2026-07-16

Asmens duomenų saugumo pažeidimai Lietuvoje 2026 m. I pusm.

2026 m. I pusm. Valstybinė duomenų apsaugos inspekcija (toliau – VDAI) gavo 140 pranešimų apie asmens duomenų saugumo pažeidimus (toliau – ADSP), Lietuvoje paveiktų duomenų subjektų skaičius – 1 647 399.

Pagal ADSP pobūdį Lietuvoje statistiškai vyrauja konfidencialumo pažeidimai, kurių skaičius per 2026 m. I pusm. sudarė net 86 proc. visų atvejų, 6 proc. atvejų – vientisumo pažeidimai, 5 proc. atvejų prieinamumo pažeidimai ir 3 proc. atvejų – incidentas nebuvo laikomas ADSP (neatitiko sąvokos).

VDAI, išanalizavusi per 2026 m. I pusm. gautus pranešimus apie ADSP, nustatė, kad 48 proc. ADSP įvyko dėl žmogiškosios klaidos (dėl žmogaus padaromų veiksmų, kurie pasireiškia neapdairumu, nežinojimu, kad veiksmai gali sukelti ADSP, taip pat dėl veiksmų, nuo kurių įprastai apsaugoti negali taikomos techninės ir organizacinės priemonės, pavyzdžiui, el. pašto adresų įrašymas į „Kopija“ (angl. CC), o ne „Nematoma kopija“ (angl. BCC), dokumentų su asmens duomenimis siuntimas netinkamiems adresatams, netinkamai nuasmeninto dokumento paviešinimas ir kt.).

VDAI, išanalizavusi per 2026 m. I pusm. gautus pranešimus apie ADSP, nustatė, kad 36 proc. ADSP įvyko dėl kibernetinių incidentų  (duomenų užšifravimo ir išpirkos reikalavimo, socialinės inžinerijos metodais paremtų atakų, taip pat SQL injekcijų atakos ir kt.).

2026 m. I pusm. 16 proc. ADSP įvyko dėl kitų priežasčių, t. y. įvairūs IT sistemų trikdžiai, kilę dėl IT sistemų klaidų, dėl kurių atnaujinti duomenys nebuvo laiku perduoti, todėl duomenų valdytojai negalėjo laiku suteikti paslaugų.

Svarbu paminėti, kad dėl kibernetinių incidentų buvo paveikti 75 proc., t. y. 1 235 050(iš visų 2026 m. I pusm. paveiktų duomenų subjektų) duomenų subjektų duomenys, dėl kitų priežasčių buvo paveikti 25 proc. (412 349) duomenų subjektų duomenys.

VDAI atkreipia dėmesį, kad 2026 m. I pusm. 81 proc. duomenų valdytojų apie įvykusį ADSP pranešė ne vėliau kaip per 72 val., 19 proc. – vėliau kaip per 72 val.

2026 m. kovo mėn. VDAI, atlikusi ADSP tyrimą, priėmė sprendimą juridiniam asmeniui, kaip duomenų tvarkytojui, skirti 4 500 eurų baudą už nustatytus BDAR 32 straipsnio 1 dalies b punkto pažeidimus. 2026 m. birželio mėn. VDAI, atlikusi dviejų ADSP tikrinimus, priėmė sprendimą sveikatos priežiūros paslaugas teikiančiai įmonei skirti 450 tūkst. eurų baudą už nustatytus BDAR 5 straipsnio 1 dalies f punkto ir 32 straipsnio 1 dalies b ir d punktų pažeidimus.

Taip pat, VDAI įvertinusi 2026 m. I pusm. gautus pranešimus apie ADSP ir nustačiusi, kad yra netinkamai užtikrinamas duomenų subjektų asmens duomenų saugumas, teikė 11 nurodymų ir  3 rekomendacijas, kurios padės užtikrinti, kad asmens duomenų tvarkymas atitiktų BDAR reikalavimus.

Asmens duomenų saugumo pažeidimų Lietuvoje 2026 m. I pusm. ir kitus apibendrinimus rasite rubrikoje „ADSP apibendrinimai“

ADSP apibendrinima 2026 m. 1 pusm..png