Prireikė daugiau nei pusmečio, kad 2018 m. pavasario pabaigoje įsigaliojęs ES Bendrasis duomenų apsaugos reglamentas (BDAR) įrodytų buvęs priimtas ne tuščiai. Pirmieji asmens duomenų pažeidimai skaudžiai atsirūgo jau ne vienai įmonei Europoje.

Portugalija

Viena pirmųjų baudų Europoje už asmens duomenų apsaugos pažeidimus buvo skirta Portugalijos ligoninei „Centro Hospitalar Barreiro Montijo“ – 2018 m. liepos viduryje ligoninei buvo skirta net 400 tūkst. eurų bauda dėl trijų reglamento pažeidimų. Pasak šalies duomenų apsaugos tarnybos, ligoninėje per daug darbuotojų turėjo prieigą prie pacientų asmens duomenų, nebuvo laikomasi tinkamų techninių ir organizacinių priemonių asmens duomenims apsaugoti.

Tarp ligoninės administracijos sukeltų pažeidimų minimi tokie atvejai, kaip vidinių sistemų vartotojų skaičiaus neatitikimas realybei, pavyzdžiui, sistemoje buvo registruoti 985 vartotojai su žyma „gydytojas“, nors pačioje ligoninėje tuo metu dirbo tik 296 gydytojai.

Devyni techniniai darbuotojai turėjo medicinos grupei skirtą prieigos lygį prie pacientų duomenų ir galėjo bet kada peržiūrėti norimų asmenų ligos istorijas.

„Piktnaudžiavimas prieiga prie asmens duomenų yra viena iš dažnesnių įmonių problemų, todėl rekomenduojame tiek įmonių, tiek valstybės įstaigų vadovams susirūpinti ir užbėgti įvykiams už akių inicijuojant darbuotojams suteiktų prieigos teisių prie informacinių sistemų resursų auditą“, – komentuoja ESET Lietuva IT inžinierius Ramūnas Liubertas.

Vokietija

2018 m. lapkričio pabaigoje Badeno-Viurtembergo regiono duomenų apsaugos institucija paskelbė apie pirmąjį rimtą BDAR reglamento pažeidimą Vokietijoje. Pokalbių svetainei „Knuddels.de“ buvo skirta 20 tūkst. eurų bauda dėl 32-ojo BDAR straipsnio pažeidimo.

Iki „Facebook“ atsiradimo Vokietijoje itin populiarus buvęs „Knuddels.de“ praėjusių metų rugsėjį patyrė masinį duomenų pažeidimą, kurio metu programišiai nutekino beveik 2 milijonus vartotojų vardų ir slaptažodžių ir virš 800 tūkstančių el. pašto adresų, taip pat kitokio pobūdžio informacijos. Pasisavinti duomenys netrukus atsirado įvairiose dalinimosi svetainėse.

Duomenų pažeidimą tyrę ekspertai tikina, kad „Knuddels.de“ nesilaikė tinkamų saugumo priemonių, kad apsaugotų savo vartotojų informaciją. Kita vertus, pokalbių svetainės administratoriai, pastebėję duomenų nutekėjimą, iškart informavo savo vartotojus ir duomenų apsaugos tarnybą ir ėmėsi IT infrastruktūros stiprinimo. Tai buvo viena iš priežasčių, kodėl organizacijai buvo skirta mažesnė bauda, nei nurodo BDAR reglamentas.

Austrija

Pirmoji su BDAR pažeidimu susijusi bauda Austrijoje buvo gana menka – už netinkamą stebėjimo kameros įrengimą prie parduotuvės verslininkui buvo skirta 4 800 eurų bauda. Pasak Austrijos duomenų apsaugos tarnybos, parduotuvės kamera filmavo per daug viešosios erdvės ir nebuvo tinkamai pažymėta, kad teritorija yra stebima.

