• All Blogs
  • ALLaw atitikties naujienos
  • Laiku ir tinkamai nesureaguosite į gautą informaciją apie sistemos pažeidžiamumus – rizikuojate ne tik prarasti tvarkomus asmens duomenis, bet ir gauti baudą

Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.


Aura - Panel
tab1
styles{"body":{"text":{"color":"#465671","textAlign":"left","fontWeight":"normal","fontSize":14}},"header":{"backgroundColor":{"color":"#344563"},"icon":{"size":26,"name":"faPaperPlane","color":"#fff"}},"headline":{"text":{"text":"Duomenų apsaugos pareigūnas Allaw® supažindina","color":"#fff","textAlign":"left","fontWeight":"normal","fontSize":18}},"base":{"boxShadow":{"shadows":[{"color":"rgba(0, 0, 0, 0.08)","x":0,"y":1,"blur":1,"spread":0},{"color":"rgba(0, 0, 0, 0.16)","x":0,"y":1,"blur":3,"spread":1}]},"backgroundColor":{"color":"#ffffff"},"border":{"color":"#344563","style":"solid","width":2,"bottom":true,"top":false,"left":false,"right":false}}}

Lenkijos duomenų apsaugos priežiūros institucija vienai šalies įmonių skyrė 250 000 Eur baudą už tai, kad ši, gavusi informaciją apie asmens duomenų saugumo spragas, tinkamai šios informacijos neištyrė ir nepašalino trukdžių, kas lėmė jog įvyko duomenų saugumo pažeidimas. Duomenų apsaugos pareigūnas Allaw analizuoja, kas lėmė baudos skyrimą iratkreipia dėmesį į pagrindinius aspektus, padedančius duomenų valdytojams tinkamai ir laiku reaguoti į gautą informaciją apie galimą duomenų saugumo pažeidimą.


Klaidos vertinant gautą informaciją apie galimą duomenų saugumo pažeidimą, lemiančios baudos skyrimą


Nubausta Lenkijos įmonė (skolinimo platformos „MoneyMan.pl“ savininkė) tinkamai nesureagavo į gautą informaciją apie savo saugumo spragas. Lenkijos priežiūros institucija nustatė, kad pažeidimas įvyko po to, kai nepavyko atkurti tinkamos saugos konfigūracijos, kai vienas iš duomenų tvarkytojo (prieglobos įmonės) valdomų serverių buvo paleistas iš naujo. Apie tai duomenų valdytojui pranešė vienas iš jo kibernetinio saugumo specialistų, kuris aptiko pažeidžiamumą ir nurodė, kad įmonės klientų duomenys galimai prieinami viešai. Tačiau įmonė tokio pranešimo neįvertino rimtai ir nesiėmė priemonių, todėl praėjus kelioms dienoms pašalinis asmuo nukopijavo duomenis ir ištrynė juos iš serverio. Asmuo, nukopijavęs ir ištrynęs duomenis, pareikalavo išpirkos už pavogtą informaciją. Tik tada įmonė pradėjo analizuoti savo serverių saugos funkcijas ir kartu pranešė priežiūros institucijai apie duomenų saugumo pažeidimą.

Aura - Panel
tab1
styles{"header":{},"headline":{"text":{"text":"Kelios įmonės klaidos, lėmusios šios situacijos susidarymą:","fontSize":26,"color":"#152A29","textAlign":"left","fontWeight":"bold"}},"base":{"backgroundColor":{"color":"#FFF3D3"},"borderRadius":{"radius":4},"border":{"width":10,"color":"#FFC021","top":false,"right":false,"bottom":false,"left":true,"style":"solid"}},"body":{"text":{"color":"#B68201","fontSize":14,"fontWeight":"normal","textAlign":"left"}}}
body<br />

1. Duomenų valdytojo pavėluota reakcija į gautą informaciją. Šis pažeidimas nebūtų įvykęs, jei duomenų valdytojas nedelsdamas tinkamai būtų sureagavęs į informaciją, kad jo serveryje esantys duomenys nėra apsaugoti. Lenkijos priežiūros institucijos nuomone, duomenų valdytojas turėtų greitai ir veiksmingai nustatyti pažeidimus, kad galėtų imtis atitinkamų veiksmų.

