Versions Compared

Old Version 26

changes.mady.by.user CPO

Saved on

compared with

New Version Current

changes.mady.by.user CPO

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.


Aura - Panel
tab1
styles{"body":{"text":{"color":"#465671","textAlign":"left","fontWeight":"normal","fontSize":14}},"header":{"backgroundColor":{"color":"#344563"},"icon":{"size":26,"name":"faPaperPlane","color":"#fff"}},"headline":{"text":{"text":"Duomenų apsaugos pareigūnas Allaw® supažindina","color":"#fff","textAlign":"left","fontWeight":"normal","fontSize":18}},"base":{"boxShadow":{"shadows":[{"color":"rgba(0, 0, 0, 0.08)","x":0,"y":1,"blur":1,"spread":0},{"color":"rgba(0, 0, 0, 0.16)","x":0,"y":1,"blur":3,"spread":1}]},"backgroundColor":{"color":"#ffffff"},"border":{"color":"#344563","style":"solid","width":2,"bottom":true,"top":false,"left":false,"right":false}}}

Lenkijos duomenų apsaugos priežiūros institucija vienai šalies įmonių skyrė 250 000 Eur baudą už tai, kad ši, gavusi informaciją apie asmens duomenų saugumo spragas, tinkamai šios informacijos neištyrė ir nepašalino trukdžių, kas lėmė jog įvyko duomenų saugumo pažeidimas. Duomenų apsaugos pareigūnas Allaw analizuoja, kas lėmė baudos skyrimą iratkreipia dėmesį į pagrindinius aspektus, padedančius duomenų valdytojams tinkamai ir laiku reaguoti į gautą informaciją apie galimą duomenų saugumo pažeidimą.



Klaidos, padarytos vertinant gautą informaciją apie galimą duomenų saugumo pažeidimą, lemiančios baudos skyrimą

Nubausta Lenkijos įmonė (skolinimo platformos „MoneyMan.pl“ savininkė) tinkamai nesureagavo į gautą informaciją apie savo saugumo spragas. Lenkijos priežiūros institucija nustatė, kad pažeidimas įvyko po to, kai nepavyko atkurti tinkamos saugos konfigūracijos, kai vienas iš duomenų tvarkytojo (prieglobos įmonės) valdomų serverių buvo paleistas iš naujo. Apie tai duomenų valdytojui pranešė vienas iš jo kibernetinio saugumo specialistų, kuris aptiko pažeidžiamumą ir nurodė, kad įmonės klientų duomenys galimai prieinami viešai. Tačiau įmonė tokio pranešimo neįvertino rimtai ir nesiėmė priemonių, todėl, praėjus kelioms dienoms, pašalinis asmuo nukopijavo duomenis ir ištrynė juos iš serverio. Asmuo, nukopijavęs ir ištrynęs duomenis, pareikalavo išpirkos už pavogtą informaciją. Tik tada įmonė pradėjo analizuoti savo serverių saugos funkcijas ir kartu pranešė priežiūros institucijai apie duomenų saugumo pažeidimą.

Aura - Panel
tab1
styles{"header":{},"headline":{"text":{"text":"Kelios įmonės klaidos, lėmusios šios situacijos susidarymą:","fontSize":26,"color":"#152A29","textAlign":"left","fontWeight":"bold"}},"base":{"backgroundColor":{"color":"#FFF3D3"},"borderRadius":{"radius":4},"border":{"width":10,"color":"#FFC021","top":false,"right":false,"bottom":false,"left":true,"style":"solid"}},"body":{"text":{"color":"#B68201","fontSize":14,"fontWeight":"normal","textAlign":"left"}}}
body<br />

1. Duomenų valdytojo pavėluota reakcija į gautą informaciją. Šis pažeidimas nebūtų įvykęs, jei duomenų valdytojas nedelsdamas tinkamai būtų sureagavęs į informaciją, kad jo serveryje esantys duomenys nėra apsaugoti. Lenkijos priežiūros institucijos nuomone, duomenų valdytojas turėtų greitai ir veiksmingai nustatyti pažeidimus, kad galėtų imtis atitinkamų veiksmų.

