Versions Compared

Old Version 19

changes.mady.by.user Unknown User (a.stundzia@juridicon.lt)

Saved on

compared with

New Version Current

changes.mady.by.user CPO

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.


Aura - Panel
tab1
styles{"body":{"text":{"color":"#465671","textAlign":"left","fontWeight":"normal","fontSize":14}},"header":{"backgroundColor":{"color":"#344563"},"icon":{"size":26,"name":"faPaperPlane","color":"#fff"}},"headline":{"text":{"text":"Duomenų apsaugos pareigūnas Allaw® supažindina","color":"#fff","textAlign":"left","fontWeight":"normal","fontSize":18}},"base":{"boxShadow":{"shadows":[{"color":"rgba(0, 0, 0, 0.08)","x":0,"y":1,"blur":1,"spread":0},{"color":"rgba(0, 0, 0, 0.16)","x":0,"y":1,"blur":3,"spread":1}]},"backgroundColor":{"color":"#ffffff"},"border":{"color":"#344563","style":"solid","width":2,"bottom":true,"top":false,"left":false,"right":false}}}

Kaip praneša Valstybinė duomenų apsaugos inspekcija, automobilių, mikroautobusų ir dviračių nuomos paslaugas teikianti įmonė "CityBee" susidūrė su asmens duomenų saugumo pažeidimu - jos saugomų asmens duomenų vagyste ir paviešinimu. Kaip teigia pati įmonė, buvo pavogta apie 110 tūkst. įmonės klientų asmens duomenų (įskaitant klientų vardus, pavardes, asmens kodus, su „CityBee“ automobilių naudojimu susijusius duomenis – mašinų rezervavimo, parkavimo istorija, užkoduoti slaptažodžiai). Šis pažeidimas atskleidžia ne vieną problemą - galimai nebuvo identifikuotos visos vietos, kuriose saugomi asmens duomenys ir imtasi pakankamų priemonių jose saugomų asmens duomenų saugumui užtikrinti, nėra aišku ir kodėl apie pažeidimą vis dar nepranešta Valstybinei duomenų apsaugos inspekcijai. Valstybinė duomenų apsaugos inspekcija bei policija pradėjo tyrimus, o kol nėra tikslesnių duomenų dėl CityBee pažeidimo Duomenų apsaugos pareigūnas Allaw paaiškina, kokios duomenų valdytojo pareigos, susijusios su pranešimu apie duomenų saugumo pažeidimą. 


Užsivėlinsite pranešti apie duomenų saugumo pažeidimą ir VDAI apie tai sužinos iš žiniasklaidos - tai bus įvertinta skiriant baudą

BDAR 33 str. 1 d. numato, kad asmens duomenų saugumo pažeidimo atveju duomenų valdytojas nepagrįstai nedelsdamas, ir, jei įmanoma, praėjus ne daugiau kaip 72 val. nuo tada, kai sužinojo apie asmens duomenų saugumo pažeidimą, apie tai turi pranešti priežiūros institucijai  - Lietuvos atveju - Valstybinei duomenų apsaugos inspekcijai (toliau - VDAI). Pranešti VDAI paprasčiausia naudojant jos patvirtintą pranešimo apie duomenų saugumo pažeidimą formą. Kaip galima spręsti iš VDAI pranešimo, VDAI dėl CityBee atvejo tyrimą pradėjo savo iniciatyva, reaguodama į viešojoje erdvėje paskelbtą informaciją, vadinasi CityBee dar nebuvo pranešusi apie pažeidimą VDAI, to priežastys nėrai aiškios: arba vis dar atliekamas pažeidimo tyrimas arba vėluojama įgyvendinti BDAR 33 str. nustatytą pareigą. Atkreiptinas dėmesys, kad tais atvejais, kai sprendžiama dėl baudos dydžio, yra atsižvelgiama į tai, kokiu būdu priežiūros institucija sužinojo apie pažeidimą, visų pirma tai, ar duomenų valdytojas arba duomenų tvarkytojas pranešė apie pažeidimą (BDAR 83 str. 2 d. h) punktas).

