Duomenų apsaugos naujienlaiškis (2025 m. rugsėjo mėn.)

ECOVIS ProventusLaw duomenų apsaugos komanda kviečia duomenų valdytojus ir tvarkytojus susipažinti su 2025 m. rugsėjo mėn. duomenų apsaugos aktualijomis.

Skaitmeninių paslaugų akto ir BDAR sąveika. EDAV priėmė gaires

Rugsėjo 12 d. Europos duomenų apsaugos valdyba (toliau – EDAV) plenarinėje sesijoje priėmė gaires dėl Skaitmeninių paslaugų akto (angl. Digital Services Act, DSA) ir Bendrojo duomenų apsaugos reglamento (toliau – BDAR) sąveikos. Tai yra pirmosios EDAV gairės, skirtos BDAR ir neseniai priimtų ES skaitmeninių teisės aktų sąveikai.

DSA siekiama papildyti BDAR nuostatas, siekiant užtikrinti aukščiausią pagrindinių teisių apsaugos lygį skaitmeninėje erdvėje. Pagrindinis tikslas – sukurti saugesnę internetinę aplinką, kurioje būtų apsaugotos visų naudotojų pagrindinės teisės, įskaitant žodžio laisvę.

Pagrindinės nuostatos apima:

  • pranešimų ir veiksmų sistemas, kurios padeda fiziniams ar juridiniams asmenims pranešti apie neteisėtą turinį;
  • rekomendacijų sistemas, kurios automatiškai pateikia platformos naudotojams konkretų turinį tam tikra tvarka ar svarba;
  • nuostatas, skirtas užtikrinti aukštą nepilnamečių privatumo, saugumo ir apsaugos lygį bei draudimą rodyti jiems profiliu pagrįstą reklamą, naudojant jų duomenis;
  • interneto platformų reklamos skaidrumą;
  • profiliavimu pagrįstos reklamos, naudojant specialių kategorijų duomenis, draudimą.

Gairės bus pateiktos viešoms konsultacijoms.

ES Teismas patvirtino ES-JAV duomenų perdavimo galiojimą byloje „Latombe prieš Komisiją“

Europos Sąjungos Bendrasis Teismas (ESBT) patvirtino, kad ES–JAV duomenų privatumo sistema (DPS, angl. Data Privacy Framework, DPF) išlieka galiojanti. Tai reiškia, kad įmonės gali toliau perduoti asmens duomenis į JAV nesiremdamos alternatyviais mechanizmais, tokiais kaip standartinės sutarčių sąlygos.

Duomenų privatumo sistema (DPS / DPF)

DPS – tai naujausia Europos Komisijos sukurta duomenų perdavimo sistema, leidžianti teisėtai perduoti asmens duomenis iš ES į JAV. Principas paprastas: jei Komisija pripažįsta trečiąją šalį pakankamai saugančią duomenis, įmonės gali juos perduoti be papildomų leidimų. 2023 m. liepos mėn. Komisija priėmė „pakankamumo sprendimą“ JAV, oficialiai įtvirtinant DPS.

Sistema buvo sukurta po to, kai Europos Sąjungos Teisingumo Teismas (ESTT) panaikino ankstesnes sistemas – Safe Harbour ir Privacy Shield (Schrems I ir II bylose), nes jos neužtikrino pakankamos ES piliečių duomenų apsaugos.

Bylos esmė

Prancūzijos pilietis Philippe Latombe, naudodamasis įvairiomis IT platformomis, kurių  duomenis perduodami į JAV, kreipėsi į ESBT, prašydamas panaikinti pakankamumo sprendimą. Jis teigė, kad naujos JAV apsaugos priemonės nepakankamos: DPRC nėra nepriklausomas, o žvalgybos institucijos toliau vykdo masinį duomenų rinkimą be tinkamų ribų.

Latombe teigė, kad DPRC nėra pakankamai nešališkas ir nepriklausomas, nes pavaldus vykdomajai valdžiai. Be to, jis nurodė, kad žvalgybos institucijų masinis ES duomenų rinkimas be išankstinio teismo ar nepriklausomos administracinės institucijos leidimo yra neteisėtas.

