ECOVIS ProventusLaw BDAR naujienlaiškis: 2025 m. balandis

ECOVIS ProventusLaw duomenų apsaugos komanda kviečia duomenų valdytojus ir tvarkytojus susipažinti su duomenų apsaugos aktualijomis.

VDAI priėmė sprendimą dėl nepageidaujamų rinkodaros elektroninių laiškų

Valstybinė duomenų apsaugos inspekcija (toliau – VDAI) neseniai priimtame sprendime nustatė, kad viena įmonė pažeidė Lietuvos Respublikos elektroninių ryšių įstatymą (toliau – ERĮ), nes siuntė nepageidaujamus rinkodaros el. laiškus, prieš tai negavusi gavėjų sutikimo.

Ką sako įstatymas?

Pagal ERĮ 81 straipsnį, įmonės privalo gauti aiškų asmenų sutikimą prieš siųsdamos jiems rinkodaros pranešimus. Išimtis iš bendrosios taisyklės yra numatyta ERĮ 81 straipsnio 2 dalyje, t. y. „Asmuo, kuris, teikdamas paslaugas ar parduodamas prekes Reglamento (ES) 2016/679 nustatyta tvarka ir sąlygomis, gauna iš savo klientų elektroninio pašto kontaktinius duomenis, gali naudoti šiuos kontaktinius duomenis savo paties panašių prekių ar paslaugų rinkodarai, jeigu klientams yra suteikiama aiški, nemokama ir lengvai įgyvendinama galimybė nesutikti arba atsisakyti tokio kontaktinių duomenų naudojimo pirmiau nurodytais tikslais, kai šie duomenys yra renkami ir, jeigu klientas iš pradžių neprieštaravo dėl tokio duomenų naudojimo, siunčiant kiekvieną žinutę“.

Viešojo valdymo agentūroje asmens duomenys buvo tvarkomi pažeidžiant BDAR reikalavimus

Lietuvos vyriausiasis administracinis teismas (toliau – LVAT) 2024 m. kovo 26 d. nutartyje nagrinėjo ginčą dėl Valstybinės duomenų apsaugos inspekcijos (toliau – Inspekcija) sprendimo.

Kas nustatyta?

  • Viešojo valdymo agentūra (toliau – Agentūra) daugiau nei dvejus metus be teisėto pagrindo naudojosi Valstybės tarnautojų registru (VATARAS) ir be peržiūrėjo konkretaus asmens duomenis 244 kartus.
  • 19 Agentūros darbuotojų turėjo prieigą prie šių duomenų, tačiau nebuvo tinkamai informuoti apie duomenų apsaugos reikalavimus.
  • Agentūra nekontroliavo, kaip duomenys tvarkomi.

Šie veiksmai pripažinti Bendrojo duomenų apsaugos reglamento (BDAR) pažeidimais.

LVAT nutarė, kad Inspekcija tinkamai įvertino nustatytas aplinkybes ir pagrįstai pripažino, jog asmens duomenys buvo tvarkomi neteisėtai, neužtikrinant jų saugumo, taip pažeidžiant BDAR reikalavimus. Teismas taip pat pabrėžė, kad BDAR teisinis pagrindas kyla iš Sutarties dėl Europos Sąjungos veikimo (SESV) 16 straipsnio, kuris garantuoja kiekvieno asmens teisę į duomenų apsaugą. BDAR aiškiai nurodo, kad asmens duomenų apsauga yra pagrindinė teisė, įtvirtinta tiek SESV, tiek Europos Sąjungos pagrindinių teisių chartijoje.

Svarbiausi BDAR principai, kurių privaloma laikytis:

Asmens duomenų tvarkymas turi būti teisėtas ir sąžiningas, o BDAR 5 straipsnis nustato pagrindinius duomenų tvarkymo principus:

  • Duomenys turi būti tvarkomi teisėtai, sąžiningai ir skaidriai (teisėtumo, sąžiningumo ir skaidrumo principas);
  • Duomenys turi būti saugomi taikant tinkamas technines ir organizacines priemones (vientisumo ir konfidencialumo principas).
  • Duomenų valdytojas atsako už šių principų laikymąsi ir turi gebėti tai įrodyti (pagal BDAR 5 straipsnio 2 dalį, atskaitomybės principas).

