Skip to main content
2026-06-26

Bendrovei už asmens duomenų saugumo pažeidimus skirta bauda

Iliustracija

Valstybinė duomenų apsaugos inspekcija (toliau – VDAI) už asmens duomenų saugumo pažeidimus UAB InMedica  skyrė 450 tūkst. eurų baudą.

VDAI buvo atlikti du medicinos bendrovių patikrinimai, kurie vėliau sujungti į vieną.

VDAI, atsižvelgdama į 2024 m. rugsėjo mėn. viešoje erdvėje prieinamą informaciją (Skirmanto Malinausko 2024-09-08 laida „Nulaužta Lietuva“) apie asmens duomenų saugumo pažeidimą (toliau – ADSP), kurioje nurodoma, kad trečiasis asmuo prisijungė prie UAB „Kardiolita“ (toliau ir – Bendrovė1) vidinės duomenų valdymo sistemos, kurioje matomi duomenų subjektų asmens duomenys (pacientų informacinės sistemos), atliko BDAR taikymo stebėseną Bendrovės1 atžvilgiu. Atlikus stebėseną buvo nuspręsta pradėti tikrinimą savo iniciatyva, įtariant, kad gali būti padaryta BDAR pažeidimų.

Kitas patikrinimas savo iniciatyva buvo pradėtas gavus UAB InMedica  (toliau – Bendrovė2) pranešimą apie ADSP. Bendrovė2 patyrė duomenų šifravimo ir išpirkos reikalaujančią ataką, kai trečioji šalis užšifravo keturių sistemų duomenis. Šiose sistemose buvo tvarkomi pacientų bei darbuotojų asmens duomenys.

Atlikusi pirmąjį patikrinimą dėl Bendrovės1 VDAI nustatė, kad ADSP metu nebuvo užtikrintas tinkamas asmens duomenų saugumo lygis, t. y., ADSP įvyko dėl Bendrovėje1 nepakankamai užtikrinamos prieigų kontrolės ir netinkamo autentifikavimo jungiantis prie sistemos su asmens duomenimis (darbuotojams jungiantis per išorinį tinklą (internetu) nebuvo taikomas kelių veiksnių autentifikavimas, nebuvo įdiegtas prieigos apribojimas tik įgaliotiems asmenims, prisijungimų slaptažodžiai neatitiko tam tikro kompleksiškumo lygio).

Atlikusi antrąjį patikrinimą dėl Bendrovės2 VDAI nustatė, kad ADSP metu Bendrovės2 paveiktose sistemose taip pat nebuvo užtikrinamas tinkamas asmens duomenų saugumo lygis. Bendrovėje2 nebuvo pakankamai užtikrinama prieigų kontrolė ir autentifikavimas, t. y. privilegijuotiems naudotojams jungiantis per išorinį tinklą (internetu) nebuvo taikomas kelių veiksnių autentifikavimas, nebuvo įdiegtas prieigos apribojimas tik įgaliotiems asmenims.

Kadangi nuo 2025-06-25 UAB „Kardiolita“ teisių ir pareigų perėmėja yra UAB „InMedica“, bauda skirta pastarajai bendrovei. Administracinė bauda skirta už BDAR 24 straipsnio 1 dalies, BDAR 32 straipsnio 1 dalies b punkto bei BDAR 5 straipsnio 1 dalies f punkto nuostatų pažeidimus.

VDAI sprendimą Nr. 3R-1143  galite rasti rubrikoje „VDAI sprendimai (baudos, nurodymai ir kt.) 2026 m.“

Sprendimas per vieną mėnesį nuo jo įteikimo dienos gali būti skundžiamas teismui.

Atnaujinimo data: 2026-06-26

Taip pat skaitykite:

Nacionalinė teisės žinių olimpiada 2026 pasiekė finišą

Nuotoliniai mokymai „Nuo teorijos iki praktikos: ES pagrindinių teisių chartijos taikymas“

Bauda už asmens duomenų apsaugos pažeidimus skirta gydytojai

Patvirtintas bendras asmens duomenų saugumo pažeidimo pranešimo šablonas

Baltijos šalių duomenų apsaugos priežiūros institucijų vadovių įžvalgos praktinėje konferencijoje