BDAR apžvalga: naujienos ir ekspertų patarimai, lapkritis 2024

ECOVIS ProventusLaw duomenų apsaugos komanda apžvelgia svarbiausias 2024 m. lapkričio mėn. BDAR aktualijas.

Vyriausybė patvirtino Kibernetinio saugumo įstatymo įgyvendinimą reglamentuojančius dokumentus

Lapkričio 6 d. Vyriausybė patvirtino nutarimą, kuriame išsamiai apibrėžta, kaip bus vykdomas šių metų spalį įsigaliojęs naujasis Kibernetinio saugumo įstatymas (KSĮ). Šiuo įstatymu į nacionalinę teisę perkeliamos esminės Europos Sąjungos Tinklų ir informacinių sistemų direktyvos (TIS 2) nuostatos, kurios stiprina Lietuvos kibernetinio saugumo valdymo sistemą ir nustato naujus saugumo reikalavimus įvairioms organizacijoms.

Vyriausybės nutarimu buvo patvirtinti šie dokumentai:

  • Nacionalinis kibernetinių incidentų valdymo planas;
  • Kibernetinio saugumo subjektų identifikavimo pagal specialiuosius kriterijus metodika;  Kibernetinio saugumo reikalavimų aprašas;
  • Vykdymo užtikrinimo priemonių taikymo kibernetinio saugumo subjektams tvarkos aprašas;
  • Saugiojo valstybinio duomenų perdavimo tinklo naudotojų sąrašas;
  • Atlyginimo už naudojimąsi Saugiuoju valstybiniu duomenų perdavimo tinklu teikiamomis papildomomis elektroninių ryšių ir kibernetinio saugumo paslaugomis dydžių nustatymo kriterijų ir atlyginimo apskaičiavimo tvarkos aprašas.

KSĮ yra išskiriamos dvi subjektų rūšys – esminiai ir svarbūs kibernetinio saugumo  subjektai. Visos Organizacijos, kurios  atitinka bendruosius ar specialiuosius kriterijus, bus  įtrauktos į Kibernetinio saugumo subjektų registrą. Šie subjektai bus tiesiogiai informuoti apie jų pirminį identifikavimą, o vėliau – ir apie įtraukimą į registrą. Organizacijos jau dabar gali pasitikrinti apie savo patekimo į registrą tikimybę NKSC interneto svetainėje.

Pagal naujuosius kibernetinio saugumo reikalavimus, kibernetinio saugumo subjekto vadovas ar jo įgaliotas asmuo turi paskirti už kibernetinį saugumą atsakingus asmenis, nurodytus KIS  15 straipsnyje, ir kitus už Kibernetinio saugumo reikalavimų įgyvendinimą atsakingus asmenis.

Naujųjų kibernetinio saugumo reikalavimų įgyvendinimui yra taikomas 12 mėn., o tam tikriems techniniams reikalavimams įgyvendinti – 24 mėn. pereinamasis laikotarpis nuo subjekto įtraukimo į registrą pradžios.

Naujasis DORA (Skaitmeninio operacinio atsparumo akto) atitikties įrankis

ECOVIS ProventusLaw sukūrėme išsamų įrankį, skirtą padėti organizacijoms įvertinti jų atitiktį DORA reguliavimo reikalavimams, kurie visiškai įsigalios 2025 m. sausio mėn.

Išsamus organizacijos statuso vertinimas yra esminis žingsnis siekiant atitikties DORA reikalavimams

Šiame įrankyje organizacijoms pateikiamas kontrolinis sąrašas, apimantis visus pagrindinius DORA privalomus aspektus, padedantis supaprastinti atitikties stebėjimą ir palaikyti atsparią skaitmeninę veiklos aplinką.

Ką siūlo DORA atitikties vertinimo įrankis:

  • Išsami atitikties analizė: Įrankis padeda įvertinti svarbiausias sritis, įskaitant valdymą ir organizavimą, IRT rizikos valdymą, sistemų apsaugą, reagavimo ir atkūrimo planus bei trečiųjų šalių rizikos valdymą. Kiekviename kontrolinio sąrašo skyriuje pateikiami tiksliniai klausimai, atitinkantys konkrečius DORA reikalavimus.
  • Išsami apžvalga: Įrankis, kuriame yra apie 200 tikslinių klausimų, palengvina išsamų skaitmeninio atsparumo ir operacinės rizikos praktikos vertinimą.

Norėdami pasinaudoti ECOVIS ProventusLaw sukurtu  DORA atitikties reikalavimams vertinimo įrankiu, susisiekite su mūsų ekspertais (rezervuoti skambutį).

Daugiau informacijos apie DORA gyvavimo ciklo etapus ir informaciją apie mūsų įrankį rasite čia.

Aktuali informacija dėl reikšmingų organizacijos nuotraukų tvarkymo

Valstybinė duomenų apsaugos inspekcija (toliau – VDAI) parengė informaciją daugeliui organizacijų aktualiu klausimu, t. y. dėl organizacijos veiklai itin svarbių nuotraukų tvarkymo.