Teismo sprendimas

ESBT atmetė ieškinį argumentuodamas:

1. DPRC nepriklausomumas

Teismas konstatavo, kad Įsakas 14086 ir Generalinio prokuroro reglamentas suteikia pakankamas garantijas DPRC nepriklausomumui, nešališkumui ir veiksmingoms teisių gynimo priemonėms, įskaitant teisėjų skyrimo ir atleidimo tvarką. Be to, Europos Komisija turi nuolat stebėti DPS taikymą ir gali riboti, sustabdyti, keisti ar panaikinti sistemą, jei pasikeistų teisinė aplinka.

2. Masinis duomenų rinkimas

Teismas pažymėjo, kad Schrems II byloje nebuvo nustatyta pareiga gauti išankstinį teismo leidimą masiniam duomenų rinkimui – pakanka ex post teismo kontrolės. Kadangi pagal JAV teisę šios žvalgybos veiklos prižiūrimos per DPRC, teismas pripažino, kad masinis duomenų rinkimas nepažeidžia ES teisės reikalavimų ir užtikrina apsaugą, lygiavertę ES standartams.

Išvada

DPS išlieka galioti, todėl organizacijos, savarankiškai sertifikavusios pagal šią sistemą, gali toliau ja remtis perduodamos duomenis į JAV.

Vis dėlto sprendimas dar gali būti apskųstas, todėl DPS ateitis nėra galutinai užtikrinta. Įmonės turėtų stebėti tolimesnius pokyčius, kad užtikrintų atitiktį reikalavimams.

Prancūzijos priežiūros institucija skyrė SHEIN 150 mln. EUR baudą už neteisėtus slapukus

Prancūzijos priežiūros institucija CNIL nustatė šiuos pažeidimus svetainėje shein.com:

  • Sutikimo negavimas prieš talpinant slapukus – keli slapukai, ypač skirti reklamos tikslams, buvo patalpinami vartotojų įrenginiuose iškart jiems apsilankius svetainėje.
  • Netinkamos sutikimo reklamjuostės– „shein.com” svetainėje buvo rodomos dvi sąsajos, susijusios su slapukų valdymu, tačiau abi buvo neišsamios. Pirmojoje reklamjuostėje buvo trys mygtukai „Slapukų nustatymai”, „Atmesti visus” ir „Sutinku”, tačiau joje nebuvo jokios informacijos apie slapukų reklamos tikslą.
  • Nepakankama antrojo lygmens informacija – „Slapukų nustatymų“ lange nebuvo pateikta duomenų apie trečiąsias šalis, galinčias talpinti slapukus.
  • Netinkami sutikimo atmetimo ir atšaukimo mechanizmai – kai vartotojas spustelėdavo „Atmesti viską“ arba atšaukdavo sutikimą, nauji slapukai vis tiek buvo talpinami, o jau esami – toliau skaitomi.

Už šiuos pažeidimus CNIL skyrė „SHEIN150 mln. EUR baudą.

Mūsų rekomendacijos:

  • Aiškus sutikimas
    Prieš talpinant bet kokius slapukus būtina gauti aiškų ir savanorišką vartotojo sutikimą. Jokie slapukai negali būti įrašomi į įrenginius be šio sutikimo.
  • Paaiškinkite, kam naudojami slapukai
    Sutikimo langai ar informaciniai langai turi aiškiai nurodyti, kokiu tikslu renkami duomenys, kad vartotojas žinotų, ką patvirtina.
  • Išsami informacija apie trečiąsias šalis
    Vartotojai turi turėti galimybę sužinoti, kurios trečiosios šalys gali talpinti slapukus ir kokiu tikslu.
  • Sutikimo atšaukimas:
    Mygtukai sutikimui ar nesutikimui su slapukais turi būti vienodos spalvos ir aiškūs, kad nekeltų painiavos. Svetainėje turėtų būti lengvai randama ikona, kuri vartotojui leistų bet kada atšaukti sutikimą, net prisijungus į puslapį iš naujo. Po sutikimo atšaukimo turi būti užtikrinta, kad slapukai nebebūtų renkami.

