Created by Unknown User (m.zvinyte@juridicon.lt), last modified by CPO on Apr 15, 2024
Duomenų apsaugos pareigūnas Allaw® supažindina
Praėjusį penktadienį Valstybinė duomenų apsaugos inspekcija (toliau - VDAI), remdamasi Bendrojo duomenų apsaugos reglamento (toliau - BDAR) nustatytais reikalavimais, pristatė praėjusių metų asmens duomenų apsaugos priežiūros Lietuvoje apžvalgą. Duomenų apsaugos pareigūnas Allaw atkreipia dėmesį į pagrindinius apžvalgos aspektus ir į tai, ko gali pasimokyti duomenų valdytojai.
Didesniam pranešimų skaičiui įtakos turi ir griežti sektoriniai reikalavimai
Duomenų saugumo pažeidimais pripažįstami vos 6 % visų incidentų, apie kuriuos pranešta VDAI. Remiantis paskelbta VDAI apžvalga, iš 2020 m. gautų 181 pranešimų tik 10 atvejų nustatyta pažeidimų.
Praėjusiais metais apie asmens duomenų saugumo pažeidimus daugiausia pranešė organizacijos, kurių pagrindinė veikla susijusi su finansų ir kreditų veikla (37 pranešimai), valstybės ir savivaldybių institucijų veikla (27 pranešimai), teisėsauga ir teisėtvarka (16 pranešimai). Išsamesnį grafiką rasite žemiau:
Oops, it seems that you need to place a table or a macro generating a table within the Chart from Table macro.
Probably, there is no data in the Values column. Please, select the column with data values for chart generation.
Probably, the incorrect date format is specified in the Chart from Table macro parameters. Please verify the date format:
Please select the column with labels and the column with data values for chart generation.
Logarithmic charts can not contain zero values.
Organizacijos veikla
Pranešimų skaičius
Finansų ir kreditų veikla
37
Valstybės ir savivaldybių institucijų veikla
27
Teisėsauga ir teisėtvarka
16
Sveikatos paslaugos
13
Elektroninės parduotuvės
9
Elektroninių ryšių ar tinklų teikimas
8
Tačiau, kaip pažymi VDAI, tai nereiškia, kad asmens duomenų saugumo pažeidimus daugiausia patiria minėtiems sektoriams priklausančios organizacijos. Kaip savo praktikoje pastebi VDAI, didesnį pranešimų apie pažeidimus skaičių gali lemti tokios aplinkybės, kaip griežtesni teisės aktų reikalavimai ir (ar) jų laikymasis, pavyzdžiui, finansų sektorius operatyviai praneša apie asmens duomenų saugumo pažeidimus dėl gana griežtų sektorinių reikalavimų, o valstybės ir savivaldybių ar teisėsaugos institucijos yra įpratusios griežčiau laikytis nustatytų reikalavimų. Atkreiptinas dėmesys, kad, vadovaujantis VDAI rekomendacijomis, tais atvejais, kai, įvertinus riziką, abejojama, ar ji yra ir ar reikia pranešti apie pažeidimą VDAI, rekomenduotina pranešti.
VDAI atkreipė dėmesį į tai, kad dažniausiai asmens duomenų saugumo pažeidimai 2020 m. vyko interneto svetainėse ar informacinėse sistemose. Skirstant įvykusius pažeidimus pagal jų pobūdį pirmauja konfidencialumo pažeidimai (165 atvejai), 16 atvejų buvo prarastas duomenų vientisumas, 18 atvejų buvo susiję su duomenų pasiekiamumo/prieinamumo pažeidimais. VDAI teigimu, daugiausia pažeidimų įvyko dėl žmogiškosios klaidos. Į šią priežastį dėmesį turi atkreipti visi duomenų valdytojai ir skirti pakankamą dėmesį periodinių darbuotojų apmokymų bei instruktažų asmens duomenų tvarkymo ir apsaugos srityje organizavimui.
