Duomenų apsaugos ir kibernetinio saugumo naujienlaiškis – 2025 m. gegužė

ECOVIS ProventusLaw duomenų apsaugos komanda kviečia duomenų valdytojus ir tvarkytojus susipažinti su 2025 m. gegužės mėn. duomenų apsaugos aktualijomis.

Lietuvoje sukurtas naujas kibernetinio saugumo subjektų registras

Lietuvoje buvo sukurtas naujas kibernetinio saugumo subjektų registras, kuriame šiuo metu yra 1 443 organizacijos, priklausančios 11 kritinių sektorių ir 7 kitoms svarbioms sritims. Pagal atnaujintą Kibernetinio saugumo įstatymą visos registruotose įmonėse esančios organizacijos turės laikytis griežtesnių saugumo standartų. Palyginti su ankstesniu sąrašu, registruotų organizacijų skaičius padidėjo beveik penkis kartus, o didžioji dalis naujai pridėtų subjektų priklauso privačiam sektoriui.

Visos registruotos organizacijos turi laikytis Kibernetinio saugumo įstatyme ir Lietuvos Respublikos Vyriausybes 2024 m. lapkričio 6 d. priimtame nutarime numatytų nuostatų. Nustatytas pereinamasis laikotarpis naujų kibernetinio saugumo reikalavimų taikymui: 12 mėnesių organizacinėms priemonėms ir 24 mėnesiai tam tikriems techniniams reikalavimams, abu skaičiuojami nuo subjekto įtraukimo į registrą datos.

Nemokamas ECOVIS TIS2 atitikties patikros įrankis

ECOVIS sukūrė TIS2 atitikties įsivertinimo įrankį, kuris suteikia galimybę pasitikrinti, ar jūsų organizacija atitinka Kibernetinio saugumo įstatymo bei 2024 m. lapkričio 6 d. Lietuvos Respublikos Vyriausybės nutarimu patvirtintų įgyvendinimo reikalavimų nuostatas.  Įrankyje pateikti klausimynai suteikia galimybę patogiai naviguoti per išsamius klausimus ir, užpildžius klausimyną, įsivertinti atitikties statusą.

Savo organizacijos atitiktį galite įsivertinti naudodamiesi ECOVIS TIS2 savitikros įrankiu: tis2.ecovis.lt

Daugiau apie LR kibernetinio saugumo įstatymą bei TIS2 direktyvos įgyvendinimą.

Daugiau apie kibernetinio saugumo subjektų registrą

Naujos ES gairės dėl priežiūros pagal DORA reglamentą

Siekiant vykdyti finansų rinkos priežiūros funkcijas, Lietuvos bankas vadovausis 2024 m. birželio 5 d. Europos priežiūros institucijų bendro komiteto priimtomis Bendrosiomis gairėmis dėl bendradarbiavimo ir informacijos mainų priežiūros tikslais (JC/GL/2024/36).

Šios gairės nustato bendradarbiavimo ir informacijos mainų praktiką tarp Europos priežiūros institucijų (ESI) ir nacionalinių kompetentingų institucijų (NCI), siekiant užtikrinti efektyvią ir koordinuotą priežiūrą pagal ES skaitmeninio operatyvumo atsparumo reglamentą (DORA). Ypatingas dėmesys skiriamas informacinių ir ryšių technologijų (IRT) paslaugų teikėjų priežiūrai.

Šių gairių tikslas – užtikrinti, kad ESI ir NCI:

  • Identifikuotų sritis, kuriose pagal DORA 32 straipsnio 7 dalį reikalingas bendradarbiavimas ir/arba informacijos mainai;
  • Laikytųsi koordinuoto ir nuoseklaus požiūrio į bendradarbiavimą ir informacijos mainus priežiūros tikslais, kad užtikrintų veiksmingumą, nuoseklumą ir išvengtų dubliavimo;
  • Įgyvendintų bendrą požiūrį į procedūras ir laikotarpius, įskaitant vaidmenų, atsakomybės ir bendradarbiavimo bei informacijos mainų priemones.