Prancūzijos priežiūros institucija skyrė GOOGLE 325 mln. EUR baudą už neteisėtą reklamų rodymą ir slapukų naudojimą

JAV federalinė žiuri nurodė įmonei „Google“ sumokėti apie 425 mln. dolerių (364,71 mln. eurų) už tai, kad ji rinko informaciją apie išmaniųjų telefonų programėlių naudojimą nepaisydama vartotojų pasirinktų privatumo nustatymų. Ieškinyje teigiama, kad „Google“ sekė, rinko ir pardavinėjo vartotojų mobiliųjų programėlių veiklos duomenis, nepaisydama nustatytų privatumo pasirinkimų.Tyrimo metu nustatyta, kad GOOGLE IRELAND LIMITED ir GOOGLE LLC rodė reklamas laiškų forma tarp privačių el. laiškų „Promotions“ ir „Social“ skiltyse. CNIL pabrėžė, kad tokios reklamos rodymui būtinas išankstinis naudotojų sutikimas pagal CPCE (Prancūzijos pašto ir elektroninių ryšių kodekso 34-5 str.).

Be to, nustatyta, kad kuriant „Google“ paskyrą naudotojai buvo skatinami pasirinkti slapukus, susijusius su suasmeninta reklama, nepakankamai aiškiai informuojant, jog slapukai reklamos tikslais yra būtina sąlyga naudojantis paslaugomis. Gauti sutikimai buvo pripažinti negaliojančiais, kas pažeidė Prancūzijos duomenų apsaugos įstatymą (82 str.).

Sprendimas

  • GOOGLE skirta bendra 325 mln. EUR bauda (200 mln. EUR – GOOGLE LLC, 125 mln. EUR – GOOGLE IRELAND LIMITED).
  • Bendrovės įpareigotos per 6 mėn. nutraukti reklamų rodymą tarp el. laiškų be sutikimo ir užtikrinti, kad slapukams būtų gautas tinkamas naudotojų sutikimas. Nepavykus įvykdyti – gresia 100 000 EUR dienos bauda.
  • Baudos dydis nustatytas atsižvelgiant tik į Prancūzijos naudotojus – pažeidimai palietė daugiau kaip 74 mln. paskyrų, iš kurių 53 mln. naudotojų neteisėtai matė reklamas.

Pažeidimų esmė

  • Nesilaikymas pareigos gauti sutikimą reklaminei veiklai el. ryšiais (CPCE 34-5 str.).
  • Netinkamas slapukų naudojimas be laisvo ir informuoto naudotojų sutikimo (Duomenų apsaugos įstatymo 82 str.).

CNIL atkreipė dėmesį, kad GOOGLE jau buvo bausta 2020 m. ir 2021 m. dėl slapukų pažeidimų, todėl bendrovės aplaidumas buvo laikomas sunkinančia aplinkybe.

Asmens duomenų saugumo pažeidimai Lietuvoje 2025 m. I pusm apžvalga.

Valstybinė duomenų apsaugos inspekcija (VDAI) per pirmąjį 2025 m. pusmetį Lietuvoje gavo 116 pranešimų apie asmens duomenų saugumo pažeidimus (ADSP). Jie paveikė 168 822 duomenų subjektus.

Pažeidimų tipai:

  • Konfidencialumo pažeidimai – 86 %
  • Duomenų vientisumo pažeidimai – 2 %
  • Pasiekiamumo pažeidimai – 10 %
  • Nepripažinta ADSP – 2 %

Priežastys:

  • Žmogiškos klaidos – 57 %
  • Kitos priežastys (IT sistemų klaidos, programavimo trūkumai ir pan.) – 11 %

Kibernetiniai incidentai – 32 %:

  • 8 atvejai: išpirkos programos / šifravimo atakos
  • 10 atvejų: neteisėta prieiga
  • 10 atvejų: socialinės inžinerijos atakos
  • 3 atvejai: prisijungimų („brute force“) atakos
  • Po 2 atvejus: SQL injekcijos ir sistemų trikdžiai

Laiku teikti pranešimai:

Primename, jog pagal BDAR reikalavimus, duomenų valdytojai privalo apie pažeidimą pranešti VDAI per 72 valandas nuo jo nustatymo. 2025 m. I pusmetį 78 % pranešimų buvo pateikti laiku, o 22 % – pavėluotai.

