Lietuvai siekiant būti modernia valstybe ir geidžiama partnere kitoms Europos Sąjungos valstybėms, norint išlaikyti ekonomikos augimą ir užsitikrinti gerovę, būtina kuo greičiau ir efektyviau įsilieti į bendrąją Europos skaitmeninę rinką, kurios plėtra neįmanoma neužtikrinus kibernetinio saugumo. Kibernetinis saugumas yra visų šalių bendro saugumo garantas, esminis žmogaus teises užtikrinantis faktorius. Asmens duomenų saugumas mūsų dienomis priklauso ne tik nuo to, kaip asmens duomenis duomenų valdytojas tvarko informacinėse sistemose, duomenų bazėse, registruose ir kt., bet ir nuo to, kaip sparčiai ir saugiai šie duomenys yra perduodami globaliaisiais komunikacijos tinklais. 

Įvairių sričių specialistai bene kasdien akcentuoja saugumo elektroninėje erdvėje svarbą. Su tuo labai glaudžiai susijęs ir asmens duomenų saugumas, nes įvykus įvairiems saugumo incidentams, be kitos informacijos, kyla grėsmė ir asmens duomenims. Netinkamas asmens duomenų tvarkymas gali kelti įvairių grėsmių žmonių teisėms bei laisvėms, pavyzdžiui, diskriminacija, tapatybės vagystė ar suklastojimas, ekonominė ar socialinė žala, duomenų kontrolės praradimas, pakenkta reputacijai, prarastas asmens duomenų, kurie laikomi profesine paslaptimi, konfidencialumas ir kt.

Nepaisant specialistų raginimų daugiau dėmesio skirti kibernetiniam saugumui, Valstybinė duomenų apsaugos inspekcija per pastaruosius metus fiksavo pažeidimus, susijusius su asmens duomenimis – Vyriausiosios rinkimų komisijos, „Planuoju statyti“, „Grožio chirurgijos“, „Darbo biržos“ informacinėse sistemose. Naujausi incidentai įvyko su „Telecentro“ ir „Mano dienynas“ tvarkomais asmens duomenimis.

Netinkamai apsaugota prieiga prie asmenų duomenų yra duomenų saugumo pažeidimas, todėl būtina nedelsiant imtis visų priemonių padėčiai ištaisyti. Visų informacinių sistemų duomenų valdytojai privalo įgyvendinti teisės aktuose nustatytas organizacines ir technines saugumo priemones, kad būtų užtikrintas tinkamas asmens duomenų saugumas. Labai svarbu, kad įmonės, kuriančios informacines sistemas, pateiktų kokybišką produktą, o vykdydamos jų priežiūrą gebėtų nedelsiant šalinti trūkumus ir ištaisyti klaidas. Atsižvelgiant į tai, kad jau netrukus – gegužės 25-ąją – visose ES valstybėse narėse pradėsime taikyti Bendrąjį duomenų apsaugos reglamentą (BDAR), su asmens duomenimis susijusios įrangos kūrėjams ir gamintojams svarbu atkreipti dėmesį į BDAR 25 straipsnyje įtvirtintus pritaikytosios (angl. by design) ir standartizuotosios (angl. by default) duomenų apsaugos principus.

 

Pranešimas apie duomenų saugumo pažeidimą šiuo metu

Ne mažiau svarbu atkreipti dėmesį, kad šiuo metu pagal Lietuvos Respublikos kibernetinio saugumo įstatymą viešojo administravimo subjektai, valdantys ir (arba) tvarkantys valstybės informacinius išteklius, ypatingos svarbos informacinės infrastruktūros valdytojai, viešųjų ryšių tinklų ir viešųjų elektroninių ryšių paslaugų teikėjai, įvykus incidentui, turinčiam duomenų saugumo pažeidimo požymių, privalo apie tai pranešti Valstybinei duomenų apsaugos inspekcijai.

Taip pat bendrovės, kurios yra viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikėjos, asmens duomenų saugumo pažeidimo atveju per 24 val. privalo pranešti apie šį pažeidimą Valstybinei duomenų apsaugos inspekcijai pagal Lietuvos Respublikos elektroninių ryšių įstatymą. Tuo atveju, jeigu asmens duomenų saugumo pažeidimas gali turėti neigiamą poveikį abonento ar registruoto elektroninių ryšių paslaugų naudotojo arba kito asmens duomenų ar privatumo saugumui, viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikėjas taip pat privalo apie tai pranešti ir abonentui ar registruotam elektroninių ryšių paslaugų naudotojui arba kitam asmeniui. Viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikėjas Valstybinei duomenų apsaugos inspekcijai turi nurodyti, kokias saugumo priemones įgyvendino siekiant likviduoti saugumo pažeidimo pasekmes ir kokias saugumo priemones įgyvendins tam, kad toks ir panašūs pažeidimai nepasikartotų. ,. Šios priemonės turi užtikrinti, kad tam neįgalioti asmenys negalėtų susipažinti su asmens duomenimis.

 

Pranešimas apie duomenų saugumo pažeidimą, pradėjus taikyti BDAR

2018 m. gegužės 25 d. pradėjus taikyti BDAR apie duomenų saugumo pažeidimus privalės pranešti visi duomenų valdytojai, ne tik tvarkantys valstybės informacinius išteklius ir viešųjų ryšių tinklus bei bendrovės viešųjų elektroninių ryšių paslaugų teikėjos. Apie asmens duomenų saugumo pažeidimus bus privalu pranešti Valstybinei duomenų apsaugos inspekcijai per 72 valandas. Pranešime turės būti nurodoma:
- Duomenų saugumo pažeidimo pobūdis, duomenų subjektų kategorijos, apytikslis skaičius, asmens duomenų įrašų kategorijas ir apytikslis skaičius;
- Duomenų apsaugos pareigūno arba kito kontaktinio asmens, galinčio suteikti daugiau informacijos, vardas bei pavardė (pavadinimas) ir kontaktiniai duomenys;
- Aprašytos tikėtinos asmens duomenų saugumo pažeidimo pasekmės;
- Aprašytos priemonės, kurių ėmėsi arba pasiūlė imtis duomenų valdytojas, kad būtų pašalintas asmens duomenų saugumo pažeidimas.

Be kita ko, kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus asmenų teisėms ir laisvėms, duomenų valdytojas nedelsdamas turi pranešti apie tai ir patiems žmonėms.