Valstybinė duomenų apsaugos inspekcija (toliau - VDAI) atnaujino šių metų pradžioje skelbtą prevencinių patikrinimų planą. Minėtame plane VDAI skelbė apie planus tikrinti didžiuosius šalies bankus (AB SEB banką, "Swedbank", AB "Šiaulių bankas"), mokėjimų inicijavimo įstaigas (NEO finance AB) bei kredito unijas (Šeimos kredito unija, Trakų kredito unija ir kt.). Atsižvelgdama į tai, kad dėl asmens duomenų tvarkymo pokyčių, aktualijų ar teisinio reguliavimo pasikeitimų minėtas planas gali būti koreguojamas, VDAI atsisakė planų vykdyti finansų įstaigų tikrinimų dėl asmens duomenų teikiant mokėjimo inicijavimo paslaugą apimties. Kokios priežastys tai lėmė ir ar tikrai finansų įstaigos gali atsipūsti? Apie tai supažindina Duomenų apsaugos pareigūnas Allaw.

Kokios priežastys lėmė VDAI patikrinimų plano atnaujinimą?


Kaip nurodoma VDAI pranešime, atsižvelgiant į tai, kad Europos Sąjungos valstybės narės turi pareigą nuosekliai taikyti Bendrąjį duomenų apsaugos reglamentą 2016/679 (toliau - BDAR) ir užtikrinti vienodą asmens duomenų apsaugos lygį, taip pat į tai, kad viešosios konsultacijos dėl Europos duomenų apsaugos valdybos (toliau - EDAV) Gairių 2020/06 dėl Antrosios mokėjimo paslaugų direktyvos (PSD2) ir BDAR  santykio nėra baigtosVDAI nusprendė bankų, kredito unijų ir kitų mokėjimų inicijavimo įstaigų tikrinimą atidėti kitiems metams.

Minėtas finansų įstaigas planuota tikrinti asmens duomenų teikiant mokėjimo inicijavimo paslaugą apimties kontekste VDAI Priežiūros ir Informacinių technologijų skyriui atliekant tikrinimą susirašinėjimo būdu bei vietoje. Tikėtina, kad tikslesnis tikrinimų laikotarpis bus numatytas VDAI patikrinimų plane, skirtame 2021 m., kuris paprastai skelbiamas sausio - vasario mėnesiais.

Kaip įstaigos gali pasiruošti tikrinimui jau dabar?


Kaip ir minėta, tai, kad VDAI finansų įstaigų netikrins šiais metais dar nereiškia, kad jos nebus tikrinamos įsigaliojus minėtai EDAV gairėms 2020/06 dėl Antrosios mokėjimo paslaugų direktyvos (PSD2) ir BDAR santykio. Minėtos gairės šiuo metu yra pateiktos viešosioms konsultacijoms ir nuomonę dėl jų galima teikti iki šių metų rugsėjo 16 d. Nuomones jau yra pateikusios Vokietijos, Austrijos, Belgijos verslo asociacijos.

2020/06 EDAV gairėse nurodoma, kad tvarkomų asmens duomenų apimtis mokėjimų inicijavimo paslaugų kontekste yra nulemta pagrindinio ir abiejų šalių suprantamo sutartimi nustatyto tikslo.  Pagrindinis principas, kad turi būti tvarkomi tik tie asmens duomenys, kurie yra būtini finansinių paslaugų teikimui. Gairėse pabrėžiama, kad kai ne visi mokėjimo sąskaitos duomenys yra būtini teikti paslaugoms (pvz., transakcijos charakteristikos), todėl aktualių duomenų kategorijų parinkimas turi būti įvykdytas dar prieš surenkant asmens duomenis. Be to, kad turi būti tvarkoma kiek įmanoma mažiau asmens duomenų, gairės atkreipia dėmesį, kad finansų įstaigos taip pat turi nepamiršti apie ribotus asmens duomenų saugojimo laikotarpius ir nesaugoti duomenų daugiau nei būtina.

Todėl finansų įstaigoms rekomenduotina išanalizuoti minėtas EDAV gaires ir taip pat:

Finansų įstaigoms rekomenduotina išanalizuoti minėtas EDAV gaires ir taip pat:

1) audituoti jų tvarkomus asmens duomenis ir nustatyti, ar pakankamai užtikrinamas duomenų kiekio mažinimo bei kiti BDAR 5 str. įtvirtinti principai;

2) įsitikinti, kad taikomos ir dokumentuotos tinkamos ir rizikas atitinkančios asmens duomenų saugumo priemonės;

3) įsitikinti, kad tvarkomi asmens duomenys, jų tvarkymo tikslai ir kita BDAR 30 str. numatyta informacija yra dokumentuota įstaigos duomenų tvarkymo veiklos įrašuose;

4) įsitikinti, kad įstaigos atliekami duomenų tvarkymo procesai aprašyti įstaigos asmens duomenų tvarkymo taisyklėse / politikoje.

Kuo įstaigai gali baigtis patikrinimas?


Vadovaujantis VDAI vykdomų tyrimų ir (ar) patikrinimų taisyklėmis, (1) atlikusi patikrinimą VDAI patikrinimo rezultatus paprastai įformina tikrinimo ataskaita, kurioje nurodo faktinius tikrinimo rezultatus ir įrodymus  bei nustatytus pažeidimus. Atlikusi patikrinimą ir nustačiusi pažeidimų VDAI gali pradėti baudų skyrimo procedūrą, skirti įspėjimą arba nurodymą, pareikšti papeikimą.

Tinkamai pasirengti patikrinimui galite užsisakę paslaugą Duomenų apsaugos pareigūnas Allaw. Kartu gausite prisijungimą prie BDAR atitikties portalo, kuris padės greitai nustatyti atitikties būklę įstaigoje ir akimirksniu nustatyti taisytinas vietas bei jas ištaisyti. Jūsų darbuotojai liks patenkinti Allaw e-mokymų erdve, kuri leis jiems bet kada atnaujinti ir pasitikrinti savo BDAR reikalavimų žinias iš bet kurios vietos, turint tik kompiuterį, planšetę ar telefoną.

Atlikusi sektoriaus patikrinimus, paprastai VDAI parengia ir viešai paskelbia patikrinimų rezultatų apibendrinimus, kuriais gali pasinaudoti kitos tam sektoriui priskiriamos organizacijos, kad užtikrintų tinkamą asmens duomenų tvarkymo reikalavimų įgyvendinimą.






Link to this page