Asmens duomenų saugumo pažeidimai Lietuvoje 2025 m.
Valstybinė duomenų apsaugos inspekcija (toliau – VDAI) 2025 m. gavo 223 pranešimus apie asmens duomenų saugumo pažeidimus (ADSP), paveiktų duomenų subjektų skaičius Lietuvoje – 1 249 409.
Palyginti su ankstesnių metų duomenimis, 2025 m. VDAI gavo mažiau pranešimų apie ADSP negu 2024 m. (2024 m. VDAI gautų pranešimų apie ADSP – 273). Taip pat beveik 200 tūkst. sumažėjo Lietuvoje paveiktų duomenų subjektų skaičius (2024 m. Lietuvoje paveiktų duomenų subjektų skaičius – 1 467 368).
Pagal ADSP pobūdį Lietuvoje statistiškai vyrauja konfidencialumo pažeidimai, kurių skaičius per 2025 m. sudarė net 83 proc. visų atvejų, 6 proc. atvejų vientisumo pažeidimai, 10 proc. atvejų prieinamumo pažeidimai ir 1 proc. atvejų incidentas nebuvo laikomas ADSP (neatitiko sąvokos).
VDAI, išanalizavusi per 2025 m. gautus pranešimus apie ADSP, nustatė, kad 58 proc. ADSP įvyko dėl žmogiškosios klaidos (dėl žmogaus padaromų veiksmų, kurie pasireiškia neapdairumu, nežinojimu, kad veiksmai gali sukelti ADSP, taip pat dėl veiksmų, nuo kurių įprastai apsaugoti negali taikomos techninės ir organizacinės priemonės). ADSP, įvykę dėl kitų priežasčių, sudaro 13 proc. (įvairūs IT sistemų trikdžiai, kilę dėl IT sistemų klaidų, dėl kurių atnaujinti duomenys nebuvo laiku perduoti, todėl duomenų valdytojai negalėjo laiku suteikti paslaugų, taip pat nustatyta, kad netinkamai atlikti programavimo darbai arba neatliktas sistemų testavimas prieš jų paleidimą sudarė sąlygas situacijoms, kai asmens duomenys buvo prieinami asmenims, neturintiems teisės su jais susipažinti).
VDAI, išanalizavusi per 2025 m. gautus pranešimus apie ADSP, nustatė, kad 29 proc. ADSP įvyko dėl kibernetinių incidentų (16 proc. – dėl duomenų užšifravimo ir išpirkos reikalavimo atakų, 45 proc. – dėl neteisėtai gautos prieigos prie IT sistemų, 26 proc. – dėl socialinės inžinerijos metodais paremtų, 7 proc. – dėl kredencialų brukimo kibernetinių atakų. Po 3 proc. ADSP buvo pranešta dėl SQL injekcijų ir sistemų veiklos sutrikdymo atakų).
Svarbu paminėti, kad dėl kibernetinių incidentų buvo paveikti 57 proc., t. y. 713 644 (iš visų 2025 m. paveiktų duomenų subjektų) duomenų subjektų duomenys, dėl kitų priežasčių buvo paveikti 43 proc. (535 765) duomenų subjektų duomenys.
VDAI atkreipia dėmesį, kad nustatęs, jog ADSP įvyko ir kad dėl jo gali kilti pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas nedelsdamas, bet ne vėliau kaip per 72 val. nuo sužinojimo apie ADSP, turėtų pranešti apie tai VDAI, kaip tai numato BDAR. 2025 m. 63 proc. duomenų valdytojų apie įvykusį ADSP pranešė ne vėliau kaip per 72 val., 37 proc. – vėliau kaip per 72 val.
2025 m. VDAI priėmė sprendimus viešosioms ir privačiosioms įstaigoms skirti 5 baudas (bendra suma 27 529 eurų) už nustatytus BDAR nuostatų pažeidimus. VDAI, įvertinusi gautus pranešimus apie ADSP ir nustačiusi, kad yra netinkamai užtikrinamas duomenų subjektų asmens duomenų saugumas, teikė 9 nurodymus duomenų valdytojams arba duomenų tvarkytojams suderinti duomenų tvarkymo operacijas su BDAR nuostatomis. Taip pat buvo pateiktos 22 rekomendacijos duomenų valdytojams, kurios padės užtikrinti, kad asmens duomenų tvarkymas atitiktų BDAR reikalavimus.
Asmens duomenų saugumo pažeidimų Lietuvoje 2025 m. ir kitus apibendrinimus rasite rubrikoje „ADSP apibendrinimai“
Atnaujinimo data: 2026-05-20
Taip pat skaitykite:
Bendrovei už asmens duomenų saugumo pažeidimus skirta bauda
Nacionalinė teisės žinių olimpiada 2026 pasiekė finišą
Nuotoliniai mokymai „Nuo teorijos iki praktikos: ES pagrindinių teisių chartijos taikymas“
Bauda už asmens duomenų apsaugos pažeidimus skirta gydytojai
Patvirtintas bendras asmens duomenų saugumo pažeidimo pranešimo šablonas