2. Nepakankamas bendradarbiavimas su duomenų tvarkytoju. Priežiūros institucija taip pat nustatė, kad nepakankamai greitas duomenų tvarkytojo atsakymas į pranešimą apie sistemos pažeidžiamumą neatmeta duomenų valdytojo atsakomybės už duomenų pažeidimą. Duomenų valdytojas turi sugebėti nustatyti, pašalinti ir pranešti apie duomenų pažeidimą - tai yra kritinis techninių ir organizacinių priemonių elementas.

3. Nepaisant operatyvaus grėsmės nustatymo, duomenų valdytojas nesiėmė pakankamai veiksmų grėsmei suvaldyti. Atliktas tyrimas parodė, kad duomenų valdytojas trumpai išanalizavo gautą signalą, į jį nežiūrėjo rimtai ir neįpareigojo duomenų tvarkytojo su pažeidžiamumu susitvarkyti tinkamai.


Aura - Panel
tab1
styles{"body":{"text":{"color":"#465671","textAlign":"left","fontWeight":"normal","fontSize":14}},"header":{"backgroundColor":{"color":"#ffffff"}},"headline":{"alignment":{"horizontal":"start"},"text":{"text":"Į ką buvo atsižvelgta skiriant baudą?","color":"#333333","textAlign":"left","fontWeight":"bold","fontSize":26},"border":{"color":"#344563","style":"solid","top":false,"right":false,"bottom":true,"left":false,"width":1}},"base":{"border":{"bottom":false,"left":false,"right":false,"top":true,"color":"#344563","width":6,"style":"solid"},"backgroundColor":{"color":"#ffffff"},"borderRadius":{"radius":4},"boxShadow":{"shadows":[{"color":"rgba(0, 0, 0, 0.08)","x":0,"y":1,"blur":1,"spread":0},{"color":"rgba(0, 0, 0, 0.16)","x":0,"y":1,"blur":3,"spread":1}]}}}
body<p class="auto-cursor-target"><br /></p><ac:structured-macro ac:name="ui-text-box" ac:schema-version="1" ac:macro-id="7da7f479-5a88-42f0-855d-096d9644fb9e"><ac:parameter ac:name="size">medium</ac:parameter><ac:rich-text-body><p><span style="color: #000000;">Tikriausiai kiekvienai organizacijai yra tekę gauti banko, institucijos ar fizinio asmens pra&scaron;ymą pateikti asmens duomenis. Valstybinė duomenų apsaugos inspekcija (toliau - VDAI) paskelbė gaires dėl pra&scaron;ymų pateikti asmens duomenis vertinimo, kurias dar vasarą buvo teikusi vie&scaron;osioms konsultacijoms, kad visuomenė pateiktų savo pastabas. Minėtomis&nbsp;gairėmis VDAI siekia padėti duomenų valdytojams ir duomenų tvarkytojams geriau suprasti, kaip jie turi vertinti gaunamus pra&scaron;ymus dėl asmens duomenų teikimo.&nbsp;<ac:structured-macro ac:name="ui-button" ac:schema-version="1" ac:macro-id="493a7769-991d-409a-9cf4-73d71ea551d3"><ac:parameter ac:name="color">blue</ac:parameter><ac:parameter ac:name="newWindow">true</ac:parameter><ac:parameter ac:name="icon">link</ac:parameter><ac:parameter ac:name="tooltip">Sužinokite, kas gali padėti šiuo klausimu </ac:parameter><ac:parameter ac:name="title">Duomenų apsaugos pareigūnas Allaw® </ac:parameter><ac:parameter ac:name="url">https://allaw.lt/legalspaces/pages/viewpage.action?pageId=25231481</ac:parameter></ac:structured-macro>&nbsp;paai&scaron;kina, kokius tris kriterijus turi įvertinti organizacijos, prie&scaron; įgyvendindamos pra&scaron;ymą atskleisti asmens duomenis, kad galėtų įvertinti pra&scaron;ymo teisėtumą ir proporcingumą.</span></p></ac:rich-text-body></ac:structured-macro><p class="auto-cursor-target"><br /></p>

Skirdama baudą už asmens duomenų konfidencialumo praradimą dėl duomenų valdytojo aplaidumo, Lenkijos priežiūros institucija atsižvelgė į:

  • Pažeidimo mastą,

  • Pavogtų duomenų apimtį,

  • Duomenų valdytojo vėlavimą imtis prevencinių priemonių,

  • Patirtą žalą (taip pat nutekėjo nešifruoti slaptažodžiai, šiuos duomenis galima naudoti prisijungiant prie skirtingų klientų paskyrų, jei jie naudojo tą patį prisijungimo vardą (pvz., el. paštą) ir slaptažodį kitose svetainėse).

