2 dalies c punktas

Nurodykite dėl kokių fizinių ar teisinių priežasčių duomenų subjektas negalėtų duoti sutikimo.

☐

BDAR 9 straipsnio 2 dalies d punktas

Paaiškinkite, kodėl reikia laikyti, kad numatomas duomenų tvarkymas bus atliekamas vykdant teisėtą veiklą, taip pat nurodykite kokios apsaugos priemonės bus taikomos.

☐

BDAR 9 straipsnio 2 dalies e punktas

Paaiškinkite, kokiu būdu ir kokiomis aplinkybėmis duomenų subjektai savo duomenis yra paskelbę viešai.

☐

BDAR 9 straipsnio 2 dalies f punktas

Pagrįskite šio tvarkymo būtinumą šiais tikslais.

☐

BDAR 9 straipsnio 2 dalies g punktas

Nurodykite teisės aktą ar nuorodą į teisės akto konkrečią nuostatą (straipsnį, straipsnio dalį, punktą ir kt.), kuris numato priežastis vykdyti duomenų tvarkymą viešojo intereso labui bei konkrečias priemones, kurių buvo imtasi siekiant apsaugoti duomenų subjektų teises ir teisėtus interesus. 

☐

BDAR 9 straipsnio 2 dalies h punktas

Ar duomenis tvarkys sveikatos priežiūros specialistas ar kitas asmuo, kuriam taikoma pareiga saugoti paslaptį (BDAR 9 straipsnio 3 dalis). Nurodykite asmens pareigas ir funkcijas. 

☐

BDAR 9 straipsnio 2 dalies i punktas

Nurodykite viešąjį interesą, kurio siekiate šiuo duomenų tvarkymu bei teisės aktą, kuriuo nustatomas šis duomenų tvarkymas.

☐

BDAR 9 straipsnio 2 dalies j punktas

Nurodykite teisinį pagrindą bei technines ir organizacines priemones pagal BDAR 89 straipsnį.

Kokių duomenų subjektų kategorijų asmens duomenys bus tvarkomi?

☐

Darbuotojai

☐

Vartotojai

☐

Klientai

☐

Tiekėjai

☐

Viešųjų paslaugų gavėjai

☐

Nepilnamečiai

☐

Pacientai

☐

Asmenys su negalia

☐

Kita (detalizuokite)

Apytikslis duomenų subjektų, kurių duomenis ketinama tvarkyti, skaičius

Ar dėl numatomo asmens duomenų tvarkymo buvo gauta duomenų subjektų ar jų atstovų nuomonė?

☐ Taip → pridėkite jas arba apibendrinkite gautas nuomones

☐ Ne → nurodykite priežastis, dėl kurių duomenų subjektų ar jų atstovų nuomonės nebuvo prašoma

Ar atliekamam duomenų tvarkymui bus taikomas automatizuotas sprendimų priėmimas, įskaitant ir profiliavimą?

☐ Taip → paaiškinkite, kaip tai bus atliekama

☐ Ne

V.        ASMENS DUOMENŲ TVARKYMO BŪTINUMAS IR PROPORCINGUMAS

Kodėl duomenų tvarkymas yra būtinas siekiant nustatyto tikslo? Paaiškinkite, kodėl šio tikslo negalima pasiekti netvarkant asmens duomenų arba kitais, mažiau privatumą pažeidžiančiais būdais. Jei tai yra esamo duomenų tvarkymo pakeitimas, paaiškinkite kodėl šis pakeitimas yra būtinas.

Pagrįskite kiekvieno atskiro duomens tvarkymo būtinumą nustatytam tikslui pasiekti (iliustruokite pavyzdžiais).

Nurodykite saugojimo terminą ir jį pagrįskite.

VI.       DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMAS

Skaidrumas / informacija: Kaip duomenų subjektai bus informuojami apie duomenų tvarkymą?

Aprašykite, kaip bus įgyvendintos duomenų subjektų teisės, įtvirtintos BDAR III skyriuje nuo 15 straipsnio iki 22 straipsnio imtinai?

VII.     ASMENS DUOMENŲ TIKSLUMAS IR ATNAUJINIMAS

Kaip bus užtikrintas duomenų tikslumas ir kaip prireikus jie bus atnaujinami?

VIII.    DUOMENŲ GAVĖJAI IR PRIEIGA PRIE DUOMENŲ

Nurodykite pareigas ir funkcijas asmenų, kurie turės prieigą prie duomenų?

Ar tretieji asmenys turės prieigą prie šių duomenų?

