BDAR naujienų apžvalga: 2025 m. vasario mėn.

ECOVIS ProventusLaw duomenų apsaugos komanda parengė naujausią duomenų apsaugos naujienų apžvalgą, kurioje rasite įžvalgų ir patarimų, kaip pasirengti įgyvendinti NIS2 direktyvos reikalavimus, bei kitas rinkos aktualijas.

Pasiruošimas NIS2 (TIS2 – tinklo ir informacinių sistemų saugumo direktyva) reikalavimų įgyvendinimui

2024 m. spalio 18 d. įsigaliojo atnaujintas Kibernetinio saugumo įstatymas, kuriuo į Lietuvos teisę perkeliama Europos Parlamento ir Tarybos direktyva (TIS2 arba NIS2), kuria siekiama suvienodinti bendrą kibernetinio saugumo lygį visoje Europos Sąjungoje.

2024 m. lapkričio 6 d. LR Vyriausybė patvirtino naujus Kibernetinio saugumo reikalavimus, Nacionalinį kibernetinių incidentų valdymo planą ir specialiuosius reikalavimus, kurie papildo Kibernetinio saugumo įstatymas įtvirtintus reikalavimus.

Kam tai aktualu?

Organizacijos veikiančioms:

  • ypatingos svarbos sektoriuose, kaip energetika, transportas, bankininkystė, finansų rinkos infrastruktūra, sveikatos priežiūra, geriamojo vandens bei nuotekų tvarkymas, skaitmeninė infrastruktūra, IRT paslaugų valdymas, viešasis administravimas, kosmosas.
  • Kituose itin svarbiuose sektoriuose, kaip pašto paslaugos, atliekų tvarkymas, cheminių medžiagų gamyba ir platinimas, maisto gamyba, perdirbinimas ir platinimas, informacinės skaitmeninės paslaugos, moksliniai tyrimai.

Nacionalinis kibernetinio saugumo centras (NKSC) pagal nustatytus bendruosius ir specialiuosius kriterijus iki 2025 m. balandžio 17 d.  įtrauks subjektus į Kibernetinio saugumo subjektų registrą ir susisieks su visais registre esančiais subjektais elektroniniu pranešimu.

Šiuo metu subjektai gali patys įsivertinti arba sistemoje pasitikrinti ar patenka į registrą. Išreiškus norą ir susisiekus su NKSC, į registrą subjektai taip pat gali būti įtraukti savanoriškai.

Pereinamais laikotarpis

Kibernetinio saugumo įstatymo nuostatos pradedamos taikyti nuo 2024 spalio 18 d..

Per 12 mėn. kibernetinio saugumo subjektai turės atitikti organizacinius reikalavimus , o per 24 mėn. įgyventų techninius reikalavimus. Terminas pradedamas skaičiuoti nuo įtraukimo į Kibernetinio saugumo subjektų registrą momento.

Pagrindiniai reikalavimai:

ECOVIS ProventusLaw teisininkai padeda verslui užtikrinti atitiktį TIS2 reikalavimams, taip sumažinant galimas pasekmes ir reguliavimo rizikas. Daugiau skaitykite čia: XXX

ECOVIS siūlomi DORA ir TIS2 atitikties savitikros įrankiai

ECOVIS ProventusLaw siūlo specializuotą DORA ir TIS2 reikalavimų atitikties savitikros įrankį, kuris padeda identifikuoti rizikas ir pasiruošti atitikties užtikrinimui.

Įrankyje patalpintas DORA atitikties klausimynas yra parengtas vadovaujantis reikalavimais, įtvirtintais Skaitmeninės veiklos atsparumo finansų sektoriuje reglamente (ES) 2022/2554 (angl. Digital Operational Resilience Act, DORA). Šis klausimynas aktualus kredito įstaigoms, elektroninių pinigų ir mokėjimo įstaigoms, informavimo apie sąskaitas paslaugų teikėjams, investicinėms įmonėms, draudimo ir perdraudimo įmonėms, draudimo tarpininkams bei kitiems subjektams, patenkantiems į minėto reglamento apimtį.

Atitinkamai TIS2 atitikties klausimynas suteikia galimybę pasitikrinti atitiktį Kibernetinio saugumo įstatyme bei 2024 m. lapkričio 6 d. Lietuvos Vyriausybės nutarime dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo įtvirtintiems reikalavimams. Atitiktį šiems reikalavimams privalės užtikrinti įmonės ir organizacijos, kurios pateks į kritinių ir svarbių sąrašą, sudaromą Lietuvos Respublikos krašto apsaugos ministerijos.