Lenkijos priežiūros institucija atkreipė dėmesį, kad baudos dydis turėtų atlikti ir represinę, ir prevencinę funkciją. Institucijos nuomone, ateityje tai turėtų užkirsti kelią panašiems pažeidimams tiek nubaustoje įmonėje, tiek pas kitus duomenų valdytojus.

Aura - Panel
tab1
styles{"header":{},"headline":{"text":{"text":"Kas padeda duomenų valdytojams tinkamai ir laiku reaguoti į gautą informaciją apie galimą duomenų saugumo pažeidimą?","fontSize":26,"color":"#152A29","textAlign":"left","fontWeight":"bold"}},"base":{"backgroundColor":{"color":"#DAF7D9"},"borderRadius":{"radius":4},"border":{"width":10,"color":"#86CA81","top":false,"right":false,"bottom":false,"left":true,"style":"solid"}},"body":{"text":{"color":"#53794F","fontSize":14,"fontWeight":"normal","textAlign":"left"}}}
body<p class="auto-cursor-target"><br /></p><ac:structured-macro ac:name="ui-text-box" ac:schema-version="1" ac:macro-id="7da7f479-5a88-42f0-855d-096d9644fb9e"><ac:parameter ac:name="size">medium</ac:parameter><ac:rich-text-body><p><span style="color: #000000;">Tikriausiai kiekvienai organizacijai yra tekę gauti banko, institucijos ar fizinio asmens pra&scaron;ymą pateikti asmens duomenis. Valstybinė duomenų apsaugos inspekcija (toliau - VDAI) paskelbė gaires dėl pra&scaron;ymų pateikti asmens duomenis vertinimo, kurias dar vasarą buvo teikusi vie&scaron;osioms konsultacijoms, kad visuomenė pateiktų savo pastabas. Minėtomis&nbsp;gairėmis VDAI siekia padėti duomenų valdytojams ir duomenų tvarkytojams geriau suprasti, kaip jie turi vertinti gaunamus pra&scaron;ymus dėl asmens duomenų teikimo.&nbsp;<ac:structured-macro ac:name="ui-button" ac:schema-version="1" ac:macro-id="493a7769-991d-409a-9cf4-73d71ea551d3"><ac:parameter ac:name="color">blue</ac:parameter><ac:parameter ac:name="newWindow">true</ac:parameter><ac:parameter ac:name="icon">link</ac:parameter><ac:parameter ac:name="tooltip">Sužinokite, kas gali padėti šiuo klausimu </ac:parameter><ac:parameter ac:name="title">Duomenų apsaugos pareigūnas Allaw® </ac:parameter><ac:parameter ac:name="url">https://allaw.lt/legalspaces/pages/viewpage.action?pageId=25231481</ac:parameter></ac:structured-macro>&nbsp;paai&scaron;kina, kokius tris kriterijus turi įvertinti organizacijos, prie&scaron; įgyvendindamos pra&scaron;ymą atskleisti asmens duomenis, kad galėtų įvertinti pra&scaron;ymo teisėtumą ir proporcingumą.</span></p></ac:rich-text-body></ac:structured-macro><p class="auto-cursor-target"><br /></p>

Kiekvienas duomenų valdytojas, siekdamas tinkamai įgyvendinti jam taikomas BDAR 32, 33, 34 str. nustatytas pareigas turi:

1. Taikyti rizikos lygį atitinkančias priemones,

2. Pasitelkti tik tuos duomenų tvarkytojus, kurie gali užtikrinti pakankamas duomenų saugumo priemones,

3. Turėti pasitvirtinęs aiškią Informavimo apie duomenų saugumo pažeidimus, jų valdymo ir dokumentavimo tvarką bei būti su ja supažindinęs darbuotojus,

4. Įpareigoti (pvz., sutartyje) duomenų tvarkytojus informuoti duomenų valdytoją apie duomenų saugumo pažeidimą ne vėliau kaip per 24 valandas,

5. Apmokyti darbuotojus atpažinti duomenų saugumo pažeidimus,

6. Informuoti darbuotojus apie jų pareigą pranešti apie pastebėtus duomenų saugumo pažeidimus įmonės vadovo paskirtam atsakingam asmeniui.