Kylantis skundų skaičius išryškina problematiškas duomenų apsaugos sritis
Stebint duomenų subjektų pateikiamų skundų VDAI tendencijas, matyti, kad duomenų subjektai vis daugiau žino apie savo teises ir skuba jas apginti pateikdami skundą VDAI. Kaip pažymi pati VDAI, neretai toks skubėjimas lemia tai, kad duomenų subjektai kreipiasi į VDAI net prieš tai nesikreipę į pačią organizaciją, dėl kurios veiksmų ar neveikimo yra nepatenkinti. Tai signalas duomenų valdytojams savo interneto svetainėje būti patalpinus informaciją, kontaktinius duomenis - kaip ir su kuo duomenų subjektai gali susisiekti turėdami klausimų ar skundų dėl savo asmens duomenų tvarkymo - tai galėtų padėti žymiai efektyviau išspręsti susidariusias situacijas ir leistų taupyti organizacijos darbuotojų laiką atsakinėjant į VDAI raštus dėl gautų skundų bei pateiktų atsakymus į duomenų subjektų nuogąstavimus.
Dažniausiai duomenų subjektai skundžia kitus fizinius asmenis, prekių ir paslaugų teikėjus bei valstybės ir savivaldybių įstaigas. Tiesa, šių sektorių veikloje ir pripažįstama daugiausiai pažeidimų tiriant skundus.
2020 m. daugiausia pažeidimų išnagrinėjus asmenų skundus nustatyta dėl asmens duomenų rinkimo iš valstybės registrų ir informacinių sistemų (144 pažeidimai), asmens duomenų atskleidimo (57 pažeidimai), vaizdo stebėjimo (36 pažeidimai). Išsamesnį grafiką rasite žemiau:
Oops, it seems that you need to place a table or a macro generating a table within the Chart from Table macro.
Probably, there is no data in the Values column. Please, select the column with data values for chart generation.
Probably, the incorrect date format is specified in the Chart from Table macro parameters. Please verify the date format:
Please select the column with labels and the column with data values for chart generation.
Logarithmic charts can not contain zero values.
Priežastis
Pažeidimų skaičius
Asmens duomenų rinkimo iš valstybės registrų ir informacinių sistemų
144
Asmens duomenų atskleidimo
57
Vaizdo stebėjimo
36
Teisės susipažinti su duomenimis
32
Asmens duomenų rinkimo
28
Tiesioginės rinkodaros
28
Skolininkų asmens duomenų
11
Teisės nesutikti su duomenų tvarkymu
9
Teisės būti pamirštam
7
Kaip matyti iš pateiktos statistikos, duomenų valdytojai vis dar nepakankamą dėmesį skiria duomenų subjektų teisių įgyvendinimui, tinkamam tiesioginės rinkodaros vykdymui bei asmens duomenų rinkimui ir jų atskleidimui.
VDAI taikomos sankcijos griežtėja, skiriama vis daugiau baudų
Remiantis VDAI pateikta apžvalga, 2020 m. VDAI, nustačiusi pažeidimų, organizacijoms teikė:
8 rekomendacijas,
175 nurodymus,
94 papeikimus,
surašė 2 administracinių nusižengimų protokolus,
skyrė 25 baudas, iš kurių didžioji dalis už nebendradarbiavimą su VDAI jai atliekant tyrimus. Organizacijos nepateikė ar bandė nuslėpti tyrimui reikiamą informaciją.
Tas rodo, kad einant tretiems metams po BDAR įsigaliojimo VDAI mano esant pakankama laikotarpiui įgyvendinti BDAR keliamus reikalavimus ir nėra nusiteikusi nuolaidžiauti reikalavimų neįgyvendinusioms arba tai padariusioms netinkamai organizacijoms.
Ko gali pasimokyti duomenų valdytojai?
Atsižvelgiant į tai, kas buvo išdėstyta aukščiau, duomenų valdytojai turėtų:
Įsitikinti, kad periodiškai, ne rečiau kaip kartą per metus, vykdo darbuotojų mokymus, instruktažus asmens duomenų apsaugos srityje,
Įsitikinti, kad yra nustatę tvarkomų asmens duomenų rizikos lygį ir, atsižvelgiant į jį, taiko duomenų saugumo priemones bei periodiškai, ne rečiau kaip kartą per metus, jas peržiūri ir, jeigu reikia, atnaujina,
Įsitikinti, kad savo interneto svetainėje skelbia duomenų apsaugos pareigūno ar kito asmens, su kuriuo duomenų subjektai gali susisiekti, kontaktus,
Įsitikinti, kad organizacija yra paskyrusi atsakingą asmenį už duomenų saugumo pažeidimų tyrimą ir pranešimą apie juos priežiūros institucijai, bei priėmusi tai reguliuojančius vidaus teisės aktus (asmens duomenų saugumo pažeidimų nustatymo, tyrimo, valdymo ir pranešimo apie nustatytus pažeidimus tvarkos aprašą bei duomenų saugumo pažeidimų žurnalą ir kitus susijusius priedus).
