Duomenų apsaugos pareigūnas Allaw® supažindina

Praėjusį penktadienį Valstybinė duomenų apsaugos inspekcija (toliau - VDAI), remdamasi Bendrojo duomenų apsaugos reglamento (toliau - BDAR) nustatytais reikalavimais, pristatė praėjusių metų asmens duomenų apsaugos priežiūros Lietuvoje apžvalgą. Duomenų apsaugos pareigūnas Allaw atkreipia dėmesį į pagrindinius apžvalgos aspektus ir į tai, ko gali pasimokyti duomenų valdytojai.

Didesniam pranešimų skaičiui įtakos turi ir griežti sektoriniai reikalavimai


Duomenų saugumo pažeidimais pripažįstami vos 6 % visų incidentų, apie kuriuos pranešta VDAI. Remiantis paskelbta VDAI apžvalga, iš 2020 m. gautų 181 pranešimų tik 10 atvejų nustatyta pažeidimų

Praėjusiais metais apie asmens duomenų saugumo pažeidimus daugiausia pranešė organizacijos, kurių pagrindinė veikla susijusi su finansų ir kreditų veikla (37 pranešimai), valstybės ir savivaldybių institucijų veikla (27 pranešimai), teisėsauga ir teisėtvarka (16 pranešimai). Išsamesnį grafiką rasite žemiau:

Organizacijos veiklaPranešimų skaičius
Finansų ir kreditų veikla37
Valstybės ir savivaldybių institucijų veikla27
Teisėsauga ir teisėtvarka16
Sveikatos paslaugos13
Elektroninės parduotuvės9
Elektroninių ryšių ar tinklų teikimas8


Tačiau, kaip pažymi VDAI, tai nereiškia, kad asmens duomenų saugumo pažeidimus daugiausia patiria minėtiems sektoriams priklausančios organizacijos. Kaip savo praktikoje pastebi VDAI, didesnį pranešimų apie pažeidimus skaičių gali lemti tokios aplinkybės, kaip griežtesni teisės aktų reikalavimai ir (ar) jų laikymasis, pavyzdžiui, finansų sektorius operatyviai praneša apie asmens duomenų saugumo pažeidimus dėl gana griežtų sektorinių reikalavimų, o valstybės ir savivaldybių ar teisėsaugos institucijos yra įpratusios griežčiau laikytis nustatytų reikalavimų. Atkreiptinas dėmesys, kad, vadovaujantis VDAI rekomendacijomis, tais atvejais, kai, įvertinus riziką, abejojama, ar ji yra ir ar reikia pranešti apie pažeidimą VDAI, rekomenduotina pranešti.


VDAI atkreipė dėmesį į tai, kad dažniausiai asmens duomenų saugumo pažeidimai 2020 m. vyko interneto svetainėse ar informacinėse sistemose. Skirstant įvykusius pažeidimus pagal jų pobūdį pirmauja konfidencialumo pažeidimai (165 atvejai), 16 atvejų buvo prarastas duomenų vientisumas, 18 atvejų buvo susiję su duomenų pasiekiamumo/prieinamumo pažeidimais. VDAI teigimu, daugiausia pažeidimų įvyko dėl žmogiškosios klaidos. Į šią priežastį dėmesį turi atkreipti visi duomenų valdytojai ir skirti pakankamą dėmesį periodinių darbuotojų apmokymų bei instruktažų asmens duomenų tvarkymo ir apsaugos srityje organizavimui.  

Kylantis skundų skaičius išryškina problematiškas duomenų apsaugos sritis

Stebint duomenų subjektų pateikiamų skundų VDAI tendencijas, matyti, kad duomenų subjektai vis daugiau žino apie savo teises ir skuba jas apginti pateikdami skundą VDAI. Kaip pažymi pati VDAI, neretai toks skubėjimas lemia tai, kad duomenų subjektai kreipiasi į VDAI net prieš tai nesikreipę į pačią organizaciją, dėl kurios veiksmų ar neveikimo yra nepatenkinti. Tai signalas duomenų valdytojams savo interneto svetainėje būti patalpinus informaciją, kontaktinius duomenis - kaip ir su kuo duomenų subjektai gali susisiekti turėdami klausimų ar skundų dėl savo asmens duomenų tvarkymo - tai galėtų padėti žymiai efektyviau išspręsti susidariusias situacijas ir leistų taupyti organizacijos darbuotojų laiką atsakinėjant į VDAI raštus dėl gautų skundų bei pateiktų atsakymus į duomenų subjektų nuogąstavimus.