☐ Taip → apibūdinkite duomenų teikimo tvarką:

☐ Ne

IX.       DUOMENŲ TEIKIMAS Į TREČIĄSIAS VALSTYBES

Ar duomenys bus perduodami į trečiąsias valstybes ar tarptautinėms organizacijoms?

☐ Taip → nurodykite trečiąsias valstybes ar tarptautines organizacijas, ir jeigu teikimas grindžiamas BDAR 49 straipsnio 1 ir 2 dalimis, pridėkite dokumentus, patvirtinančius dėl tinkamo apsaugos priemonių taikymo:

☐ Ne

X.        DUOMENŲ TVARKYMO KELIAMOS RIZIKOS ANALIZĖ

Aprašykite didelį pavojų, kurį kelia numatomas duomenų tvarkymas duomenų subjektų teisėms ir laisvėms (ne tik teisės į privatų gyvenimą, bet ir kitoms pagrindinėms žmogaus teisėms ir laisvėms, tokioms kaip teisė į saviraiškos laisvę, žodžio laisvę ir kt.), nepaisant, Jūsų priemonių, kurias taikant siekiama jį sumažinti.

Apibūdinkite galimas neigiamas pasekmes, kurias gali patirti duomenų subjektai dėl Jūsų numatomo duomenų tvarkymo (pavyzdžiui, diskriminacija; tapatybės vagystė; finansiniai nuostoliai; žala reputacijai; teisių apribojimas; neskelbtinos informacijos atskleidimas).

Apibūdinkite šių galimų neigiamų pasekmių šaltinį, t. y. ar neigiamos pasekmės gali kilti dėl asmens naudojamos technikos ar naudojamų fizinių priemonių. Taip pat nurodykite, ar ši rizika yra vidinė ar išorinė.

Nurodykite neigiamų padarinių tikimybę

Nurodykite galimą padarinių rimtumą

Nurodykite, ar rizikos valdymo analizė yra atlikta remiantis tarptautiniais standartais (pavyzdžiui, ISO 31000; ISO 27005) ar tarptautinių organizacijų (pavyzdžiui, ISACA, ENISA, CompTIA) rekomendacijomis, gairėmis ar panašiai?  Prašome juos nurodyti.

Apibūdinkite technines ir organizacines saugumo priemones taikomas tvarkant duomenis

Asmens duomenų saugumo politika ir procedūros

☐

Ar asmens duomenų ir jų tvarkymo saugumas yra dokumentuotas kaip informacijos saugumo politikos dalis?

☐

Ar saugumo politika peržiūrima ir prireikus atnaujinama? Kokiu dažnumu tai daroma?

Vaidmenys ir atsakomybės

☐

Аr su asmens duomenų tvarkymu susiję vaidmenys ir atsakomybės aiškiai apibrėžti ir paskirstyti pagal saugumo politiką?

☐

Ar yra numatytas ir aiškiai apibrėžtas darbuotojų teisių ir pareigų atšaukimas taikant atitinkamas vaidmenų ir atsakomybių perdavimo procedūras (vidaus organizacijos pertvarkymo ar darbuotojų atleidimo, funkcijų pasikeitimo metu)?

Prieigos valdymo politika

☐

Ar kiekvienam vaidmeniui, susijusiam su asmens duomenų tvarkymu, yra priskiriamos konkrečios prieigos kontrolės teisės, vadovaujantis principu „būtinybė žinoti“ (angl. need to know)? Kokiame dokumente ar informacinių technologijų (toliau – IT) sistemoje tai numatyta?

Išteklių ir turto valdymas

☐

Ar duomenų valdytojas  turi IT išteklių, naudojamų asmens duomenims tvarkyti, registrą (techninės, programinės ir tinklo įrangos sąrašą)?

☐

Ar IT išteklių registro tvarkymas priskirtas konkrečiam asmeniui, pavyzdžiui, IT specialistui?

☐

Ar IT išteklių registras reguliariai prižiūrimas ir atnaujinamas? Kokiu dažnumu?

Pakeitimų valdymas

☐

Ar visi IT sistemų pakeitimai stebimi ir registruojami konkretaus asmens (pavyzdžiui., IT specialisto arba saugos pareigūno)?

☐

Ar programinės įrangos kūrimas atliekamas specialioje aplinkoje, kuri nėra prijungta prie IT sistemų, naudojamų tvarkant asmens duomenis. Ar testuojant sistemas naudojami testiniai (ne realūs) duomenys?

