Po praėjusią vasarą įvykusio VĮ Registrų centro incidento, dėl kurio buvo sutrikdyta valstybės registrų ir valstybės informacinių sistemų, kurių tvarkytojas yra VĮ Registrų centras, sklandus veikimas, Valstybinė duomenų apsaugos inspekcija (toliau - VDAI) pradėjo tyrimą ir šių metų vasario pabaigoje skyrė baudą VĮ Registrų centrui dėl netinkamai įgyvendintų techninių ir organizacinių duomenų saugumo priemonių. Kaip skelbiama kovo 2 d. VDAI pranešime, už tai VĮ Registrų centrui skirta 15 tūkst. EUR bauda. Kokie pažeidimai lėmė baudos skyrimą ir ko galėtų pasimokyti kiti duomenų valdytojai? Apie tai supažindina Duomenų apsaugos pareigūnas Allaw.

Taikytos nepakankamos duomenų saugumo priemonės

Kaip praneša VDAI, minėta bauda skirta už nustatytus BDAR 32 straipsnio 1 dalies b ir c punktų pažeidimus, t. y.  neužtikrinus nuolatinio duomenų tvarkymo sistemų ir paslaugų vientisumo, prieinamumo ir atsparumo, o taip pat teisės aktų nustatytu terminu neatkūrus sąlygų ir galimybių naudotis asmens duomenimis fizinio ar techninio incidento atveju. Bauda skirta atsižvelgus į:

• tai, kad VĮ Registrų centras yra 22 registrų ir informacinių sistemų duomenų tvarkytojas ir (ar) duomenų valdytojas,
• techninių galimybių išsivystymo lygį,
• jų įgyvendinimo sąnaudas,
• duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus,
• duomenų tvarkymo keliamus įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms, neįgyvendinus tinkamų techninių ir organizacinių priemonių, kad būtų užtikrintas pavojų atitinkančio lygio saugumas,
• BDAR 32 straipsnio 1 dalies b ir c punktų pažeidimus,
• BDAR 83 straipsnio 2 dalies a, d ir g punktuose išvardintus veiksnius (susijusius su pažeidimo pobūdžiu, sunkumu, trukme bei duomenų apimtimi).

Atkreiptinas dėmesys, kad valdžios institucijai ar įstaigai skiriamos mažesnės baudos nei privačiam sektoriui. Vadovaujantis Asmens duomenų teisinės apsaugos įstatymu, valdžios institucijai ar įstaigai, pažeidusiai BDAR 83 straipsnio 4 dalies a, b ir c punktų nuostatas, priežiūros institucija turi teisę skirti administracinę baudą iki 0,5 procento valdžios institucijos ar įstaigos einamųjų metų biudžeto ir kitų praėjusiais metais gautų bendrųjų metinių pajamų dydžio, bet ne didesnę negu trisdešimt tūkstančių eurų.

Į kokias VĮ Registrų centro atsakomybę švelninančias aplinkybes atsižvelgė VDAI skirdama baudą?

Kaip skelbiama, VDAI, nustatydama administracinės baudos dydį, atsižvelgė į BDAR 83 straipsnio 2 dalies b, c, e, f ir h punktuose išvardytus VĮ Registrų centro padarytą pažeidimą švelninančius veiksnius, t. y.

• tyčios nebuvimą,
• įdėtas pastangas atstatant pažeistus duomenis,
• faktų apie duomenų subjektų patirtą materialinę žalą nebuvimą,
• glaudų bendradarbiavimą su VDAI,
• bei ankstesnių panašaus pobūdžio pažeidimų nebuvimą,
• VĮ Registrų centras, įgyvendindamas saugumo priemones, yra priklausomas tiek nuo duomenų valdytojo Lietuvos Respublikos sveikatos apsaugos ministerijos, tiek ir nuo kitų institucijų, sprendžiančių valstybės IT išteklių konsolidavimo klausimus.

Įvertinusi aukščiau nurodytas aplinkybes VDAI nusprendė, kad numatyta bauda yra proporcinga poveikio priemonė siekiant, kad ateityje būtų užtikrintas BDAR nuostatų laikymasis.

Ko gali pasimokyti kiti duomenų valdytojai?

Atsižvelgiant į VDAI nustatytus pažeidimus kiti duomenų valdytojai turėtų:

• nustatyti rizikos lygį asmens duomenų teisėms ir laisvėms,
• taikyti rizikos lygį atitinkančias duomenų saugumo priemones (žr. 2020-06-18 VDAI tvarkomų asmens duomenų saugumo priemonių ir rizikos įvertinimo gaires duomenų valdytojams ir duomenų tvarkytojams),
• periodiškai peržiūrėti ir, nustačius poreikį, atnaujinti taikomas duomenų saugumo priemones,
• būti pasirengus veiklos tęstinumo planą,
• periodiškai išbandyti veiklos tęstinumo plano efektyvumą.

Šaltiniai

https://vdai.lrv.lt/lt/naujienos/skirta-bauda-del-bendrojo-duomenu-apsaugos-reglamento-pazeidimu-registru-centre

Prie Nepamiršti sekcijos reikia pridėti: VDAI atkreipia dėmesį, kad asmens duomenų saugumo užtikrinimas yra ne tik duomenų valdytojo, bet ir tiesioginė duomenų tvarkytojo pareiga, numatyta BDAR 32 straipsnyje. Už šios pareigos nevykdymą ar netinkamą vykdymą duomenų tvarkytojas atsako tiesiogiai.