2. Nepakankamas bendradarbiavimas su duomenų tvarkytoju. Priežiūros institucija taip pat nustatė, kad nepakankamai greitas duomenų tvarkytojo atsakymas į pranešimą apie sistemos pažeidžiamumą neatmeta duomenų valdytojo atsakomybės už duomenų pažeidimą. Duomenų valdytojas turi sugebėti nustatyti, pašalinti ir pranešti apie duomenų pažeidimą - tai yra kritinis techninių ir organizacinių priemonių elementas.

3. Nepaisant operatyvaus grėsmės nustatymo, duomenų valdytojas nesiėmė pakankamai veiksmų grėsmei suvaldyti. Atliktas tyrimas parodė, kad duomenų valdytojas trumpai išanalizavo gautą signalą, į jį nežiūrėjo rimtai ir neįpareigojo duomenų tvarkytojo su pažeidžiamumu susitvarkyti tinkamai.


Bootstrap Spacer
Height30px

Aura - Panel
tab1
styles{"body":{"text":{"color":"#465671","textAlign":"left","fontWeight":"normal","fontSize":14}},"header":{"backgroundColor":{"color":"#ffffff"}},"headline":{"alignment":{"horizontal":"start"},"text":{"text":"Į ką buvo atsižvelgta skiriant baudą?","color":"#333333","textAlign":"left","fontWeight":"bold","fontSize":26},"border":{"color":"#344563","style":"solid","top":false,"right":false,"bottom":true,"left":false,"width":1}},"base":{"border":{"bottom":false,"left":false,"right":false,"top":true,"color":"#344563","width":6,"style":"solid"},"backgroundColor":{"color":"#ffffff"},"borderRadius":{"radius":4},"boxShadow":{"shadows":[{"color":"rgba(0, 0, 0, 0.08)","x":0,"y":1,"blur":1,"spread":0},{"color":"rgba(0, 0, 0, 0.16)","x":0,"y":1,"blur":3,"spread":1}]}}}
body<p class="auto-cursor-target"><br /></p><ac:structured-macro ac:name="ui-text-box" ac:schema-version="1" ac:macro-id="7da7f479-5a88-42f0-855d-096d9644fb9e"><ac:parameter ac:name="size">medium</ac:parameter><ac:rich-text-body><p><span style="color: #000000;">Tikriausiai kiekvienai organizacijai yra tekę gauti banko, institucijos ar fizinio asmens pra&scaron;ymą pateikti asmens duomenis. Valstybinė duomenų apsaugos inspekcija (toliau - VDAI) paskelbė gaires dėl pra&scaron;ymų pateikti asmens duomenis vertinimo, kurias dar vasarą buvo teikusi vie&scaron;osioms konsultacijoms, kad visuomenė pateiktų savo pastabas. Minėtomis&nbsp;gairėmis VDAI siekia padėti duomenų valdytojams ir duomenų tvarkytojams geriau suprasti, kaip jie turi vertinti gaunamus pra&scaron;ymus dėl asmens duomenų teikimo.&nbsp;<ac:structured-macro ac:name="ui-button" ac:schema-version="1" ac:macro-id="493a7769-991d-409a-9cf4-73d71ea551d3"><ac:parameter ac:name="color">blue</ac:parameter><ac:parameter ac:name="newWindow">true</ac:parameter><ac:parameter ac:name="icon">link</ac:parameter><ac:parameter ac:name="tooltip">Sužinokite, kas gali padėti šiuo klausimu </ac:parameter><ac:parameter ac:name="title">Duomenų apsaugos pareigūnas Allaw® </ac:parameter><ac:parameter ac:name="url">https://allaw.lt/legalspaces/pages/viewpage.action?pageId=25231481</ac:parameter></ac:structured-macro>&nbsp;paai&scaron;kina, kokius tris kriterijus turi įvertinti organizacijos, prie&scaron; įgyvendindamos pra&scaron;ymą atskleisti asmens duomenis, kad galėtų įvertinti pra&scaron;ymo teisėtumą ir proporcingumą.</span></p></ac:rich-text-body></ac:structured-macro><p class="auto-cursor-target"><br /></p>

