Duomenų apsaugos pareigūnas Allaw® supažindina

2020 m. gegužės mėn. Valstybinė duomenų apsaugos inspekcija (toliau - VDAI) paskelbė laikinai sustabdanti Nacionalinio visuomenės sveikatos centro (toliau - NVSC) programėlės „Karantinas“ naudojimą ir pradedanti tyrimą dėl ja tvarkomų asmens duomenų. O 2021m. vasario mėn. pabaigoje po VDAI atlikto tyrimo NVSC ir programėlę kūrusiai UAB „IT sprendimai sėkmei“ skirtos atitinkamai 12 tūkst. ir 3 tūkst. eurų baudos dėl Bendrojo duomenų apsaugos reglamento (BDAR) pažeidimų. Kokie pažeidimai lėmė baudos skyrimą ir ko galėtų pasimokyti kiti duomenų valdytojai? Apie tai supažindina Duomenų apsaugos pareigūnas Allaw.

Vienas iš pažeidimų - neatliktas PDAV


VDAI tyrimo metu nustatyta, kad atsižvelgiant į BDAR 35 str. 1 d. (tais atvejais, kai dėl duomenų tvarkymo rūšies, visų pirma, kai naudojamos naujos technologijos, ir atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, fizinių asmenų teisėms bei laisvėms gali kilti didelis pavojus) dėl programėle tvarkomų asmens duomenų turėjo būti atliktas poveikio duomenų apsaugai vertinimas (PDAV)

VDAI teigimu, asmens duomenų tvarkymas programėle laikytinas tvarkymu naudojant naują technologiją, taip pat laikytinas sisteminga stebėsena, kadangi šiuo atveju duomenų tvarkymas vykdytas duomenų subjektų, naudojančių programėlę saviizoliacijos stebėsenos ir kontrolės tikslu. Taip pat programėlės pagalba buvo numatyta tvarkyti didelį skaičių duomenų subjektų asmens duomenų visos Lietuvos teritorijoje ir už jos ribų. Be to, pagal VDAI tyrimo metu surinktą informaciją, darytina išvada, kad asmens duomenų tvarkymą buvo numatoma vykdyti nuolatos. Buvo tvarkomi pažeidžiamais įvardintų asmenų, t. y. pacientų, vaikų, vyresnio amžiaus asmenų ir pan. asmens duomenys, įskaitant, bet neapsiribojant, sveikatos duomenimis.

Allaw duomenų apsaugos pareigūnas atkreipia dėmesį, kad poveikio duomenų apsaugai vertinimo metu yra aprašomi ketinami tvarkyti asmens duomenys, vertinamas bei dokumentuojamas jų tvarkymo būtinumas ir proporcingumas, nustatomos ir vertinamos rizikos asmens duomenų teisėms ir laisvėms bei jų atsiradimo tikimybė ir nustatomos priemonės šioms rizikoms valdyti. Tai leidžia pritaikyti tinkamas duomenų saugumo priemones, nepažeisti duomenų tvarkymo principų ir užtikrinti, kad ketinamas vykdyti asmens duomenų tvarkymas nepažeis BDAR reikalavimų.

Kokie pažeidimai buvo įvykdyti bei ko gali pasimokyti kiti duomenų valdytojai?

Taikytos nepakankamos duomenų saugumo priemonės


Be kitų pažeidimų VDAI nustatė, kad NVSC, vykdydamas užkrečiamųjų ligų profilaktikos ir kontrolės funkciją ir tvarkydamas asmens duomenis, surinktus programėle, tvarkė ir valstybės informacinius išteklius, o valstybės informacinių išteklių kūrimas ir tvarkymas, neaprašytas valstybės informacinių sistemų nuostatuose, pažeidė BDAR 24 ir 32 straipsnių reikalavimus dėl tinkamų organizacinių priemonių įgyvendinimo ir BDAR 5 straipsnio 1 dalies f punkte numatytą vientisumo ir konfidencialumo principą (asmens duomenys turi būti tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo).

Allaw Duomenų apsaugos pareigūnas pažymi, kad kuriant (diegiant) ar vertinant turimas organizacines ir technines duomenų saugumo priemones, organizacija turi visapusiškai atsižvelgti į duomenų tvarkymo pobūdį, aprėptį ir kontekstą bei tikslus ir riziką, susijusią su pavojais fizinių asmenų teisėms ir laisvėms. BDAR 24 ir 32 str. įpareigoja organizacijas visais atvejais atlikti rizikos vertinimą tam, kad būtų nustatytos ir taikomos pakankamos duomenų saugumo priemonės.