Aura - Panel
tab1
styles{"header":{},"headline":{},"base":{"backgroundColor":{"color":"#FFF3D3"},"borderRadius":{"radius":4},"border":{"width":10,"color":"#FFC021","top":false,"right":false,"bottom":false,"left":true,"style":"solid"}},"body":{"text":{"color":"#B68201","fontSize":14,"fontWeight":"normal","textAlign":"left"}}}
body<br />

Kita vertus, kaip numato BDAR 33 str. 1 d., jeigu priežiūros institucijai apie asmens duomenų saugumo pažeidimą nepranešama per 72 val., prie pranešimo pridedamos vėlavimo priežastys, pvz., nėra nustatytos visos pažeidimo aplinkybės ir pan. Tačiau reiktų suvokti, kad tai yra išimtiniai atvejai, nes BDAR 33 str. 4 d. numato, kad jeigu informacijos neįmanoma pateikti tuo pačiu metu, informacija toliau nepagrįstai nedelsiant gali būti teikiama etapais

Todėl labai svarbu, kad duomenų valdytojai būtų dokumentavę asmens duomenų saugumo pažeidimų nustatymo, tyrimo ir pranešimo apie juos tvarką, paskyrę už jos įgyvendinimą atsakingus asmenis, nes kitaip bus praktiškai neįmanoma operatyviai ir efektyviai valdyti duomenų saugumo pažeidimų ir apie juos pranešti VDAI.


Aura - Panel
tab1
styles{"body":{"text":{"color":"#465671","textAlign":"left","fontWeight":"normal","fontSize":14}},"header":{"backgroundColor":{"color":"#ffffff"}},"headline":{"alignment":{"horizontal":"start"},"text":{"text":"Dėl duomenų saugumo pažeidimo gali kilti didelis pavojus - nepamirškite informuoti duomenų subjektų","color":"#333333","textAlign":"left","fontWeight":"bold","fontSize":26},"border":{"color":"#344563","style":"solid","top":false,"right":false,"bottom":true,"left":false,"width":1}},"base":{"border":{"bottom":false,"left":false,"right":false,"top":true,"color":"#344563","width":6,"style":"solid"},"backgroundColor":{"color":"#ffffff"},"borderRadius":{"radius":4},"boxShadow":{"shadows":[{"color":"rgba(0, 0, 0, 0.08)","x":0,"y":1,"blur":1,"spread":0},{"color":"rgba(0, 0, 0, 0.16)","x":0,"y":1,"blur":3,"spread":1}]}}}
body<p class="auto-cursor-target"><br /></p><ac:structured-macro ac:name="ui-text-box" ac:schema-version="1" ac:macro-id="7da7f479-5a88-42f0-855d-096d9644fb9e"><ac:parameter ac:name="size">medium</ac:parameter><ac:rich-text-body><p><span style="color: #000000;">Tikriausiai kiekvienai organizacijai yra tekę gauti banko, institucijos ar fizinio asmens pra&scaron;ymą pateikti asmens duomenis. Valstybinė duomenų apsaugos inspekcija (toliau - VDAI) paskelbė gaires dėl pra&scaron;ymų pateikti asmens duomenis vertinimo, kurias dar vasarą buvo teikusi vie&scaron;osioms konsultacijoms, kad visuomenė pateiktų savo pastabas. Minėtomis&nbsp;gairėmis VDAI siekia padėti duomenų valdytojams ir duomenų tvarkytojams geriau suprasti, kaip jie turi vertinti gaunamus pra&scaron;ymus dėl asmens duomenų teikimo.&nbsp;<ac:structured-macro ac:name="ui-button" ac:schema-version="1" ac:macro-id="493a7769-991d-409a-9cf4-73d71ea551d3"><ac:parameter ac:name="color">blue</ac:parameter><ac:parameter ac:name="newWindow">true</ac:parameter><ac:parameter ac:name="icon">link</ac:parameter><ac:parameter ac:name="tooltip">Sužinokite, kas gali padėti šiuo klausimu </ac:parameter><ac:parameter ac:name="title">Duomenų apsaugos pareigūnas Allaw® </ac:parameter><ac:parameter ac:name="url">https://allaw.lt/legalspaces/pages/viewpage.action?pageId=25231481</ac:parameter></ac:structured-macro>&nbsp;paai&scaron;kina, kokius tris kriterijus turi įvertinti organizacijos, prie&scaron; įgyvendindamos pra&scaron;ymą atskleisti asmens duomenis, kad galėtų įvertinti pra&scaron;ymo teisėtumą ir proporcingumą.</span></p></ac:rich-text-body></ac:structured-macro><p class="auto-cursor-target"><br /></p>

BDAR 34 str. numato, kad, kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas turi pranešti duomenų subjektui. Pranešant labai svarbu, kad duomenų subjektams aiškia ir paprasta kalba būtų pranešta apie:

  1. asmens duomenų saugumo pažeidimo pobūdį (kas nutiko, kokie duomenys buvo pažeisti),

  2. duomenų apsaugos pareigūno kontaktinius duomenis (arba kito asmens, su kuriuo duomenų subjektai gali susisiekti dėl įvykusių duomenų saugumo pažeidimo),

  3. tikėtinas duomenų saugumo pažeidimo pasekmes,

  4. priemones, kurių ėmėsi duomenų valdytojas ir kurių siūlo imtis duomenų subjektams.