Skirdama baudą už asmens duomenų konfidencialumo praradimą dėl duomenų valdytojo aplaidumo, Lenkijos priežiūros institucija atsižvelgė į:

  • Pažeidimo mastą,

  • Pavogtų duomenų apimtį,

  • Duomenų valdytojo vėlavimą imtis prevencinių priemonių,

  • Patirtą žalą (taip pat nutekėjo nešifruoti slaptažodžiai, šiuos duomenis galima naudoti prisijungiant prie skirtingų klientų paskyrų, jei jie naudojo tą patį prisijungimo vardą (pvz., el. paštą) ir slaptažodį kitose svetainėse).

Lenkijos priežiūros institucija atkreipė dėmesį, kad baudos dydis turėtų atlikti ir represinę, ir prevencinę funkciją. Institucijos nuomone, ateityje tai turėtų užkirsti kelią panašiems pažeidimams tiek nubaustoje įmonėje, tiek pas kitus duomenų valdytojus.

Bootstrap Spacer
Height30px

Aura - Panel
tab1
styles{"header":{},"headline":{"text":{"text":"Kas padeda duomenų valdytojams tinkamai ir laiku reaguoti į gautą informaciją apie galimą duomenų saugumo pažeidimą?","fontSize":26,"color":"#152A29","textAlign":"left","fontWeight":"bold"}},"base":{"backgroundColor":{"color":"#DAF7D9"},"borderRadius":{"radius":4},"border":{"width":10,"color":"#86CA81","top":false,"right":false,"bottom":false,"left":true,"style":"solid"}},"body":{"text":{"color":"#53794F","fontSize":14,"fontWeight":"normal","textAlign":"left"}}}
body<p class="auto-cursor-target"><br /></p><ac:structured-macro ac:name="ui-text-box" ac:schema-version="1" ac:macro-id="7da7f479-5a88-42f0-855d-096d9644fb9e"><ac:parameter ac:name="size">medium</ac:parameter><ac:rich-text-body><p><span style="color: #000000;">Tikriausiai kiekvienai organizacijai yra tekę gauti banko, institucijos ar fizinio asmens pra&scaron;ymą pateikti asmens duomenis. Valstybinė duomenų apsaugos inspekcija (toliau - VDAI) paskelbė gaires dėl pra&scaron;ymų pateikti asmens duomenis vertinimo, kurias dar vasarą buvo teikusi vie&scaron;osioms konsultacijoms, kad visuomenė pateiktų savo pastabas. Minėtomis&nbsp;gairėmis VDAI siekia padėti duomenų valdytojams ir duomenų tvarkytojams geriau suprasti, kaip jie turi vertinti gaunamus pra&scaron;ymus dėl asmens duomenų teikimo.&nbsp;<ac:structured-macro ac:name="ui-button" ac:schema-version="1" ac:macro-id="493a7769-991d-409a-9cf4-73d71ea551d3"><ac:parameter ac:name="color">blue</ac:parameter><ac:parameter ac:name="newWindow">true</ac:parameter><ac:parameter ac:name="icon">link</ac:parameter><ac:parameter ac:name="tooltip">Sužinokite, kas gali padėti šiuo klausimu </ac:parameter><ac:parameter ac:name="title">Duomenų apsaugos pareigūnas Allaw® </ac:parameter><ac:parameter ac:name="url">https://allaw.lt/legalspaces/pages/viewpage.action?pageId=25231481</ac:parameter></ac:structured-macro>&nbsp;paai&scaron;kina, kokius tris kriterijus turi įvertinti organizacijos, prie&scaron; įgyvendindamos pra&scaron;ymą atskleisti asmens duomenis, kad galėtų įvertinti pra&scaron;ymo teisėtumą ir proporcingumą.</span></p></ac:rich-text-body></ac:structured-macro><p class="auto-cursor-target"><br /></p>