Finansinės nuobaudos:

  • 2025 m. sausį viešajai įstaigai skirta 9 000 EUR bauda už BDAR pažeidimus.
  • 2025 m. vasarį – 3 529 EUR bauda už nepakankamas duomenų apsaugos priemones.

Taip pat, VDAI pateikė 4 privalomus nurodymus ir 14 rekomendacijų, skirtų duomenų saugumui stiprinti ir užtikrinti BDAR laikymąsi.

Graikijos priežiūros institucija skyrė 10 000 EUR baudą už BDAR pažeidimus

Graikijos duomenų apsaugos priežiūros institucija (Hellenic DPA) skyrė 10 000 EUR baudą asociacijai „Shield of David“ už BDAR (Bendrojo duomenų apsaugos reglamento) pažeidimus. Ši byla pabrėžia teisėto duomenų tvarkymo svarbą, ypač kai kalbama apie jautrius duomenis ir nepilnamečius.

Tyrimo metu nustatyti keli rimti pažeidimai:

  • Nepakankamas duomenų subjekto teisių užtikrinimas – asociacija nesuteikė prieigos prie nepilnamečio vaiko asmens duomenų pagal pateiktą prašymą. Skirta 3 000 EUR bauda.
  • Neleistinas jautrių asmens duomenų perdavimas – vaiko medicininiai įrašai ir socialinė istorija buvo neteisėtai perduoti privačiai įmonei. Skirta 3 000 EUR bauda.
  • Netinkamas teismo sprendimo atskleidimas – teismo nutartis buvo pasidalyta su keliais gavėjais neturint tam teisinio pagrindo. Skirta 3 000 EUR bauda.
  • Nepakankamas bendradarbiavimas su priežiūros institucija – asociacija atsisakė bendradarbiauti su Hellenic DPA tyrimo metu. Skirta 1 000 EUR bauda.

NKSC pristatė rekomendacijas, kaip apsaugoti el. paštą nuo kibernetinių grėsmių

Krašto apsaugos ministerijos Nacionalinis kibernetinio saugumo centras (NKSC) tęsia praktinių kibernetinio saugumo rekomendacijų ciklą ir pristatė antrąjį dokumentą, skirtą organizacijoms padėti apsaugoti el. paštą – vieną pažeidžiamiausių skaitmeninių paslaugų.

Šios rekomendacijos ypač aktualios labai mažoms, mažoms ir vidutinėms įmonėms (MVĮ), kurios dažnai neturi net bazinių saugumo priemonių arba naudoja netinkamai sukonfigūruotas sistemas.

Pagrindinės rizikos

NKSC pastebi, kad daugelis organizacijų:

  • naudoja el. pašto paslaugas su numatytaisiais nustatymais,
  • arba sukonfigūruoja tik minimaliai, kad jos veiktų.

Dėl to:

  • kritiniai autentifikavimo įrašai gali būti nesukurti arba neteisingi,
  • gavėjai negali patikrinti siuntėjo tapatybės,
  • piktavaliai gali siųsti apgaulingus laiškus organizacijos vardu, keldami grėsmę reputacijai, klientų duomenų saugumui ir didindami sukčiavimo rizikas.

2024 m. Nacionalinės kibernetinio saugumo būklės ataskaita

  • Dauguma užregistruotų incidentų buvo susiję su socialinės inžinerijos (angl. phishing) atakomis, nukreiptomis į prisijungimo ar mokėjimo duomenų vagystę.
  • Taip pat fiksuota kenkėjiškų priedų ir išpirkos programų atvejų – dažniausiai taikytasi į MVĮ dėl jų mažesnio atsparumo.