Įrankyje pateikti klausimynai suteikia galimybę patogiai naviguoti per išsamius klausimus ir, užpildžius klausimyną, įsivertinti atitikties statusą.

Norite sužinoti, ar jūsų organizacija atitinka DORA ar TIS2 reikalavimus? Susisiekite su mumis el. paštu [email protected] ir gaukite prieigą prie mūsų atitikties savitikros įrankio.

DORA deleguotieji aktai paskelbti ES oficialiajame leidinyje (OL)

2025 m. vasario 20 d. Europos Sąjungos oficialiajame leidinyje buvo paskelbti šie teisės aktai:

2024 m. spalio 23 d. Komisijos deleguotasis reglamentas (ES) 2025/301, papildantis Reglamentą (ES) 2022/2554 dėl reguliavimo techninių standartų, nustatančių pagrindinių su IRT susijusių incidentų pradinio pranešimo ir tarpinės bei galutinės ataskaitos turinį ir terminus, taip pat savanoriško pranešimo apie reikšmingas kibernetines grėsmes turinį.

2024 m. spalio 23 d. Komisijos įgyvendinimo reglamentas (ES) 2025/302, nustatantis įgyvendinimo techninius standartus, taikomus Reglamentui (ES) 2022/2554, dėl standartinių formų, šablonų ir procedūrų, skirtų finansų įstaigoms pranešti apie pagrindinį su IRT susijusį incidentą ir pranešti apie reikšmingą kibernetinę grėsmę.

Europos Komisija priėmė savo 2025 m. darbo programą

Europos Komisija pristatė savo 2025 m. darbo programą, kurioje išdėstė pagrindinius teisėkūros prioritetus ir atšaukė tam tikrus vykdomus pasiūlymus. Tarp atšauktų iniciatyvų yra: e. privatumo reglamentas ir ES dėl dirbtinio intelekto atsakomybės direktyva.

E. privatumo reglamentas: Iš pradžių šis reglamentas buvo skirtas sustiprinti privatumo taisykles elektroninių ryšių srityje, tačiau dėl politikų nesutarimų jis buvo atmestas. Komisija taip pat laikė šį pasiūlymą pasenusiu, atsižvelgdama į naujausius technologinius ir teisėkūros pokyčius.

ES atsakomybės dėl dirbtinio intelekto direktyva: Ši direktyva, pristatyta 2022 m., siekė nustatyti vienodas taisykles dėl nesutartinės civilinės atsakomybės, susijusios su dirbtinio intelekto sistemomis. Tačiau, užbaigus DI aktą, Komisija nusprendė iš naujo įvertinti, ar reikia naujo pasiūlymo, ar reikėtų taikyti kitokį reguliavimo požiūrį.

ENISA išanalizavo incidentus paveikusius Europos finansų sektorių

Europos Sąjungos kibernetinio saugumo agentūra (ENISA) išanalizavo 488 viešai praneštus incidentus, įvykusius 2023–2024 m. ir paveikusius Europos finansų sektorių. Rezultatai rodo, kad bankai, viešojo sektoriaus finansų institucijos ir vartotojai patiria didėjantį kibernetinių grėsmių poveikį.

Pagrindiniai akcentai:

Bankai – pagrindinis taikinys: Europos bankai patyrė 46% visų kibernetinių incidentų finansų sektoriuje. Dažniausiai jie susidūrė su paskirstytomis paslaugų trikdymo (DDoS) atakomis, duomenų pažeidimais ir socialinės inžinerijos sukčiavimu.

Geopolitinė įtaka: DDoS atakų skaičius padidėjo reaguojant į geopolitinius įvykius, ypač Rusijos karą prieš Ukrainą. Haktivistai taikėsi į Europos bankus (58% incidentų) ir vyriausybines finansų institucijas (21%), sukeldami operacijų sutrikimus.

Finansinis sukčiavimas ir socialinė inžinerija: Phishing, smishing ir vishing atakos buvo tarp dažniausiai nusikaltėlių naudojamų taktikų, siekiant pavogti jautrius duomenis ir įvykdyti finansinį sukčiavimą. 38% aukų buvo vartotojai, o 36% – bankai.

