Duomenų apsaugos naujienlaiškis (2025 m. liepa)

ECOVIS ProventusLaw duomenų apsaugos komanda kviečia duomenų valdytojus ir tvarkytojus susipažinti su 2025 m. liepos mėn. duomenų apsaugos aktualijomis.

Didelis slaptažodžių nutekėjimas: NKSC pataria, kaip apsaugoti save bei savo paskyras 

Nacionalinis kibernetinio saugumo centras (NKSC) prie krašto apsaugos ministerijos reaguoja į vieną didžiausių iki šiol užregistruotų duomenų saugumo pažeidimų. Kibernetinio saugumo tyrėjų duomenimis, buvo paviešinti net 16 mlrd. aktyvių naudotojų paskyrų duomenys. tarp paveiktų platformų yra „Apple“, „Google“, „Facebook“, „Telegram“, „GitHub“, „Microsoft“ ir pan.

Šis pažeidimas nėra susijęs su archyvuotais ar pasenusiais duomenimis – jame pateikiama informacija, susijusi su šiuo metu veikiančiomis paskyromis. Tikėtina, jog tarp nukentėjusiųjų yra ir Lietuvos gyventojų paskyros, todėl ragina imtis prevencinių veiksmų.

NSKC teigimu, dėl šio pažeidimo apimties kyla rimta didelio masto kibernetinių atakų rizika – nuo paskyrų perėmimo ir finansinio sukčiavimo iki sukčiavimo kampanijų. Dalis pažeistų duomenų buvo surinkta naudojant ,,infostealer‘‘ tipo kenkėjiškas programas – slaptas šnipinėjimo priemones, kurios  iš  įrenginių išgauna prisijungimo duomenis, slaptažodžius, naršykles duomenis ir kitą jautrią informaciją.

Tokia  programinė įranga paprastai įdiegiama naudojant, pavyzdžiui, suklastotus el. laiškus, kurie atrodo kaip patikimų institucijų ar bendrovių. Užtenka spustelėti vieną nuorodą arba atidaryti užkrėstą failą, kad būtų aktyvuota programa, kuri tyliai veikia fone ir renka duomenis.

NSKC  rekomenduoja naudotojams nedelsiant imtis šių veiksmų:

  • Pakeiskite visų svarbių paskyrų slaptažodžius, ypač jei tas pats slaptažodis naudojamas keliose platformose;
  • Naudokite unikalius ir stiprius slaptažodžius, saugomus patikimoje slaptažodžių tvarkyklėje, o ne naršyklėse;
  • Visose paskyrose, įskaitant el. pašto, socialinių medijų ir internetinės bankininkystės, įjungti dviejų arba kelių veiksnių autentifikavimą (2FA/MFA);
  • Patikrinkite, ar jūsų el. pašto adresas nebuvo pažeistas, pavyzdžiui, naudodamiesi svetaine com.
  • Pašalinti iš el. pašto dėžučių bet kokią jautrią informaciją, kurią būtų galima pasiekti, jei būtų pažeista paskyra.
  • Reguliariai atnaujinti operacinę sistemą, programinę įrangą ir naršyklės plėtinius.
  • Naudoti patikimą antivirusinę programą.

EDAV paskelbė galutinę gairių versiją dėl duomenų perdavimo trečiųjų šalių institucijoms

Europos duomenų apsaugos valdyba (EDAV) priėmė galutinę gairių versiją dėl asmens duomenų perdavimo trečiųjų šalių institucijoms. Šių gairių tikslas – padėti organizacijoms įvertinti, kokiomis sąlygomis jos gali teisėtai atsakyti į ne Europos (trečiųjų šalių) institucijų prašymus perduoti asmens duomenis, remiantis Bendrojo duomenų apsaugos reglamento (BDAR) 48 straipsniu.

Pagrindiniai gairių paaiškinimai

  • Trečiųjų šalių institucijų sprendimai ar nutarimai negali būti automatiškai pripažįstami ar vykdomi Europoje. Tai reiškia, kad Europos Sąjungoje veikiantys subjektai negali tiesiog vykdyti trečiųjų šalių valdžios institucijų reikalavimų, neįvertinę jų atitikties ES teisės aktams.
  • Paprastai tarptautinis susitarimas gali numatyti teisinį pagrindą ir duomenų perdavimo sąlygas. Tai yra pageidautinas ir saugiausias būdas tokiems duomenų perdavimams užtikrinti.
  • Jei tarptautinio susitarimo nėra arba jame nenumatytas tinkamas teisinis pagrindas ar apsaugos priemonės, išskirtinėmis aplinkybėmis kiekvienu konkrečiu atveju gali būti svarstomi alternatyvūs teisiniai ar perdavimo pagrindai. Tai rodo, kad galimos alternatyvos, tačiau tik griežtai apibrėžtais atvejais.

