Atsakymai į ESET renginio metu užduotus klausimus: Raimondas Andrijauskas

Ar tretieji asmenys gali legaliai ieškoti saugumo spragų valstybės informacinėse sistemose ir jas viešinti be valdytojo sutikimo?

Paviešintos saugumo spragos kelia grėsmę daugybės asmenų duomenų saugumui, todėl norėtųsi paskatinti spragų paieškos smalsuolius geranoriškai bendradarbiauti su informacines sistemas valdančiomis bei prižiūrinčiomis įmonėmis, įstaigomis. Laiku užkirtus kelią galimoms grėsmėms, būtų užtikrinta geresnė asmens duomenų ir privatumo apsauga. Be to, reikėtų pažymėti, kad Lietuvos Respublikos baudžiamajame kodekse yra nustatyta baudžiamoji atsakomybė už tokią veiklą, tad asmenys, savavališkai ieškodami saugumo spragų, visuomet rizikuoja, kad jų atžvilgiu gali būti pradėti ikiteisminiai tyrimai.

Kokie veiksmai padaryti/bus padaryti dėl gyventojų registro saugumo incidento, įvykusio po BDAR įsigaliojimo?

Duomenų saugumo pažeidimą patyrusi organizacija turi nedelsdama imtis veiksmų pažeidimui pašalinti bei užtikrinti aukštesnį saugumo lygį, jei įvertinus esamas duomenų saugumo organizacinės ir technines priemones paaiškėja, kad jos nėra pakankamos.

Ar programėlių (app) kūrėjai privalo pranešti jei yra aptinkamas pažeidžiamumas?

Pradėjus taikyti Bendrąjį duomenų apsaugos reglamentą, atsirado nauja pareiga duomenų valdytojams apie įvykusį duomenų saugumo pažeidimą, keliantį pavojų fizinių asmenų teisėms ir laisvėms, pranešti Valstybinei duomenų apsaugos inspekcijai, o tuo atveju, kai minėtas pažeidimas kelia didelį pavojų, ir duomenų subjektams.

Kada bus paruošti atitinkami teises aktai GDPR implementavimui į Lietuvos teise? 

2018 m. gegužės 25 d. pradėtas taikyti Bendrasis duomenų apsaugos reglamentas yra tiesioginio taikymo dokumentas, vienodas visoms Europos Sąjungos valstybėms narėms. Tik Lietuvai būdingos tam tikros asmens duomenų tvarkymo nuostatos yra numatytos ir Asmens duomenų teisinės apsaugos įstatyme, jo nauja redakcija įsigaliojo 2018 m. liepos 16 d. Valstybinė duomenų apsaugos inspekcija jau yra patvirtinusi šiuos BDAR įgyvendinimo teisės aktus (kurių priėmimas numatytas BDAR):

- Valstybinės duomenų apsaugos inspekcijos direktoriaus 2018 m. gegužės 24 d. įsakymas Nr. 1T-52(1.12.) „Dėl prašymo dėl leidimo perduoti asmens duomenis į trečiąsias valstybes ar tarptautinėms organizacijoms išdavimo rekomenduojamos formos patvirtinimo“.

- Valstybinės duomenų apsaugos inspekcijos direktoriaus 2018 m. liepos 18 d. įsakymas Nr. 1T-68(1.12.E) „Dėl Leidimų perduoti asmens duomenis į trečiąsias valstybes ar tarptautinėms organizacijoms išdavimo tvarkos aprašo patvirtinimo“

- Valstybinės duomenų apsaugos inspekcijos direktoriaus 2018 m. rugpjūčio 29 d. įsakymas Nr. 1T-82(1.12.E) „Dėl pranešimo apie asmens duomenų saugumo pažeidimą rekomenduojamos formos patvirtinimo“

- 2018 m. liepos 27 d. Valstybinės duomenų apsaugos inspekcijos direktoriaus įsakymas Nr. 1T-72(1.12.E) „Dėl pranešimo apie asmens duomenų saugumo pažeidimą pateikimo Valstybinei duomenų apsaugos inspekcijai tvarkos aprašo patvirtinimo“

- Valstybinės duomenų apsaugos inspekcijos direktoriaus 2018 m. liepos 9 d. įsakymas Nr. 1T-63(1.12.E) „Dėl duomenų subjekto teisių įgyvendinimo pavyzdinių taisyklių patvirtinimo“

Likusieji BDAR įgyvendinantys teisės aktai turi būti suderinti su Europos duomenų apsaugos valdyba. Taip pat turi būti vykdoma sektorinė visų Lietuvos teisės aktų peržiūra pagal nustatytas ministerijų valdymo sritis siekiant BDAR reikalavimų atitikties. Tai yra ilgas ir sudėtingas teisėkūrinis procesas, kuriame Valstybinė duomenų apsaugos inspekcija dalyvauja kaip išvadas teikianti institucija, tačiau neatsako už formuojamą politiką asmens duomenų apsaugos srityje.