Kiekvienas duomenų valdytojas, siekdamas tinkamai įgyvendinti jam taikomas BDAR 32, 33, 34 str. nustatytas pareigas turi:

1. Laikyti rizikos lygį atitinkančias priemones,

2. Pasitelkti tik tuos duomenų tvarkytojus, kurie gali užtikrinti pakankamas duomenų saugumo priemones,

3. Turėti pasitvirtinęs aiškią Informavimo apie duomenų saugumo pažeidimus, jų valdymo ir dokumentavimo tvarką bei būti su ja supažindinęs darbuotojus,

4. Įpareigoti (pvz., sutartyje) duomenų tvarkytojus informuoti duomenų valdytoją apie duomenų saugumo pažeidimą ne vėliau kaip per 24 valandas,

5. Apmokyti darbuotojus atpažinti duomenų saugumo pažeidimus,

6. Informuoti darbuotojus apie jų pareigą pranešti apie pastebėtus duomenų saugumo pažeidimus įmonės vadovo paskirtam atsakingam asmeniui.



Bootstrap Spacer
Height50px

Nuorodos


https://edpb.europa.eu/news/national-news_en


Aura - Panel
tab1
styles{"base":{"backgroundColor":{"color":"#ffffff"},"border":{"color":"#e5556e","width":10,"top":false,"right":false,"bottom":false,"left":true,"style":"solid"},"borderRadius":{"radius":4},"boxShadow":{"shadows":[{"color":"rgba(0, 0, 0, 0.08)","x":0,"y":1,"blur":1,"spread":0},{"color":"rgba(0, 0, 0, 0.16)","x":0,"y":1,"blur":3,"spread":1}]}},"body":{"text":{"fontSize":14,"color":"#9d9d9d","fontWeight":"normal","textAlign":"left"}},"header":{},"headline":{"text":{"text":"Svarbu ...","color":"#2d2d2d","fontSize":26,"fontWeight":"bold","textAlign":"left"}}}
body<h4><span style="color: #000000;"><a href="https://allaw.lt/klauskite-teisininko/">Pasiteirauti dėl duomenų apsaugos audito</a></span></h4><hr /><h4><span style="color: #000000;"><a href="https://allaw.lt/legaldesk/plugins/servlet/desk/portal/67/create/182">Perduoti peržiūrai p</a><a href="https://allaw.lt/legaldesk/plugins/servlet/desk/portal/76/create/388">rieigos suteikimo procedūros apra&scaron;ą</a></span></h4><hr />

Pasitikrinti, ar tinkamai nustatėte informavimo apie duomenų saugumo pažeidimus

pro pažeidimus

procedūras tiek

įmonės vduje

įmoės viduje, tiek su duomenų tvarkytojais


Pasitikrinti ar Jūsų darbuotojai apmokyti identifikuioti duomenų saugumo pažeidimą ir į jį tinkamai reaguoti


Pasitikrinti, ar Jūsų BDAR mokymų temos apima duomenų daugumo pažeidimų nustatymą ir nagridnėjimą bei pranešimą apie nustatytus pažeidimus 