Nuorodos

https://edpb.europa.eu/news/national-news_en

Show If
groupconfluence-lawers

Jira
serverallaw.lt JIRA
columnIdsissuekey,summary,issuetype,created,updated,duedate,assignee,reporter,priority,status,resolution
columnskey,summary,type,created,updated,due,assignee,reporter,priority,status,resolution
serverIda07e85ff-9961-3545-a54e-23a3601ecbba
keyDAP-696



Aura - Panel
tab1
styles{"base":{"backgroundColor":{"color":"#ffffff"},"border":{"color":"#e5556e","width":10,"top":false,"right":false,"bottom":false,"left":true,"style":"solid"},"borderRadius":{"radius":4},"boxShadow":{"shadows":[{"color":"rgba(0, 0, 0, 0.08)","x":0,"y":1,"blur":1,"spread":0},{"color":"rgba(0, 0, 0, 0.16)","x":0,"y":1,"blur":3,"spread":1}]}},"body":{"text":{"fontSize":14,"color":"#9d9d9d","fontWeight":"normal","textAlign":"left"}},"header":{},"headline":{"text":{"text":"Svarbu ...","color":"#2d2d2d","fontSize":26,"fontWeight":"bold","textAlign":"left"}}}
body<h4><span style="color: #000000;"><a href="https://allaw.lt/klauskite-teisininko/">Pasiteirauti dėl duomenų apsaugos audito</a></span></h4><hr /><h4><span style="color: #000000;"><a href="https://allaw.lt/legaldesk/plugins/servlet/desk/portal/67/create/182">Perduoti peržiūrai p</a><a href="https://allaw.lt/legaldesk/plugins/servlet/desk/portal/76/create/388">rieigos suteikimo procedūros apra&scaron;ą</a></span></h4><hr />

Pasitikrinti, ar vykdote asmens duomenų tvarkymo procesų bei saugumo priemonių efektyvumo ir juos reglamentuojančių dokumentų peržiūrą

Pasitikrinti, ar tinkamai nustatėte procedūras tiek įmonės viduje, tiek su duomenų tvarkytojais

Pasitikrinti, ar Jūsų darbuotojai apmokyti identifikuoti duomenų saugumo pažeidimą ir į jį tinkamai reaguoti

Pasitikrinti, ar Jūsų BDAR mokymų temos prisideda prie duomenų saugumo pažeidimų išvengimo ir valdymo


