Valstybinė duomenų apsaugos inspekcija (VDAI) savo interneto svetainėje paskelbė praėjusių metų veiklos ataskaitą, kuriai 2020 m. balandžio 15 d. pritarė Vyriausybė. VDAI veiklos ataskaitoje pateikiama 2019 m. VDAI veiklos statistika: duomenų saugumo pažeidimų, skirtų sankcijų, paskirtų duomenų apsaugos pareigūnų, nagrinėtų skungų skaičius bei prioritetinės VDAI kryptys 2020 metams.

Dažniausi 2019 m. atliktų patikrinimų metu nustatyti pažeidimai atskleidžia organizacijų silpnąsias vietas

Kaip skelbia savo ataskaitoje 2019 m. atlikdama planinius ir neplaninius patikrinimus VDAI daugiausia pažeidimų nustatė dėl:

  • duomenų apsaugos principų įgyvendinimo,
  • teisės būti informuotam,
  • dėl duomenų tvarkymo saugumo,
  • duomenų tvarkymo veiklos įrašų,
  • dėl duomenų tvarkytojo veiksmų,
  • dėl pranešimo apie duomenų saugumo pažeidimą nepateikimo priežiūros institucijai.

Pateikta statistika leidžia daryti prielaidą, kad duomenų tvarkymo veiklos įrašai organizacijose nepildomi arba pildomi netinkamai, skiriamas nepakankamas dėmesys duomenų subjektų informavimui, kas, pavyzdžiui, organizacijų interneto svetainėse renkamų asmens duomenų atveju reiškia, jog interneto svetainėje neskelbiama privatumo politika ar kitas informacinis pranešimas, apimantis Bendrojo duomenų apsaugos reglamento 2016/679 (toliau - BDAR 13 str.) reikalavimus. Taip pat iš VDAI pateikiamos statistikos galima spręsti, kad duomenų saugumo priemonės yra galimai parenkamos neneįvertinus visų asmens duomenims kylančių rizikų. VDAI savo rekomendacijose ne kartą yra pažymėjusi, kad rizikas, kylančias asmens duomenims reikalinga vertinti periodiškai ir atsižvelgiant į nustatytą rizikos lygį pasirinkti atitinkamas duomenų saugumo priemones.

Dažniausiai 2019 m. VDAI taikytos sankcijos

Kaip skelbia savo veiklos ataskaitoje, 2019 m. pirmąjį pusmetį VDAI skyrė Lietuvoje kol kas didžiausią administracinę baudą už BDAR pažeidimus, siekiančią 61,5 tūkst. eurų. Tokia sankcija buvo skirta už asmens duomenų saugumo pažeidimą mokėjimo inicijavimo paslaugų sistemoje (ne mažiau kaip 2 dienas internete buvo prieinamas tinklalapis su įmonės apdorotų mokėjimų sąrašu. Jame buvo matomi įvairių bankų įstaigų klientų atlikti mokėjimai per įmonės mokėjimo iniciavimo paslaugų sistemą su tų klientų asmens duomenimis), apie kurį, be kita ko, įmonė nepranešė priežiūros institucijai. Tačiau atsižvelgiant į 2019 m. VDAI veiklos statistiką akivaizdu, kad baudos sudaro mažesnę VDAI skiriamų sankcijų dalį, jos buvo pritaikytos atlikus tyrimus dėl asmenų skundų ar duomenų saugumo pažeidimų. Didžiąją pritaikytų sankcijų dalį sudaro nurodymai, ypač jei pažeidimų randama atliekant planinius patikrinimus. 2019 m. VDAI tiek viešojo, tiek privataus sektoriaus atstovams iš viso yra skyrusi 6 baudas (bendra suma – 68 895 Eur), 178 nurodymus, 96 papeikimus, 4 rekomendacijas.

