Pirmoji didelė bauda už netinkamą BDAR taikymą – ko iš to galima pasimokyti

Valstybinės duomenų apsaugos inspekcijos atlikta apklausa rodo, kad jau apie 71 proc. šalies gyventojų yra girdėję apie Bendrąjį duomenų apsaugos reglamentą. Išties, verslo aplinkoje, ko gero, nebesutiktume žmonių, negirdėjusių trumpinio BDAR. Prieš metus apie jį girdėjusiųjų skaičius siekė tik apie 20 procentų.

Visuomenei tampant vis geriau informuotai apie savo asmens duomenų saugumą, mažėja pakantumas pažeidimams, atitinkamai vis daugiau žmonių kreipiasi į inspekciją su skundais. 2018 metais Valstybinė duomenų apsaugos inspekcija sulaukė net 859 skundų dėl galimo duomenų apsaugos pažeidimo, 619 iš jų buvo išnagrinėti.  

Praėjusiais metais Valstybinė duomenų apsaugos inspekcija daugiau kalbėjo ne apie bausmes, o pagalbą įmonėms. Milžiniškos baudos už duomenų apsaugos pažeidimus, atrodė, liks tik popieriuje. Tačiau šių metų gegužę inspekcija skyrė pirmą didelę 61 500 eurų baudą įmonei, veikiančiai tarptautiniu mastu ir teikiančiai mokėjimo paslaugas Lietuvos ir užsienio gyventojams bei įmonėms. Tai turėtų būti signalas ir kitoms įmonėms, kurios „susitvarkė“ tik dokumentus ir BDAR reikalavimus įgyvendino atmestinai ir formaliai. Šis atvejis patvirtina, kad neužtenka vien pasitvirtinti vidinius bendrovės dokumentus ir juose nusistatyti teorinę asmens duomenų tvarkymo tvarką, bet ir būtina gebėti tinkamai ją taikyti kasdienėje veikloje bei reaguoti į kilusius incidentus. VDAI pozicija parodė, kad į tai bus reaguojama gana griežtai.

61 500 Eur bauda įmonei skirta už šiuos BDAR pažeidimus.  

Įmonė netinkamai tvarkė asmens duomenis: tvarkė per daug duomenų, saugojo juos ilgiau, nei pati buvo nustačiusi

Valstybinė duomenų apsaugos inspekcija perteklinį asmens duomenų tvarkymą nustato beveik visų tyrimų metu. Asmens duomenų renkama daugiau negu reikia nustatytam tikslui pasiekti.

Šios įmonės atveju turėjo būti renkami tik mokėjimo atlikimui būtini duomenys: mokėtojo vardas, pavardė, jei mokėtojas pageidauja, jo identifikavimo kodas, banko sąskaitos numeris, valiuta ir likutis, mokėjimo paskirtis / įmokos kodas.  Tačiau įmonė rinko ir neperžiūrėtų elektroninių sąskaitų pateikimo datas, siuntėjų pavadinimus bei sumas, neperskaitytų pranešimų pateikimo datas ir kt. duomenis.

Taip pat buvo nustatyta, kad įmonė duomenis saugo kur kas ilgiau nei pati yra nustačiusi, 216 dienų vietoje nustatytų 10 minučių.

Įmonė paviešino asmens duomenis

Tyrimo metu buvo nustatyta, kad ne mažiau kaip 2 dienas internete buvo prieinamas tinklalapis su įmonės apdorotų mokėjimų sąrašu, kuriame buvo matomi įvairių bankų įstaigų klientų atlikti mokėjimai per įmonės mokėjimo iniciavimo paslaugų sistemą su tų klientų asmens duomenimis.

Įmonė nepateikė pranešimo apie asmens duomenų saugumo pažeidimą 

Toks incidentas, kai netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami persiųsti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų be leidimo gaunama prieiga, yra duomenų saugumo pažeidimas. Inspekcijos nuomone, incidentas, kai 2 dienas internete neautorizuotiems asmenims buvo sudaryta galimybė prieiti prie asmens duomenų, laikytinas tokiu asmens duomenų saugumo pažeidimu, apie kurį privaloma pranešti priežiūros institucijai. Reglamento 33 str. reikalauja priežiūros institucijai pranešti apie iš esmės reikšmingus asmens duomenų saugumo pažeidimus, tai reiškia, kad net ir apie tokius incidentus, dėl kurių iš esmės niekas nenukentėjo.   

Jeigu turite klausimų arba reikalinga pagalba tinkamai įgyvendinant Bendrojo duomenų apsaugos reglamento reikalavimus, mūsų duomenų apsaugos ekspertų komanda yra pasirengusi Jums padėti!  

Daugiau skaitykite:

Pirmos baudos po BDAR įsigaliojimo: ko iš to galime pasimokyti?

Asmens duomenų tvarkymas tiesioginės rinkodaros ir lojalumo programos tikslais: kokie pažeidimai daromi dažniausiai ir kaip jų išvengti

Bendrasis duomenų apsaugos reglamentas: „namų darbai“ verslui

Žiūrėkite:

5 didieji BDAR mitai  

Užsisakykite svarbiausias naujienas