Naujienos

Skirta pirmoji BDAR bauda Lietuvoje – ko galime pasimokyti

Nepraėjus nei metams nuo Bendrojo duomenų apsaugos reglamento ES (BDAR) taikymo pradžios, Lietuvoje skirta pirmoji bauda, siekianti 61,5 tūkst. eurų. Viena esminių pritaikytos sankcijos pamokų kiekvienam verslui – būtina ne tik pasitvirtinti vidinius dokumentus dėl asmens duomenų tvarkymo, bet ir juos tinkamai taikyti kasdienėje veikloje bei gebėti reaguoti į kilusius incidentus su asmens duomenimis.

Valstybinė duomenų apsaugos inspekcija (VDAI) nustatė net trijų BDAR straipsnių pažeidimus ir dėl to elektroninių pinigų įstaigai skyrė pirmąją baudą Lietuvoje. Vertinant VDAI poziciją, išdėstytą  pristatant atliktą tyrimą ir skirtą baudą, tikslinga fiksuoti vieną pagrindinių siunčiamų žinių – bendrovėms neužtenka BDAR reikalavimus įgyvendinti „popieriuje“. Svarbu laikytis asmens duomenų tvarkymo „higienos”, t. y. ne tik nusistatyti vidinius teorinius reikalavimus, tačiau būtina skirti dėmesio ir užtikrinti realų jų įgyvendinimą kasdienybėje bei gebėti tai įrodyti.

Be kita ko, kiekvienam verslui, savo veikloje tvarkančiam asmens duomenis, yra būtina užtikrinti duomenų saugumo pažeidimų prevenciją, o kilus incidentams – tinkamai į juos reaguoti ir suvaldyti kilusias pasekmes bei anuliuoti / mažinti rizikas. Taip pat, patartina geranoriškai komunikuoti su priežiūros funkciją atliekančia valstybine institucija, kai ta komunikacija yra būtina.

Pirmosios baudos pagal BDAR Lietuvoje skyrimą lėmė tai, jog VDAI tyrimo metu buvo nustatytas duomenų saugumo pažeidimas ir apie jį elektroninių pinigų įstaiga neinformavo priežiūros institucijos. VDAI nustatė, kad internete buvo paviešintas mokėjimų sąrašas, kuriame fiksuoti įvairių bankų įstaigų klientų daryti mokėjimai (atlikti per baudą gavusios bendrovės valdomą mokėjimo iniciavimo paslaugų sistemą) su tų klientų asmens duomenimis. Buvo matomi daugiau kaip 9 000 momentinių ekrano vaizdų su 12 skirtingų bankų, esančių skirtingose valstybėse, klientų mokėjimo sesijų detalių puslapiais. Tačiau baudą gavusi bendrovė apie tokį incidentą VDAI neinformavo, nors tokią pareigą jai numato BDAR.

Tyrimo metu VDAI taip pat nustatė, jog elektroninių pinigų įstaigoje nebuvo taikytos tinkamos techninės bei organizacinės priemonės, kurios padėtų užtikrinti pavojų atitinkančio lygio saugumą, įskaitant apsaugą nuo neteisėto asmens duomenų tvarkymo.

Aiškinant skiriamą baudą, VDAI papildomai akcentavo, jog bendrovėje saugos užtikrinimą ir valdymą bei visos įmonės IT infrastruktūros valdymą vykdė vienas darbuotojas. Tai reiškia, jog tas pats darbuotojas iš esmės vykdė tarpusavyje konkuruojančias funkcijas, todėl negalėjo būti užtikrinta tinkama kontrolė bei atskaitomybė.

Tokia VDAI pozicija tik dar kartą įrodo, jog tinkamos techninės ir organizacinės priemonės, gebančios užtikrinti tinkamą saugumo lygį asmens duomenų tvarkymo apimtyje, yra itin svarbus BDAR atitikties komponentas.

VDAI taip pat nustatė, jog elektroninių pinigų įstaiga konkrečiu tikslu tvarkė daugiau asmens duomenų, negu pati nurodė yra būtina (konkrečiu atveju – mokėtojo inicijuoto mokėjimo įvykdymo tikslu buvo tvarkomi pertekliniai duomenys, kurie nebuvo būtini atitinkamam tikslui pasiekti).

Primintina, kad BDAR numato vieną esminių asmens duomenų tvarkymo principų, t. y., kad kiekvienu atveju asmens duomenys privalo būti tvarkomi adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi (duomenų kiekio mažinimo principas). Tai, kad skirdama pirmąją baudą VDAI akcentavo būtent šį principą, suteikia esminę pamoką visiems asmens duomenų valdytojams – privaloma iš anksto identifikuoti, kokius asmens duomenis kokiu konkrečiu tikslu yra būtina tvarkyti, bei griežtai atsisakyti perteklinio asmens duomenų praktinio tvarkymo.

Beje,  baudą gavusi elektroninių pinigų įstaiga asmens duomenis saugojo ilgiau  nei pati buvo nusistačiusi ir nurodžiusi kaip pagrįstą saugojimo terminą. Konkrečiu atveju asmens duomenys buvo saugomi 216 dienų, vietoje nustatytų 10 minučių. Šis VDAI nustatytas pažeidimas patvirtino, jog bendrovių veikloje itin svarbu laikytis asmens duomenų tvarkymo „higienos”, t. y. ne tik vidiniuose bendrovės dokumentuose nusistatyti teorinius asmens duomenų tvarkymo terminus, tačiau skirti dėmesio jų kasdieniam įgyvendinimui ir gebėti užtikrinti, jog visos taikytinos BDAR nuostatos bendrovėje būtų įgyvendinamos ne tik teoriniu, bet ir praktiniu lygmeniu.

Būtina nepamiršti, jog pirmoji elektroninių pinigų įstaigai pagal BDAR taikyta bauda nėra galutinė, nes šį VDAI sprendimą elektroninių pinigų įstaiga gali skųsti Administracinių bylų teisenos įstatymo nustatyta tvarka. Tad didžiulė tikimybė, kad šioje istorijoje taškas dar nededamas.

Daugiau Kristinos įžvalgų apie Lietuvoje skirtą baudą skaitykite: Verslo žiniose ir 15min.

Susijusios naujienos

Dirbtinis intelektas – tai reiškinys, kurį galima būtų susieti ir su antikos mitologija, ir pasakų vaikams herojais. Šiam reiškiniui priskiriama visa, kas nėra gyva ir neturi galimybės savarankiškai pažinti priežasties ir pasekmės…

Facebook grupėje, vienijančioje konkretaus produkto gerbėjus, kilo diskusija, dėl patento ir dizaino terminologijos. Produkto pardavėjai paskelbė, jog jų gaminys yra patentuotas, tačiau, kaip įrodymą, pateikė dizaino registracijos…

Informuojame, kad šioje svetainėje naudojami slapukai (angl. cookies). Sutikdami, paspauskite mygtuką „Sutinku“ arba naršykite toliau. Savo duotą sutikimą bet kada galėsite atšaukti pakeisdami savo interneto naršyklės nustatymus ir ištrindami įrašytus slapukus.