Skip to main content
2025-09-10

VDAI pataria: kas nėra laikoma asmens duomenų saugumo pažeidimais

Iliustracija

Valstybinė duomenų apsaugos inspekcija (toliau – VDAI) atnaujino rekomendaciją, kurioje paaiškinama, kas nėra laikoma asmens duomenų saugumo pažeidimais (toliau – ADSP). Mūsų tikslas – atkreipti duomenų valdytojų dėmesį į incidentus, kurių VDAI nelaiko ADSP arba įvykęs ADSP neturėtų kelti pavojaus fizinių asmenų teisėms ir laisvėms, todėl jiems įvykus duomenų valdytojai neturi pareigos apie tai pranešti VDAI.

Bendrasis duomenų apsaugos reglamentas (toliau – BDAR) numato, kad asmens duomenis tvarkančios organizacijos turi pareigą informuoti VDAI apie įvykusį ADSP, kuris gali kelti pavojų fizinių asmenų teisėms ir laisvėms.

Pažymėtina, kad nors kai kuriais atvejais incidentai įvyksta dėl pačių duomenų subjektų neatsargaus elgesio, tačiau tai neatleidžia duomenų valdytojų ir duomenų tvarkytojų nuo pareigos vertinti duomenų tvarkymo keliamą riziką ir įgyventi tinkamas saugumo priemones.

Rekomendacija papildyta trimis naujais praktiniais pavyzdžiais:

4 pavyzdys

Įmonės darbuotojas peržiūrėjo mirusio asmens duomenis. Atsižvelgiant į tai, kad darbuotojas peržiūrėjo duomenis, kurių tvarkymui nėra taikomas BDAR, toks incidentas nėra laikomas ADSP.

12 pavyzdys

Duomenų subjektui tinkamai neapsaugojus asmens duomenų, pavyzdžiui, asmuo prisijungimo duomenis yra išsaugojęs naršyklėse, asmens duomenys (įskaitant prisijungimo duomenis) perimami piktavaliui įsilaužus į asmens įrenginius. Duomenų valdytojas, gavęs informacijos, kad yra atskleisti prisijungimo duomenys prie asmens paskyros svetainėje, operatyviai blokavo paskyrą ar inicijavo privalomą prisijungimo duomenų keitimą. Duomenų valdytojo saugumo priemonės nebuvo pažeistos, todėl tokie atvejai nėra laikomi ADSP.

14 pavyzdys

Duomenų tvarkytojas nustatė, kad duomenų valdytojo siunčiamas laiškas yra atplėštas, tačiau voko viduje buvusi siunta įdėta į kitą užklijuotą voką, kuris liko nepažeistas. Šiuo atveju nebuvo atskleisti asmens duomenys, todėl toks incidentas nėra laikomas ADSP.

VDAI ragina su parengta informacija susipažinti visas asmens duomenis tvarkančias organizacijas – tiek viešojo, tiek privataus sektoriaus atstovus.

Rekomendaciją rasite čia.

Taip pat prašome pasidalinti savo įžvalgomis ir patarimais dėl VDAI parengtų metodinių dokumentų. Rašykite mums [email protected]  

Iš anksto dėkojame už Jūsų nuomonę!

Atnaujinimo data: 2025-09-10

Taip pat skaitykite:

Nacionalinė teisės žinių olimpiada 2026 pasiekė finišą

Nuotoliniai mokymai „Nuo teorijos iki praktikos: ES pagrindinių teisių chartijos taikymas“

Bauda už asmens duomenų apsaugos pažeidimus skirta gydytojai

Patvirtintas bendras asmens duomenų saugumo pažeidimo pranešimo šablonas

Baltijos šalių duomenų apsaugos priežiūros institucijų vadovių įžvalgos praktinėje konferencijoje