Versions Compared

Old Version 1

changes.mady.by.user Unknown User (m.zvinyte@juridicon.lt)

Saved on

compared with

New Version 2

changes.mady.by.user Unknown User (k.marcinonyte@juridicon.lt)

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Po praėjusią vasarą įvyksuio įvykusio VĮ Registrų centro incidento, dėl kurio buvo sutrikdyta valstybės registrų ir valstybės informacinių sistemų, kurių tvarkytojas yra VĮ Registrų centras, sklandus veikimas, Valstybinė duomenų apsaugos inspekcija (toliau - VDAI) pradėjo tyrimą ir šių metų vasario pabaigoje skyrė baudą VĮ Regisrui Registrų centrui dėl netinkamai įgyvendintų techninių ir organizacinių duomenų saugumo priemonių. Kaip skelbiama kovo 02 2 d. VDAI pranešime, už tai VĮ Registrų centrui skirta 15 tūkst. EUR bauda. Kokie pažeidimai lėmė baudos skyrimą ir ko galėtų pasimokyti kiti duomenų valdytojai? Apie tai supažindina Duomenų apsaugos pareigūnas Allaw.

Taikytos nepakankamos duomenų saugumo priemonės

Kaip praneša VDAI, minėta bauda skirta už nustatytus BDAR 32 straipsnio 1 dalies b ir c punktų pažeidimus, t. y.  neužtikrinus nuolatinio duomenų tvarkymo sistemų ir paslaugų vientisumo, prieinamumo ir atsparumo, o taip pat teisės aktų nustatytu terminu neatkūrus sąlygų ir galimybių naudotis asmens duomenimis fizinio ar techninio incidento atveju. Bauda skirta atsižvelgus į:

...

  • tyčios nebuvimą,
  • įdėtas pastangas atstatant pažeistus duomenis,
  • faktų apie duomenų subjektų patirtą materialinę žalą nebuvimonebuvimą,
  • glaudų bendradarbiavimą su VDAI,
  • bei ankstesnių panašaus pobūdžio pažeidimų nebuvimą,
  • VĮ Registrų centras, įgyvendindamas saugumo priemones, yra priklausomas tiek nuo duomenų valdytojo Lietuvos Respublikos sveikatos apsaugos ministerijos, tiek ir nuo kitų institucijų, sprendžiančių valstybės IT išteklių konsolidavimo klausimus.

...

  • nustatyti rizikos lygį asmens duomenų teisėms ir laisvėms,
  • taikyti rizikos lygį atitinkančias duomenų saugumo priemones (žr. 2020-06-18 VDAI tvarkomų asmens duomenų saugumo priemonių ir rizikos įvertinimo gaires duomenų valdytojams ir duomenų tvarkytojams),
  • periodiškaii periodiškai peržiūrėti ir, nustačius poreikį, atnaujinti taikomas duomenų saugumo priemones,
  • būti pasirengus veiklos tęstinumo planą,
  • periodiškai išbandyti veiklos tęstinumo plano efektyvumą.

...

https://vdai.lrv.lt/lt/naujienos/skirta-bauda-del-bendrojo-duomenu-apsaugos-reglamento-pazeidimu-registru-centre


Prie Nempairšti Nepamiršti sekcijos reikia pridėti: VDAI atkreipia dėmesį, kad asmens duomenų saugumo užtikrinimas yra ne tik duomenų valdytojo, bet ir tiesioginė duomenų tvarkytojo pareiga, numatyta BDAR 32 straipsnyje. Už šios pareigos nevykdymą ar netinkamą vykdymą duomenų tvarkytojas atsako tiesiogiai.

...