VDAI pristatė 2020 metų asmens duomenų apsaugos priežiūros Lietuvoje apžvalgą
Praėjusį penktadienį Valstybinė duomenų apsaugos inspekcija (toliau - VDAI), remdamasi Bendrojo duomenų apsaugos reglamento (toliau - BDAR) nustatytais reikalavimais, pristatė praėjusių metų asmens duomenų apsaugos priežiūros Lietuvoje apžvalgą. Duomenų apsaugos pareigūnas Allaw atkreipia dėmesį į pagrindinius apžvalgos aspektus ir į tai, ko gali pasimokyti duomenų valdytojai.
Didesniam pranešimų skaičiui įtakos turi ir griežti sektoriniai reikalavimai
Duomenų saugumo pažeidimais pripažįstami vos 6 % visų incidentų, apie kuriuos pranešta VDAI. Remiantis paskelbta VDAI apžvalga, iš 2020 m. gautų 181 pranešimų tik 10 atvejų nustatyta pažeidimų.
Praėjusiais metais apie asmens duomenų saugumo pažeidimus daugiausia pranešė organizacijos, kurių pagrindinė veikla susijusi su finansų ir kreditų veikla (37 pranešimai), valstybės ir savivaldybių institucijų veikla (27 pranešimai), teisėsauga ir teisėtvarka (16 pranešimai). Išsamesnį grafiką rasite žemiau:
Tačiau, kaip pažymi VDAI, tai nereiškia, kad asmens duomenų saugumo pažeidimus daugiausia patiria minėtiems sektoriams priklausančios organizacijos. Kaip savo praktikoje pastebi VDAI, didesnį pranešimų apie pažeidimus skaičių gali lemti tokios aplinkybės, kaip griežtesni teisės aktų reikalavimai ir (ar) jų laikymasis, pavyzdžiui, finansų sektorius operatyviai praneša apie asmens duomenų saugumo pažeidimus dėl gana griežtų sektorinių reikalavimų, o valstybės ir savivaldybių ar teisėsaugos institucijos yra įpratusios griežčiau laikytis nustatytų reikalavimų. Atkreiptinas dėmesys, kad, vadovaujantis VDAI rekomendacijomis, tais atvejais, kai, įvertinus riziką, abejojama, ar ji yra ir ar reikia pranešti apie pažeidimą VDAI, rekomenduotina pranešti.
VDAI atkreipė dėmesį į tai, kad dažniausiai asmens duomenų saugumo pažeidimai 2020 m. vyko interneto svetainėse ar informacinėse sistemose. Skirstant įvykusius pažeidimus pagal jų pobūdį pirmauja konfidencialumo pažeidimai (165 atvejai), 16 atvejų buvo prarastas duomenų vientisumas, 18 atvejų buvo susiję su duomenų pasiekiamumo/prieinamumo pažeidimais. VDAI teigimu, daugiausia pažeidimų įvyko dėl žmogiškosios klaidos. Į šią priežastį dėmesį turi atkreipti visi duomenų valdytojai ir skirti pakankamą dėmesį periodinių darbuotojų apmokymų bei instruktažų asmens duomenų tvarkymo ir apsaugos srityje organizavimui.
Stebint duomenų subjektų pateikiamų skundų VDAI tendencijas, matyti, kad duomenų subjektai vis daugiau žino apie savo teises ir skuba jas apginti pateikdami skundą VDAI. Kaip pažymi pati VDAI, neretai toks skubėjimas lemia tai, kad duomenų subjektai kreipiasi į VDAI net prieš tai nesikreipę į pačią organizaciją, dėl kurios veiksmų ar neveikimo yra nepatenkinti. Tai signalas duomenų valdytojams savo interneto svetainėje būti patalpinus informaciją, kontaktinius duomenis - kaip ir su kuo duomenų subjektai gali susisiekti turėdami klausimų ar skundų dėl savo asmens duomenų tvarkymo - tai galėtų padėti žymiai efektyviau išspręsti susidariusias situacijas ir leistų taupyti organizacijos darbuotojų laiką atsakinėjant į VDAI raštus dėl gautų skundų bei pateiktų atsakymus į duomenų subjektų nuogąstavimus.