Dažniausiai duomenų subjektai skundžia kitus fizinius asmenis, prekių ir paslaugų teikėjus bei valstybės ir savivaldybių įstaigas. Tiesa, šių sektorių veikloje ir pripažįstama daugiausiai pažeidimų tiriant skundus.

2020 m. daugiausia pažeidimų išnagrinėjus asmenų skundus nustatyta dėl asmens duomenų rinkimo iš valstybės registrų ir informacinių sistemų (144 pažeidimai), asmens duomenų atskleidimo (57 pažeidimai), vaizdo stebėjimo (36 pažeidimai). Išsamesnį grafiką rasite žemiau:

PriežastisPažeidimų skaičius
Asmens duomenų rinkimo iš valstybės registrų ir informacinių sistemų144
Asmens duomenų atskleidimo57
Vaizdo stebėjimo36
Teisės susipažinti su duomenimis32
Asmens duomenų rinkimo28
Tiesioginės rinkodaros28
Skolininkų asmens duomenų11
Teisės nesutikti su duomenų tvarkymu9
Teisės būti pamirštam7

Kaip matyti iš pateiktos statistikos, duomenų valdytojai vis dar nepakankamą dėmesį skiria duomenų subjektų teisių įgyvendinimui, tinkamam tiesioginės rinkodaros vykdymui bei asmens duomenų rinkimui ir jų atskleidimui.

VDAI taikomos sankcijos griežtėja, skiriama vis daugiau baudų

Remiantis VDAI pateikta apžvalga, 2020 m. VDAI, nustačiusi pažeidimų, organizacijoms teikė:

  • 8 rekomendacijas,

  • 175 nurodymus,

  • 94 papeikimus,

  • surašė 2 administracinių nusižengimų protokolus,

  • skyrė 25 baudas, iš kurių didžioji dalis už nebendradarbiavimą su VDAI jai atliekant tyrimus. Organizacijos nepateikė ar bandė nuslėpti tyrimui reikiamą informaciją.

Tas rodo, kad einant tretiems metams po BDAR įsigaliojimo VDAI mano esant pakankama laikotarpiui įgyvendinti BDAR keliamus reikalavimus ir nėra nusiteikusi nuolaidžiauti reikalavimų neįgyvendinusioms arba tai padariusioms netinkamai organizacijoms.

Ko gali pasimokyti duomenų valdytojai?

Atsižvelgiant į tai, kas buvo išdėstyta aukščiau, duomenų valdytojai turėtų:

Įsitikinti, kad periodiškai, ne rečiau kaip kartą per metus, vykdo darbuotojų mokymus, instruktažus asmens duomenų apsaugos srityje,

Įsitikinti, kad yra nustatę tvarkomų asmens duomenų rizikos lygį ir, atsižvelgiant į jį, taiko duomenų saugumo priemones bei periodiškai, ne rečiau kaip kartą per metus, jas peržiūri ir, jeigu reikia, atnaujina,

Įsitikinti, kad savo interneto svetainėje skelbia duomenų apsaugos pareigūno ar kito asmens, su kuriuo duomenų subjektai gali susisiekti, kontaktus,

Įsitikinti, kad organizacija yra paskyrusi atsakingą asmenį už duomenų saugumo pažeidimų tyrimą ir pranešimą apie juos priežiūros institucijai, bei priėmusi tai reguliuojančius vidaus teisės aktus (asmens duomenų saugumo pažeidimų nustatymo, tyrimo, valdymo ir pranešimo apie nustatytus pažeidimus tvarkos aprašą bei duomenų saugumo pažeidimų žurnalą ir kitus susijusius priedus).

Nuorodos


https://vdai.lrv.lt/uploads/vdai/documents/files/2020%20m_%20asmens%20duomenu%20apsaugos%20Lietuvoje%20apzvalga.pdf

https://vdai.lrv.lt/uploads/vdai/documents/files/Rekomend_ADSP_2018.pdf

Nepamiršti

Darbuotojai, tvarkantys asmens duomenis, turi būti apmokomi ne rečiau kaip kartą per metus!

Link to this page