Išpirkos reikalaujančios atakos: Šios atakos daugiausia paveikė paslaugų teikėjus (29%) ir draudimo bendroves (17%). Jos lėmė finansinius nuostolius (38%), jautrių duomenų nutekėjimą (35%) ir operacinius sutrikimus (20%).

VDAI sprendimai (baudos, įsakymai ir kt.) 2025 m.

Valstybinė duomenų apsaugos inspekcija (VDAI) 2025 m. vasario 18 d. sprendime Nr. 3R-173 (2.13-1.E) nustatė, kad UAB „Energetikos projektavimo institutas“ (Skundžiamas asmuo) darbuotojas neteisėtai peržiūrėjo Pareiškėjos asmens duomenis Nekilnojamojo turto registre. Inspekcija konstatavo, jog šie veiksmai atitinka asmens duomenų saugumo pažeidimo požymius, todėl Skundžiamas asmuo privalėjo dokumentuoti įvykusį pažeidimą, įskaitant su juo susijusius faktus, poveikį ir taikytus taisomuosius veiksmus.

Pagal BDAR 33 straipsnio 1 dalyje numatyta, jog asmens duomenų saugumo pažeidimo atveju duomenų valdytojas nepagrįstai nedelsdamas ir, jei įmanoma, praėjus ne daugiau kaip 72 valandoms nuo tada, kai jis sužinojo apie asmens duomenų saugumo pažeidimą, apie tai praneša priežiūros institucijai, kuri yra kompetentinga pagal 55 straipsnį, nebent asmens duomenų apsaugos pažeidimas neturėtų kelti pavojaus fizinių asmenų teisėms ir laisvėms. BDAR 33 straipsnio 5 dalyje nustatyta, kad duomenų valdytojas dokumentuoja visus asmens duomenų saugumo pažeidimus, įskaitant su asmens duomenų saugumo pažeidimu susijusius faktus, jo poveikį ir taisomuosius veiksmus, kurių buvo imtasi.

BDAR 34 straipsnio 1 dalyje nustatyta, kad kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus duomenų fizinių asmenų teisėms ir laisvėms, duomenų valdytojas nepagrįstai nedelsdamas praneša apie asmens duomenų saugumo pažeidimą duomenų subjektui. I

VDAI sprendime, iš Skundžiamo asmens atsakymo matyti, kad, jo vertinimu, neįvyko asmens duomenų saugumo pažeidimas, todėl jam nekilo pareigos, numatytos BDAR 33–34 straipsniuose. Atsižvelgiant į aukščiau nurodytus argumentus, Inspekcija nustatė, kad Skundžiamo asmens darbuotojui atlikus Pareiškėjos asmens duomenų peržiūrą NTR, įvyko asmens duomenų saugumo pažeidimas, taigi Skundžiamas asmuo turėjo pareigą dokumentuoti įvykusį asmens duomenų saugumo pažeidimą, taip pat įvertinti, ar dėl įvykusio asmens duomenų saugumo pažeidimo gali kilti (didelis) pavojus duomenų subjekto (Pareiškėjos) teisėms ir laisvėms ir nustačius, kad toks pavojus gali kilti, informuoti priežiūros instituciją (Inspekciją) ir duomenų subjektą (Pareiškėją).

Darbuotojas nelaikomas nepriklausomu duomenų valdytoju:

Darbuotojas, neteisėtai pasiekęs asmens duomenis Nekilnojamojo turto registre, negali būti laikomas nepriklausomu duomenų valdytoju.

Darbdavio atsakomybė:

Darbdavys, kurio darbuotojas neteisėtai pasiekė asmens duomenis, turi teisę ir pareigą imtis atitinkamų veiksmų dėl šio pažeidimo.

2025 m. vasario 18 d. paskelbtame sprendime VDAI nurodo, kad darbuotojas, kelis kartus atlikęs paieškas Nekilnojamojo turto registre, neveikė kaip duomenų valdytojas. VDAI teigia, kad skundo medžiagoje nėra įrodymų, jog buvo tikrinta daugelio asmenų asmens duomenys, kad duomenys buvo tikrinami dėl darbuotojo esamos ar planuojamos verslo ar komercinės veiklos, kad duomenys buvo viešai skelbiami internete ar kad buvo sudarytos sąlygos neribotam asmenų skaičiui prieiti prie jų. Todėl darbuotojas, peržiūrėjęs skundėjo duomenis registre, negali būti laikomas nepriklausomu duomenų valdytoju. VDAI taip pat pažymėjo, kad darbdavys, kurio darbuotojas neteisėtai peržiūrėjo skundėjo duomenis registre, turi teisę ir pareigą imtis veiksmų dėl asmens veiksmų (šiuo atveju tai buvo padaryta – asmeniui buvo inicijuotas drausminis procesas). Darbdavys, laikomas atsakingu, kadangi nesugebėjo valdyti asmens duomenų saugumo pažeidimo, susijusio su darbuotojo pareigomis.