Duomenų subjektų informavimo būdus pasirenka pats duomenų valdytojas, kaip savo rekomendacijose dėmesį atkreipia VDAI, duomenų subjektas turėtų būti informuotas tiesiogiai, pvz., siunčiant pranešimą el. paštu, SMS žinute ar pan. Šis pranešimas turi būti atskirtas nuo kitos informacijos, tokios kaip nuolatiniai atnaujinimai, naujienlaiškiai ar standartiniai pranešimai. Tais atvejais, kai tiesioginio pranešimo duomenų subjektui pateikimas pareikalautų neproporcingai daug pastangų (pvz., yra daug duomenų subjektų ir ne visų kontaktai yra žinomi), apie įvykusį pažeidimą gali būti paskelbiama viešai arba taikoma panaši priemonė, kuria duomenų subjektai būtų informuojami taip pat efektyviai, pvz., pranešimas žinomos interneto svetainės antraštėje ar pranešimuose.

Nors konkretaus termino informuoti duomenų subjektus BDAR nenumato, VDAI rekomenduoja tą padaryti per 72 val. nuo pažeidimo nustatymo momento. CityBee savo klientus pasirinko informuoti el. paštu, įmonės interneto svetainėje apie įvykusį pažeidimą informacijos šiai dienai paskelbta nėra.

Aura - Panel
tab1
styles{"header":{},"headline":{"text":{"text":"Kaip pasiruošti informavimui apie duomenų saugumo pažeidimą?","fontSize":26,"color":"#152A29","textAlign":"left","fontWeight":"bold"}},"base":{"backgroundColor":{"color":"#DAF7D9"},"borderRadius":{"radius":4},"border":{"width":10,"color":"#86CA81","top":false,"right":false,"bottom":false,"left":true,"style":"solid"}},"body":{"text":{"color":"#53794F","fontSize":14,"fontWeight":"normal","textAlign":"left"}}}
body<p class="auto-cursor-target"><br /></p><ac:structured-macro ac:name="ui-text-box" ac:schema-version="1" ac:macro-id="7da7f479-5a88-42f0-855d-096d9644fb9e"><ac:parameter ac:name="size">medium</ac:parameter><ac:rich-text-body><p><span style="color: #000000;">Tikriausiai kiekvienai organizacijai yra tekę gauti banko, institucijos ar fizinio asmens pra&scaron;ymą pateikti asmens duomenis. Valstybinė duomenų apsaugos inspekcija (toliau - VDAI) paskelbė gaires dėl pra&scaron;ymų pateikti asmens duomenis vertinimo, kurias dar vasarą buvo teikusi vie&scaron;osioms konsultacijoms, kad visuomenė pateiktų savo pastabas. Minėtomis&nbsp;gairėmis VDAI siekia padėti duomenų valdytojams ir duomenų tvarkytojams geriau suprasti, kaip jie turi vertinti gaunamus pra&scaron;ymus dėl asmens duomenų teikimo.&nbsp;<ac:structured-macro ac:name="ui-button" ac:schema-version="1" ac:macro-id="493a7769-991d-409a-9cf4-73d71ea551d3"><ac:parameter ac:name="color">blue</ac:parameter><ac:parameter ac:name="newWindow">true</ac:parameter><ac:parameter ac:name="icon">link</ac:parameter><ac:parameter ac:name="tooltip">Sužinokite, kas gali padėti šiuo klausimu </ac:parameter><ac:parameter ac:name="title">Duomenų apsaugos pareigūnas Allaw® </ac:parameter><ac:parameter ac:name="url">https://allaw.lt/legalspaces/pages/viewpage.action?pageId=25231481</ac:parameter></ac:structured-macro>&nbsp;paai&scaron;kina, kokius tris kriterijus turi įvertinti organizacijos, prie&scaron; įgyvendindamos pra&scaron;ymą atskleisti asmens duomenis, kad galėtų įvertinti pra&scaron;ymo teisėtumą ir proporcingumą.</span></p></ac:rich-text-body></ac:structured-macro><p class="auto-cursor-target"><br /></p>