Duomenų tvarkytojai

☐

Ar su domenų valdytojo valdomų duomenų tvarkytojais apibrėžtos, dokumentuotos ir suderintos formalios gairės ir procedūros, taikomos duomenų tvarkytojams (rangovams / užsakomųjų paslaugų teikėjams) dėl asmens duomenų tvarkymo? Ar šios gairės ir procedūros nustato tokį patį (ne žemesnį) asmens duomenų saugumo lygį, koks yra numatytas duomenų valdytojo saugumo politikoje?

☐

Ar sutartyse su duomenų tvarkytojas numatyta prievolė nepagrįstai nedelsiant pranešti duomenų valdytojui apie nustatytus asmens duomenų saugumo pažeidimus?

☐

Ar duomenų tvarkytojai yra pateikę dokumentais pagrįstus įrodymus dėl atitikties keliamiems reikalavimams?

Asmens duomenų saugumo pažeidimai ir incidentai

☐

Ar yra fiksuojami (dokumentuojami) asmens duomenų saugumo pažeidimai?

☐

Ar yra parengta išsami reagavimo į incidentus ir jų padarinių likvidavimo tvarka (reagavimo į incidentus planas), užtikrinanti veiksmingą incidentų, susijusių su asmens duomenų saugumo pažeidimais, valdymą?

☐

Ar nustatyta pranešimo apie asmens duomenų saugumo pažeidimus kompetentingoms institucijoms ir duomenų subjektams tvarka, vadovaujantis BDAR 33 ir 34 straipsniais?

Veiklos tęstinumas

☐

Ar yra nustatytos pagrindinės procedūros, kurių reikia laikytis incidento / asmens duomenų saugumo pažeidimo atveju, kad būtų užtikrintas reikiamas asmens duomenų tvarkymo IT sistemomis tęstinumas ir prieinamumas?

Personalo konfidencialumas

☐

Ar vaidmenys ir atsakomybės aiškiai išdėstyti darbuotojui prieš pradedant vykdyti jam paskirtas funkcijas ir darbus?

Mokymai

☐

Ar duomenų valdytojas užtikrina, kad visi darbuotojai būtų tinkamai informuoti apie IT sistemų saugumo reikalavimus, susijusius su jų kasdieniu darbu?

☐

Ar darbuotojai, susiję su asmens duomenų tvarkymu, mokomi apie atitinkamų duomenų apsaugos reikalavimus ir atsakomybę, rengiant reguliarius mokymus, informavimo renginius / instruktažus? Kokiu dažnumu vyksta mokymai?

Prieigų kontrolė ir autentifikavimas

☐

Ar yra įdiegta / įgyvendinta Prieigų kontrolės sistema, kuri taikoma visiems IT sistemos naudotojams? (Prieigų kontrolės sistema turi leisti kurti, patvirtinti, peržiūrėti ir panaikinti naudotojų paskyras)

☐

Ar yra naudojamos bendros naudotojų paskyros? Jeigu taip, ar visi bendros paskyros naudotojai turi tokias pačias teises ir pareigas?

☐

Ar yra veikiantis autentifikavimo mechanizmas, leidžiantis prieigas prie IT sistemų (paremtas Prieigų kontrolės politika)? Ar duomenų valdytojas užtikrina minimalų reikalavimą naudotojui prisijungti prie IT sistemos naudotojo prisijungimo vardu ir slaptažodžiu? Ar slaptažodžiai sudaromi atsižvelgiant į tam tikrą kompleksiškumo lygį? Kokios slaptažodžio sudarymo taisyklės?

☐

Ar Prieigų kontrolės sistema turi galimybę aptikti ir neleisti naudoti slaptažodžių, kurie neatitinka tam tikro kompleksiškumo lygio?

Techninių žurnalų įrašai ir stebėsena

☐

Ar techninių žurnalų įrašai įgyvendinti kiekvienai IT sistemai / taikomajai programai, naudojamai asmens duomenų apdorojimui? Ar techniniuose žurnaluose matomi bent šie prieigų prie asmens duomenų įrašų tipai: data, laikas, peržiūrėjimas, keitimas, panaikinimas? Koks šių įrašų saugojimo terminas?

☐

Ar techninių žurnalų įrašai turi laiko žymas ir ar jie apsaugoti nuo galimo sugadinimo, suklastojimo ar neautorizuotos prieigos? Ar IT sistemose naudojami laiko apskaitos mechanizmai sinchronizuoti pagal bendrą laiko atskaitos šaltinį?

Tarnybinių stočių / duomenų bazių apsauga

☐

Ar duomenų bazės ir taikomųjų programų tarnybinės stotys sukonfigūruotos taip, kad veiktų korektiškai ir naudotų atskirą paskyrą su priskirtomis žemiausiomis operacinės sistemos privilegijomis?

