2017 m. liepos 14 d. UAB „Grožio chirurgija“ vadovui Valstybinė duomenų apsaugos inspekcija (toliau – VDAI) surašė administracinio nusižengimo protokolą už Administracinių nusižengimų kodekse numatytą administracinį nusižengimą dėl Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo (toliau – ADTAĮ) pažeidimo.

VDAI, atsižvelgdama į tai, kad UAB „Grožio chirurgija“ vadovas atsisakė, kad jam būtų surašytas administracinis nurodymas, minėtą administracinio nusižengimo protokolą išnagrinėjo ne teismo tvarka.

2017 m. rugpjūčio 25 d. VDAI direktoriaus nutarimu administracinio nusižengimo byloje UAB „Grožio chirurgija“ vadovas pripažintas kaltu padaręs Administracinių nusižengimų kodekse numatytą nusižengimą bei jam skirta administracinė nuobauda – 725 eurų bauda.

UAB „Grožio chirurgija“ direktorius turi sumokėti paskirtą baudą arba, vadovaujantis Administracinių nusižengimų kodeksu, minėtą nutarimą per dvidešimt kalendorinių dienų nuo nutarimo kopijos išsiuntimo dienos (2017 m. rugpjūčio 25 d.) apskųsti Vilniaus miesto apylinkės teismui.

Primename, kad 2017 m. balandžio mėn. VDAI gavo pranešimą, jog UAB „Grožio chirurgija“ neužtikrino tinkamų organizacinių ir techninių priemonių, skirtų apsaugoti asmens duomenims, dėl to buvo įsilaužta į minėtos bendrovės duomenų bazę ir neteisėtai pasisavinti klientų asmens duomenys. Iš bendrovės ir jos klientų buvo reikalaujama išpirkos bei grasinama, negavus išpirkos, paviešinti asmens duomenis. 2017 m. gegužės mėn. pabaigoje visuomenės informavimo priemonės pranešė, kad pasisavinta informacija buvo paviešinta.

VDAI, tikrindama UAB „Grožio chirurgija“, nustatė, kad asmens duomenims tvarkyti bendrovė naudoja dvi informacines sistemas – nuo 2017 m. naująją ir šiuo metu dar veikiančią, tačiau retai naudojamą senąją. VDAI, atlikusi tikrinimą, nustatė, kas bendrovėje yra atliekama netinkamai, ir pateikė nurodymus, kad bendrovė turi:

  • Užtikrinti, kad duomenų kliento sutikimas dėl fotografavimo atitiktų ADTAĮ reikalavimus.
  • Atsisakyti ypatingų asmens duomenų teikimo el. paštu arba užtikrinti, kad tokiu būdu teikiami duomenys būtų šifruojami.
  • Nustatyti konkrečius asmens duomenų saugojimo terminus arba nurodyti konkrečius teisės aktus, kuriuose yra nustatyti asmens duomenų saugojimo terminai.
  • Pasirūpinti, kad asmens duomenis tvarkanti bendrovė užtikrintų tinkamą duomenų saugumą.
  • Reglamentuoti asmens duomenų tvarkymą išorinėse laikmenose nustatant, kokiais atvejais reikia saugoti duomenis šiose laikmenose, duomenų saugojimo terminą, sunaikinimo tvarką, privalomas įgyvendinti organizacines ir technines duomenų saugumo priemones.
  • Užtikrinti, kad senojoje informacinėje sistemoje naudojami slaptažodžiai atitiktų saugumo reikalavimus dėl slaptažodžių ilgio, sudėtingumo bei keitimo periodiškumo.
  • Užtikrinti, kad senojoje informacinėje sistemoje būtų fiksuojami vartotojų veiksmai: prisijungimo identifikatorius, data, laikas ir veiksmai (įvedimas, peržiūra, keitimas, naikinimas).
  • Užtikrinti, kad naujojoje informacinėje sistemoje būtų fiksuojami asmens duomenų peržiūros veiksmai.
  • Sudaryti galimybę naujojoje informacinėje sistemoje kontroliuoti prisijungimus ir teikti duomenų valdytojui ataskaitas.
  • Užtikrinti apsaugą nuo pilno duomenų bazės kopijavimo tiek senojoje, tiek naujojoje sistemoje.
  • Užtikrinti, kad išoriniai prisijungimai prie senosios ir naujosios informacinės sistemos būtų vykdomi naudojant VPN ryšį.
  • Pateikti VDAI pranešimą dėl išankstinės patikros dėl ypatingų asmens duomenų apie sveikatą tvarkymo automatiniu būdu.

 

Susijusios naujienos:

- Valstybinė duomenų apsaugos inspekcija atliko „Grožio chirurgijos“ tikrinimą

- VDAI atliks „Grožio chirurgijos“ klinikos tikrinimą