Vis dėlto įdomesnis atvejis šiuo metu verda dėl Austrijos pašto, kuris, kaip paaiškėjo, politinėms partijoms pardavė virš 2,2 milijonų austrų duomenų, tokių kaip jų vardai, namų adresai, amžius ir lytis, kad politikai galėtų organizuoti tikslines kampanijas prieš rinkimus. Austrijos paštas ginasi, kad tokia praktika, kai duomenys parduodami tiesioginės rinkodaros tikslais, yra nuo seno leidžiama šalies įstatymų. Austrijos duomenų apsaugos institucija jau įsitraukė į šio skandalo tyrimą.

Lietuva

Tuo tarpu Lietuvoje kol kas negirdėti apie rimtesnius asmens duomenų apsaugos pažeidimus. Tiesa, Valstybinė duomenų apsaugos inspekcija sulaukia dvigubai daugiau skundų nei iki BDAR įsigaliojimo: per 2018 m. pirmus 3 ketvirčius gauti 644 asmenų skundai, kai 2017 m. per tą patį laikotarpį užregistruota tik 311.

Remiantis inspekcijos veiklos statistika, daugiausia lietuviai skundžiasi dėl tiesioginės rinkodaros, vaizdo duomenų, duomenų tvarkymo internete, skolininkų duomenų, valstybės registrų, asmens kodo ir kitos informacijos.

„Lietuvoje dažna nūdiena tokia, kol įmonė negavo tiesioginio skundo, tol neskubama susitvarkyti asmens duomenų tvarkymą reglamentuojančią teisinę bazę ar diegtis atitinkamų saugumo priemonių. Visa tai grindžiama žmogiškųjų resursų, laiko ar lėšų stoka, tačiau tai nebus argumentas išvengti atsakomybės tiriant skundą inspekcijos specialistams“, – teigia R. Liubertas.“

Šaltinis:www.eset.lt

Valstybinė duomenų apsaugos inspekcija informuoja, kad nuo 2018 m. gegužės 25 d. pradedamas taikyti 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) nebenumato pareigos duomenų valdytojui pranešti Valstybinei duomenų apsaugos inspekcijai apie asmens duomenų tvarkymą automatiniu būdu (pagal Asmens duomenų teisinės apsaugos įstatymo 31 str.) bei atlikti išankstinę patikrą (pagal Asmens duomenų teisinės apsaugos įstatymo 33 str.). Taigi, pradėjus taikyti naująjį asmens duomenų apsaugos teisinį reguliavimą, nebelieka įmonių, įstaigų ar kitų organizacijų, tvarkančių asmens duomenis, registracijos Asmens duomenų valdytojų valstybės registre. Siūlome įvertinti, ar tikslinga teikti Valstybinei duomenų apsaugos inspekcijai minėtus pranešimus, atsižvelgiant į jų teisės aktais nustatytus nagrinėjimo terminus ir tvarką, nes Valstybinė duomenų apsaugos inspekcija gali nebespėti priimti sprendimo dėl Jūsų pateikto asmens duomenų tvarkymo iki Bendrojo duomenų apsaugos reglamento taikymo pradžios. Šaltinis: www.ada.lt

---

MES GALIME

2018 m. gegužės 25 d. Lietuvoje bus pradėtas taikyti Bendrasis duomenų apsaugos reglamentas (BDAR) – teisės aktas, visoms Europos Sąjungos valstybėms narėms numatantis bendras asmens duomenų tvarkymo taisykles. BDAR numatoma pokyčių ir dėl asmenų teisių. Kiekvieno iš mūsų duomenis įvairiais su profesija susijusiais tikslais tvarko įmonės, įstaigos, kitos organizacijos ar asmenys, todėl svarbu žinoti, kaip kiekvieno asmens duomenys yra saugomi, kokios teisės padeda kontroliuoti savo duomenis, ir ką daryti, jeigu kas nors nepavyksta. Kokias turime teises asmens duomenų apsaugos srityje:

• Gauti informaciją apie savo asmens duomenų tvarkymą;
• Susipažinti su savo asmens duomenimis, kurie yra saugomi;
• Prašyti ištaisyti neteisingus, netikslius ar neišsamius asmens duomenis;
• Prašyti ištrinti (teisė „būti pamirštam“) asmens duomenis, kurių nebereikia arba kurie tvarkomi neteisėtai;
• Nesutikti, kad asmens duomenys būtų tvarkomi rinkodaros tikslais, arba nesutikti, kad būtų tvarkomi bet kokie su konkrečiu atveju susiję asmens duomenys;
• Prašyti konkrečiais atvejais apriboti savo asmens duomenų tvarkymą;
• Gauti savo asmens duomenis kompiuterio skaitomu formatu ir persiųsti juos kitam duomenų valdytojui („duomenų perkeliamumas“);
• Prašyti, kad automatizuotu duomenų tvarkymu grindžiamus sprendimus, kurie yra susiję su mumis arba turi mums reikšmingos įtakos ir yra pagrįsti asmens duomenimis, priimtų fiziniai asmenys, o ne tik kompiuteriai. Tokiu atveju taip pat turime teisę išreikšti savo nuomonę ir ginčyti sprendimą.

Kaip pasinaudoti savo teisėmis? Norėdami pasinaudoti savo teisėmis, turite susisiekti su jūsų asmens duomenis tvarkančia įmone ar organizacija, t. y. duomenų valdytoju. Jeigu įmonė ar organizacija turi duomenų apsaugos pareigūną (DAP), galite kreiptis į DAP. Įmonė ar organizacija privalo atsakyti į jūsų prašymus nepagrįstai nedelsdama, ne vėliau kaip per vieną mėnesį. Jeigu įmonė ar organizacija neketina patenkinti jūsų prašymo, turi būti nurodytos to priežastys. Tam, kad galėtumėte pasinaudoti savo teisėmis, jūsų gali būti paprašyta pateikti jūsų tapatybę patvirtinančią informaciją (pvz., paspausti patvirtinimo nuorodą, įvesti vartotojo vardą ar slaptažodį). Ką daryti, jeigu Jūsų teisės buvo pažeistos? Dėl galimai pažeistų savo teisių asmuo galės pareikšti ieškinį įmonei ar organizacijai, pateikti skundą Valstybinei duomenų apsaugos inspekcijai (VDAI). Kilus abejonių, kad VDAI netinkamai neišnagrinėjo jūsų skundą, nesate patenkintas jos atsakymu arba ji per tris mėnesius nuo skundo pateikimo dienos nepraneša jums apie skundo nagrinėjimo pažangą arba rezultatus, galėsite VDAI veiksmus skųsti. BDAR taip pat numato, kad asmuo tam tikrai atvejais galės įgalioti nevyriausybinę organizaciją pateikti skundą jo vardu, t. y. kreiptis ir ieškoti teisybės ne pats, o per įgaliotą instituciją. Daugiau informacijos apie žmogaus teises asmens duomenų apsaugos srityje galite rasti Europos Komisijos tinklalapyje: Glaustai https://ec.europa.eu/commission/sites/beta-political/files/data-protection-factsheet-citizens_lt.pdf Išsamiau https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens_lt Šaltinis: www.ada.lt

---

MES GALIME

2018 m.  gegužės 25 d. įsigalioja Bendrasis duomenų apsaugos reglamentas. Ar šis reglamentas aktualus e-parduotuvių savininkams? Taip. Kodėl? Todėl, kad Jūs savo elektroninėje parduotuvėje renkate ir saugote savo pirkėjų asmens duomenis. Kad būtų aiškiau, pateikiame kas, anot reglamento, laikoma asmens duomenimis: tai vardas, pavardė, e-paštas, IP adresas, tel. numeris, adresas, banko kortelės duomenys, asmens įpročiai ir pomėgiai. Beveik visi šie duomenys, neabejotinai saugomi Jūsų elektroninėje parduotuvėje.

Ką turi žinoti elektroninės parduotuvės savininkas apie šių duomenų saugojimą?

