- Lukas Blekaitis, ELTA
- Teksto dydis:
- Spausdinti
Nuo ES Bendrojo duomenų apsaugos reglamento (BDAR) įsigaliojimo gegužės 25 d. Valstybinė duomenų apsaugos inspekcija jau sulaukė apie 150 skundų. Pasak bendrovės ESET, atlikti tyrimai parodo, kad dar ne visos įmonės yra pasiruošusios naujoms asmens duomenų apsaugos rekomendacijoms.
Per pirmus šešis šių metų mėnesius atlikti 122 duomenų valdytojų tikrinimai, po kurių pateikta 20 nurodymų dėl neteisėto asmens duomenų tvarkymo, dėl organizacinių, techninių priemonių, dėl duomenų tvarkymo principų, duomenų teikimo ir duomenų subjektų teisių, teigiama kompanijos ESET pranešime.
Pasak „ESET Lietuva“ IT inžinieriaus Ramūno Liuberto, tokia situacija nelabai stebina.
„Net praėjus keliems mėnesiams po BDAR įsigaliojimo, dar ne visos įmonės Lietuvoje yra pasiruošusios naujoms asmens duomenų apsaugos rekomendacijoms, ką jau kalbėti apie laikotarpį iki jo įsigaliojimo. Kita medalio pusė - tai vartotojai, nesuvokiantys, kad gali pasinaudoti galimybe pranešti Valstybinei duomenų apsaugos inspekcijai apie jų asmens duomenų pažeidimus“, - komentuoja R. Liubertas.
Tuo tarpu Jungtinės Karalystės duomenų apsaugos sargo vaidmenį atliekantis Informacijos komisionierių biuras (ICO) po BDAR įsigaliojimo kas savaitę sulaukia 500 pranešimų telefonu apie asmens duomenų pažeidimus. Ir nors ne visi šie pranešimai pasitvirtina, akivaizdu, kad didesnėje rinkoje fiksuojami kur kas stambesni pažeidimai, rašoma ESET pranešime.
Saugumo sprendimų kūrėjos ESET vykdyta įmonių apklausa atskleidė, kaip verslas ES ruošėsi asmens duomenų apsaugos pokyčiams prieš įsigaliojant naujoms BDAR rekomendacijoms.
Dauguma įmonių kaupia ir saugo asmens tapatybę identifikuojančius duomenis tiek savo klientų (82,6 proc. apklaustų respondentų iš 27 tūkst.), tiek savo darbuotojų (70,2 proc.). Kas penktas apklaustasis patvirtino, kad jų įmonės saugo papildomus duomenis, kaip sveikatos ir biometrinius.
Prarasti įrenginį su neapsaugotais, jautriais asmeniniais duomenimis reiškia ne tik grėsmę įmonės reputacijai ir reikšmingą baudą už asmens duomenų saugumo pažeidimą, bet ir didelę atsakomybę už visus žmones, kurie gali patirti nemalonumų dėl įvykusio incidento.
Daugiau nei pusė (56 proc.) įmonių patvirtino, kad iki BDAR įsigaliojimo nebuvo atlikusios audito, 51,4 proc. organizacijų neturėjo dokumentuotų techninių ir organizacinių saugumo priemonių. Likus pusmečiui iki BDAR įsigaliojimo, tik 47 proc. šių respondentų žinojo, kokius pokyčius atneš BDAR.
ESET tyrimas taip pat parodė, kad dauguma įmonių naudoja programinę įrangą, nustatančią kenksmingas programas ir apsaugančią nuo jų - 90,6 proc. respondentų. Taip pat įmonės pasitiki naršyklės apsaugos programine įranga (87,8 proc.), ugniasiene (83,6 proc.), prieigą ribojančia programine įranga (83,7 proc.) ir slaptažodžiu apsaugotus Wi-Fi tinklus (81,9 proc.).
Duomenų šifravimą, vieną iš pagrindinių BDAR rekomenduojamų naudoti techninių priemonių, naudojo tik kas trečia įmonė. Dažniausiai duomenų šifravimas buvo pasitelktas šifruoti e. paštą (32,5 proc. respondentų), vietinius failus (31 proc.) ar tinklo bei debesijos sprendimus (30,5 proc.).