Atnaujintos gairės taip pat siekia išsamiau paaiškinti įvairius klausimus, kurie buvo iškelti konsultacijų metu. Jose aptariama situacija, kai:

  • prašymo gavėjas yra duomenų tvarkytojas. Tai svarbu, nes duomenų tvarkytojo pareigos ir atsakomybė skiriasi nuo duomenų valdytojo;
  • trečiojoje šalyje esanti patronuojančioji bendrovė gauna tos šalies institucijos prašymą ir po to reikalauja asmens duomenų iš savo patronuojamosios bendrovės Europoje. Šis scenarijus pabrėžia sudėtingumą, kai tarptautinės įmonės su kompleksiška struktūra susiduria su duomenų apsaugos reikalavimais.

Mokomoji medžiaga apie dirbtinį intelektą ir duomenų apsaugą

EDAV pristatė du  projektus:

  • Teisė ir atitiktis dirbtinio intelekto saugumo ir duomenų apsaugos srityje;
  • Saugių dirbtinio intelekto sistemų su asmens duomenimis pagrindai.

Šiuose dviejuose projektuose pateikiama mokymo medžiaga apie dirbtinį intelektą ir duomenų apsaugą.

Ataskaita ,,Teisė ir atitiktis dirbtinio intelekto saugumo ir duomenų apsaugos srityje‘‘ skirta teisinio profilio specialistams, pavyzdžiui, duomenų apsaugos pareigūnams (DAP) arba privatumo specialistams.

Antroji ataskaita ,,Saugių dirbtinio intelekto sistemų, kuriose naudojami asmens duomenys, pagrindai‘‘ skirta techninio pobūdžio specialistams, pavyzdžiui, kibernetinio saugumo specialistams, didelės rizikos dirbtinio intelekto sistemų kūrėjams ar diegėjams.

Pagrindinis šių projektų tikslas – spręsti problemą, susijusią su itin dideliu įgūdžių dirbtinio intelekto ir duomenų apsaugos srityje trūkumu, kuris laikomas pagrindine kliūtimi, trukdančia naudoti privatumą užtikrinantį dirbtinį intelektą. Mokomoji medžiaga padės suteikti specialistams esminių kompetencijų dirbtinio intelekto ir duomenų apsaugos srityje, kad būtų sukurta palankesnė aplinka duomenų apsaugos teisės aktų vykdymui užtikrinti.

Taryba ir Europos Parlamentas pasiekė susitarimą dėl geresnio tarpvalstybinio BDAR vykdymo užtikrinimo piliečiams

ES Taryba ir Europos Parlamentas pasiekė preliminarų susitarimą dėl naujo teisės akto, kuriuo bus pagerintas nacionalinių duomenų apsaugos institucijų bendradarbiavimas užtikrinant Bendrojo duomenų apsaugos reglamento (BDAR) įgyvendinimą tarpvalstybiniais atvejais.

Europos teisės aktų leidėjai susitarė dėl taisyklių, kuriomis bus supaprastintos administracinės procedūros, susijusios, pavyzdžiui, su pareiškėjų teisėmis arba bylų priimtinumu, ir taip bus veiksmingiau užtikrinamas nuo 2018 m. gegužės 25 d, taikomo BDAR vykdymas.

Pagrindiniai naujojo reguliavimo bruožai:

1. Priimtinumas
Įsigaliojus reglamentui, bus paspartintas tarpvalstybinių BDAR skundų, teikiamų piliečių ar organizacijų, nagrinėjimo procesas. Tai bus pasiekta suvienodinant reikalavimus, susijusius su tarpvalstybinių skundų priimtinumo vertinimu. Nepriklausomai nuo to, kurioje ES šalyje pilietis pateikia skundą dėl tarpvalstybinio duomenų tvarkymo, jo priimtinumas bus vertinamas remiantis ta pačia informacija.

2. Skundus teikiančių ir skundžiamųjų šalių teisės

Ir skundus teikiančiosioms, ir tiriamoms organizacijoms bus suteiktos aiškesnės procesinės teisės. Skundo pateikėjas turi būti informuotas ir jam turi būti leista būti išklausytam, jei jo byla atmetama.

Skundžiančiajam ir tiriamai įmonei ar organizacijai bus suteikta teisė gauti preliminarias tyrimo išvadas (t. y. prieš galutinį sprendimą), kad galėtų pateikti savo nuomonę.

3. Privalomi tyrimų terminai

Naujais terminais siekiama paspartinti tyrimus:

  • 15 mėnesių įprastoms byloms (sudėtingoms byloms galima pratęsti 12 mėnesių).
  • 12 mėnesių paprastoms bendradarbiavimo procedūroms.

Tai padės išvengti užsitęsusių tyrimų, dėl kurių buvo kritikuojama dabartinė sistema.