ESTT priėmė sprendimą, galintį turėti reikšmingos įtakos baudoms pagal BDAR skaičiuoti

Europos Sąjungos Teisingumo Teismas (ESTT) priėmė sprendimą byloje C-383/23, kuriame paaiškino baudų skyrimo pagal Bendrojo duomenų apsaugos reglamento (BDAR) 83 straipsnį pagrindus.

BDAR nuobaudų skaičiavimas ilgą laiką kėlė diskusijų, ypač dėl to, ar baudos dydis turėtų būti grindžiamas tiesioginio juridinio asmens apyvarta, ar visos įmonių grupės bendra apyvarta.

ESTT aiškiai atskyrė du aspektus:

Maksimali baudos suma:

  • Nustatant maksimalią galimą baudą, gali būti atsižvelgiama į visos įmonių grupės bendrą apyvartą.

Konkretus baudos dydžio nustatymas:

  • Konkretus baudos dydis turi būti nustatomas remiantis atitinkamo subjekto ekonomine veikla, o ne visos grupės apyvarta. Anot ESTT, ne visais atvejais baudos turi būti automatiškai skiriamos visos grupės mastu, o turi būti vertinamos visos individualios įmonių grupių veiklos aplinkybės. Skiriant baudas atsižvelgiama, ar konkreti bauda turi atgrasantį poveikį tai įmonių grupei.

Elektroninė prekyba ir BDAR: Generalinis advokato nuomonė apie internetinės prekyvietės operatoriaus pareigas

2018 metais internetinėje skelbimų platformoje Publi24.ro (priklausančioje „Russmedia“) buvo paskelbtas skelbimas, kuriame asmuo (X) siūlė seksualines paslaugas. Skelbime be jos sutikimo buvo naudojamos nuotraukos ir telefono numeris, paimti iš aukos socialinių tinklų paskyrų. Nors „Russmedia“ greitai pašalino skelbimą, jis buvo paskelbtas ir kitose svetainėse. Auka kreipėsi į teismą prieš „Russmedia“.

Klužo apeliacinis teismas (Rumunija) kreipėsi į Europos Sąjungos Teisingumo Teismą (ESTT), prašydamas paaiškinti internetinių prekyviečių operatorių atsakomybę pagal Elektroninės komercijos direktyvą ir Bendrąjį duomenų apsaugos reglamentą (BDAR).

Generalinis advokatas Maciej Szpunar savo išvadoje analizuoja šių teisės aktų sąsajas. Jis pažymi, kad internetinės prekyvietės operatorius, toks kaip „Russmedia“, gali būti atleistas nuo atsakomybės už skelbimų turinį, jei jų vaidmuo yra neutralus ir grynai techninis. Tačiau ši apsauga netaikoma, jei operatorius aktyviai dalyvauja turinio valdyme, modifikavime ar skatinime.

Kalbant apie BDAR, generalinis advokatas nustato, kad internetinės prekyvietės operatorius veikia kaip asmens duomenų tvarkytojas, kai tvarko skelbimuose esančius asmens duomenis, ir nėra įpareigotas sistemingai tikrinti skelbimų prieš juos paskelbiant. Tačiau jis privalo priimti organizacines ir technines priemones duomenų apsaugai užtikrinti. Be to, operatorius veikia kaip duomenų valdytojas, kai kalbama apie registruotų vartotojų asmens duomenis, ir turi patikrinti jų tapatybę.

Šie išaiškinimai gali turėti reikšmingos įtakos internetinių platformų atsakomybei už vartotojų skelbimų turinį ir asmens duomenų apsaugą.

ETT nusprendė, kad duomenų subjektas turi teisę gauti paaiškinimą, kaip jo atžvilgiu buvo priimtas sprendimas

Europos Teisingumo Teismas (ESTT) 2025 m. vasario 27 d. sprendimu nustatė, kad asmuo turi teisę gauti paaiškinimą, kaip buvo priimtas jam ar jai nepalankus automatizuotas sprendimas. Šis paaiškinimas turi leisti asmeniui suprasti ir, jei reikia, apskųsti tokį sprendimą.

