Kaip skelbiama Valstybinės duomenų apsaugos inspekcijos (toliau – VDAI) pranešime, VDAI per 2020 m. atliko prevencinius patikrinimus valstybės registruose ar valstybės informacinėse sistemose dėl tvarkomų asmens duomenų apimties. Duomenų apsaugos pareigūnas Allaw supažindina, kokie pažeidimai buvo nustatyti ir kaip jų išvengti.


Bendrai patikrinimų metu nustatyti pažeidimai

VDAI skelbia, kad, atlikus 10 valstybės registrų ar valstybės informacinių sistemų, kurių asmens duomenų valdytojos yra skirtingos Lietuvos Respublikos ministerijos, nustatyti šie pažeidimai:


PažeidimasSkaičius

Nelikviduota nebefunkcionuojanti informacinė sistema

1

Tvarkomi asmens duomenys, nenumatyti nuostatuose

1
Netinkamai įgyvendinamas saugojimo trukmės ribojimo principas3
Nedokumentuota duomenų naikinimo procedūra2

Netinkamai įgyvendintas duomenų kiekio mažinimo principas dėl asmens duomenų teikimo trečiosioms šalims

4



  • Rasta 1 faktiškai nebefunkcionuojanti informacinė sistema, todėl svarbu atkreipti dėmesį, kad tokiu atveju sistema turi būti likviduojama,
  • 1 iš tikrintų informacinių sistemų buvo netinkamai įgyvendintas duomenų kiekio mažinimo principas, nes joje buvo tvarkomi asmens duomenys, nenumatyti jos nuostatuose,
  • 3 netinkamai įgyvendinamas saugojimo trukmės ribojimo principas,
  • 2 neturėjo dokumentuotos duomenų naikinimo procedūros,
  • 4 netinkamai įgyvendino duomenų kiekio mažinimo principą dėl asmens duomenų teikimo trečiosioms šalims.

Iš pateiktos statistikos galime matyti, kad daugiausiai pažeidimų susiję su duomenų saugojimo trukmės principo nesilaikymu ir duomenų teikimu trečiosioms šalims. Duomenų apsaugos pareigūnas Allaw tolesniuose šios publikacijos skyreliuose nagrinėja, kokie pažeidimai buvo atlikti ir kokios priemonės padėtų jų išvengti kitiems duomenų valdytojams.


Trečdalis tikrintų registrų nesilaiko saugojimo trukmės ribojimo principo

BDAR 5 str. 1 d. e) punktas įtvirtina pareigą duomenų valdytojams saugoti asmens duomenis ne ilgiau, nei reikalinga tikslams, dėl kurių jie surinkti, pasiekti (saugojimo trukmės ribojimo principas). VDAI tikrinimo metu nustatė, kad Iš 9-ių tikrintų ministerijų, 3-ose asmens duomenų saugojimo trukmės ribojimo principas įgyvendintas netinkamai. Nustatyti pažeidimai:

 - įstaigos informacinėje sistemoje saugomi asmens duomenys ilgiau negu nustatyta tos informacinės sistemos nuostatuose,

 - įstaiga neturėjo dokumentuotos duomenų naikinimo procedūros.




Įgyvendinti duomenų naikinimo procesą ir dokumentuoti jo atlikimo procedūrą, paskiriant už duomenų naikinimą atsakingus asmenis,


Dokumentuoti duomenų saugojimo laikotarpius bei paskirti atsakingą asmenį už periodinę jų peržiūrą.



Net septyniasdešimt procentų tikrintų registrų duomenis teikia trečiosioms šalims netinkamai

VDAI teigimu, dviejuose tikrintuose valstybės registruose ar informacinėse sistemose tvarkomi asmens duomenys trečiosioms šalims apskritai nėra teikiami, iš likusių tikrintų valstybės registrų ir informacinių sistemų tik dviejų valstybės registrų trečiosioms šalims teikiamų asmens duomenų apimtis atitiko duomenų kiekio mažinimo principą. Nustatyti pažeidimai:

 - ne su visais duomenų gavėjais sudarytos asmens duomenų teikimo sutartys;

 - kai kuriose asmens duomenų teikimo sutartyse neaiškiai nurodyti teikiami asmens duomenys,

 - o vienu atveju su duomenų gavėju sudarytoje duomenų teikimo sutartyje numatyta teiktinų asmens duomenų apimtis buvo didesnė negu numatyta to registro nuostatuose.



Įgyvendinti duomenų tvarkytojų / gavėjų pasitelkimo procesą ir dokumentuoti jo atlikimo procedūrą,


Patvirtinti duomenų tvarkymo / teikimo formą,


Paskirti už duomenų tvarkymo / teikimo sutarčių sudarymą atsakingus asmenis.




Nuorodos

https://vdai.lrv.lt/lt/naujienos/valstybes-registrai-ir-informacines-sistemos-patikrinti-del-tvarkomu-asmens-duomenu-apimties


Pasitikrinti, ar esate nustatę ir dokumentavę duomenų saugojimo laikotarpį bei ar tinkamai perduodate asmens duomenis trečiosioms šalims.

Pasitikrinti, ar periodiškai peržiūrite ir, nustačius poreikį,atnaujinate duomenų saugojimo laikotarpius

Pasitikrinti, ar Jūsų darbuotojai apmokyti taikyti duomenų tvarkymo principus ir vykdyti asmens duomenų perdavimą

Pasitikrinti, ar Jūsų BDAR mokymų temos apima duomenų tvarkymo principus


Duomenų saugojimo laikotarpiai, kaip duomenų perdavimo trečiosioms šalims taisyklės, turi būti aiškiai nustatyti ir dokumentuoti.



BDAR specializuoti mokymai duomenų saugos pažeidimų prevencijai 

BDAR e-vedlys

Dažnai užduodami klausimai (DUK)


Teirautis dėl prieigos prie BDAR mokymų e-medžiagos

Sužinoti apie inovatyvią paslaugą duomenų apsaugos pareigūnas Allaw®

Palikti žinutę duomenų apsaugos pareigūnui Allaw®

Telefonu: 8-616 02000