„Įdomu tai, kad tik ketvirtadalis apklaustųjų naudoja diskuose kaupiamų duomenų ir USB laikmenų šifravimą. Prarasti įrenginį su neapsaugotais, jautriais asmeniniais duomenimis reiškia ne tik grėsmę įmonės reputacijai ir reikšmingą baudą už asmens duomenų saugumo pažeidimą, bet ir didelę atsakomybę už visus žmones, kurie gali patirti nemalonumų dėl įvykusio incidento“, - pasakoja R. Liubertas.
Pasak saugumo ekspertų, kibernetiniai nusikaltėliai pasisavintus asmens duomenis gali naudoti sukčiavimo kampanijoms ir tikslinėms atakoms, reikalauti išpirkos, kaip nutiko „Grožio chirurgijos“ atveju.
ELTA primena, kad Valstybinė duomenų apsaugos inspekcija (VDAI) rugpjūčio-rugsėjo mėnesiais atliko tikrinimus didžiosiose bendrovėse, veikiančiose maisto, namų apyvokos prekių parduotuvių ir vaistinių sektoriuje.
Atliekant tikrinimus, be kitų teisės aktų, jau remtasi gegužės 25 d. pradėtu taikyti Bendruoju duomenų apsaugos reglamentu (BDAR).
VDAI nustatė, kad trijose bendrovėse nustatyti nepagrįstai ilgi asmens duomenų saugojimo terminai: nurodoma, kad asmens duomenys bus saugomi, „kol turite galiojančią kliento kortelę ir 10 metų po jos paskutinio panaudojimo“, „10 metų nuo dalyvavimo lojalumo programoje pabaigos“ ir „(...) galutinai duomenys bus ištrinti praėjus 5 metams nuo perkėlimo į archyvą“, „saugomi bendrovės veiklos vykdymo laikotarpiu“ ir pan.
Atlikus patikrinimus nustatyta, kad keturios bendrovės renka perteklinę informaciją apie savo klientus. Dažniausiai (net trimis atvejais) renkama tiksli kliento gimimo data. VDAI konstatavo, kad tiksli klientų gimimo data (metai, mėnuo, diena) yra perteklinis duomuo tvarkant asmens duomenis statistikos ir rinkos tyrimų tikslais, klientų elgesio tyrimų tikslais ir šio duomens tvarkymas yra nebūtina ir neproporcinga priemonė siekiamiems tikslams įgyvendinti (pvz., šiems tikslams įgyvendinti pakaktų tvarkyti, pvz., pirkėjo gimimo metus, amžių ar pan.).
Nustatyta, kad vienoje bendrovėje lojalumo programos tikslais klientų prašoma pateikti dirbančių pagal verslo liudijimus, užsiimančių individualia veikla ir (ar) ūkininkų pažymėjimo kopijas. VDAI konstatavo, kad dirbančių pagal verslo liudijimus, užsiimančių individualia veikla ir (ar) ūkininkų pažymėjimo kopijų rinkimas bei tolesnis tvarkymas yra perteklinė informacija bei neadekvati ir neproporcinga priemonė siekiamiems tikslams (lojalumo programai) įgyvendinti (pvz., šiems tikslams įgyvendinti pakaktų, kad asmuo nurodytų pažymėjimo numerį ar pan.).
Taip pat atliekant patikrinimus nustatyta, kad trys bendrovės, siųsdamos SMS žinutes su tiesioginės rinkodaros pasiūlymais duomenų subjektams, nesuteikia aiškios, nemokamos ir lengvai įgyvendinamos galimybės nesutikti arba atsisakyti duomenų naudojimo tiesioginės rinkodaros tikslais, jeigu pastarieji iš pradžių neprieštaravo dėl tokio duomenų naudojimo teikiant kiekvieną pasiūlymą.
Atliekant patikrinimus nustatyta, kad bendrovių duomenų subjektams pateikiama informacija nėra tiksli, skaidri ir teisinga, kaip to reikalaujama BDAR.
Dažniausiai pasitaikęs pažeidimas (6 atvejai) susijęs su informavimu apie asmens duomenų teikimą tretiesiems asmenims (partneriams). Nėra nurodoma, kokiems konkrečiai duomenų gavėjams (ar jų kategorijoms) duomenų subjektų asmens duomenys gali būti teikiami. Atsižvelgiant į tai, darytina išvada, kad duomenų subjektams teikiama klaidinama, neteisinga ir (ar) netiksli informacija apie jų asmens duomenų teikimą.