Organizacijos vis dar neskuba paskirti duomenų apsaugos pareigūnų

2019 m. VDAI pranešta apie 601 duomenų apsaugos pareigūno paskyrimą, iš jų 336 viešųjų, 263 privačių juridinių, 2 fizinių asmenų. Daugiausia duomenų apsaugos pareigūnų 2019 m. paskyrė švietimo ir kultūros, prekių ir paslaugų veiklos, finansų ir kreditų veiklos, sveikatos priežiūros paslaugų, valstybės ir savivaldybių institucijų veiklos sektoriai. VDAI veiklos ataskaitoje skelbiama, kad įvertinus VDAI turimą informaciją apie Lietuvoje paskirtus duomenų apsaugos pareigūnus, manoma, kad juos yra paskyrusios 40 proc. organizacijų, turinčių tokią pareigą. Svarbu atkreipti dėmesį, kad BDAR numato, jog šiuos pareigūnus privalo paskirti visi viešojo sektoriaus atstovai, o šią pareigą yra įgyvendinę tik apie 27 proc. viešojo sektoriaus atstovų. Atkreiptinas dėmesys, kad paskirtas duomenų apsaugos pareigūnas organizacijoms padeda siekti organizacijos strateginių tikslų, stebėdamas kaip organizacija laikosi BDAR reikalavimų, atlieka duomenų tvarkymą bei valdo su duomenų saugumu susijusias rizikas, taip prisidėdamas prie organizacijos vykdomo duomenų tvarkymo atitikties BDAR reikalavimams užtikrinimo.

VDAI pateiktų skundų skaičius auga, kokių priemonių turėtų imtis organizacijos?

VDAI savo veiklos ataskaitoje skelbia, kad jos gaunamų skundų skaičius auga, palyginti pastaruosius 3 metus: 2017 m. buvo gauta 480 skundų, 2018 m. – 859, 2019 m. – 880. 2019 m. buvo išnagrinėti 995 skundai, iš kurių daugiausia skųstasi dėl asmens duomenų atskleidimo, rinkimo, duomenų tvarkymo internete, tiesioginės rinkodaros, vaizdo stebėjimo, teisės susipažinti su asmens duomenimis.  VDAI atkreipia dėmesį, kad žmonės geriau išmano savo teises asmens duomenų apsaugos srityje ir yra linkę jas ginti. Tačiau pastebima, kad asmenys neretai skuba kreiptis į VDAI, net nepasinaudoję teise, o kartais ir pareiga, visų pirma kreiptis į duomenų valdytoją dėl savo teisių įgyvendinimo.

Dėl šios priežasties organizacijoms ypatingai svarbu užtikrinti, kad:

  • duomenų subjektai būtų aiškiai informuojami apie jų asmens duomenų tvarkymą, pateikiant jiems informacinius pranešimus (pvz., skelbiant privatumo politiką interneto svetainėje, teikiant darbuotojams pranešimą dėl jų asmens duomenų tvarkymo kaip priedą prie darbo sutarties ar kt.);
  • teisių įgyvendinimo procesas būtų aiškiai aprašytas ir pateiktas duomenų subjektams susipažinti, kad šie, norėdami įgyvendinti savo teises, žinotų kaip lengvai tą padaryti;
  • tiesioginę rinkodarą vykdyti tik laikantis jai nustatytų reikalavimų (t.y., gavus duomenų subjekto sutikimą, bei sudarant galimybę bet kada atsisakyti tiesioginės rinkodaros pranešimų);
  • informuoti duomenų subjektus apie vykdomą vaizdo stebėjimą informacine lentele ir pateikiant informaciją kur jie gali rasti visą informaciją apie jų asmens duomenų tvarkymą (BDAR 13 str.), bei prieš vykdant vaizdo stebėjimą įvertinti poreikį atlikti poveikio duomenų apsaugai vertinimą.

Prioritetinės VDAI kryptys 2020 m.

Vyriausybė pritarė prioritetinėms VDAI veiklos kryptims 2020 metais. VDAI veikla ateinančiais metais bus orientuota į švietimą asmens duomenų apsaugos srityje, tolesnį asmens duomenų apsaugos priežiūros tobulinimą bei tarptautinio bendradarbiavimo stiprinimą.

Su VDAI skelbiama veiklos ataskaita galite susipažinti čia

Nuorodos


Doctype
plain-confluence-page
Link to this page