Nuo duomenų saugos ir atitikties iki verslo sėkmės: svarbiausia – suvokti bendrą tikslą
Duomenų apsaugos ir atitikties reikalavimų reglamentavimas pastaraisiais metais tapo iššūkiu ne vienai organizacijai – nauji teisės aktai atnešė pokyčių, prie kurių verslas privalo taikytis, norėdamas užsitikrinti sėkmingą veiklą. GENERAL FINANCING BANKAS dalijasi patirtimi, kaip tokias permainas organizacijoje įgyvendinti natūraliai ir be įtampos.
Duomenų apsaugos pareigūno pozicija įstaigoje, atitikties departamentai ir padalinių bendradarbiavimas atitikties klausimais – šiomis dienomis jau įprasti procesai versle. Vienas svarbiausių veiksnių, lemiančių nuoseklų atitikimą teisės reikalavimams – nuoširdus bendradarbiavimas šiais klausimais organizacijos viduje, ir tuo itin džiaugiasi Eglė Urbonavičienė, GENERAL FINANCING BANKO duomenų apsaugos pareigūnė.
„Mūsų darbuotojai duomenų sauga ir atitiktimi rūpinasi ne dėl to, kad yra įbauginti baudų ar sankcijų, o todėl, kad jiems rūpi klientas – jis turi būti saugus, žinoti, kad jo duomenys tinkamai tvarkomi“, – pažymi E. Urbonavičienė.
Dinamiška pareigybė
Daugiau nei prieš metus prie GENERAL FINANCING BANKO komandos prisijungusi E. Urbonavičienė karjerą duomenų apsaugos srityje pradėjo dar 2008-aisiais – iš pradžių valstybiniame sektoriuje, vėliau konsultacinėje bendrovėje.
„Ši tema mane sudomino, ji taip ir liko su manimi iki šiol. Įdomiausia šio darbo dalis – tai, kad galima gvildenti įvairiausias situacijas, nesi pririštas prie vienos siauros srities. Duomenų apsauga svarbi tiek finansų, tiek bet kurioje kitoje srityje. Dirbant duomenų apsaugos pareigūnu organizacijos viduje, tenka intensyviai bendradarbiauti su visais padaliniais, iškilusias idėjas subrandinti ir tinkamai iki galo įgyvendinti. Prireikia spręsti ir kasdienius, ir strateginius klausimus – tai tikrai dinamiška pareigybė“, – paaiškina pašnekovė.
Prisimindama 2018-uosius, kai įsigaliojęs Bendrasis duomenų apsaugos reglamentas (BDAR) daliai organizacijų atrodė lyg staiga užgriuvusi našta, E. Urbonavičienė pažymi – iš esmės visi šie reikalavimai nebuvo naujovė.
„Mano požiūriu, dauguma BDAR įtvirtintų principų jau egzistavo anksčiau, žemesnės grandies teisės aktuose. Žinoma, nebuvo numatyta didelių baudų – jos daugelį privertė atkreipti dėmesį į jau galiojančius reikalavimus. Reglamentas suteikė daugiau aiškumo patiems duomenų subjektams, o tokios jų teisės kaip teisė būti pamirštam ar teisė į duomenų perkeliamumą tapo aiškiau apibrėžtos“, – pasakoja duomenų apsaugos specialistė.
Ji priduria, kad kai kur manoma, jog duomenų apsaugos reikalavimai – tai našta organizacijoms, ir siūlo keisti šį požiūrį.
„Banke stengiuosi kiek įmanoma atskleisti visų šių reikalavimų naudą veiklai. Tai nėra tik privalomas atitikimas reikalavimams, bet ir pagalba verslo veikloje. Tarkime, konkretus pavyzdys – tiesioginės rinkodaros sutikimai. Tai daug diskusijų kelianti sritis, su ja susiję daug reikalavimų, tuo pačiu ši sritis itin svarbi organizacijoms, kadangi iš tiesioginės rinkodaros atkeliauja nemaža dalis sutarčių ir užsakymų. Taigi, turime labai kruopščiai nustatyti reikalavimus, kaip surinkti tiesioginės rinkodaros sutikimus; kita vertus, gauname itin vertingos informacijos – sutikimų kiekis, užsakymais virstančių sutikimų dalis, laikotarpio dinamika – visa tai verslui leidžia įsivertinti, ar reikia imtis papildomų veiksmų, siekiant pritraukti klientus, ar reikia priimti naujus sprendimus dėl veiklos gerinimo“, – pažymi E. Urbonavičienė.