LVAT Teismas pabrėžė, jog pagal BDAR Agentūra, kaip darbdavė, nustatanti duomenų tvarkymo tikslus ir priemones, yra atsakinga už BDAR reikalavimų laikymąsi. Tai reiškia, kad Agentūra privalėjo užtikrinti, jog jos darbuotojai nepasiektų asmens duomenų be teisėto pagrindo ar teisėto tikslo.

VDAI sprendimas: Mokėjimo priminimo laiškuose turi būti gerbiamos duomenų subjekto teisės

Valstybinė duomenų apsaugos inspekcija (VDAI) priėmė sprendimą dėl įmonės, kuri ir toliau siuntė mokėjimo priminimus klientui, nepaisant jo prašymo atsisakyti tokių pranešimų.

Kas nustatyta?

  • Nors įmonė teisėtai tvarkė asmens duomenis pagal BDAR 6 straipsnio 1 dalies f punktą,
  • Ji neužtikrino duomenų subjekto teisės prieštarauti pagal 21 straipsnį. Kas yra laikomaa pažeidimu.

Įmonė, administruojanti daugiabutį namą, teigė, kad mokėjimo priminimų siuntimas yra būtinas siekiant užtikrinti laiku atliekamus mokėjimus ir finansinį stabilumą pastato priežiūrai. Ji šią praktiką grindė Civilinio kodekso ir kitų teisės aktų reikalavimais, kurie įpareigoja administratorius rinkti įmokas už bendrojo naudojimo turto priežiūrą. Tačiau kai gyventojas oficialiai paprašė nutraukti tokių priminimų siuntimą, įmonė iš pradžių tvirtino, kad dėl techninių apribojimų ji negali atskirti šių žinučių nuo kitų administracinių pranešimų.

Asmeniui pateikus skundą VDAI, įmonė rankiniu būdu pašalino jį iš priminimų sistemos, tačiau vis tiek siuntė kitus pranešimus. VDAI nustatė, kad šis delsimas įvykdyti atsisakymo prašymą pažeidė BDAR nuostatas. Nors patys mokėjimo priminimai buvo laikomi teisėtais, įmonė neįdiegė tinkamų priemonių duomenų subjekto teisei prieštarauti įgyvendinti, todėl buvo pripažinta pažeidusi reglamento reikalavimus.

VDAI patenkino skundą dėl įmonės tiesioginės rinkodaros pranešimų tvarkymo

Valstybinė duomenų apsaugos inspekcija (VDAI) patenkino skundą dėl įmonės tiesioginės rinkodaros pranešimų tvarkymo, nustatydama, kad įmonė neįgyvendino tinkamų techninių ir organizacinių priemonių duomenų subjektų teisėms užtikrinti.

VDAI pažymėjo, kad pagal Lietuvos Respublikos elektroninių ryšių įstatymą ir BDAR, ypač 21 straipsnio 2–3 dalis, duomenų subjektai turi nedviprasmišką teisę prieštarauti jų asmens duomenų tvarkymui tiesioginės rinkodaros tikslais. Be to, 24 straipsnio 1 dalis ir 25 straipsnio 1 dalis reikalauja, kad duomenų valdytojai įgyvendintų tinkamas technines ir organizacines priemones, užtikrinančias šių teisių laikymąsi.

Inspekcija nustatė, kad:

  • Įmonė neveiksmingai apdorojo pareiškėjo atsisakymo prašymą, nes tam skirtas el. pašto adresas ([email protected]) nebuvo naudojamas, o sistemoje nebuvo rasta įrodymų apie atsisakymo įvykdymą.
  • Įmonės nurodytas techninis apribojimas – kad siunčiantis el. pašto adresas nėra skirtas žinutėms gauti – neatleidžia jos nuo pareigos užtikrinti, jog duomenų subjektai galėtų pasinaudoti savo teisėmis.

VDAI rekomendacijos dėl internetinių parduotuvių tvarkomų asmens duomenų saugumo priemonių

Valstybinė duomenų apsaugos inspekcija (toliau – VDAI), atlikusi internetinių parduotuvių tvarkomų asmens duomenų saugumo priemonių stebėseną, teikia rekomendacijas.