Kokią didžiausią baudą esate skyrę už BDAR pažeidimus?

Valstybinė duomenų apsaugos inspekcija, vykdydama jai BDAR pavestą užduotį – užtikrinti, kad jo nuostatos būtų taikomos, turi teisę pasinaudoti jai suteiktais tyrimo įgaliojimais (atlikti tyrimus, pranešti duomenų valdytojams ir tvarkytojams apie įtariamą BDAR pažeidimą ir t. t.), imtis taisomųjų veiksmų (pareikšti papeikimus, įspėti duomenų valdytojus ir tvarkytojus, sustabdyti asmens duomenų tvarkymą, skirti administracines baudas ir t. t.) ar pasinaudoti patariamaisiais įgaliojimais. Šiuo metu baudų pagal BDAR dar nėra paskirta.

Ar MAXIMA laikosi GDPR nuostatų?

Iki BDAR taikymo dienos Valstybinė duomenų apsaugos inspekcija prižiūrėjo Asmens duomenų valdytojų valstybės registrą, kuriame, pateikusios informaciją apie vykdomą asmens duomenų tvarkymą, turėjo registruotis visos įmonės ir įstaigos, tvarkančios asmens duomenis automatiniu būdu, išskyrus tam tikras išimtis.

Pradėjus taikyti BDAR, organizacijoms nebeliko pareigos registruotis minėtame registre. BDAR atsisakyta pareigos pranešti Valstybinei duomenų apsaugos inspekcijai apie asmens duomenų tvarkymą bei įtvirtintas atskaitomybės principas.

Tai reiškia, kad duomenų valdytojai privalo imtis priemonių, kad tinkamai įgyvendintų BDAR reikalavimus, ir privalo sugebėti tai įrodyti. Organizacijoms suteikiama daugiau laisvės veikti be išankstinės priežiūros institucijos kontrolės, tačiau kartu tai reiškia ir didesnę atsakomybę.

Turint omenyje naujas asmens duomenų tvarkymo reguliavimo nuostatas, į klausimą, ar „Ar MAXIMA laikosi GDPR nuostatų“ šiuo metu geriausiai galėtų atsakyti pati „Maxima“. Valstybinė duomenų apsaugos inspekcija jos situaciją galėtų išsiaiškinti dėl vienų ar kitų priežasčių atlikusi tikrinimus, pavyzdžiui, nagrinėdama asmens pateiktą skundą, sužinojusi apie duomenų saugumą pažeidimą, savo iniciatyva atlikusi prevencinį tikrinimą.

Kalbant apie parduotuvių tikrinimus, rugsėjo mėnesį Valstybinė duomenų apsaugos inspekcija atliko asmens duomenų tvarkymo tikrinimus dėl tiesioginės rinkodaros ir lojalumo programų bendrovėse, veikiančiose maisto, namų apyvokos prekių parduotuvių ir vaistinių sektoriuje.

Visose patikrintose šiais tikslais duomenis tvarkančiose bendrovėse nustatyta pažeidimų. Čia galite susipažinti su tikrinimo apibendrinimu: Asmens duomenų tvarkymo tiesioginės rinkodaros ir lojalumo programos tikslais teisėtumo patikrinimų rezultatų apibendrinimas.

Kokia Jūsų nuomonė apie dabar vykstantį "teisininkų karą", kai skirtingų įmonių atstovai tiesiog stengiasi perkelti visą galimą atsakomybę savo tiekėjams?

Nėra iki galo aišku, kas šiame klausime įvardijama kaip tiekėjai, tačiau jei tai yra duomenų tvarkytojai, kuriuos pasitelkia įmonės asmens duomenų tvarkymui, tai reikėtų atkreipti dėmesį, kad BDAR numato atsakomybių ir joms – užtikrini, kad būtų įgyvendinamos tinkamos techninės ir organizacinės priemonės siekiant užtikrinti, kad pavestas duomenų tvarkymas atitiktų BDAR reikalavimus bei būtų užtikrinta duomenų subjekto teisių apsauga.