Jai pritaria Agnė Duksienė, GENERAL FINANCING BANKO Atitikties pareigūnė, vadovaujanti Teisės ir atitikties departamentui: „Kilus pirmosioms kalboms apie BDAR įsigaliojimą, daug kam atrodė, kad duomenų apsauga bus reglamentuojama pernelyg griežtai, o reglamento reikalavimai atrodė pertekliniai. Mūsų požiūris buvo kitoks. Iškart pradėjome komunikavimo, apmokymo darbus organizacijoje, išsigryninome, ką privalu atlikti, kad pasiruoštume reglamento įgyvendinimui. Duomenų apsaugai dėmesio skyrėme ir anksčiau, tad galiausiai pokyčiai įvyko organiškai ir natūraliai.“
Iki užduoties įvykdymo – nuoseklus kelias
Vienas iš skyrių, su kuriuo GENERAL FINANCING BANKE dažniausiai tenka susidurti duomenų apsaugos pareigūnei – Informacinių sistemų kūrimo ir palaikymo skyrius. Jo vadovas Donatas Jovarauskas, kalbėdamas apie reikalavimus, atėjusius drauge su BDAR, taip pat sutinka – tai nebuvo vienos dienos klausimas: „Buvo netrumpas pereinamasis laikotarpis, per kurį buvo galima pasiruošti ir sutvarkyti visas duomenų tvarkymo operacijas.“
Pasak D. Jovarausko, jo vadovaujamam skyriui tenka spręsti daugybę užduočių – nuo kasdienių iki unikalių, kai būtinas didelis įdirbis.
„Duomenų apsaugos pareigūnė, gavusi kliento prašymą pamiršti tam tikrus duomenis – analizuoja užduotį, pagal galiojančius teisės aktus nustato, kurios dalies duomenų nebeprivalome saugoti. Tuomet formuluojama užduotis IT, ir užsakytas pakeitimas patenka į mūsų darbų sąrašą. Viena – automatizuoti procesai, tam tikri jau sukurti veikiantys funkcionalumai, ir jau kas kita – unikali užduotis ar situacija, su kuria susiduriame pirmą kartą. Dirbdami privalome užtikrinti kokybę ir greitą reagavimą, išanalizuoti užsakymą, įvertinti, kokia jo sąveika su kitais duomenims ar procesais. Analizė, architektūrinis pakeitimo sprendimas, programavimas, testavimas, perdavimas testuoti verslui – iki užduoties įvykdymo dažnai tenka nueiti netrumpą kelią“, – pasakoja D. Jovarauskas.
E. Urbonavičienė priduria, kad duomenų saugumas neretai suvokiamas pernelyg siaurai ir yra siejamas vien su konfidencialumu. Tačiau negalima užmiršti kitų dviejų duomenų saugumo savybių – vientisumo ir prieinamumo.
„Vientisumas – duomenys turi būti teisingi, tikslūs, neiškraipyti. Prieinamumas reiškia, kad duomenys turi būti mums prieinami, sistemos turi veikti be sutrikimų, kitaip prarastume klientus“, – paaiškina specialistė.
GENERAL FINANCING BANKE, be visų kitų duomenų saugumo ir atitikties reikalavimų užtikrinimo procedūrų, taip pat įdiegti trys svarbūs tarptautiniai standartai, padedantys užtikrinti saugų informacijos ir IT paslaugų valdymą bei kokybiškus procesus – ISO/IEC 27001, ISO/IEC 9001 ir ISO/IEC 20000-1.
Balansas tarp rizikų ir kliento poreikių
Atitikties sričiai GENERAL FINANCING BANKE vadovaujanti A. Duksienė pabrėžia, kad kaip finansų organizacijai įmonei visada buvo keliami aukšti duomenų saugumo ir rizikos valdymo reikalavimai. Pasak jos, šiai sričiai organizacijoje visada buvo skiriama daug dėmesio, nemenka dalis patirties buvo perimta laikotarpiu, kai įstaiga buvo „Societe Generale“ grupės dalimi.
„Kaip minėjau, BDAR įgyvendinimas mums nesukėlė didelių sunkumų, nes tam pasiruošėme iš anksto, ir iki šiol šiai sričiai skiriame daug dėmesio. Dabar taip pat itin daug reikšmės teikiama kitai – pinigų plovimo prevencijos (AML) – sričiai. Kalbant apie koreliaciją tarp šių dviejų sričių, kartais tenka spręsti gan sudėtingas užduotis – esame įstatymais įpareigoti surinkti pakankamai informacijos apie klientus, juos pažinti, patikrinti iš jų gautą informaciją. Tačiau tai ne visada paprasta, nes dalį informacijos sunku patikrinti dėl duomenų apsaugą reglamentuojančių teisės aktų reikalavimų. Susiduriame su situacijomis, kai klientams reikia išsamiai paaiškinti, kodėl duomenys renkami, kaip jie bus tvarkomi. Balansuojame, kad veiktume saugiai ir valdytume rizikas, ir tuo pačiu – kad klientai būtų patenkinti“, – apie iškylančius iššūkius pasakoja A. Duksienė.
Apibendrindama duomenų apsaugos ir atitikties procedūras GENERAL FINANCING BANKE, A. Duksienė pabrėžia, kad atitiktis – tai klientų pasitikėjimo garantas.
„Tai ir yra didžiausia nauda organizacijai. Mūsų klientai žino, kad gali mumis pasitikėti ir jų pateikta informacija bus saugi. O darbuotojai – nuo aukščiausios vadovybės iki visų padalinių – puikiai suvokia tikslą, kodėl visa tai daroma. Svarbu ir tai, kad tvarkome ne tik klientų, bet ir darbuotojų duomenis – jie taip pat turi jaustis saugūs ir užtikrinti. Galiu patikinti, kad GENERAL FINANCING BANKE atitikties kultūra yra itin gyva nuo pat įmonės įkūrimo ir dėmesys šiai sričiai tik stiprės“, – sako A. Duksienė.