Stebėsena atlikta vadovaujantis VDAI 2024 metų planinių patikrinimų ir stebėsenos planu rašytinės apklausos būdu, įvertinant 10 internetinių parduotuvių duomenų apsaugos priemones (privilegijuotųjų prieigos teisės, asmens duomenų naikinimas, šifravimo priemonių naudojimas, pakeitimų valdymas).

VDAI, įvertinusi atliktos stebėsenos rezultatus, teikia šias rekomendacijas:

  • Užtikrinti privilegijuotųjų prieigos teisių valdymo kontrolę.

Gerosios praktikos pavyzdžiai valdant privilegijuotąsias prieigos teises:

1. Aiški ir dokumentuota prieigos kontrolės politika.

2. Principų „būtina žinoti“ ir „būtina naudoti“ taikymas.

3. Prieigos suteikimo ir peržiūros procesų.

4. Daugiafaktorinio autentifikavimo naudojimas.

5. Prieigos teisių reguliari peržiūra.

6. Prieigos veiklos stebėsena ir auditas.

7. Prieigos teisių apribojimas.

8. Incidentų valdymas ir reagavimo planai.

9. Reguliarus darbuotojų mokymas.

10. Technologinių priemonių taikymas.

  • Sukurti ir įgyvendinti efektyvius asmens duomenų naikinimo procesus.
  • Aiškiai nustatyti duomenų saugojimo terminus ir jų laikymosi kontrolę.
  • Taikyti saugius skaitmeninių duomenų šalinimo ir fizinių dokumentų naikinimo metodus.
  • Dokumentuoti visus naikinimo veiksmus.
  • Reguliariai peržiūrėti ir atnaujinti duomenų naikinimo procedūras.
  • Naudoti pažangias šifravimo priemones duomenų saugumui užtikrinti.
  • Šifruoti tiek saugomus, tiek perduodamus duomenis.
  • Rekomenduojama naudoti TDE (Transparent Data Encryption) ir SSE su PMK (Storage Service Encryption with a Platform-Managed Key).
  • Užtikrinti saugų šifravimo raktų valdymą ir prieigos kontrolę.

Tokios priemonės užtikrina, kad asmens duomenys būtų apsaugoti nuo galimų pažeidimų ir būtų laikomi pagal BDAR reikalavimus, įskaitant atsparumą fiziniams ir techniniams incidentams

  • Tobulinti pakeitimų valdymo procesus.
  • Apibrėžti pokyčių įvedimo ir įdiegimo procedūras.
  • Nustatyti atsakingus asmenis už pakeitimų diegimą ir priežiūrą.
  • Aiškiai reglamentuoti pokyčių diegimo terminus.
  • Reguliariai peržiūrėti ir atnaujinti pokyčių valdymo politiką.

Politika turi būti atnaujinama pagal naujausius teisės aktų reikalavimus ir gerąsias praktikas. Ji turi apimti visas pagrindines sritis: prieigos teisių valdymą, šifravimo priemones, duomenų naikinimą ir pokyčių valdymą.

Europos Komisija siūlo pratęsti leidimą perduoti duomenis į Jungtinę Karalystę dar 6 mėnesiams

Šis leidimas (vadinamas „tinkamumo sprendimu“) leidžia laisvai perduoti asmens duomenis iš ES į Jungtinę Karalystę, nes Jungtinės Karalystės duomenų apsaugos lygis laikomas pakankamu.

Pratęsimas reikalingas tam, kad Jungtinė Karalystė spėtų užbaigti savo naujo duomenų įstatymo priėmimą. Kai įstatymas bus priimtas, Europos Komisija įvertins, ar Jungtinė Karalystė vis dar užtikrina tinkamą duomenų apsaugą. Jei atsakymas bus teigiamas, sprendimai gali būti atnaujinti ilgesniam laikui.

Naujienlaiškio prenumerataSusisiekti
Nemokami patarimai!

Turite klausimų ar reikia daugiau informacijos?

Susisiekite su mumis el. paštu!