Ar IP adresas yra asmens duomenys?

Taip.

Kaip žiūrite į tai kad Lietuvos "security elito" duomenys atsirado pas bilietu pardavėjus, o nuotraukos atsidurs.... klausimas ir BDAR ir VSD lygio.

Tokio atvejo neteko girdėti.

Ar galima darbuotojui suteikti el. pašto adresą vardas.pavarde@imone.lt ir jį skelbti įmonės interneto svetainėje?

Kalbant apie asmenų vardų ir pavardžių naudojimą elektroninio pašto sudarymui, reikia turėti omenyje, kad toks tvarkymas, kaip ir bet kuris kitas, nepriklausomai nuo to, kad tvarkomi darbuotojo asmens duomenys, turi atitikti BDAR įtvirtintus reikalavimus. Taigi tokį tvarkymą duomenų valdytojas turi pagrįsti bent viena BDAR numatyta asmens duomenų tvarkymo sąlyga, pavyzdžiui, asmens sutikimu, teisėtu duomenų valdytojo interesu ir pan.

Kas yra mūsų visų (konferencijos dalyvių) asmens duomenų valdytojas, PAYSERA, per kurią pirkom bilietus ar ESET?

Kiekviena įmonė gali būti duomenų valdytoją skirtingais tikslais. Bet kuriuo atveju, kiekvienas duomenų subjektas turi teisę gauti šią informaciją kreipdamasis į šias įmones, prašydamas pateikti informaciją apie tai, kokius duomenis ir kokiu tikslu jie tvarko kaip duomenų valdytojai.

Jeigu įmonė DAP pareigūnu negali paskirti naujo darbuotojo ir DAP f-jas priskiria esamam įmonės darbuotojui. Kam turėtų priskirti (IT/teisininkui/kt.)? Kodėl?

BDAR nenumato konkretaus išsilavinimo ar specializacijos, kurią privalo turėti duomenų apsaugos pareigūnas. Tačiau šioms pareigoms turi būti paskirtas asmuo, remiantis šiomis profesinėmis savybėmis:

1. Ekspertinių žinių lygis. Reikiamas ekspertinių žinių lygis nėra griežtai apibrėžtas, tačiau jis turi atitikti duomenų neskelbtinumą, sudėtingumą, kiekį ir organizacinius procesus. Pavyzdžiui, kai duomenų tvarkymo veikla yra itin sudėtinga arba tvarkoma daug neskelbtinų duomenų, DAP gali prireikti aukštesnio lygio ekspertinių žinių ir pagalbos. Taip pat padėtis skiriasi atsižvelgiant į tai, ar organizacija sistemingai, ar tik kartais perduoda asmens duomenis už Europos Sąjungos ribų. Taigi, DAP turėtų būti pasirenkamas atidžiai, deramai įvertinus organizacijoje kylančius duomenų apsaugos klausimus.

2. Profesinės savybės. Nors BDAR nenurodytos profesinės savybės, į kurias turėtų būti atsižvelgiama skiriant DAP, svarbu tai, kad DAP privalo turėti nacionalinės ir Europos duomenų apsaugos teisės aktų bei praktikos žinių ir išsamiai suprasti BDAR. Be to, DAP turėtų gerai suprasti duomenų valdytojo vykdomas duomenų tvarkymo operacijas, informacines sistemas, duomenų saugumo ir duomenų apsaugos poreikius.

3. Gebėjimas atlikti užduotis. Gebėjimas atlikti DAP skiriamas užduotis turėtų būti aiškinamas ir jo asmeninių savybių, ir žinių požiūriu, taip pat atsižvelgiant į jo statusą organizacijoje. Asmeninės savybės, pavyzdžiui, galėtų būti profesinis sąžiningumas ir aukšta profesinė etika. Pagrindinė DAP pareiga turėtų būti sudaryti sąlygas laikytis BDAR. DAP atlieka itin svarbų vaidmenį skatinant organizacijoje duomenų apsaugos kultūrą ir padeda įgyvendinti esminius BDAR elementus, pvz., duomenų tvarkymo principus, duomenų subjektų teises, pritaikytąją ir standartizuotąją duomenų apsaugą, taip pat daryti duomenų tvarkymo veiklos įrašus, užtikrinti duomenų tvarkymo saugumą ir teikti pranešimus apie duomenų saugumo pažeidimus.