☐

Ar duomenų bazės ir taikomųjų programų tarnybinės stotys apdoroja tik tuos asmens duomenis, kurie yra reikalingi darbui, atitinkančiam duomenų tvarkymo tikslus?

Darbo stočių apsauga

☐

Ar yra užtikrinta, kad naudotojai neturėtų galimybės išjungti ar apeiti / išvengti saugos nustatymų?

☐

Kokios antivirusinės taikomosios programos naudojamos darbo vietose? Kaip dažnai atnaujinamos šių programų virusų duomenų bazės?

☐

Ar darbo vietose užtikrinta, kad naudotojai neturėtų privilegijų diegti, šalinti, administruoti neautorizuotos programinės įrangos?

☐

Ar IT sistemose (įskaitant darbo vietų operacines sistemas) nustatytas sesijos laikas (naudotojui esant neaktyviam sistemoje nustatytą laiką, jo sesija nutraukiama)? Jeigu taip, koks nustatytas neaktyvios sesijos laikas?

☐

Ar kritiniai operacinių sistemų saugos atnaujinimai diegiami reguliariai ir nedelsiant?

Tinklo / komunikacijos sauga

☐

Kai prieiga prie naudojamų IT sistemų yra vykdoma internetu ar naudojami šifruoti komunikacijos kanalai, t. y. kriptografiniai protokolai (pavyzdžiui, TLS/SSL)?

Atsarginės kopijos

☐

Ar duomenų atsarginės kopijos ir duomenų atstatymo procedūros apibrėžtos, dokumentuotos ir aiškiai susaistytos su vaidmenimis ir pareigomis?

☐

Ar atsarginių kopijų laikmenoms užtikrintas tinkamas fizinis aplinkos / patalpų saugos lygis?

☐

Ar atsarginių kopijų darymo procesas stebimas, siekiant užtikrinti užbaigtumą / išsamumą?

☐

Ar pilnos atsarginės duomenų kopijos daromos reguliariai? Jei taip, tai kokiu dažnumu daromos pilnos ir/ar pridedamosios kopijos?

Mobilūs / nešiojami įrenginiai

☐

Ar nustatytos ir dokumentuotos mobilių ir nešiojamų įrenginių administravimo procedūros, aiškiai aprašant tinkamą tokių įrenginių naudojimąsi?

☐

Ar mobilūs / nešiojami įrenginiai, kuriais naudojamasi darbui su informacinėmis sistemomis, prieš naudojimąsi užregistruojami ir autorizuojami?

☐

Ar mobilūs įrenginiai yra pakankamame prieigos kontrolės procedūrų lygyje kaip ir kita naudojama įranga asmens duomenų tvarkymui?

Programinės įrangos sauga

☐

Ar informacinėse sistemose naudojama programinė įranga (asmens duomenims tvarkyti) atitinka programinės įrangos saugos gerąsias praktikas, programinės įrangos kūrime taikomas saugos gerąsias praktikas, programinės įrangos kūrimo struktūras (angl. frameworks), standartus?

☐

Ar specifiniai saugos reikalavimai buvo apibrėžti pradiniuose programinės įrangos kūrimo etapuose?

☐

Ar laikomasi duomenų saugą užtikrinančių programavimo standartų ir gerųjų praktikų? Jei taip, tai kokių?

☐

Ar programinės įrangos kūrimo, testavimo ir verifikacijos etapai vyksta atsižvelgiant į pagrindinius saugos reikalavimus?

Duomenų naikinimas / šalinimas

☐

Ar prieš pašalinant bet kokią duomenų laikmeną visi joje esantys duomenys sunaikinami naudojant tam skirtą programinę įrangą, kuri palaiko patikimus duomenų naikinimo algoritmus? Tais atvejais, kai tai padaryti neįmanoma (pavyzdžiui., CD/DVD diskai, ir pan.) ar vykdomas fizinis duomenų laikmenos sunaikinimas be galimybės atstatyti?

☐

Ar popierius ir nešiojamos duomenų laikmenos, kuriuose buvo saugomi / kaupiami asmens duomenys, naikinami tam skirtais smulkintuvais arba kitomis mechaninėmis priemonėmis?

Fizinė sauga

☐

Ar yra įgyvendinta fizinė aplinkos / patalpų, kuriose yra IT sistemų infrastruktūra, apsauga nuo neautorizuotos prieigos?

Pridedami dokumentai:

1.

2.

3.

4.

5.

6.

7.

8.

9.

10.