Aura - Panel
tab1
styles{"base":{"backgroundColor":{"color":"#ffffff"},"border":{"color":"#FFC021","width":10,"top":false,"right":false,"bottom":false,"left":true,"style":"solid"},"borderRadius":{"radius":4},"boxShadow":{"shadows":[{"color":"rgba(0, 0, 0, 0.08)","x":0,"y":1,"blur":1,"spread":0},{"color":"rgba(0, 0, 0, 0.16)","x":0,"y":1,"blur":3,"spread":1}]}},"body":{"text":{"fontSize":14,"color":"#9d9d9d","fontWeight":"normal","textAlign":"left"}},"header":{"icon":{"name":"faExclamationCircle","color":"#FFC021","size":26}},"headline":{"text":{"text":"Nepamiršti","color":"#2d2d2d","fontSize":26,"fontWeight":"bold","textAlign":"left"}}}
body<p class="auto-cursor-target"><br /></p><ac:structured-macro ac:name="ui-text-box" ac:schema-version="1" ac:macro-id="7da7f479-5a88-42f0-855d-096d9644fb9e"><ac:parameter ac:name="size">medium</ac:parameter><ac:rich-text-body><p><span style="color: #000000;">Tikriausiai kiekvienai organizacijai yra tekę gauti banko, institucijos ar fizinio asmens pra&scaron;ymą pateikti asmens duomenis. Valstybinė duomenų apsaugos inspekcija (toliau - VDAI) paskelbė gaires dėl pra&scaron;ymų pateikti asmens duomenis vertinimo, kurias dar vasarą buvo teikusi vie&scaron;osioms konsultacijoms, kad visuomenė pateiktų savo pastabas. Minėtomis&nbsp;gairėmis VDAI siekia padėti duomenų valdytojams ir duomenų tvarkytojams geriau suprasti, kaip jie turi vertinti gaunamus pra&scaron;ymus dėl asmens duomenų teikimo.&nbsp;<ac:structured-macro ac:name="ui-button" ac:schema-version="1" ac:macro-id="493a7769-991d-409a-9cf4-73d71ea551d3"><ac:parameter ac:name="color">blue</ac:parameter><ac:parameter ac:name="newWindow">true</ac:parameter><ac:parameter ac:name="icon">link</ac:parameter><ac:parameter ac:name="tooltip">Sužinokite, kas gali padėti šiuo klausimu </ac:parameter><ac:parameter ac:name="title">Duomenų apsaugos pareigūnas Allaw® </ac:parameter><ac:parameter ac:name="url">https://allaw.lt/legalspaces/pages/viewpage.action?pageId=25231481</ac:parameter></ac:structured-macro>&nbsp;paai&scaron;kina, kokius tris kriterijus turi įvertinti organizacijos, prie&scaron; įgyvendindamos pra&scaron;ymą atskleisti asmens duomenis, kad galėtų įvertinti pra&scaron;ymo teisėtumą ir proporcingumą.</span></p></ac:rich-text-body></ac:structured-macro><p class="auto-cursor-target"><br /></p>

Duomenų tvarkytojas turi imtis proaktyvių prevencinių veiksmų, siekdamas išvengti duomenų saugumo pažeidimų. Rizikos lygio vertinimo priemonių naudojimas ir darbuotojų apmokymas tinkamai tvarkyti duomenis gali padėti išvengti duomenų saugumo pažeidimų. 


Center


Aura - Panel
tab1
styles{"base":{"backgroundColor":{"color":"#ffffff"},"border":{"color":"#B01EC1","width":10,"top":false,"right":false,"bottom":false,"left":true,"style":"solid"},"borderRadius":{"radius":4},"boxShadow":{"shadows":[{"color":"rgba(0, 0, 0, 0.08)","x":0,"y":1,"blur":1,"spread":0},{"color":"rgba(0, 0, 0, 0.16)","x":0,"y":1,"blur":3,"spread":1}]}},"body":{"text":{"fontSize":14,"color":"#9d9d9d","fontWeight":"normal","textAlign":"left"}},"header":{},"headline":{"text":{"text":"Naudingi ištekliai","color":"#2d2d2d","fontSize":26,"fontWeight":"bold","textAlign":"left"}}}

BDAR mokymai: įvadinio kurso medžiaga

BDAR e-vedlys

Dažnai užduodami klausimai (DUK)


Aura - Panel
tab1
styles{"base":{"backgroundColor":{"color":"#ffffff"},"border":{"color":"#86CA81","width":10,"top":false,"right":false,"bottom":false,"left":true,"style":"solid"},"borderRadius":{"radius":4},"boxShadow":{"shadows":[{"color":"rgba(0, 0, 0, 0.08)","x":0,"y":1,"blur":1,"spread":0},{"color":"rgba(0, 0, 0, 0.16)","x":0,"y":1,"blur":3,"spread":1}]}},"body":{"text":{"fontSize":14,"color":"#9d9d9d","fontWeight":"normal","textAlign":"left"}},"header":{},"headline":{"text":{"text":"Susisiekti ","color":"#2d2d2d","fontSize":26,"fontWeight":"bold","textAlign":"left"}}}

Teirautis dėl prieigos prie BDAR mokymų e-medžiagos

Sužinoti apie inovatyvią paslaugą duomenų apsaugos pareigūnas Allaw®

Palikti žinutę duomenų apsaugos pareigūnui Allaw®

Telefonu: 8-616 02000