4. Greitesnis sprendimo mechanizmas

Taryba ir Europos Parlamentas susitarė dėl mechanizmo, kuris leis greičiau išspręsti skundus. Šis sprendimo mechanizmas suteikia duomenų apsaugos institucijoms galimybę išnagrinėti bylą dar nepradėjus įprastos tarpvalstybinės skundo nagrinėjimo procedūros – kitaip tariant, dar neįtraukiant kitų šalių institucijų. Tai gali būti taikoma tais atvejais, kai įmonė ar organizacija jau pašalino pažeidimą, o skundą pateikęs asmuo neprieštarauja greitam sprendimui.

5. Paprastesnė bendradarbiavimo procedūra

Siekiant išvengti ilgai trunkančių diskusijų tarp skirtingų duomenų apsaugos institucijų dėl konkrečių bylų, naujasis reglamentas numato priemones, padedančias lengviau pasiekti bendrą susitarimą.

Viena iš tokių priemonių – pareiga pagrindinei institucijai pateikti kitoms ES šalims pagrindinių klausimų santrauką. Tai užtikrins, kad visos institucijos turėtų reikiamą informaciją ir galėtų laiku išsakyti savo poziciją dėl bylos.

Galutiniame reglamento tekste palikta Tarybos siūlyta supaprastinta bendradarbiavimo procedūra. Ji leidžia netaikyti visų papildomų taisyklių tais atvejais, kai byla yra nesudėtinga. Tokiu būdu duomenų apsaugos institucijos galės išvengti perteklinės administracinės naštos, greitai spręsti aiškias bylas ir pasinaudoti platesnėmis bendradarbiavimo taisyklėmis tik tada, kai tai būtina sudėtingesniuose tyrimuose.

Lietuvos banko konsultacinis renginys apie trečiųjų šalių rizikos valdymą

2025 m. birželio 5 d. Lietuvos bankas surengė konsultacinį renginį, skirtą trečiųjų šalių rizikos valdymui, kuriame finansų rinkos dalyviai aptarė besikeičiančią reguliavimo aplinką pagal skaitmeninio operacinio atsparumo reglamentą (DORA) ir susijusias ES ir nacionalines sistemas.

Pagrindinės aptartos temos:

  • Reguliavimo naujovės: Renginyje apžvelgti teisiniai pokyčiai, darantys įtaką finansų įstaigoms, įskaitant funkcijų perdavimo išorės paslaugų teikėjams taisyklių ir draudimo įmonių valdymo reikalavimų atnaujinimus. Šie pakeitimai derinami su naujais DORA reglamento (ES) 2022/2554 28-30 straipsniuose nustatytais reikalavimais.
  • IRT (informacinių ir ryšių technologijų) paslaugos ir sutartys: Įstaigos buvo konsultuojamos, kaip vertinti ir valdyti riziką perduodant IRT paslaugas trečiųjų šalių paslaugų teikėjams.
  • Prievolė pranešti: Įstaigoms buvo priminta, kaip svarbu laiku pranešti Lietuvos bankui, kai sudaromos sutartys, susijusios su kritinėmis ar svarbiomis funkcijomis. Atsižvelgiant į būsimus pokyčius, finansų įstaigoms rekomenduojama pranešti ne vėliau kaip prieš 30-60 dienų, priklausomai nuo įstaigos tipo ir užsakomųjų paslaugų pobūdžio.
  • Nuolatinė stebėsena ir pasitraukimo strategijos: renginio metu buvo pateikta praktinių rekomendacijų, kaip stebėti paslaugų teikėjus, užtikrinti sutartinių teisių įgyvendinimą, atlikti vidaus auditą ir nustatyti pasitraukimo strategijas

Atsižvelgdamas į konsultacijų metu vykusias diskusijas, Lietuvos bankas primygtinai rekomenduoja visiems finansų rinkos dalyviams imtis šių veiksmų, kad sustiprintų savo trečiųjų šalių rizikos valdymą:

  • Peržiūrėti ir atnaujinti užsakomųjų paslaugų politiką, kad ji atitiktų naujausius DORA reikalavimus, ypač 28-30 straipsnius, susijusius su trečiųjų šalių IKT paslaugų teikėjais.
  • Prieš sudarydami užsakomųjų paslaugų sutartis, atlikite išsamius rizikos vertinimus, įskaitant koncentracijos rizikos, geopolitinio poveikio, duomenų apsaugos ir subrangos grandinių vertinimus.