Taip pat nustatyta, kad bendrovės, tvarkydamos asmens duomenis tiesioginės rinkodaros bei profiliavimo tikslais, nepagrįstai remiasi bendrovės teisėtu interesu. VDAI aiškinimu, bendrovės veiksmų negalima laikyti atitinkančiais BDAR nustatytą asmens duomenų tvarkymo teisėtumo sąlygą vien todėl, kad bendrovė turi interesą pritaikyti savo teikiamas paslaugas (prekes) kiek įmanoma labiau klientų poreikiams bei efektyvinant bendrovės verslą. Teisėto intereso sąlyga negali būti taikoma, kadangi šiuo atveju duomenų subjektų (klientų, pirkėjų) interesai yra svarbesni negu duomenų valdytojo, o asmens duomenys profiliavimo tikslais galėtų būti tvarkomi tik su duomenų subjekto sutikimu.
Inspekcija bendrovėms pateikė nurodymus nustatytus pažeidimus pašalinti.
NAUJAUSI KOMENTARAI
SUSIJĘ STRAIPSNIAI
-
Seimas spręs, ar verslui lengvinti ginklų dalių gamybą2
Seimas spręs, kokiais atvejais ginklų dalių gamybą įtraukti į nelicencijuojamų veiklų sąrašą. ...
-
Kai kuriems elektros vartotojams – nemaloni žinia2
Nemaloni žinia elektros vartotojams, pamirštantiems ar tyčia nedeklaruojantiems suvartotos elektros energijos. Jei vartotojai naudojasi ne išmaniuoju skaitikliu ir daugiau nei metus nedeklaruoja suvartotos elektros kiekio, nuo kitų metų jiems...
-
Penktadienį protestą rengiantis maitinimo verslas prašo grąžinti 9 proc. PVM lengvatą5
Maitinimo sektoriaus atstovai penktadienį prie Vyriausybės rengia protesto akciją reikalaudami grąžinti iki šių metų galiojusį lengvatinį 9 proc. pridėtinės vertės mokesčio (PVM) tarifą. ...
-
Seimas svarstys griežtinti tvarką į Lietuvą atvykstantiems dirbti užsieniečiams3
Seimas imsis svarstyti griežtinamus reikalavimus dirbti į Lietuvą atvykstantiems užsieniečiams ir juos kviečiančioms įmonėms. ...
-
G. Nausėda palaiko pelno mokesčio didinimą gynybai, dėl PVM sako esąs „kategoriškai prieš“5
Tariantis dėl didesnio gynybos finansavimo, prezidentas Gitanas Nausėda sako palaikantis papildomą pelno apmokestinimą, tačiau pabrėžia esantis „kategoriškai prieš“ pridėtinės vertės mokesčio (PVM) kėlimą. ...
-
Seimas nustatė tvarką, kaip bus laikinai nuomojama laisva valstybinė žemė
Laisvą valstybinę žemę ir mieste, ir kaime laikinai išsinuomoti galės tik ūkininkai arba įmonės, kurie naudojo ją iki praėjusių metų pabaigos bei deklaravo joje augintas naudmenas. Jiems atsisakius toliau žemę dirbti, į tuos sklypus gal...
-
Regionuose mažėja bankų skyrių: ką daryti gyventojams?2
Regionuose mažėja bankų skyrių, gyventojams tenka važiuoti keliasdešimt kilometrų iki artimiausio banko, kad gautų konsultaciją. Bankai aiškina paprastai – žmonės į padalinius ateina vis rečiau ir ragina nuo šiol su banku...
-
Seimas palengvino neįgaliuosius vežančių automobilių parkavimą1
Nuo lapkričio lengvės neįgaliųjų vairuojamų ar juos vežančių automobilių parkavimas – jų savininkams leista nemokėti mokesčio už stovėjimą savivaldybių nustatytose vietose. ...
-
N. Mačiulis: gynybą galima finansuoti parduodant valstybės įmonių turtą10
Vyriausybei iškėlus idėją steigti specialų fondą gynybai papildomai finansuoti iš didesnių mokesčių, „Swedbank“ ekonomistas Nerijus Mačiulis sako, kad krašto apsaugą reikėtų finansuoti ne didinant mokesčius, o pard...
-
Premjerė: pratęsus bankų solidarumo įnašą valstybė negautų realių pajamų5
Lietuvoje veikiantiems bankams pernai uždirbus dukart didesnį pelną nei 2022-aisiais, premjerė Ingrida Šimonytė sako, kad pratęsus laikinąjį bankų solidarumo įnašą, pajamų iš šio mokesčio valstybė nebesurinktų, nes ma...