Paprastai organizacijos mano, kad tam tikros nuotraukos yra istoriškai svarbios jų veiklai. Atsižvelgdama į tai, SDPI šiame DUK atkreipė dėmesį į pagrindines duomenų valdytojų pareigas šiuo atžvilgiu:

– nustatyti nuotraukų atrankos kriterijus,

– atrinktų nuotraukų saugojimo laikotarpiai,

– prievolė taikyti atrankos procedūrą ir t. t.

Taip pat primename, kad tos pačios taisyklės taikomos vaizdo ir (arba) garso įrašams.

ESTT sprendimas dėl teisėto intereso pagrindo komerciniais tikslais

Europos Sąjungos Teisingumo Teismas (ESTT) išaiškino, kokiomis sąlygomis organizacijos gali remtis „teisėtu interesu“ pagal Bendrąjį duomenų apsaugos reglamentą (BDAR), tvarkydamos asmens duomenis komerciniais tikslais, pavyzdžiui, vykdant rinkodarą be aiškaus vartotojų sutikimo. ESTT nurodė, kad duomenų valdytojo komerciniai interesai gali būti laikomi pagrįstais, kai jie būtini teisėtam valdytojo interesui pasiekti.

Šis klausimas kilo, kai Nyderlandų Karališkoji teniso asociacija (KNLTB) pasidalijo savo narių duomenimis su rėmėjais rinkodaros tikslais be jų sutikimo. Nyderlandų duomenų apsaugos institucija (AP) už tai skyrė asociacijai €525,000 baudą dėl BDAR pažeidimo. KNLTB teigė, kad jos „teisėtas interesas“ siūlyti nariams reklamos pasiūlymus pateisina duomenų tvarkymą. Po šios baudos KNLTB kreipėsi į Amsterdamo apygardos teismą, kuris paprašė ESTT išaiškinimo, ar narių duomenų naudojimas tiesioginei rinkodarai be sutikimo gali atitikti BDAR sąlygą dėl „teisėto intereso“.

BDAR 6 straipsnio 1 dalies f punktas numato, kad asmens duomenų tvarkymas yra teisėtas, jei jis būtinas teisėtiems interesams, kurių siekia duomenų valdytojas arba trečioji šalis, išskyrus atvejus, kai šiuos interesus nusveria duomenų subjekto interesai ar pagrindinės teisės ir laisvės. ESTT išdėstė tris sąlygas, kurias reikia įvertinti, norint nustatyti, ar „teisėtas interesas“ yra pagrįstas:

1. Teisėto intereso siekimas: Duomenų valdytojo ar trečiosios šalies siekiami tikslai turi būti teisėti. ESTT pažymėjo, kad BDAR leidžia įvairius interesus, įskaitant tiesioginę rinkodarą, kuri laikoma teisėtu tikslu (tai patvirtinta BDAR 47 konstatuojamojoje dalyje).

2. Duomenų tvarkymo būtinybė šiam interesui pasiekti: ESTT nurodė, kad duomenų tvarkymas turėtų būti būtinas teisėtam tikslui siekti, ir reikia įvertinti, ar tokį interesą būtų galima pasiekti kitomis priemonėmis, mažiau ribojančiomis asmens teises ir laisves.

3. Interesų pusiausvyros užtikrinimas: Reikia subalansuoti duomenų valdytojo arba trečiosios šalies interesus ir duomenų subjekto teises bei laisves. Kompetentinga institucija turėtų atlikti šį vertinimą, siekdama įsitikinti, kad asmens teisės yra tinkamai apsaugotos.

Skaityti daugiau: CURIA – Documents

Gairės 1/2024 dėl asmens duomenų tvarkymo remiantis BDAR 6 straipsnio 1 dalies f punktu

2024 m. spalio 8 d. Europos duomenų apsaugos valdyba (EDAV) paskelbė gairių projektą 1/2024 dėl asmens duomenų tvarkymo, pagrįsto teisėtais interesais pagal BDAR 6 straipsnio 1 dalies f punktą („Gairės“). Viešosios konsultacijos dėl šių Gairių vyks iki 2024 m. lapkričio 20 d.

BDAR 6 straipsnio 1 dalies f punktas leidžia tvarkyti duomenis, kai tai atitinka duomenų valdytojo arba trečiosios šalies teisėtus interesus, jei šių interesų neviršija duomenų subjekto teisės ir laisvės. Gairėse pateikiamos svarbios interpretacinės nuorodos, kurios padės organizacijoms geriau suprasti šį esminį, tačiau sudėtingą, duomenų apsaugos teisės aspektą, kartu palaikant jų duomenų tvarkymo strategijas.

Nors nėra aiškios „teisėto“ intereso apibrėžties ar išsamaus sąrašo, kas gali būti laikoma teisėtu interesu, gairėse pabrėžiama, kad „teisėtas“ interesas turi būti teisėtas, aiškiai ir tiksliai suformuluotas bei realus, o ne tik hipotetinis. EDAV remiasi Europos Sąjungos Teisingumo Teismo (ESTT) praktika, kuri yra pripažinusi, kad keletas interesų gali būti laikomi teisėtais – pavyzdžiui, prieiga prie informacijos internete, produktų tobulinimas, asmenų kreditingumo vertinimas, taip pat komerciniai interesai.