Kiekvienas duomenų valdytojas turi imtis reikiamų priemonių jo tvarkomų asmens duomenų apsaugai, tačiau taip pat turi nepamiršti, kad net ir saugiausios sistemos gali tapti programišių taikiniu ir būti pasiruošus pranešti apie duomenų saugumo pažeidimą yra itin svarbu. Tam duomenų valdytojams rekomenduojame:

  • būti pasitvirtinus asmens duomenų saugumo pažeidimų nustatymo, tyrimo ir pranešimo apie juos tvarkos aprašą,

  • būti paskyrus už asmens duomenų saugumo pažeidimų nustatymą, tyrimą ir pranešimą atsakingus asmenis,

  • būti pasitvirtinus pranešimo duomenų subjektams apie duomenų saugumo pažeidimą formą,

  • būti apgalvojus duomenų subjektų kategorijų informavimo būdus (pvz., kaip bus informuojami tie duomenų subjektai kurių kontaktiniai duomenys duomenų valdytojui žinomi ir tie, kurių duomenų valdytojas nežino),

  • būti pasirengus techniškai įgyvendinti visas aukščiau aptartas informavimo priemones.



Nuorodos

https://vdai.lrv.lt/lt/naujienos/valstybine-duomenu-apsaugos-inspekcija-pradeda-tyrima-del-citybee-klientu-asmens-duomenu-saugumo



Aura - Panel
tab1
styles{"base":{"backgroundColor":{"color":"#ffffff"},"border":{"color":"#e5556e","width":10,"top":false,"right":false,"bottom":false,"left":true,"style":"solid"},"borderRadius":{"radius":4},"boxShadow":{"shadows":[{"color":"rgba(0, 0, 0, 0.08)","x":0,"y":1,"blur":1,"spread":0},{"color":"rgba(0, 0, 0, 0.16)","x":0,"y":1,"blur":3,"spread":1}]}},"body":{"text":{"fontSize":14,"color":"#9d9d9d","fontWeight":"normal","textAlign":"left"}},"header":{},"headline":{"text":{"text":"Svarbu ...","color":"#2d2d2d","fontSize":26,"fontWeight":"bold","textAlign":"left"}}}
body<h4><span style="color: #000000;"><a href="https://allaw.lt/klauskite-teisininko/">Pasiteirauti dėl duomenų apsaugos audito</a></span></h4><hr /><h4><span style="color: #000000;"><a href="https://allaw.lt/legaldesk/plugins/servlet/desk/portal/67/create/182">Perduoti peržiūrai p</a><a href="https://allaw.lt/legaldesk/plugins/servlet/desk/portal/76/create/388">rieigos suteikimo procedūros apra&scaron;ą</a></span></h4><hr />

Pasitikrinti, ar taikote rizikos lygį atitinkančias duomenų saugumo priemones.

Pasitikrinti, ar tinkamai nustatėte procedūras duomenų saugumo pažeidimui nustatyti, nagrinėti ir valdyti bei pranešti

Pasitikrinti, ar Jūsų darbuotojai apmokyti nustatyti duomenų saugumo pažeidimus bei apie juos pranešti