Aura - Panel
tab1
styles{"base":{"backgroundColor":{"color":"#ffffff"},"border":{"color":"#FFC021","width":10,"top":false,"right":false,"bottom":false,"left":true,"style":"solid"},"borderRadius":{"radius":4},"boxShadow":{"shadows":[{"color":"rgba(0, 0, 0, 0.08)","x":0,"y":1,"blur":1,"spread":0},{"color":"rgba(0, 0, 0, 0.16)","x":0,"y":1,"blur":3,"spread":1}]}},"body":{"text":{"fontSize":14,"color":"#9d9d9d","fontWeight":"normal","textAlign":"left"}},"header":{"icon":{"name":"faExclamationCircle","color":"#FFC021","size":26}},"headline":{"text":{"text":"Nepamiršti","color":"#2d2d2d","fontSize":26,"fontWeight":"bold","textAlign":"left"}}}
body<p class="auto-cursor-target"><br /></p><ac:structured-macro ac:name="ui-text-box" ac:schema-version="1" ac:macro-id="7da7f479-5a88-42f0-855d-096d9644fb9e"><ac:parameter ac:name="size">medium</ac:parameter><ac:rich-text-body><p><span style="color: #000000;">Tikriausiai kiekvienai organizacijai yra tekę gauti banko, institucijos ar fizinio asmens pra&scaron;ymą pateikti asmens duomenis. Valstybinė duomenų apsaugos inspekcija (toliau - VDAI) paskelbė gaires dėl pra&scaron;ymų pateikti asmens duomenis vertinimo, kurias dar vasarą buvo teikusi vie&scaron;osioms konsultacijoms, kad visuomenė pateiktų savo pastabas. Minėtomis&nbsp;gairėmis VDAI siekia padėti duomenų valdytojams ir duomenų tvarkytojams geriau suprasti, kaip jie turi vertinti gaunamus pra&scaron;ymus dėl asmens duomenų teikimo.&nbsp;<ac:structured-macro ac:name="ui-button" ac:schema-version="1" ac:macro-id="493a7769-991d-409a-9cf4-73d71ea551d3"><ac:parameter ac:name="color">blue</ac:parameter><ac:parameter ac:name="newWindow">true</ac:parameter><ac:parameter ac:name="icon">link</ac:parameter><ac:parameter ac:name="tooltip">Sužinokite, kas gali padėti šiuo klausimu </ac:parameter><ac:parameter ac:name="title">Duomenų apsaugos pareigūnas Allaw® </ac:parameter><ac:parameter ac:name="url">https://allaw.lt/legalspaces/pages/viewpage.action?pageId=25231481</ac:parameter></ac:structured-macro>&nbsp;paai&scaron;kina, kokius tris kriterijus turi įvertinti organizacijos, prie&scaron; įgyvendindamos pra&scaron;ymą atskleisti asmens duomenis, kad galėtų įvertinti pra&scaron;ymo teisėtumą ir proporcingumą.</span></p></ac:rich-text-body></ac:structured-macro><p class="auto-cursor-target"><br /></p>



Center


Aura - Panel
tab1
styles{"base":{"backgroundColor":{"color":"#ffffff"},"border":{"color":"#B01EC1","width":10,"top":false,"right":false,"bottom":false,"left":true,"style":"solid"},"borderRadius":{"radius":4},"boxShadow":{"shadows":[{"color":"rgba(0, 0, 0, 0.08)","x":0,"y":1,"blur":1,"spread":0},{"color":"rgba(0, 0, 0, 0.16)","x":0,"y":1,"blur":3,"spread":1}]}},"body":{"text":{"fontSize":14,"color":"#9d9d9d","fontWeight":"normal","textAlign":"left"}},"header":{},"headline":{"text":{"text":"Naudingi ištekliai","color":"#2d2d2d","fontSize":26,"fontWeight":"bold","textAlign":"left"}}}

BDAR: įvadinis kursas


BDAR e-vedlys



Dažnai užduodami klausimai (DUK)


Aura - Panel
tab1
styles{"base":{"backgroundColor":{"color":"#ffffff"},"border":{"color":"#86CA81","width":10,"top":false,"right":false,"bottom":false,"left":true,"style":"solid"},"borderRadius":{"radius":4},"boxShadow":{"shadows":[{"color":"rgba(0, 0, 0, 0.08)","x":0,"y":1,"blur":1,"spread":0},{"color":"rgba(0, 0, 0, 0.16)","x":0,"y":1,"blur":3,"spread":1}]}},"body":{"text":{"fontSize":14,"color":"#9d9d9d","fontWeight":"normal","textAlign":"left"}},"header":{},"headline":{"text":{"text":"Susisiekti ","color":"#2d2d2d","fontSize":26,"fontWeight":"bold","textAlign":"left"}}}

Teirautis dėl prieigos prie BDAR mokymų e-medžiagos


Sužinoti apie inovatyvią paslaugą duomenų apsaugos pareigūnas Allaw®


Palikti žinutę duomenų apsaugos pareigūnui Allaw®


Telefonu: 8-616 02000