ECOVIS ProventusLaw duomenų apsaugos komanda parengė naują duomenų apsaugos aktualijų naujienlaiškį, su kuriuo pateikia ir naujų rekomendacijų duomenų valdytojams ir tvarkytojams.
1. Skaitmeninio operacinio atsparumo aktas DORA. Trečiosios šalies keliamos IRT rizikos valdymas.
Reglamentas (ES) 2022/2554, žinomas kaip Skaitmeninio operacinio atsparumo aktas (angl. Digital Operational Resilience Act, DORA Act), yra išsamus reglamentas, kuriuo siekiama padidinti finansų subjektų skaitmeninį operacinį atsparumą visoje Europos Sąjungoje..
DORA reglamente išdėstyti informacinių ir ryšių technologijų (IRT) trečiųjų šalių rizikos valdymo reikalavimai. Finansų subjektai turi užtikrinti atitiktį DORA reikalavimams ir valdyti IRT riziką proporcingai pagal jos poveikį. DORA numato reikalavimus, kuriuos fFinansų subjektai turi atlikti prieš sudarant sutartis su IRT paslaugų teikėjais. Taip pat DORA reglamente išdėstytos pagrindinės IRT paslaugų sutarčių nuostatos. Sutartyse turi būti aiškiai apibrėžtos tiek finansų subjekto, tiek IRT paslaugų trečiosios šalies teikėjo teisės ir pareigos, įskaitant išsamius paslaugų aprašymus, duomenų apsaugos priemones ir nutraukimo sąlygas.
Finansų sektoriaus subjektai, kurie yra sudarę sutartimi įformintus susitarimus dėl IRT paslaugų naudojimo savo veiklos operacijoms vykdyti, visada išlieka visiškai atsakingi už visų DORA reglamente nustatytų pareigų laikymąsi ir vykdymą.
ECOVIS ProventusLaw rekomendacija:
- peržiūrėti ir atnaujinti visus IRT paslaugų susitarimus, kad būtų užtikrinta atitiktis DORA reikalavimams iki jų įgyvendinimo datos.
- atnaujinti užsakomųjų paslaugų politiką, rizikos valdymą, IRT politiką ir kitus vidaus dokumentus, kad jie atitiktų IRT trečiųjų šalių rizikos valdymo reikalavimus.
Kviečiame užpildyti klausimyną atitikčiai DORA reglamentui nustatyti: https://ecovis.lt/practice-areas/telecommunications-it-and-data-protection-en/dora-regulation/
2. Lietuvos Respublikos kibernetinio saugumo įstatymas
Lietuva priėmė Kibernetinio saugumo įstatymo pakeitimus, kuriuo siekiama sustiprinti nacionalinį kibernetinį saugumą ir suderinti jį su ES tinklų ir informacijos apsaugos sistemos (NIS2) direktyva. Šiuo įstatymo pakeitimu siekiama padidinti atsparumą kibernetinėms grėsmėms ir pagerinti reagavimą į incidentus.
Jis taikomas organizacijoms, veikiančioms svarbiuose ir esminiuose sektoriuose, pavyzdžiui, transporto, bankininkystės, energetikos, sveikatos priežiūros ir kt. Įstatyme nustatyta daugiapakopė pranešimo apie incidentus Nacionaliniam kibernetinio saugumo centrui (NKSC) procedūra ir išplėsti kibernetinio saugumo įpareigojimai, įskaitant prieigos kontrolės ir kriptografijos reikalavimus.
NKSC prižiūrės, kaip laikomasi reikalavimų, ir turės išplėstus įgaliojimus, įskaitant įspėjimų teikimą, baudų iki 10 000 000 EUR arba 2 proc. metinės apyvartos skyrimą ir kitus vykdymo užtikrinimo veiksmus už reikalavimų nesilaikymą.
Įstatymas įsigalioja 2024 m. spalio 18 d. Iki 2025 m. balandžio 17 d. subjektai turi būti identifikuoti ir įtraukti į Kibernetinio saugumo informacinę sistemą ir per 12 mėnesių nuo įsigaliojimo dienos užtikrinti atitiktį.
Rekomenduojame atlikti spragų analizę, kad nustatytumėte galimas spragas ir pasiruoštumėte laikytis nustatytų reikalavimų bei susisiekti su mumis ekspertinei pagalbai: https://ecovis.lt/practice-areas/telecommunications-it-and-data-protection-en/nis2-directive/
3. VDAI atnaujino Tvarkomų asmens duomenų saugumo priemonių ir rizikos įvertinimo gaires duomenų valdytojams ir tvarkytojams
Valstybinė duomenų apsaugos inspekcija (VDAI) atnaujino „Tvarkomų asmens duomenų saugumo priemonių ir rizikos įvertinimo gaires“ ir paskelbė šių gairių ketvirtąją versiją viešosioms konsultacijoms. Šios gairės skirtos padėti duomenų valdytojams ir tvarkytojams, ypač mažoms ir vidutinėms įmonėms, tačiau jų rekomendacijas taip pat gali taikyti nevyriausybinės organizacijos, viešojo sektoriaus atstovai ir didelės įmonės, atsižvelgdamos į savo veiklos specifiką.
Gairės siekia padėti organizacijoms įvertinti galimas grėsmes asmens duomenų saugumui ir įgyvendinti tinkamas apsaugos priemones. Kuriant arba vertinant esamas organizacines bei technines saugumo priemones, būtina atsižvelgti į duomenų tvarkymo pobūdį, apimtį, kontekstą bei tikslus, taip pat į rizikas, susijusias su fizinių asmenų teisėmis ir laisvėmis. Šis procesas yra privalomas pagal Bendrojo duomenų apsaugos reglamento 24 ir 32 straipsnius.