VDAI sprendimas dėl tiesioginės rinkodaros pažeidimo

Valstybinė duomenų apsaugos inspekcija (Inspekcija) išnagrinėjo UAB „Principo reikalas“ (Pareiškėjas) pateiktą skundą, kuriame buvo teigiama, kad Skundžiamas asmuo išsiuntė tiesioginės rinkodaros el. laišką Pareiškėjo el. pašto adresu, nesulaukęs išankstinio sutikimo.

Skundžiamas asmuo paaiškino, kad Pareiškėjo el. pašto adresą gavo iš viešai prieinamos oficialios svetainės ir išsiuntė laišką, siūlydami socialinių tinklų valdymo paslaugas. Jis taip pat nurodė, kad tai buvo pirmas kartas, kai siuntė tokią žinutę, ir kad neturėjo sutikimo tiesioginei rinkodarai. Be to, Skundžiamas asmuo teigė, kad nesuprato, kaip įdiegti sutikimo funkciją savo svetainėje.

Inspekcija nustatė, kad išsiųsta žinutė atitinka tiesioginės rinkodaros apibrėžimą pagal Lietuvos Respublikos elektroninių ryšių įstatymą (ERĮ) ir Asmens duomenų teisinės apsaugos įstatymą (ADTAĮ). Pažymėta, kad rinkodaros pranešimų siuntimas be išankstinio sutikimo pažeidžia ERĮ 81 straipsnį

Inspekcija padarė išvadą, jog skundas buvo pagrįstas, ir nurodė Skundžiamam asmeniui užtikrinti, kad ateityje žinutės būtų siunčiamos tik gavus aiškų sutikimą arba laikantis ERĮ 81 straipsnio 2 dalies. Nors šis pažeidimas buvo vienkartinis, Inspekcija pabrėžė, kad ateityje panašūs pažeidimai bus vertinami griežčiau ir pateikė rekomendacijas dėl tinkamo duomenų apdorojimo ir privatumo apsaugos praktikų.

Išsamiau – Kaip teisingai vykdyti tiesioginę rinkodarą?

EDPB gairės dėl asmens duomenų tvarkymo naudojant „blockchain“

Europos duomenų apsaugos valdyba (EDPB) paskelbė savo 02/2025 gairių projektą dėl asmens duomenų apdorojimo blokų grandinių (angl. blockchain) technologijose, kuris dabar yra atviras viešajai konsultacijai iki 2025 m. birželio 9 d. Šios gairės siekia padėti organizacijoms suderinti blokų grandinių praktikas su GDPR atitiktimi.

Pagrindinės gairės:

  • Duomenų minimizavimas. Turi būti tvarkomi tik griežtai būtini duomenys. Tai ypač svarbu blokų grandinės kontekste, kur įrašyti duomenys yra nekintami – jų negalima pakeisti ar ištrinti. Be to, asmens duomenys neturėtų būti prieinami neribotam asmenų skaičiui.
  • Rekomenduojama saugoti duomenis už blokų grandinės (angl. off-chain). Asmens duomenys turėtų būti saugomi už blokų grandinės, o blokų grandinėje palikti tik neidentifikuojančias nuorodas, ir naudoti tokias technikas kaip šifravimas, maišos funkcijos (angl. hashing), įsipareigojimai (angl. commitments) ar nulinio žinojimo įrodymai (angl. zero-knowledge proofs).
  • Duomenų subjekto teisės. Turėtų būti numatytos priemonės užtikrinti duomenų subjektų teises, tokias kaip prieiga, tikslinimas ir ištrynimas, net decentralizuotose sistemose.
  • Rolės ir atsakomybės. Duomenų valdytojas decentralizuotoje aplinkoje nustatomas pagal tai, kas faktiškai sprendžia dėl tvarkymo tikslų ir priemonių.
  • PDAV reikalavimas. Kadangi blokų grandinė dažnai susijusi su tokiu duomenų tvarkymu, kuris gali reikšmingai paveikti duomenų subjektų teises, daugeliu atvejų privaloma atlikti poveikio vertinimą (angl. DPIA), kuriame turėtų būti įvertinta, ar bus tvarkomi asmens duomenys, kodėl blokų grandinė yra būtina ir proporcinga, bei kokios yra galimos alternatyvos.

