Vilniaus rajono savivaldybės administracijai skirta bauda už netinkamą asmens duomenų tvarkymą
Valstybinė duomenų apsaugos inspekcija (VDAI), atlikusi tyrimą pagal Vilniaus r. savivaldybės administracijos (toliau – Savivaldybė) pranešimą dėl asmens duomenų saugumo pažeidimo (ADSP) – įsilaužimo į administracijos serverį, skyrė 9 000 eurų administracinę baudą Savivaldybei už asmens duomenų tvarkymo pažeidimus pagal Bendrojo duomenų apsaugos reglamento (BDAR) nuostatas.
VDAI nustatė, kad Savivaldybė, kaip duomenų valdytojas, nepakankamai užtikrino asmens duomenų saugumą – dėl įvykusio ADSP buvo sutrikdyta jos veikla: tam tikrą laiką nebuvo teikiamos kai kurios Savivaldybės paslaugos, sutriko asmenų aptarnavimas, vėlavo socialinės išmokos, t. y. ADSP paveikė daugelį asmenų. Įsilaužėliui užšifravus Savivaldybės serveriuose tvarkomus asmens duomenis taip pat buvo pažeistas ir duomenų konfidencialumas.
VDAI nustatė, kad buvo pažeisti BDAR 5 straipsnio 1 dalies f punkte įtvirtinti vientisumo ir konfidencialumo principai ir BDAR 32 straipsnio 1 dalies b, c ir d punktų, 34 straipsnio 2 dalies nuostatos.
Dėl saugumo priemonių
Pagal teisės aktų reikalavimus kiekvienas duomenų valdytojas turi užtikrinti tinkamą apsaugąnuo kenkimo programų. Tyrimo metu nustatyta, kad Savivaldybėje nebuvo naudojamos pakankamos apsaugos nuo kenkimo programų priemonės, netinkamai valdomos prieigos prie serverių teisės, neužtikrinamas slaptažodžių saugumas. Taip pat nustatyta, kad iki šio incidento nebuvo užtikrintas efektyvus duomenų atkūrimas laiku, dėl to buvo sutrikdytas Savivaldybės teikiamų paslaugų tęstinumas. Nebuvo tinkamai įgyvendintos ir kitos techninės ir organizacinės saugumo priemonės – programinės įrangos atnaujinimas, tinklo stebėsena ir kt.
Dėl duomenų subjektų informavimo
Dėl ADSP gali kilti didelis pavojus fizinių asmens teisėms ir laisvėms – gali būti padaryta tiek materialinė, tiek nematerialinė žala (diskriminacija, pavogta ar suklastota tapatybė, finansiniai nuostoliai, reputacinė žala ir kt.).
Savivaldybė VDAI nurodė, kad informaciją apie įvykusį incidentą visuomenei pateikė socialinio tinklo „Facebook“ paskyroje ir pranešime žiniasklaidai. VDAI, įvertinusi tai, kad duomenų subjektų, kurių asmens duomenų saugumas buvo pažeistas, skaičius gana didelis, sutiko, kad toks viešas paskelbimo būdas yra tinkamas. Tačiau taip pat nustatė, kad paskelbtų viešų pranešimų turinys neatitinka BDAR reikalavimų – Savivaldybė turėjo patarti gyventojams, kaip apsisaugoti nuo galimų neigiamų pasekmių (pvz.: būti budriems ir kritiškai vertinti visus gaunamus skambučius bei žinutes, atidžiai stebėti, kas vyksta su sąskaitomis ir pan.).
Dėl baudos skyrimo
Spręsdama dėl baudos dydžio VDAI atsižvelgė į Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo 33 str. numatytus administracinių baudų dydžius valdžios institucijoms ar įstaigoms bei rėmėsi Europos duomenų apsaugos valdybos 2023-05-24 gairėmis Nr. 04/2022 dėl administracinių baudų apskaičiavimo pagal BDAR.
Analizuojant pažeidimo aplinkybes, VDAI atsižvelgė į keletą veiksnių. Pirmiausia, įvertintas pažeidimo poveikis dideliam skaičiui duomenų subjektų ir jautrių asmens duomenų tvarkymas, kuris buvo pripažintas sunkinančiu veiksniu. Taip pat pažymėta, kad Savivaldybė nebuvo anksčiau bausta už panašius pažeidimus, tai vertinta kaip neutralus veiksnys.
VDAI sprendimas Lietuvos Respublikos administracinių bylų teisenos įstatymo nustatyta tvarka per vieną mėnesį nuo jo įteikimo dienos gali būti skundžiamas Regionų administraciniam teismui.
Atnaujinimo data: 2024-10-18
Taip pat skaitykite:
Nuotoliniai mokymai „Nuo teorijos iki praktikos: ES pagrindinių teisių chartijos taikymas“
Bauda už asmens duomenų apsaugos pažeidimus skirta gydytojai
Patvirtintas bendras asmens duomenų saugumo pažeidimo pranešimo šablonas
Baltijos šalių duomenų apsaugos priežiūros institucijų vadovių įžvalgos praktinėje konferencijoje
Valstybinė duomenų apsaugos inspekcija kviečia į seminarą apie vaizdo stebėjimą