Nesilaikyta duomenų tvarkymo principų


BDAR 5 str. nustatyti su asmens duomenų tvarkymu susiję principai, užtikrinantys duomenų tvarkymo teisėtumą. VDAI atkreipia dėmesį, kad NVSC ir UAB „IT sprendimai sėkmei“ neįrodė programėle vykdyto asmens duomenų tvarkymo teisėtumo, VDAI konstatavo BDAR 5 straipsnio 1 dalyje numatyto teisėtumo principo pažeidimą. Kadangi tikrinimo metu nei NVSC, nei UAB „IT sprendimai sėkmei“ nepripažino esantys duomenų valdytoju, abu neigė savo, kaip duomenų valdytojų, atsakomybę, atitinkamai neįgyvendino ir BDAR 5 straipsnio 2 dalyje įtvirtinto atskaitomybės principo. Taip pat programėlės privatumo politikoje nurodant neteisingą informaciją apie duomenų valdytojus ir tvarkytojus buvo pažeistas skaidrumo principas - BDAR 5 str. 1 d. a) punktas.

Nevykdyti VDAI nurodymai


Kaip praneša VDAI, atliekant tikrinimą dėl programėle tvarkomų asmens duomenų, buvo svarbu įvertinti tikrąjį asmens duomenų tvarkymo mastą ir jų pobūdį, todėl VDAI UAB „IT sprendimai sėkmei“ nurodė laikinai sustabdyti asmens duomenų tvarkymą programėle, tačiau UAB „IT sprendimai sėkmei“ duomenis ištrynė. UAB „IT sprendimai sėkmei“ ištrindama programėle tvarkytus asmens duomenis netinkamai įgyvendino VDAI jai pateiktą nurodymą ir tuo pažeidė BDAR 58 straipsnio 2 dalies f punktą. Pažymėtina, kad toks VDAI nurodymo nesilaikymas užtraukia UAB „IT sprendimai sėkmei“ atsakomybę, numatytą BDAR 83 straipsnio 5 dalies e punkte. Dėl ko UAB „IT sprendimai sėkmei“ buvo skirta 3 tūkst. eurų bauda.

Į ką VDAI atsižvelgė skirdama baudą?

VDAI, spręsdama dėl administracinės baudos skyrimo ir dydžio, atsižvelgė į tai, kad NVSC ir  UAB „IT sprendimai sėkmei“:

  • asmens duomenis tvarkė tyčia,
  • asmens duomenis tvarkė dideliu mastu,
  • asmens duomenis tvarkė neteisėtai,
  • tai atliko sistemingai,
  • neužtikrindamos techninių ir organizacinių priemonių tam, kad galėtų įrodyti, kad tvarkydamos asmens duomenis laikosi BDAR reikalavimų,
  • buvo tvarkomi specialiųjų kategorijų asmens duomenys.
  • be to, UAB „IT sprendimai sėkmei“, neįvykdė VDAI jai pateikto nurodymo sustabdyti programėlės pagalba surinktų asmens duomenų tvarkymą ir ištrynė dalį asmens duomenų.
Ko gali pasimokyti kiti duomenų valdytojai?

Atsižvelgiant į NVSC ir UAB „IT sprendimai sėkmei“ atliktus pažeidimus kiti duomenų valdytojais turėtų:

Vertinti ir dokumentuoti poreikį atlikti poveikio duomenų apsaugai vertinimą kiekvienąkart, kai naudojamos naujos technologijos, bei kitais BDAR 35 str. 1 d. bei VDAI direktoriaus įsakyme dėl duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą,

Atlikti rizikos vertinimą ir pagal jo rezultatus nustatyti taikytinas duomenų saugumo priemones,

Taikyti duomenų tvarkymo principus ir dokumentuoti įrodymus kaip jų yra laikomasi,

Tiksliai vykdyti priežiūros institucijos (VDAI) nurodymus ir bendradarbiauti.

Bylos santrauka (turinys tik Allaw klientams)


Nuorodos


Nepamiršti

Duomenų vakdytojai turi pareigą bendradarbiauti su priežiūros institucija - Valstybine duomenų apsaugos inspekcija.

This page contains macros or features from a plugin which requires a valid license.

You will need to contact your administrator.