Byla susijusi su Austrijos mobiliųjų telefonų operatoriumi, kuris atsisakė sudaryti sutartį su klientu, nes jos kredito reitingas buvo nepakankamas. Operatorius rėmėsi Dun & Bradstreet Austria atliktu automatizuotu kliento kredito vertinimu. Sutartis numatė mėnesinį 10 eurų mokestį.

Austrijos teismas nustatė, kad Dun & Bradstreet pažeidė Bendrąjį duomenų apsaugos reglamentą (BDAR), nes nesuteikė klientui reikšmingos informacijos apie automatizuoto sprendimo priėmimo logiką. Teismas taip pat konstatavo, kad įmonė nepateikė pakankamų priežasčių, kodėl negalėjo suteikti šios informacijos.

Ginčo metu Austrijos teismas kreipėsi į ESTT dėl BDAR ir direktyvos dėl prekybos paslapčių apsaugos aiškinimo. ESTT nustatė, kad duomenų valdytojas turi aprašyti taikytas procedūras ir principus taip, kad duomenų subjektas galėtų suprasti, kurie jo asmens duomenys buvo naudojami automatizuotame sprendime. Be to, jei informacija apima trečiųjų šalių ar prekybos paslapčių apsaugą, ją reikia pateikti atitinkamoms institucijoms, kurios nuspręs, kiek duomenų subjekto teisė prieiti prie šios informacijos gali būti ribojama.

Šis sprendimas pabrėžia skaidrumo svarbą priimant automatizuotus sprendimus ir įtvirtina asmenų teises žinoti, kaip jų duomenys naudojami. Įmonės, taikančios automatizuotus vertinimus, turi užtikrinti atitiktį BDAR skaidrumo reikalavimams.

Asmens duomenų saugumo pažeidimai Lietuvoje 2024 m.

Valstybinė duomenų apsaugos inspekcija (VDAI) praneša, kad 2023 metais Lietuvoje buvo gauti 254 pranešimai apie asmens duomenų saugumo pažeidimus (ADSP), o paveiktų duomenų subjektų skaičius siekė 571 833.  Palyginti su 2022 metais, kai buvo gauti 304 pranešimai ir paveikti 1 955 382 asmenys, pastebimas pranešimų skaičiaus sumažėjimas.

Dažniausiai pasitaikančios klaidos:

  • pašto adresų įvedimas į „CC“ lauką vietoj „BCC“ lauko, dėl ko visi gavėjai mato kitų gavėjų adresus.
  • Dokumentų su asmens duomenimis išsiuntimas neteisingam gavėjui dėl panašių vardų ar klaidingai įvestų adresų.
  • Naujo dokumento kūrimas remiantis ankstesniu, paliekant senus asmens duomenis nepakeistus.
  • Nešifruotų dokumentų siuntimas, dėl ko asmens duomenys tampa pažeidžiami.
  • Prastai anonimizuoto dokumento paskelbimas, keliantis grėsmę asmens privatumo apsaugai.

Norėdami išvengti klaidų tvarkant asmens duomenis, svarbu:

  • Reguliarūs darbuotojų mokymai: užtikrinkite, kad darbuotojai būtų nuolat informuojami apie asmens duomenų saugumo svarbą, galimus rizikos veiksnius ir pažeidimų prevencijos metodus.
  • Dokumentų šifravimas: siųsdami dokumentus, kuriuose yra asmens duomenų, naudokite šifravimą ir perduokite slaptažodį per atskirą komunikacijos kanalą, kad apsaugotumėte duomenis nuo neautorizuoto prieigos.
  • Siuntimo atidėjimas: naudokite el. pašto programų funkciją, leidžiančią atidėti žinutės išsiuntimą, kad galėtumėte pastebėti ir ištaisyti galimas klaidas prieš siunčiant.
  • „Keturių akių“ principas: prieš siunčiant dokumentą ar el. laišką, leiskite kitam asmeniui peržiūrėti turinį, kad sumažintumėte klaidų tikimybę.
  • pašto ir priedų filtravimas: užtikrinkite, kad siunčiant el. laiškus su priedais, jie neatsitiktinai neatskleistų jautrios informacijos ar asmens duomenų.
Naujienlaiškio prenumerataSusisiekti
Nemokami patarimai!

Turite klausimų ar reikia daugiau informacijos?

Susisiekite su mumis el. paštu!