EDPB pabrėžia, kad GDPR atitiktis blokų grandinių sistemose yra įmanoma, tačiau reikalauja atsargaus planavimo, techninių apsaugos priemonių ir valdymo aiškumo.

EDPB taip pat bendradarbiaus su ES dirbtinio intelekto biuru, kad parengtų papildomas gaires dėl dirbtinio intelekto teisės akto ir duomenų apsaugos teisės aktų santykio.

Išsamiau.

EDPB 2024 m. metinė ataskaita

2025 m. balandžio 23 d. Europos duomenų apsaugos valdyba (EDPB) paskelbė 2024 metų metinę ataskaitą, kurioje apžvelgiami svarbiausi pasiekimai, užtikrinantys duomenų privatumo apsaugą sparčios skaitmeninės transformacijos laikotarpiu. Ataskaitoje atspindimas EDPB sustiprintas dėmesys reguliavimo aiškumui, suinteresuotųjų šalių įtraukimo iniciatyvoms ir nuosekliam GDPR taikymui visoje ES.

Vienas iš pagrindinių pasiekimų buvo 2024–2027 metų strategijos priėmimas, kurioje išskirtos prioritetinės sritys: duomenų apsaugos modernizavimas, tarpvalstybinio reguliavimo bendradarbiavimo gerinimas (ypač su Dirbtinio intelekto įstatymu ir Skaitmeninių paslaugų įstatymu) ir stipresnis pasaulinis įsitraukimas.

EDPB ženkliai išplėtė savo patariamąjį ir teisinį darbą, išleisdamas aštuonias 64(2) straipsnio nuoseklumo nuomones apie tokias temas kaip „Sutikimas arba mokėjimas“ modeliai, oro uostų veido atpažinimas ir dirbtinio intelekto mokymo duomenys. Taip pat pristatyta keturios naujos gairės, įskaitant gaires dėl teisėto suinteresuotumo ir tarptautinių duomenų perdavimų.

Valdyba taip pat padidino savo viešąjį pasiekiamumą, organizuodama konsultacijas, suinteresuotųjų šalių renginius ir supaprastintas priemones, tokias kaip GDPR vadovas MVĮ (prieinamas 18 kalbų) ir svarbiausių gairių santraukos.

Galiausiai, EDPB aktyvus vaidmuo teisėkūros diskusijose ir tarpvalstybinio reguliavimo bendradarbiavime pabrėžia jos įsipareigojimą užtikrinti, kad duomenų apsauga išliktų veiksminga ir praktiška besikeičiančiame teisiniame ir technologiniame kraštovaizdyje.

ES planuoja sumažinti GDPR naštą mažoms ir vidutinėms įmonėms.

Europos Komisija rengia reformas, kuriomis siekiama supaprastinti Bendrojo duomenų apsaugos reglamento (BDAR) nuostatas, kad sumažėtų administracinė našta, ypač mažoms ir vidutinėms įmonėms (MVĮ), tuo pačiu išlaikant pagrindinius duomenų apsaugos principus.

Pagal Europos finansinių paslaugų komisarą Michaelį McGrathą, šios reformos bus skirtos supaprastinti įsipareigojimus, tokius kaip įrašų saugojimas įmonėse, kuriose dirba mažiau nei 500 darbuotojų. Reforma turėtų būti paskelbta iki 2025 m. gegužės 21 d.

Pagrindiniai reformos tikslai:

  • Sumažinti atitikties kaštus MVĮ;
  • Suderinti BDAR taikymą tarp valstybių narių;
  • Supaprastinti įsipareigojimus duomenų valdytojams ir tvarkytojams;
  • Užtikrinti, kad BDAR išliktų tinkamas skaitmeninei ekonomikai.

Nors privatumo ekspertai stebi, kad duomenų apsaugos standartai išliktų stiprūs, ši reforma žymi svarbų pokytį ES reguliavimo strategijoje, kuri orientuojasi į konkurencingumą ir aiškumą sudėtingame duomenų apsaugos kontekste.

