Slaptas ginklas įmonėje: darbuotojų duomenys, kurie gali lemti nacionalinį saugumą

Gynybos ir saugumo sektorius šiandien yra ne tik viena labiausiai technologijų varomų sričių, bet ir viena jautriausių. Įmonėse dirbantys specialistai kasdien turi prieigą prie informacijos, medžiagų ir procesų, kurie gali turėti tiesioginę įtaką nacionaliniam saugumui. Todėl patikimas, atsakingas ir tikrinamas personalas čia yra ne „prabangos“ reikalas, o būtinybė. Vis dėlto praktikoje ši sritis atsiduria sudėtingoje padėtyje – darbuotojų asmens duomenų rinkimas tampa itin jautrus ir griežtai reguliuojamas procesas, kuriame BDAR taisyklės dažnai kertasi su būtinybe užtikrinti aukščiausio lygio saugumą. Kodėl saugumo sektoriui būtina „žinoti savo darbuotoją“?

1. Nacionalinis ir viešasis saugumas

Ginklų, dvigubos paskirties gaminių ar kitų jautrių technologijų gamyba – ypatingos svarbos veikla. Vienas nepatikimas darbuotojas gali reikšti technologijų nutekinimą, neleistiną ginklų panaudojimą ar net diversiją. Darbuotojų patikimumo tikrinimas – pirmoji gynybos linija.

2. Rizikos prevencija ir teisinė atsakomybė

Saugumo sektoriaus įmonės privalo užtikrinti patikimas tiekimo grandines, laikytis eksporto kontrolės, sankcijų, pinigų plovimo ir teroristų finansavimo prevencijos reikalavimų. Darbuotojai, turintys teistumų ar susiję su pažeidimais šiose srityse, kelia didelę riziką visai veiklai.

3. Komercinių paslapčių ir technologijų apsauga

Šiame sektoriuje intelektinė nuosavybė, jautri informacija yra realus strateginis turtas. Patikimo personalo atranka padeda užtikrinti, kad konfidenciali informacija išliktų įmonėje.

4. Atsparumas vidaus ir išorės grėsmėms

Šnipinėjimas, infiltracija ir korupcija – ne teorinės, o realios rizikos. Jos kainuoja daug, todėl duomenų pagrindu atliekamas patikimumo vertinimas tampa esminiu veiklos elementu. Problema: teisės aktai nepasako visko Nors sektorius itin rizikingas, teisės aktuose nėra aiškaus darbuotojų tikrinimo standarto, kuris atspindėtų skirtingas įmonių rizikas. Todėl realybėje įmonės turi pačios susikurti duomenų rinkimo modelį, užtikrinti BDAR atitiktį ir įrodyti, kad tvarko tik tiek duomenų, kiek būtina. Tai – sudėtinga, bet įgyvendinama užduotis. Kokie duomenys saugumo sektoriuje privalo būti renkami? Šie duomenys priklauso prie ypatingų kategorijų, tačiau jų rinkimas būtinas dėl teisinių ir nacionalinio saugumo reikalavimų:

• Teistumo / neteistumo duomenys
• Psichinės ir fizinės sveikatos duomenys
• Tapatybės ir pilietybės informacija
• Informacija iš VSD apie rizikas nacionaliniam saugumui

Kokius duomenis įmonės gali rinkti savo nuožiūra? Priklausomai nuo rizikų, įmonė gali pagrįsti poreikį rinkti papildomą informaciją:

• duomenis apie šeimos narius,
• atleidimo pagrindus iš buvusių darboviečių,
• įrašus iš Sankcijų registro,
• vaizdo stebėjimo duomenis,
• praėjimo kontrolės ir kitas identifikavimo priemones.

Svarbiausia – turėti pagrįstą poreikį ir atliktą teisėto intereso vertinimą. Ką įmonė turi padaryti, kad atitiktų BDAR? (Bet išliktų saugi ir funkcionali)

1. Aiškiai nustatyti teisinį duomenų tvarkymo pagrindą

Kada tai privaloma įstatymu? O kada – įmonės teisėtas interesas?

2. Atlikti duomenų apsaugos poveikio vertinimą (DPIA)

Ypač dėl vaizdo stebėjimo ir biometrinių duomenų.

3. Parengti vidines duomenų tvarkymo taisykles ir procedūras
4. Nustatyti darbuotojų prieigos lygius
5. Įforminti duomenų dalijimąsi sutartimis
6. Užtikrinti duomenų minimizavimą
7. Laikytis saugojimo terminų ir savalaikio duomenų sunaikinimo
8. Parengti aiškų informavimą kandidatams ir darbuotojams
9. Sustiprinti IT ir fizinės apsaugos priemones
10. Organizuoti reguliarius mokymus pagal rizikas
11. Turėti incidentų valdymo procedūrą
12. Dokumentuoti visą tvarkymo veiklą
13. Atlikti teisėto intereso balanso testus, kai remiamasi įmonės interesu.

Ar tai administracinė našta? Taip. Ar ji būtina? Dar labiau taip. Šio sektoriaus įmonės realiai renka vienus jautriausių duomenų. Tai reikalauja nuolatinio dokumentavimo, vertinimo, atnaujinimų ir veikimo pagal rizikas. Tačiau ši „našta“ yra sudedamoji nacionalinio saugumo dalis. Be jos – neįmanoma sukurti veikiančios, patikimos ir atsparios gynybos ekosistemos.