2019-05-17
Nepraėjus 1 metams nuo Bendrojo duomenų apsaugos reglamento (toliau – BDAR) įsigaliojimo, Valstybinė duomenų apsaugos inspekcija paskyrė pirmą ženklią baudą už BDAR reikalavimų nesilaikymą
Bauda buvo paskirta mokėjimo inicijavimo paslaugą teikiančiai bendrovei dėl BDAR 5, 32 ir 33 straipsnių pažeidimų:
– Dėl netinkamo asmens duomenų tvarkymo – buvo nustatyta, kad įmonė tvarkė daugiau duomenų nei buvo reikalinga mokėjimo inicijavimo paslaugai teikti, o duomenys buvo saugomi ilgiau, negu pati yra nustačiusi bei nurodo esant reikalinga;
– Dėl asmens duomenų paviešinimo – buvo nustatyta, kad įmonė nepasirinko atitinkamų techninių ar organizacinių priemonių, kurios padėtų užtikrinti pavojų atitinkančio lygio saugumą. Taip pat buvo atkreiptas dėmesys, kad kad įmonėje saugos užtikrinimą ir valdymą bei visos įmonės IT infrastruktūros (techninės ir programinės) valdymą, diegimą ir priežiūrą vykdė vienas darbuotojas, kas sąlygojo, kad nebuvo užtikrintas tinkamas neautorizuotų ar netyčinių modifikacijų galimybių minimizavimas ir tinkamos asmens duomenų apsaugos politikos įgyvendinimas;
– Dėl pranešimo apie asmens duomenų saugumo pažeidimą nepateikimo – buvo nustatyta, kad įmonė neįvykde pareigos – įvykus asmens duomenų saugumo pažeidimui, nepagrįstai nedelsdama ir, jei įmanoma, praėjus ne daugiau kaip 72 valandoms nuo tada, kai sužinojo apie asmens duomenų saugumo pažeidimą, apie tai pranešti Inspekcijai.
Inspekcijos pradėtos skirti baudos pagal Bendrąjį duomenų apsaugos reglamentą yra reikšmingas signalas ir kitoms įmonėms tinkamai įgyvendinti BDAR reikalavimus.
Šio incidento šviesoje ypatingai svarbu, kad įmonės privalo turėti viduje aiškiai sudėliotą ir dokumentuotą asmens duomenų saugumo pažeidimo tyrimo procedūrą, o taip pat būtų paskyrusios atsakingą asmenį už pažeidimo valdymą ir tyrimą. Darbuotojai turi būti apmokyti, kaip reikia elgtis pažeidimo atveju ir išsamiai supažindinti su įmonėje galiojančia tvarka.
Svarbu atkreipti dėmesį į reikalavimus taikomus pranešimui apie asmens duomenų saugumo pažeidimą (BDAR 33 str., 34 str.):
- Jei Asmens duomenų saugumo pažeidimas kelia pavojų fizinių asmenų teisėms ir laisvėms, įmonė nepagrįstai nedelsdama ir, jei įmanoma, praėjus ne daugiau kaip per 72 valandoms nuo tada, kai sužino apie asmens duomenų saugumo pažeidimą, apie tai turi pranešti Inspekcijai;
- Jei Asmens duomenų saugumo pažeidimas kelia didelį pavojų fizinių asmenų teisėms ir laisvėms, įmonė nepagrįstai nedelsdama praneša apie asmens duomenų saugumo pažeidimą duomenų subjektui.
Labai svarbu atkreipti dėmesį, kad Inspekcija savo pranešime nurodė, kad siekiant minimizuoti ir paskirstyti riziką dėl asmens duomenų saugumo pažeidimo už įmonės saugos užtikrinimą ir valdymą turi būti paskirtas atskiras asmuo, kuris tuo pačiu negali atlikti ir funckijas susijusias su visos įmonės IT infrastruktūros valdymu ir priežiūra.
Jei kils papildomų klausimų, mielai atsakysime.