Be kita ko, asmens duomenų apsaugos pareigas planuojantis eiti asmuo, privalo gebėti atlikti šiai pareigybei BDAR numatytas užduotis:

1. Informuoti duomenų valdytoją arba duomenų tvarkytoją ir duomenis tvarkančius darbuotojus apie jų prievoles pagal BDAR ir kitus Europos Sąjungos arba valstybės narės duomenų apsaugos nuostatas ir konsultuoja juos šiais klausimais.

2. Stebėti, kaip laikomasi BDAR, kitų Europos Sąjungos arba nacionalinių duomenų apsaugos nuostatų ir duomenų valdytojo arba duomenų tvarkytojo politikos asmens duomenų apsaugos srityje, įskaitant pareigų pavedimą, duomenų tvarkymo operacijose dalyvaujančių darbuotojų informuotumo didinimą bei mokymą ir susijusius auditus.

3. Paprašius konsultuoti dėl poveikio duomenų apsaugai vertinimo ir stebi jo atlikimą.

4. Bendradarbiauti su priežiūros institucija, t. y. Valstybine duomenų apsaugos inspekcija.

5. Atlikti kontaktinio asmens funkcijas priežiūros institucijai kreipiantis su duomenų tvarkymu susijusiais klausimais, įskaitant išankstines konsultacijas, ir prireikus konsultuoti kitais asmens duomenų apsaugos klausimais.

 Ar gali DAP pareigas atlikti kita įmonė?

Taip

Ar žvėriškos baudos nesutrukdys realiam BDAR veikimui? Gal pereinamasis procesas? Palyg. vairuotoju privalomojo draudimo sumos didinamos pagal EU taisykles.

Valstybinė duomenų apsaugos inspekcija baudų skyrimo klausimais laikysis teisės aktų reikalavimų. Kiekvienas atvejis bus vertinamas atskirai. Valstybinė duomenų apsaugos inspekcija patars, nurodys ištaisyti BDAR reikalavimų neatitikimus. Kai kuriais atvejais sprendimai bus priimami netgi Europos Sąjungos lygiu Europos duomenų apsaugos valdyboje, formuosis bendra europinė baudų skyrimo praktika. Kita vertus, organizacijos negalėtų tikėtis nuolaidų piktybiško veikimo atveju, kai pažeidžiamos esminės BDAR nuostatos ar nesilaikoma asmens duomenų apsaugos reikalavimų, galiojusių jau 20 metų.

BDAR kelia daug reikalavimų, bet jo sprendimo įgyvendinimo principai yra tik patariamojo pobūdžio. Tai kuo vadovaujasi VDAI bausdama įmones už BDAR pažeidimus?

Kaip minėta pirmiau, asmens duomenų apsaugai Lietuvoje daugiau kaip 20 metų, o daugelis BDAR esančių asmens duomenų tvarkymo nuostatų nėra naujovė. Taigi Valstybinė duomenų apsaugos inspekcija ir toliau vadovausis savo sukaupta patirtimi, BDAR atitinkančia ankstesne ir būsima teismų praktika ir bendra Europos duomenų apsaugos valdybos pozicija tam tikrais klausimais.

Renginio metu daromos nuotraukos be sutikimų?

Lietuvoje tai dar nėra įprasta, tačiau turėtų būti tinkamai organizuojama ir ši asmens duomenų tvarkymo veikla. Šiuo atveju būtų svarbu atkreipti dėmesį, kad Lietuvoje yra dvi asmens duomenų apsaugos priežiūros institucijos – mes ir Žurnalistų etikos inspektoriaus tarnyba. Asmenų vaizdinės ir kitos informacijos skelbimas viešais kanalais yra būtent minėtos tarnybos kompetencija. Žurnalistų etikos inspektoriaus tarnyba yra atsakinga už asmens duomenų tvarkymo priežiūrą saviraiškos ir informacijos laisvės, įskaitant duomenų tvarkymą žurnalistikos, akademinės, meninės ar literatūrinės saviraiškos tikslais.

Ar yra rolė organizacijoje, kuriai butu artimiausia duomenų apsaugos pareigūno rolė (jei kalbama apie esamu žmonių paskyrimą)?

Negalėtų būti vienareikšmiško atsakymo į šį klausimą, tai priklauso nuo kiekvienos atskiros organizacijos. Tačiau norėtųsi nepraleisti progos dar kartą pabrėžti, kad duomenų apsaugos pareigos turėtų būti ne formalus įrašas darbuotojo pareigybėje, o reali kasdienė veikla.

Koks DAP atlyginimas?

