Created by Unknown User (m.zvinyte@juridicon.lt), last modified by Unknown User (a.stundzia@juridicon.lt) on Apr 21, 2021
Duomenų apsaugos pareigūnas Allaw® supažindina
Kaip skelbiama Valstybinės duomenų apsaugos inspekcijos (toliau – VDAI) pranešime, VDAI per 2020 m. atliko prevencinius patikrinimus valstybės registruose ar valstybės informacinėse sistemose dėl tvarkomų asmens duomenų apimties. Duomenų apsaugos pareigūnas Allawsupažindina, kokie pažeidimai buvo nustatyti ir kaip jų išvengti.
Bendrai patikrinimų metu nustatyti pažeidimai
VDAI skelbia, kad, atlikus 10 valstybės registrų ar valstybės informacinių sistemų, kurių asmens duomenų valdytojos yra skirtingos Lietuvos Respublikos ministerijos, nustatyti šie pažeidimai:
Oops, it seems that you need to place a table or a macro generating a table within the Chart from Table macro.
Probably, there is no data in the Values column. Please, select the column with data values for chart generation.
Probably, the incorrect date format is specified in the Chart from Table macro parameters. Please verify the date format:
Please select the column with labels and the column with data values for chart generation.
Logarithmic charts can not contain zero values.
Pažeidimas
Skaičius
Nelikviduota nebefunkcionuojanti informacinė sistema
Netinkamai įgyvendintas duomenų kiekio mažinimo principas dėl asmens duomenų teikimo trečiosioms šalims
4
Rasta 1 faktiškai nebefunkcionuojanti informacinė sistema, todėl svarbu atkreipti dėmesį, kad tokiu atveju sistema turi būti likviduojama,
1 iš tikrintų informacinių sistemų buvo netinkamai įgyvendintas duomenų kiekio mažinimo principas, nes joje buvo tvarkomi asmens duomenys, nenumatyti jos nuostatuose,
2 neturėjo dokumentuotos duomenų naikinimo procedūros,
4 netinkamai įgyvendino duomenų kiekio mažinimo principą dėl asmens duomenų teikimo trečiosioms šalims.
Iš pateiktos statistikos galime matyti, kad daugiausiai pažeidimų susiję su duomenų saugojimo trukmės principo nesilaikymu ir duomenų teikimu trečiosioms šalims. Duomenų apsaugos pareigūnas Allaw tolesniuose šios publikacijos skyreliuose nagrinėja, kokie pažeidimai buvo atlikti ir kokios priemonės padėtų jų išvengti kitiems duomenų valdytojams.
Kokie yra du dažniausi pažeidimai bei kaip jų išvengti?
BDAR 5 str. 1 d. e) punktas įtvirtina pareigą duomenų valdytojams saugoti asmens duomenis ne ilgiau, nei reikalinga tikslams, dėl kurių jie surinkti, pasiekti (saugojimo trukmės ribojimo principas). VDAI tikrinimo metu nustatė, kad Iš 9-ių tikrintų ministerijų, 3-ose asmens duomenų saugojimo trukmės ribojimo principas įgyvendintas netinkamai. Nustatyti pažeidimai:
- įstaigos informacinėje sistemoje saugomi asmens duomenys ilgiau negu nustatyta tos informacinės sistemos nuostatuose,
- įstaiga neturėjo dokumentuotos duomenų naikinimo procedūros.
Allaw duomenų apsaugos pareigūnas šiems pažeidimams išvengti organizacijoms rekomenduoja:
Įgyvendinti duomenų naikinimo procesą ir dokumentuoti jo atlikimo procedūrą, paskiriant už duomenų naikinimą atsakingus asmenis,
Dokumentuoti duomenų saugojimo laikotarpius bei paskirti atsakingą asmenį už periodinę jų peržiūrą.
Net septyniasdešimt procentų tikrintų registrų duomenis teikia trečiosioms šalims netinkamai
VDAI teigimu, dviejuose tikrintuose valstybės registruose ar informacinėse sistemose tvarkomi asmens duomenys trečiosioms šalims apskritai nėra teikiami, iš likusių tikrintų valstybės registrų ir informacinių sistemų tik dviejų valstybės registrų trečiosioms šalims teikiamų asmens duomenų apimtis atitiko duomenų kiekio mažinimo principą. Nustatyti pažeidimai:
- ne su visais duomenų gavėjais sudarytos asmens duomenų teikimo sutartys;
- kai kuriose asmens duomenų teikimo sutartyse neaiškiai nurodyti teikiami asmens duomenys,
- o vienu atveju su duomenų gavėju sudarytoje duomenų teikimo sutartyje numatyta teiktinų asmens duomenų apimtis buvo didesnė negu numatyta to registro nuostatuose.
Allaw duomenų apsaugos pareigūnas šiems pažeidimams išvengti organizacijoms rekomenduoja:
Įgyvendinti duomenų tvarkytojų / gavėjų pasitelkimo procesą ir dokumentuoti jo atlikimo procedūrą,
Patvirtinti duomenų tvarkymo / teikimo formą,
Paskirti už duomenų tvarkymo / teikimo sutarčių sudarymą atsakingus asmenis.