Gairėse taip pat pabrėžiama, kad teisėtą interesą gali siekti tiek duomenų valdytojas, tiek trečioji šalis, ir pateikiamos praktinės nuorodos dėl pagrindinių kontekstų, kur asmens duomenys gali būti tvarkomi trečiosios šalies interesais, pavyzdžiui, ginti teisinį reikalavimą. Gairės aiškiai atskiria trečiųjų šalių interesus nuo bendruomenės interesų, nors praktikoje gali pasitaikyti atvejų, kai duomenų valdytojo arba trečiosios šalies siekiami interesai taip pat gali tarnauti platesniems visuomenės interesams.

Airijos duomenų apsaugos komisija skyrė „LinkedIn Ireland“ 310 mln. eurų baudą

Airijos Duomenų apsaugos komisija (DPC) paskelbė galutinį sprendimą po tyrimo dėl „LinkedIn Ireland Unlimited Company“ („LinkedIn“). Šį tyrimą inicijavo DPC, kaip pagrindinė priežiūros institucija „LinkedIn“ veiklai, remdamasi skundu, kurį iš pradžių pateikė Prancūzijos duomenų apsaugos institucija.

Tyrimo išvados:

  • „LinkedIn“ negalėjo teisėtai remtis BDAR 6 straipsnio 1 dalies a punktu (sutikimu) tvarkydama trečiųjų šalių duomenis, skirtus elgesio analizei ir tiksliniam reklamavimui, kadangi „LinkedIn“ gautas sutikimas nebuvo laisvai duotas, pakankamai informuotas, konkretus ar vienareikšmis.
  • „LinkedIn“ negalėjo teisėtai remtis BDAR 6 straipsnio 1 dalies f punktu (teisėtu interesu) tvarkydama pirmosios šalies asmens duomenis savo narių elgesio analizei ir tiksliniam reklamavimui, taip pat trečiųjų šalių duomenis analitiniams tikslams, nes „LinkedIn“ interesai buvo nusverti duomenų subjektų interesų, pagrindinių teisių ir laisvių.
  • „LinkedIn“ negalėjo teisėtai remtis BDAR 6 straipsnio 1 dalies b punktu (sutarties vykdymo būtinybe) tvarkydama pirmosios šalies duomenis elgesio analizei ir tiksliniam reklamavimui.

DPC išvadose nurodo, kad „LinkedIn“ nesilaikė BDAR reikalavimų, susijusių su asmens duomenų tvarkymu elgesio analizei ir reklamavimui, nes naudojosi netinkamais teisiniais pagrindais.

Belgijos DAI skyrė įmonei 45 000 eurų baudą už BDAR pažeidimus darbo santykių kontekste

Belgijos duomenų apsaugos institucija (DPA) gavo skundą iš asmens, kuris laikinai dirbo įmonėje nuo 2021 m. kovo iki 2022 m. vasario 24 d. Įmonė rinko darbuotojų pirštų atspaudus laiko apskaitai, tačiau, kaip teigė skundo pateikėjas, jis nebuvo informuotas apie šių duomenų saugojimo tvarką, saugojimo laikotarpius bei jų perdavimą trečiosioms šalims.

Belgijos DAI išvados:

1. Atlikusi tyrimą, Belgijos DAI nustatė, kad įmonė tvarkė skundo teikėjo jautrius biometrinius duomenis – pirštų atspaudus. Taip pat paaiškėjo, kad įmonė aiškiai nenurodė teisinio pagrindo, kuriuo rėmėsi rinkdama šiuos duomenis. Po bylos nagrinėjimo paaiškėjo, kad įmonė rėmėsi darbuotojų sutikimu kaip teisiniu pagrindu.

2. Vis dėlto Belgijos DAI nustatė, kad įmonė nesugebėjo įrodyti, jog darbuotojai sutikimą suteikė laisva valia, nes nebuvo pasiūlyta jokių alternatyvų laiko registravimui. DAI taip pat konstatavo, kad darbuotojų sutikimas nebuvo pakankamai laisvas, konkretus, informuotas ir nedviprasmiškas.

Be to, Belgijos DAI pabrėžė, kad įmonė:

  • nesilaikė tikslų apribojimo principo, nes nenustatė aiškių biometrinių duomenų rinkimo tikslų;
  • pažeidė duomenų kiekio mažinimo principą, nes rinkti biometriniai duomenys nebuvo būtini laiko apskaitai;
  • nesuteikė skaidrios informacijos apie duomenų tvarkymą įmonės sveikinimo brošiūroje.
Naujienlaiškio prenumerataSusisiekti
Nemokami patarimai!

Turite klausimų ar reikia daugiau informacijos?

Susisiekite su mumis el. paštu!