Kaip skelvbiama Valstybinės duomenų apsaugos inspekcijos (toliau – VDAI) pranešime, VDAI per 2020 m. atliko prevencinius patikrinimus valstybės registruose ar valstybės informacinėse sistemose dėl tvarkomų asmens duomenų apimties. Duomenų apsaugos pareigūnas Allawsupažindina kokie pažeidimai buvo nustatyti ir kaip jų išvengti.
Bendrai patikrinimų metu nustatyti pažeidimai
VDAI skelbia, kad atlikus 10 valstybės registrų ar valstybės informacinių sistemų, kurių asmens duomenų valdytojos yra skirtingos Lietuvos Respublikos ministerijos nustatyti šie pažeidimai:
Rasta 1 faktiškai nebefunkcionuojanti informacinė sistema, todėl svarbu atkreipti dėmesį, kad tokiu atveju sistema turi būti likviduojama.
1 iš tikrintų informacinių sistemų buvo netinkamai įgyvendintas duomenų kiekio mažinimo principas, nes joje buvo tvarkomi asmens duomenys, nenumatyti jos nuostatuose.
2 neturėjo dokumentuotos duomenų naikinimo procedūros.
4 netinkamai įgyvendino duomenų kiekio mažinimo principą dėl asmens duomenų teikimo trečiosioms šalims.
Iš pateiktos statistikos galime matyti, kad daugiausiai pažeidimų susiję su duomenų saugojmo trukmės principo nesilaikymu ir duomenų teikimu trečiosioms šalims. DUomenų apsaugos pareigūnas Allaw tolesniuose šios publikacijos skyreliuose nagrinėja kokie pažeidimai buvo atlikti ir kokios priemonės padėtų jų išvengti kitiems duomenų valdytojams.
BDAR 5 str. 1 d. e) punktas įtvirtina pareigą duomenų valdytojams saugoti asmens duomenis ne ilgiau, nei reikalinga tikslams, dėl kurių jie surinkti, pasiekti (saugojimo trukmės ribojimo principas). VDAI tikrinimo metu nustatė, kad Iš 9-ių tikrintų ministerijų, 3-iose asmens duomenų saugojimo trukmės ribojimo principas įgyvendintas netinkamai. Nustatyti pažeidimai:
- įstaigos informacinėje sistemoje saugomi asmens duomenys ilgiau negu nustatyta tos informacinės sistemos nuostatuose,
- įstaiga neturėjo dokumentuotos duomenų naikinimo procedūros.
Allaw duomenų apsaugos pareigūnas šiems pažeidimams išvengti organizacijoms rekomenduoja:
- įgyvendinti duomenų naikinimo procesą ir dokumentuoti jo atlikimo procedūrą, paskiriant už duomenų naikinimą atsakingus asmenis,
- dokumentuoti duomenų saugojimo laikotarpius bei paskirti atsakingą asmenį už periodinę jų peržiūrą.
Net septyniasdešimt procentų tikrintų registrų duomeni teikia trečiosioms šalims netinkamai
VDAI teigimu, dviejuose tikrintuose valstybės registruose ar informacinėse sistemose tvarkomi asmens duomenys trečiosioms šalims apskritai nėra teikiami, iš likusių tikrintų valstybės registrų ir informacini sistemų tik dviejų valstybės registrų trečiosioms šalims teikiamų asmens duomenų apimtis atitiko duomenų kiekio mažinimo principą. Nustatyti pažeidimai:
- ne su visais duomenų gavėjais sudarytos asmens duomenų teikimo sutartys;
- kai kuriose asmens duomenų teikimo sutartyse neaiškiai nurodyti teikiami asmens duomenys,
- o vienu atveju su duomenų gavėju sudarytoje duomenų teikimo sutartyje numatyta teiktinų asmens duomenų apimtis buvo didesnė negu numatyta to registro nuostatuose.
