Vis pasitaiko atvejų dėl asmens duomenų saugumo pažeidimų informacinėse sistemose, kai tretiesiems asmenims tampa prieinami asmens duomenys.

Dėmesio! Nepakankamai apsaugota prieiga prie kitų asmenų duomenų laikytina duomenų saugumo pažeidimu ir būtina nedelsiant imtis visų priemonių padėčiai ištaisyti. Valstybės informacinių išteklių valdytojai, įvykus incidentui, turinčiam duomenų saugumo pažeidimo požymių, vadovaujantis Lietuvos Respublikos kibernetinio saugumo įstatymu, privalo pranešti apie tai VDAI.

Visų informacinių sistemų duomenų valdytojai privalo įgyvendinti teisės aktuose nustatytas organizacines ir technines saugumo priemones, kad būtų užtikrintas tinkamas asmens duomenų saugumas. Labai svarbu, kad įmonės, kuriančios valstybės sektoriui informacines sistemas, pateiktų kokybišką produktą, o vykdydamos jų priežiūrą gebėtų nedelsiant šalinti trūkumus ir ištaisyti klaidas.

 

Sankcijos už asmens duomenų saugumo pažeidimus informacinėse sistemose

Dėl duomenų saugumo pažeidimų duomenų valdytojui gali būti pateiktas nurodymas, skirta bauda. Šiuo metu už asmens duomenų apsaugos pažeidimus baudos numatytos Administracinių nusižengimų kodekse. Baudos asmenims siekia 150–580 Eur, už pakartotinį pažeidimą 550–1 200 Eur, juridinių asmenų vadovams ar kitiems atsakingiems asmenims – 300–1 150 Eur, už pakartotinai padarytus nusižengimus 1 100–3 000 Eur.

Atkreipiame dėmesį, kad įgyvendinus asmens duomenų apsaugos reformą ir nuo 2018 m. gegužės 25 d. pradėjus taikyti Bendrąjį duomenų apsaugos reglamentą duomenų valdytojams už tokius asmens duomenų apsaugos pažeidimus grės žymiai didesnės baudos. Bendrajame duomenų apsaugos reglamente numatyta, kad duomenų valdytojui ir duomenų tvarkytojui, pažeidusiam reglamento nuostatas, gali būti skiriamos administracinės baudos, kurios kiekvienu konkrečiu atveju turi būti veiksmingos, proporcingos ir atgrasomos. Taigi bauda gali siekti nuo 2 iki 4 proc. ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, arba nuo 10 000 000 iki 20 000 000 EUR.

 

Asmens kodo svarba

Neretai, įvykus su asmens duomenimis susijusiems incidentams informacinėse sistemose, tretiesiems asmenims tampa prieinami ne tik žmonių vardai ar pavardės, kita kontaktinė informacija, tačiau ir asmens kodai. Atkreipiame dėmesį, kad pagal Lietuvos Respublikos gyventojų registro įstatymą asmeniui suteiktas asmens kodas yra unikalus ir nekeičiamas. Šis duomuo yra vienas iš pagrindinių paieškos kriterijų valstybės informacinėse sistemose ir registruose, todėl jo neteisėtas tvarkymas gali sąlygoti žmogaus privataus gyvenimo neliečiamumo teisės pažeidimą. Net ir paaiškėjus, kad žmogaus asmens kodas neteisėtai yra atskleistas ir paplitęs, jo ateityje asmuo negali pasikeisti. Būtent todėl asmens kodo tvarkymui keliami griežtesni reikalavimai, numatyti Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme. Pagal šį teisės asmens kodas yra unikali skaitmenų seka. Asmens kodas asmeniui suteikiamas Gyventojų registro įstatymo nustatyta tvarka. Naudoti asmens kodą, kai tvarkomi asmens duomenys, galima tik gavus duomenų subjekto sutikimą, tačiau net ir gavus asmens sutikimą asmens kodą draudžiama skelbti viešai ir rinkti bei naudoti tiesioginės rinkodaros tikslais. Be duomenų subjekto sutikimo asmens kodą galima naudoti tik:
1) jeigu tokia teisė yra nustatyta šiame ir kituose įstatymuose;
2) tam tikrais atvejais atliekant mokslinį arba statistinį tyrimą;
3) valstybės, žinybiniuose registruose, jeigu jie yra įteisinti Valstybės registrų įstatymo nustatyta tvarka, ir informacinėse sistemose, jeigu jos yra įteisintos teisės aktų nustatyta tvarka;
4) juridiniams asmenims, kurių veikla susijusi su paskolų teikimu ir skolų išieškojimu, draudimu ar lizingo (finansinės nuomos) verslu, taip pat sveikatos apsaugos ir socialinio draudimo bei kitų socialinę paramą teikiančių ir administruojančių institucijų ir švietimo įstaigų, mokslo ir studijų institucijų veikloje. Šiame punkte nurodyti juridiniai asmenys asmens kodą gali naudoti tik tuo tikslu, kuriuo jis buvo gautas, ir tik tais atvejais, kai tai yra būtina teisėtam ir apibrėžtam asmens duomenų tvarkymo tikslui pasiekti;
5) įstatymų nustatytais atvejais tvarkant įslaptintus duomenis.