Skaityti daugiau:

Latvijos duomenų apsaugos institucija parengė e-mokymosi kursus, prieinamus ir lietuvių kalba

Latvijos duomenų apsaugos institucija (toliau – Latvijos DAI), įgyvendindama projektą ,,Nuotolinė mokymo programa duomenų apsaugos srityje‘‘, remiamą Europos Komisijos finansavimo programos ,,Piliečiai, lygybė, teisės ir vertybės‘‘, parengė interaktyvų asmens duomenų apsaugos mokymo kursą (toliau – kursas). Kursas pirmiausia skirtas mažosioms ir vidutinėms įmonėms, tačiau jis taip pat naudingas asociacijų, fondų, individualių savininkų atstovams ir visiems, norintiems daugiau sužinoti apie duomenų apsaugą.

Kurso tikslas – paprastai paaiškinti Bendrąjį duomenų apsaugos reglamentą (BDAR) ir skatinti suprasti jo įgyvendinimą, pagrindinius duomenų apsaugos reikalavimus ir taisykles. Kurso turinį sudaro aštuoni moduliai, į kuriuos įtraukti praktiniai pavyzdžiai ir užduotys, savęs vertinimo testai ir vaizdinė medžiaga.

Valstybinė duomenų apsaugos inspekcija (toliau – Inspekcija) bendradarbiavo su Latvijos DAI, kad kursas būtų prieinamas ir lietuvių kalba.

Kursą galite pasiekti lietuvių kalba čia

Atkreipkite dėmesį, kad kursas parengtas remiantis Latvijoje galiojančia teisine sistema. Todėl kai kurie kurse pateikti pavyzdžiai ar teorinė medžiaga gali ne visiškai atitikti Lietuvoje galiojančius teisės aktus.

Parengti DUK, padėsiantys institucijoms įvertinti, ar siunčiama informacija nelaikytina tiesiogine rinkodara

Valstybinė duomenų apsaugos inspekcija (toliau – VDAI), reaguodama į paklausimus, kuriuose viešojo sektoriaus institucijos domisi, ar jų siunčiamos grįžtamojo ryšio apklausos ar informacija ūkio subjektams apie teisės aktų reikalavimų laikymąsi laikytina tiesiogine rinkodara, parengė DUK, padėsiantį institucijoms įvertinti, ar jų siunčiama informacija nelaikytina tiesiogine rinkodara. DUK tikslas – paaiškinti tiesioginės rinkodaros sąvokos taikymą viešojo sektoriaus institucijoms, atsižvelgiant į formuojamą teismų praktiką.

Tiesioginė rinkodara – tai veikla, kurios tikslas paštu, telefonu ar kitu tiesioginiu būdu siūlyti asmenims prekes ar paslaugas ir (arba) teirautis jų nuomonės dėl siūlomų prekių ar paslaugų. Teismų praktika patikslina, kad rinkodara savo esme suprantama kaip prekių ar paslaugų pardavimo strategijos organizavimas ir vykdymas, o tiesioginės rinkodaros veiksmai yra nukreipti į ateitį, siekiant, kad klientas ateityje įsigytų siūlomas prekes ar paslaugas.

Tačiau viešojo sektoriaus institucijų vykdoma veikla nėra laikoma tiesiogine rinkodara, jei:

  • siekiama gauti grįžtamąjį ryšį dėl jau suteiktos paslaugos. Teismų praktikoje aiškiai nurodoma, kad tiesioginės rinkodaros sąvoka negali būti plečiamai aiškinama ir į ją neįtraukiami veiksmai, kuriais teiraujamasi kliento nuomonės dėl jam jau suteiktos paslaugos;
  • veikla vykdoma vykdant teisės aktais nustatytas funkcijas ar užduotis. Pavyzdžiui, valstybės institucijų pareiga organizuoti konsultacijas dėl mokesčių mokėjimo ar kasmet atlikti asmenų aptarnavimo kokybės vertinimą yra laikoma teisine prievole;
  • vykdoma ūkio subjektų priežiūra ar proaktyvus konsultavimas teisės aktų ir administracinių sprendimų taikymo klausimais. Tai apima apklausas dėl veiklos patikrinimo procesų efektyvumo, paramos priemonių poveikio vertinimą ar informacijos siuntimą dėl teisės aktų laikymosi.

Tokiais atvejais asmens duomenų tvarkymas yra teisėtas pagal Bendrojo duomenų apsaugos reglamento (BDAR) 6 straipsnio 1 dalies c ir (ar) e punktuose įtvirtintas sąlygas (t. y. teisinio įpareigojimo vykdymas arba viešojo intereso užduoties vykdymas). Svarbu, kad siunčiamos grįžtamojo ryšio apklausos ar kitokio pobūdžio informacija būtų neintensyvaus pobūdžio – t. y. asmeniui nėra primenama primygtinai, ji pateikiama tinkamu laiku ir asmuo be reikalo netrikdomas, siunčiant akivaizdžiai neaktualią informaciją.

Naujienlaiškio prenumerataSusisiekti
Nemokami patarimai!

Turite klausimų ar reikia daugiau informacijos?

Susisiekite su mumis el. paštu!