Allaw duomenų apsaugos pareigūnas šiems pažeidimams išvengti organizacijoms rekomenduoja:
- įgyvendinti duomenų tvarkytojų / gavėjų pasitelkimo procesą ir dokumentuoti jo atlikimo procedūrą,
- patvirtinti duomenų tvarkymo / teikimo formą,
- paskirti už duomenų tvarkymo / teikimo sutarčių sudarymą atsakingus asmenis,
VDAI skelbia valstybės registrų ir informacinių sistemų patikrinimo rezultatus
Kaip skelvbiama Valstybinės duomenų apsaugos inspekcijos (toliau – VDAI) pranešime, VDAI per 2020 m. atliko prevencinius patikrinimus valstybės registruose ar valstybės informacinėse sistemose dėl tvarkomų asmens duomenų apimties. Duomenų apsaugos pareigūnas Allaw supažindina kokie pažeidimai buvo nustatyti ir kaip jų išvengti.
Bendrai patikrinimų metu nustatyti pažeidimai
VDAI skelbia, kad atlikus 10 valstybės registrų ar valstybės informacinių sistemų, kurių asmens duomenų valdytojos yra skirtingos Lietuvos Respublikos ministerijos nustatyti šie pažeidimai:
Iš pateiktos statistikos galime matyti, kad daugiausiai pažeidimų susiję su duomenų saugojmo trukmės principo nesilaikymu ir duomenų teikimu trečiosioms šalims. DUomenų apsaugos pareigūnas Allaw tolesniuose šios publikacijos skyreliuose nagrinėja kokie pažeidimai buvo atlikti ir kokios priemonės padėtų jų išvengti kitiems duomenų valdytojams.
Trečdalis tikrinų registrų saugojimo trukmės ribojimo principo nesilaiko
BDAR 5 str. 1 d. e) punktas įtvirtina pareigą duomenų valdytojams saugoti asmens duomenis ne ilgiau, nei reikalinga tikslams, dėl kurių jie surinkti, pasiekti (saugojimo trukmės ribojimo principas). VDAI tikrinimo metu nustatė, kad Iš 9-ių tikrintų ministerijų, 3-iose asmens duomenų saugojimo trukmės ribojimo principas įgyvendintas netinkamai. Nustatyti pažeidimai:
- įstaigos informacinėje sistemoje saugomi asmens duomenys ilgiau negu nustatyta tos informacinės sistemos nuostatuose,
- įstaiga neturėjo dokumentuotos duomenų naikinimo procedūros.
Allaw duomenų apsaugos pareigūnas šiems pažeidimams išvengti organizacijoms rekomenduoja:
- įgyvendinti duomenų naikinimo procesą ir dokumentuoti jo atlikimo procedūrą, paskiriant už duomenų naikinimą atsakingus asmenis,
- dokumentuoti duomenų saugojimo laikotarpius bei paskirti atsakingą asmenį už periodinę jų peržiūrą.
Net septyniasdešimt procentų tikrintų registrų duomeni teikia trečiosioms šalims netinkamai
VDAI teigimu, dviejuose tikrintuose valstybės registruose ar informacinėse sistemose tvarkomi asmens duomenys trečiosioms šalims apskritai nėra teikiami, iš likusių tikrintų valstybės registrų ir informacini sistemų tik dviejų valstybės registrų trečiosioms šalims teikiamų asmens duomenų apimtis atitiko duomenų kiekio mažinimo principą. Nustatyti pažeidimai:
- ne su visais duomenų gavėjais sudarytos asmens duomenų teikimo sutartys;
- kai kuriose asmens duomenų teikimo sutartyse neaiškiai nurodyti teikiami asmens duomenys,
- o vienu atveju su duomenų gavėju sudarytoje duomenų teikimo sutartyje numatyta teiktinų asmens duomenų apimtis buvo didesnė negu numatyta to registro nuostatuose.
Allaw duomenų apsaugos pareigūnas šiems pažeidimams išvengti organizacijoms rekomenduoja:
- įgyvendinti duomenų tvarkytojų / gavėjų pasitelkimo procesą ir dokumentuoti jo atlikimo procedūrą,
- patvirtinti duomenų tvarkymo / teikimo formą,
- paskirti už duomenų tvarkymo / teikimo sutarčių sudarymą atsakingus asmenis,