Dažniausiai duomenų subjektai skundžia kitus fizinius asmenis, prekių ir paslaugų teikėjus bei valstybės ir savivaldybių įstaigas. Tiesa, šių sektorių veikloje ir pripažįstama daugiausiai pažeidimų tiriant skundus.
2020 m. daugiausia pažeidimų išnagrinėjus asmenų skundus nustatyta dėl asmens duomenų rinkimo iš valstybės registrų ir informacinių sistemų (144 pažeidimai), asmens duomenų atskleidimo (57 pažeidimai), vaizdo stebėjimo (36 pažeidimai). Išsamesnį grafiką rasite žemiau:
Kaip matyti iš pateiktos statistikos, duomenų valdytojai vis dar nepakankamą dėmesį skiria duomenų subjektų teisių įgyvendinimui, tinkamam tiesioginės rinkodaros vykdymui bei asmens duomenų rinkimui ir jų atskleidimui.
Remiantis VDAI pateikta apžvalga, 2020 m. VDAI, nustačiusi pažeidimų, organizacijoms teikė:
8 rekomendacijas,
175 nurodymus,
94 papeikimus,
surašė 2 administracinių nusižengimų protokolus,
skyrė 25 baudas, iš kurių didžioji dalis už nebendradarbiavimą su VDAI jai atliekant tyrimus. Organizacijos nepateikė ar bandė nuslėpti tyrimui reikiamą informaciją.
Tas rodo, kad einant tretiems metams po BDAR įsigaliojimo VDAI mano esant pakankama laikotarpiui įgyvendinti BDAR keliamus reikalavimus ir nėra nusiteikusi nuolaidžiauti reikalavimų neįgyvendinusioms arba tai padariusioms netinkamai organizacijoms.
Atsižvelgiant į tai, kas buvo išdėstyta aukščiau, duomenų valdytojai turėtų:
Įsitikinti, kad periodiškai, ne rečiau kaip kartą per metus, vykdo darbuotojų mokymus, instruktažus asmens duomenų apsaugos srityje,
Įsitikinti, kad yra nustatę tvarkomų asmens duomenų rizikos lygį ir, atsižvelgiant į jį, taiko duomenų saugumo priemones bei periodiškai, ne rečiau kaip kartą per metus, jas peržiūri ir, jeigu reikia, atnaujina,
Įsitikinti, kad savo interneto svetainėje skelbia duomenų apsaugos pareigūno ar kito asmens, su kuriuo duomenų subjektai gali susisiekti, kontaktus,
Įsitikinti, kad organizacija yra paskyrusi atsakingą asmenį už duomenų saugumo pažeidimų tyrimą ir pranešimą apie juos priežiūros institucijai, bei priėmusi tai reguliuojančius vidaus teisės aktus (asmens duomenų saugumo pažeidimų nustatymo, tyrimo, valdymo ir pranešimo apie nustatytus pažeidimus tvarkos aprašą bei duomenų saugumo pažeidimų žurnalą ir kitus susijusius priedus).
Nuorodos
https://vdai.lrv.lt/uploads/vdai/documents/files/2020%20m_%20asmens%20duomenu%20apsaugos%20Lietuvoje%20apzvalga.pdf
https://vdai.lrv.lt/uploads/vdai/documents/files/Rekomend_ADSP_2018.pdf
Teirautis dėl prieigos prie BDAR mokymų e-medžiagos
Sužinoti apie inovatyvią paslaugą duomenų apsaugos pareigūnas Allaw®
Palikti žinutę duomenų apsaugos pareigūnui Allaw®
Telefonu: 8-616 02000
Pasitikrinti, ar esate dokumentavę ir supažindinę darbuotojus su procedūromis duomenų saugumo pažeidimų nustatymui, valdymui ir pranešimui apie juos
Pasitikrinti, ar periodiškai vykdote darbuotojų mokymus
Pasitikrinti, ar Jūsų darbuotojai apmokyti įgyvendinti duomenų subjektų teises ir informuoti duomenų subjektus apie jų asmens duomenų tvarkymą
Pasitikrinti, ar Jūsų BDAR mokymų temos apima duomenų tvarkymo principus, duomenų subjektų teisių įgyvendinimą, duomenų saugumo pažeidimų nustatymą ir valdymą
Darbuotojai, tvarkantys asmens duomenis, turi būti apmokomi ne rečiau kaip kartą per metus!
BDAR specializuoti mokymai duomenų saugos pažeidimų prevencijai
BDAR e-vedlys
Dažnai užduodami klausimai (DUK)