NKSC rekomendacijos:

Organizacijoms siūloma įgalinti:

  • SPF,
  • DKIM,
  • DMARC autentifikavimo mechanizmus, kurie leidžia patvirtinti el. pašto siuntėjus ir padeda kovoti su adresų klastojimu (angl. email spoofing).

VDAI pradėjo tyrimą po „Creditinfo“ duomenų nutekėjimo

2025 m. liepos 25 d. tarptautinė kredito informacijos bendrovė „Creditinfo“ patyrė didelį kibernetinį incidentą, kurio metu nutekėjo daugiau nei 2,3 TB duomenų. Ataką įvykdė išpirkos programų grupuotė „Payoutsking“, o pavogti duomenys buvo paskelbti „dark web“.

Incidentas palietė „Creditinfo Lietuva“ klientus, tačiau bendrovė praneša, kad vietinės sistemos liko saugios ir Lietuvos klientų duomenys nebuvo pažeisti.

„Creditinfo Lietuva“ nedelsdama informavo Valstybinę duomenų apsaugos inspekciją (VDAI) ir aktyviai bendrauja su paveiktais asmenimis. Gavusi pranešimą, VDAI pradėjo tyrimą dėl asmens duomenų saugumo pažeidimo.

VDAI pataria: kas nėra laikoma asmens duomenų saugumo pažeidimais

Valstybinė duomenų apsaugos inspekcija (toliau – VDAI) atnaujino rekomendaciją, kurioje paaiškinama, kas nėra laikoma asmens duomenų saugumo pažeidimais (toliau – ADSP). Jų tikslas – atkreipti duomenų valdytojų dėmesį į incidentus, kurie nelaikomi ADSP arba įvykęs ADSP neturėtų kelti pavojaus fizinių asmenų teisėms ir laisvėms, todėl jiems įvykus duomenų valdytojai neturi pareigos apie tai pranešti VDAI.

Bendrasis duomenų apsaugos reglamentas (toliau – BDAR) numato, kad asmens duomenis tvarkančios organizacijos turi pareigą informuoti VDAI apie įvykusį ADSP, kuris gali kelti pavojų fizinių asmenų teisėms ir laisvėms.

Pažymėtina, kad nors kai kuriais atvejais incidentai įvyksta dėl pačių duomenų subjektų neatsargaus elgesio, tačiau tai neatleidžia duomenų valdytojų ir duomenų tvarkytojų nuo pareigos vertinti duomenų tvarkymo keliamą riziką ir įgyventi tinkamas saugumo priemones.

Rekomendacija papildyta trimis naujais praktiniais pavyzdžiais:

4 pavyzdys

Įmonės darbuotojas peržiūrėjo mirusio asmens duomenis. Atsižvelgiant į tai, kad darbuotojas peržiūrėjo duomenis, kurių tvarkymui nėra taikomas BDAR, toks incidentas nėra laikomas ADSP.

12 pavyzdys

Duomenų subjektui tinkamai neapsaugojus asmens duomenų, pavyzdžiui, asmuo prisijungimo duomenis yra išsaugojęs naršyklėse ir asmens duomenys (įskaitant prisijungimo duomenis) perimami piktavaliui įsilaužus į asmens įrenginius. Duomenų valdytojas, gavęs informacijos, kad yra atskleisti prisijungimo duomenys prie asmens paskyros svetainėje, operatyviai blokavo paskyrą ar inicijavo privalomą prisijungimo duomenų keitimą. Duomenų valdytojo saugumo priemonės nebuvo pažeistos, todėl tokie atvejai nėra laikomi ADSP.

14 pavyzdys

Duomenų tvarkytojas nustatė, kad duomenų valdytojo siunčiamas laiškas yra atplėštas, tačiau voko viduje buvusi siunta įdėta į kitą užklijuotą voką, kuris liko nepažeistas. Šiuo atveju nebuvo atskleisti asmens duomenys, todėl toks incidentas nėra laikomas ADSP.

VDAI ragina susipažinti su parengta informacija visas asmens duomenis tvarkančias organizacijas – tiek viešojo, tiek privataus sektoriaus atstovus.

Naujienlaiškio prenumerataSusisiekti