  • 60 000 € – už BDAR 38 straipsnio 3 dalies pažeidimą (dėl DAP nepriklausomumo);
  • 72 000 € – už BDAR 30 straipsnio 1 dalies bei 35 straipsnio 1 ir 7 dalių pažeidimus (dėl profiliavimo dokumentavimo ir poveikio vertinimo trūkumo).

Šis sprendimas  aiškiai parodo, kad duomenų apsaugos pareigūnas negali būti formaliai paskirtas – jo nepriklausomumas turi būti realiai užtikrintas struktūriškai ir funkciškai. Taip pat pabrėžiama organizacijų pareiga ne tik dokumentuoti visus reikšmingus duomenų tvarkymo procesus, bet ir įvertinti jų poveikį duomenų subjektų teisėms, ypač kai taikomas profiliavimas ar automatizuotas sprendimų priėmimas.

Airijos Duomenų apsaugos komisija skyrė baudą „TikTok“

Airijos asmens duomenų apsaugos priežiūros institucija – Duomenų apsaugos komisija (DPC), paskelbė apie „TikTok Technology Limited“ („TikTok“) skirtą bendrą 530 mln. eurų baudą dėl Bendrojo duomenų apsaugos reglamento (BDAR) pažeidimų perduodant Europos ekonominės erdvės (EEE) vartotojų asmens duomenis į Kiniją bei skaidrumo reikalavimų pažeidimų.

DPC tyrimas atskleidė, kad „TikTok“ neįrodė, jog EEE vartotojų duomenims, prie kurių nuotolinę prieigą turėjo darbuotojai Kinijoje, buvo taikoma tinkamo lygio apsauga iš esmės lygiavertė Europos Sąjungoje garantuojamai apsaugai. Dėl to „TikTok“ neatsižvelgė į galimą Kinijos valdžios institucijų prieigą prie EEE vartotojų duomenų pagal vietos įstatymus.

„TikTok“ taip pat pažeidė skaidrumo reikalavimus, tinkamai neinformuodama vartotojų apie duomenų perdavimą į trečiąsias valstybes.

Be administracinės baudos, DPC įpareigojo „TikTok“ per šešis mėnesius suderinti duomenų tvarkymo operacijas su BDAR reikalavimais. Jei per šį laikotarpį reikalavimai nebus įvykdyti, bendrovė turės sustabdyti duomenų perdavimą į Kiniją.

Šis tyrimas pabrėžia didėjantį ES asmens duomenų apsaugos institucijų dėmesį duomenų perdavimui į Kiniją. Kinijos įstatymai, leidžiantys plačią valdžios prieigą prie duomenų, apsunkina asmens duomenų apsaugos užtikrinimą, kuri atitiktų ES reikalavimus pagal BDAR.

Jei įmonė perduoda asmens duomenis ar leidžia prieigą prie jų iš Kinijos, būtina užtikrinti atitiktį BDAR reikalavimams.

1. Reikia nustatyti teisinį pagrindą darbuotojų duomenų tvarkymui pagal BDAR 6 straipsnį, pvz., sutarties vykdymas, teisinė prievolė ar teisėtas interesas.

2. Jei prieiga iš Kinijos laikytina tarptautiniu duomenų perdavimu pagal BDAR V skyrių, būtina taikyti tinkamą perdavimo mechanizmą (pvz., standartinės sutarčių sąlygos (SCC) arba privalomosios įmonių taisyklės (BCR)).

3. Rekomenduojama atlikti perdavimo poveikio vertinimą (TIA), įvertinant galimą riziką, susijusią su taikytinais Kinijos teisės aktais ir viešųjų institucijų prieigos galimybėmis.

4. Jei nustatomos rizikos, turėtų būti taikomos papildomos techninės ir organizacinės apsaugos priemonės (pvz. šifravimas, prieigos kontrolė, duomenų kiekio mažinimas ar pseudonimizacija).

5. Taip pat svarbu atnaujinti vidaus dokumentaciją ir informuoti darbuotojus apie duomenų perdavimą bei jų teises.

Naujienlaiškio prenumerataSusisiekti
Nemokami patarimai!

Turite klausimų ar reikia daugiau informacijos?

Susisiekite su mumis el. paštu!