Pasitikrinti, ar Jūsų BDAR mokymų temos apima duomenų saugumo pažeidimų valdymą


Aura - Panel
tab1
styles{"base":{"backgroundColor":{"color":"#ffffff"},"border":{"color":"#FFC021","width":10,"top":false,"right":false,"bottom":false,"left":true,"style":"solid"},"borderRadius":{"radius":4},"boxShadow":{"shadows":[{"color":"rgba(0, 0, 0, 0.08)","x":0,"y":1,"blur":1,"spread":0},{"color":"rgba(0, 0, 0, 0.16)","x":0,"y":1,"blur":3,"spread":1}]}},"body":{"text":{"fontSize":14,"color":"#9d9d9d","fontWeight":"normal","textAlign":"left"}},"header":{"icon":{"name":"faExclamationCircle","color":"#FFC021","size":26}},"headline":{"text":{"text":"Nepamiršti","color":"#2d2d2d","fontSize":26,"fontWeight":"bold","textAlign":"left"}}}
body<p class="auto-cursor-target"><br /></p><ac:structured-macro ac:name="ui-text-box" ac:schema-version="1" ac:macro-id="7da7f479-5a88-42f0-855d-096d9644fb9e"><ac:parameter ac:name="size">medium</ac:parameter><ac:rich-text-body><p><span style="color: #000000;">Tikriausiai kiekvienai organizacijai yra tekę gauti banko, institucijos ar fizinio asmens pra&scaron;ymą pateikti asmens duomenis. Valstybinė duomenų apsaugos inspekcija (toliau - VDAI) paskelbė gaires dėl pra&scaron;ymų pateikti asmens duomenis vertinimo, kurias dar vasarą buvo teikusi vie&scaron;osioms konsultacijoms, kad visuomenė pateiktų savo pastabas. Minėtomis&nbsp;gairėmis VDAI siekia padėti duomenų valdytojams ir duomenų tvarkytojams geriau suprasti, kaip jie turi vertinti gaunamus pra&scaron;ymus dėl asmens duomenų teikimo.&nbsp;<ac:structured-macro ac:name="ui-button" ac:schema-version="1" ac:macro-id="493a7769-991d-409a-9cf4-73d71ea551d3"><ac:parameter ac:name="color">blue</ac:parameter><ac:parameter ac:name="newWindow">true</ac:parameter><ac:parameter ac:name="icon">link</ac:parameter><ac:parameter ac:name="tooltip">Sužinokite, kas gali padėti šiuo klausimu </ac:parameter><ac:parameter ac:name="title">Duomenų apsaugos pareigūnas Allaw® </ac:parameter><ac:parameter ac:name="url">https://allaw.lt/legalspaces/pages/viewpage.action?pageId=25231481</ac:parameter></ac:structured-macro>&nbsp;paai&scaron;kina, kokius tris kriterijus turi įvertinti organizacijos, prie&scaron; įgyvendindamos pra&scaron;ymą atskleisti asmens duomenis, kad galėtų įvertinti pra&scaron;ymo teisėtumą ir proporcingumą.</span></p></ac:rich-text-body></ac:structured-macro><p class="auto-cursor-target"><br /></p>

Taikyti rizikos lygį atitinkančias duomenų saugumo priemones.

Pranešti apie duomenų saugumo pažeidimus VDAI ir duomenų subjektams (jeigu kyla didelis pavojus jų teisėms ir laisvėms) nedelsiant, bet ne vėliau kaip per 72 val. nuo pažeidimo nustatymo.


Center



Aura - Panel
tab1
styles{"base":{"backgroundColor":{"color":"#ffffff"},"border":{"color":"#B01EC1","width":10,"top":false,"right":false,"bottom":false,"left":true,"style":"solid"},"borderRadius":{"radius":4},"boxShadow":{"shadows":[{"color":"rgba(0, 0, 0, 0.08)","x":0,"y":1,"blur":1,"spread":0},{"color":"rgba(0, 0, 0, 0.16)","x":0,"y":1,"blur":3,"spread":1}]}},"body":{"text":{"fontSize":14,"color":"#9d9d9d","fontWeight":"normal","textAlign":"left"}},"header":{},"headline":{"text":{"text":"Naudingi ištekliai","color":"#2d2d2d","fontSize":26,"fontWeight":"bold","textAlign":"left"}}}

BDAR specializuoti mokymai duomenų saugos pažeidimų prevencijai 

BDAR e-vedlys

Dažnai užduodami klausimai (DUK)


Aura - Panel
tab1
styles{"base":{"backgroundColor":{"color":"#ffffff"},"border":{"color":"#86CA81","width":10,"top":false,"right":false,"bottom":false,"left":true,"style":"solid"},"borderRadius":{"radius":4},"boxShadow":{"shadows":[{"color":"rgba(0, 0, 0, 0.08)","x":0,"y":1,"blur":1,"spread":0},{"color":"rgba(0, 0, 0, 0.16)","x":0,"y":1,"blur":3,"spread":1}]}},"body":{"text":{"fontSize":14,"color":"#9d9d9d","fontWeight":"normal","textAlign":"left"}},"header":{},"headline":{"text":{"text":"Susisiekti ","color":"#2d2d2d","fontSize":26,"fontWeight":"bold","textAlign":"left"}}}

Teirautis dėl prieigos prie BDAR mokymų e-medžiagos

Sužinoti apie inovatyvią paslaugą duomenų apsaugos pareigūnas Allaw®

Palikti žinutę duomenų apsaugos pareigūnui Allaw®

Telefonu: 8-616 02000