VDAI skelbia valstybės registrų ir informacinių sistemų patikrinimo rezultatus
Kaip skelbiama Valstybinės duomenų apsaugos inspekcijos (toliau – VDAI) pranešime, VDAI per 2020 m. atliko prevencinius patikrinimus valstybės registruose ar valstybės informacinėse sistemose dėl tvarkomų asmens duomenų apimties. Duomenų apsaugos pareigūnas Allaw supažindina, kokie pažeidimai buvo nustatyti ir kaip jų išvengti.
Bendrai patikrinimų metu nustatyti pažeidimai
VDAI skelbia, kad, atlikus 10 valstybės registrų ar valstybės informacinių sistemų, kurių asmens duomenų valdytojos yra skirtingos Lietuvos Respublikos ministerijos, nustatyti šie pažeidimai:
Nelikviduota nebefunkcionuojanti informacinė sistema
Tvarkomi asmens duomenys, nenumatyti nuostatuose
Netinkamai įgyvendintas duomenų kiekio mažinimo principas dėl asmens duomenų teikimo trečiosioms šalims
Iš pateiktos statistikos galime matyti, kad daugiausiai pažeidimų susiję su duomenų saugojimo trukmės principo nesilaikymu ir duomenų teikimu trečiosioms šalims. Duomenų apsaugos pareigūnas Allaw tolesniuose šios publikacijos skyreliuose nagrinėja, kokie pažeidimai buvo atlikti ir kokios priemonės padėtų jų išvengti kitiems duomenų valdytojams.
Trečdalis tikrintų registrų nesilaiko saugojimo trukmės ribojimo principo
BDAR 5 str. 1 d. e) punktas įtvirtina pareigą duomenų valdytojams saugoti asmens duomenis ne ilgiau, nei reikalinga tikslams, dėl kurių jie surinkti, pasiekti (saugojimo trukmės ribojimo principas). VDAI tikrinimo metu nustatė, kad Iš 9-ių tikrintų ministerijų, 3-ose asmens duomenų saugojimo trukmės ribojimo principas įgyvendintas netinkamai. Nustatyti pažeidimai:
- įstaigos informacinėje sistemoje saugomi asmens duomenys ilgiau negu nustatyta tos informacinės sistemos nuostatuose,
- įstaiga neturėjo dokumentuotos duomenų naikinimo procedūros.
Įgyvendinti duomenų naikinimo procesą ir dokumentuoti jo atlikimo procedūrą, paskiriant už duomenų naikinimą atsakingus asmenis,
Dokumentuoti duomenų saugojimo laikotarpius bei paskirti atsakingą asmenį už periodinę jų peržiūrą.
Net septyniasdešimt procentų tikrintų registrų duomenis teikia trečiosioms šalims netinkamai
VDAI teigimu, dviejuose tikrintuose valstybės registruose ar informacinėse sistemose tvarkomi asmens duomenys trečiosioms šalims apskritai nėra teikiami, iš likusių tikrintų valstybės registrų ir informacinių sistemų tik dviejų valstybės registrų trečiosioms šalims teikiamų asmens duomenų apimtis atitiko duomenų kiekio mažinimo principą. Nustatyti pažeidimai:
- ne su visais duomenų gavėjais sudarytos asmens duomenų teikimo sutartys;
- kai kuriose asmens duomenų teikimo sutartyse neaiškiai nurodyti teikiami asmens duomenys,
- o vienu atveju su duomenų gavėju sudarytoje duomenų teikimo sutartyje numatyta teiktinų asmens duomenų apimtis buvo didesnė negu numatyta to registro nuostatuose.
Įgyvendinti duomenų tvarkytojų / gavėjų pasitelkimo procesą ir dokumentuoti jo atlikimo procedūrą,
Patvirtinti duomenų tvarkymo / teikimo formą,
Paskirti už duomenų tvarkymo / teikimo sutarčių sudarymą atsakingus asmenis.
Nuorodos
https://vdai.lrv.lt/lt/naujienos/valstybes-registrai-ir-informacines-sistemos-patikrinti-del-tvarkomu-asmens-duomenu-apimties
Pasitikrinti, ar esate nustatę ir dokumentavę duomenų saugojimo laikotarpį bei ar tinkamai perduodate asmens duomenis trečiosioms šalims.
Pasitikrinti, ar periodiškai peržiūrite ir, nustačius poreikį,atnaujinate duomenų saugojimo laikotarpius
Pasitikrinti, ar Jūsų darbuotojai apmokyti taikyti duomenų tvarkymo principus ir vykdyti asmens duomenų perdavimą
Pasitikrinti, ar Jūsų BDAR mokymų temos apima duomenų tvarkymo principus
Duomenų saugojimo laikotarpiai, kaip duomenų perdavimo trečiosioms šalims taisyklės, turi būti aiškiai nustatyti ir dokumentuoti.
You will need to contact your administrator.
BDAR specializuoti mokymai duomenų saugos pažeidimų prevencijai
BDAR e-vedlys
Dažnai užduodami klausimai (DUK)
Teirautis dėl prieigos prie BDAR mokymų e-medžiagos
Sužinoti apie inovatyvią paslaugą duomenų apsaugos pareigūnas Allaw®
Palikti žinutę duomenų apsaugos pareigūnui Allaw®
Telefonu: 8-616 02000