Naujausioje gairių versijoje buvo atnaujinti techniniai standartai pagal Europos Sąjungos kibernetinio saugumo agentūros (ENISA) rekomendacijas ir ISO standartus, įskaitant naujausius LST ISO/IEC 27001:2022 ir LST ISO/IEC 27002:2022 reikalavimus. Tai suteikia organizacijoms atnaujintas ir detalesnes gaires, kaip užtikrinti asmens duomenų saugumą šiandienos kibernetinio saugumo aplinkoje.
Skaityti daugiau: Norėdami sužinoti daugiau arba atsisiųsti naujausias gaires, galite apsilankyti oficialiame Valstybinės duomenų apsaugos inspekcijos puslapyje.
4. Nyderlandų DAI skyrė baudą bendrovei „Clearview“ dėl neteisėto duomenų rinkimo veido atpažinimo tikslais
Nyderlandų duomenų apsaugos institucija (Autoriteit Persoonsgegevens) skyrė 2,5 milijono eurų baudą JAV įmonei Clearview AI už neteisėtą duomenų rinkimą veidų atpažinimo technologijai. Clearview AI be sutikimo rinko milijardus žmonių nuotraukų iš viešų šaltinių, tokių kaip socialiniai tinklai, ir naudojo jas veidų atpažinimo algoritmams kurti. Ši veikla pažeidė Europos Sąjungos Bendrojo duomenų apsaugos reglamento (BDAR) nuostatas. Be baudos, Clearview AI buvo įpareigota ištrinti visus Nyderlandų piliečių duomenis ir sustabdyti bet kokį asmens duomenų rinkimą šioje šalyje.
5. „Uber“ skirta 290 mln. eurų bauda už vairuotojų duomenų perdavimą JAV
Nyderlandų Duomenų apsaugos institucija (DPI) skyrė Uber 290 mln. eurų baudą už tai, kad buvo perkelti Europos vairuotojų asmens duomenys į JAV serverius pažeidžiant ES taisykles. DPI pripažino, kad „Uber“ nesuteikė tinkamos apsaugos duomenims ir nesilaikė Bendrojo duomenų apsaugos reglamento (GDPR) reikalavimų. Per dvejus metus į JAV buvo perduoti jautrūs duomenys, įskaitant ID dokumentus, taksi licencijas ir vietos duomenis.
„Uber“ pranešė ketinanti apskųsti baudą teigdama, kad ji yra nepagrįsta. Įmonė pabrėžė, kad jos duomenų perdavimo praktikos atitiko GDPR reikalavimus per neaiškų laikotarpį tarp ES ir JAV, ir kritikavo sprendimą bei baudą kaip perteklinius.
DPI pabrėžė, kad „Uber“ nesugebėjo užtikrinti tinkamos duomenų apsaugos, kuri apimtų ne tik taksi licencijas ir vietos duomenis, bet ir mokėjimo informaciją bei, kai kuriais atvejais, kriminalinę ir medicininę informaciją.
Tyrimas buvo pradėtas po to, kai daugiau nei 170 prancūzų vairuotojų pateikė skundus žmogaus teisių organizacijai, kuri informavo Prancūzijos duomenų apsaugos instituciją. DPI bauda „Uber“ yra trečia po ankstesnių baudų 2018 ir 2023 metais, atspindinti didėjantį duomenų apsaugos reguliavimo griežtumą ES.
6. ES vyriausybės pasirašė siūlomas BDAR procedūrinių taisyklių reformas, o Taryba pasiekė bendrą valstybių narių poziciją
2024 m. gegužės 24 d. Europos Sąjungos Taryba paskelbė naują siūlomą BDAR procedūrinių taisyklių reformą. 2024 m. birželio 13 d. Taryba išplatino pranešimą spaudai, kuriame pristatė bendrą valstybių narių poziciją dėl reformų. Šios reformos siekia:
- įvesti aiškesnius terminus;
- pagerinti bendradarbiavimo efektyvumą; ir
- suteikti galimybę ankstyvam ginčų sprendimui.
Pirmą kartą pateiktos 2023 m. liepos mėn., reformos yra skirtos supaprastinti ir pagerinti BDAR vykdymo veiksmų efektyvumą bei harmonizaciją. Jos numato tam tikrų procedūrų taisykles tyrimo proceso metu tarpvalstybinėse duomenų apsaugos bylose ir turėtų palengvinti bendradarbiavimo mechanizmų tarp priežiūros institucijų (DPI) veikimą. Šiuo metu BDAR vykdomas nacionaliniu lygiu, todėl kiekviena valstybė taiko savo procedūrines ir administracines taisykles, kas sukėlė tam tikrus skirtumus BDAR taikyme ES šalyse.
Siūlomos reformos numato procedūrines taisykles skundams tvarkyti, DPI tyrimams atlikti, bendradarbiavimo mechanizmams ir prioritetams nustatyti, taip pat taisykles vaikų duomenų apsaugos bylose. Reformose taip pat numatytos taisyklės, kurios užtikrina subjektų teisę susipažinti su byla, pateikti raštiškus paaiškinimus ir užtikrinti dokumentų konfidencialumą tyrimo metu.
Po Tarybos patvirtintos bendros pozicijos 2024 m. birželio 13 d. bus pradėtos derybos su Europos Parlamentu, kurios gali prasidėti rudenį arba vėliau dėl neseniai įvykusių Europos rinkimų.