1. Asmuo/vartotojas turi būti informuotas kas renka jo duomenis, kokiais tikslais duomenys renkami, kokie duomenys renkami ir kiek laiko šie duomenys bus saugomi. Taip pat e-parduotuvės savininkas turi informuoti vartotoją, jog jis turi teisę pateikti skundą VDAI, jeigu mano, jog netinkamai tvarkote jo asmens duomenis. Ši informacija turi būti pateikiama aiškiai ir suprantamai. Rekomenduojama tokią informaciją patalpinti skiltyje Privatumo politika ar susikurti atskirą menių punktą Asmens duomenų apsaugos taisyklės.

2. Labai svarbu įsidėmėti, jog Jūs neturite teisės rinkti vartotojo asmeninių duomenų, jei  jis jums nedavė sutikimo. Sutikimu galima laikyti varnelės pažymėjimą registracijos metu. Tačiau šiuo atveju, sutikimu nelaikoma iš anksto (pagal nutylėjimą) pažymėtas sutikimo laukelis. Nepamirškite, jog esant reikalui, gali tekti įrodyti, jog vartotojas tikrai davė sutikimą jo duomenų rinkimui.

3. Naujasis reglamentas suteikia teisę vartotojui kreiptis į e-parduotuvės savininką su prašymu, pateikti visus e-parduotuvėje surinktus duomenis apie vartotoją. Tai pačio vartotojo pateikti duomenys (e-pašto adresas, namų adresas, telefonas ir t.t.) ir duomenys, surinkti jo veiklos elektroninėje parduotuvėje metu – užsakymų istorija, mėgstamiausios prekės, kita informacija. Ši informacija turi būti pateikta įprastu popieriniu arba kompiuterinės įrangos skaitomu formatu.

4. Kita vartotojo teisė – tai “teisė būti ištrintam”. Duomenų saugotojas, šiuo atveju Jūs, negalite atsisakyti ištrinti vartotojo duomenų, jam išreiškus tokį pageidavimą.

5. Visi surinkti asmens duomenys turi būti saugomi baigtinį laiką, t.y. Jūs patys turite apsibrėžti, kiek laiko vartotojų duomenys bus saugomi Jūsų sistemose. Suėjus numatytam terminui, duomenys turi būti pašalinami. Kokiu būdu šalinsite duomenis – rankiniu ar automatiniu – sprendžiate patys.

6. Paskutinis, bet svarbus punktas, ką turite žinoti – vartotojui turi būti palikta galimybė atsisakyti dalyvauti tiesioginėje rinkodaroje. Tai reiškia, kad jei siunčiate vartotojui naujienlaiškius ar informacines žinutes, jis turi turėti galimybę jų atsisakyti.

Šaltinis: http://www.prestarock.lt/blog/el-komercija/ka-turi-zinoti-el-parduotuviu-savininkai-apie-duomenu-apsaugos-reglamenta/

---

MES GALIME

2018 m. sausio 30 d. įvyko didelio visuomenės dėmesio sulaukusi Valstybinės duomenų apsaugos inspekcijos kartu su Lietuvos Respublikos Vyriausybės kanceliarija ir Lietuvos Respublikos teisingumo ministerija surengta konferencija 12-ajai Duomenų apsaugos dienai paminėti „Duomenų apsaugos diena pokyčius pasitinkant“.

KONFERENCIJOS VAIZDO TRANSLIACIJA:

1 dalis https://www.facebook.com/teisingumas/videos/1411068569021486

2 dalis https://www.facebook.com/teisingumas/videos/1411142382347438

Apie renginį

Renginys skirtas vienai iš pagrindinių šių dienų aktualijų – asmens duomenų apsaugos reformai. Šia reforma siekiama teisinį reguliavimą pritaikyti esamai ir būsimai realybei, aktyviai visuomenės veiklai, susijusiai su asmens duomenų tvarkymu skaitmeninėje, elektroninėje erdvėje. Nuo 2018 m. gegužės 25 d. asmens duomenų apsaugos laukia nemaži pokyčiai. Visose Europos Sąjungos valstybėse narėse, tarp jų ir Lietuvoje, bus pradėtas taikyti Bendrasis duomenų apsaugos reglamentas. Konferencijoje susirinko tie, kas domisi asmens duomenų apsauga – tiek viešojo, tiek privataus sektoriaus atstovai.

---

MES GALIME