Atsakymas į šį klausimą, tai daugiau pasvarstymas, nes atlyginimas yra kiekvienos įmonės apsisprendimo reikalas, tačiau turint omenyje, kad tai nauja pareigybė rinkoje ir tokių specialistų trūksta, tikriausiai atlyginimai nėra maži.

Ar būtina kreiptis dėl išankstinės patikros, jeigu dideliu mastu asmens duomenis tvarkantis subjektas iki BDAR buvo registruotas duomenų valdytojų registre?

Reikėtų dar kartą pabrėžti, kad, pradėjus taikyti BDAR, organizacijoms nebeliko pareigos atlikti išankstinę patikrą ir registruotis Asmens duomenų valdytojų valstybės registre. O jeigu turite omenyje BDAR įtvirtintą naujovę – išankstines konsultacijas, tai jų reikia kreiptis į Valstybinę duomenų apsaugos inspekciją, jeigu:

  • Atlikus poveiki duomenų apsaugai vertinimą duomenų valdytojas nustato, kad tvarkant duomenis kiltų didelis pavojus, jei duomenų valdytojas nesiimtų priemonių pavojui sumažinti;
  • Rengiant teisėkūros priemonę, kurią turi priimti Seimas arba tokia teisėkūros priemone yra grindžiamos reguliavimo priemonės, susijusios su duomenų tvarkymu;
  • Nacionalinės teisės nustatytais atvejais, kai reikalaujama duomenų valdytojo konsultuotis su priežiūros institucija ir gauti išankstinį leidimą dėl duomenų valdytojo atliekamo tvarkymo siekiant atlikti užduotį, kurią duomenų valdytojas vykdo dėl viešojo intereso, įskaitant duomenų tvarkymą socialinės apsaugos ir visuomenės sveikatos srityje.

Jeigu imonėje/istaigoje naudojama IIRIS. Kokiame/kokiuose teises aktuose nurodomos DAP funkcijos IIRIS'e

Neaiškus klausimas.

Ar galima įmonės internetinėje svetainėje talpinti darbuotojų (pvz.: vadybininkų) nuotraukas su darbo kontaktais (el. paštu, tel. numeriu ir t. t.)?

Šiuo atveju reikėtų vadovautis duomenų kiekio mažinimo principu, kuris reiškia, kad asmens duomenų turi būti tvarkoma tik tiek, kiek reikia numatomam tikslui pasiekti. Kaip jau minėta, duomenų valdytojo pareiga būtų įrodyti, kad toks nuotraukos naudojimas yra būtinas jo nustatytam tikslui pasiekti, taip pat tokį tvarkymą pagrįsti bent viena BDAR numatyta asmens duomenų tvarkymo sąlyga. Priešingu atveju, toks nuotraukos naudojimas būtų laikomas neteisėtu.

Kada atsiras galimybe gauti sertifikatą BDAR atitikimui?

Šiuo metu Europos Komisija yra užsakiusi studiją dėl sertifikavimo. Taigi, kol kas dar nėra aišku, kada tiksliai galėtų atsirasti galimybė gauti Jūsų minimus sertifikatus.

Kam fiziniam asmeniui reikalingas DAP?

Duomenų valdytoju ar duomenų tvarkytoju gali būti ir fizinis asmuo (advokatai, antstoliai, notarai ir kt.). Tokiu atveju, kai jo atliekamas asmens duomenų tvarkymas atitiks BDAR numatytus tam tikrus kriterijus, jis turės paskirti duomenų apsaugos pareigūną. Be to, duomenų valdytojas ir duomenų tvarkytojas turi teisę skirti duomenų apsaugos pareigūną, net ir jei jo veikla neatitinka minėtoje BDAR nuostatoje numastytų kriterijų.

DAP - fizinis ar/ir juridinis asmuo?

Duomenų apsaugos pareigūnas savo pareigas gali eiti ir nedirbdamas duomenų valdytojo ar duomenų tvarkytojo organizacijoje, pagal paslaugų sutartį, sudarytą su asmeniu ar organizacija. Pastaruoju atveju būtina, kad kiekvienas organizacijos, atliekančios duomenų apsaugos pareigūno funkciją, narys įvykdytų visus taikytinus BDAR 4 skirsnio reikalavimus (pvz., būtina, kad nė vienam nariui nekiltų interesų konfliktas).

Jūsų nuomonė apie skirtingus baudų dydžius viešajam sektoriui <60 K€ ir privačiam sektoriui 20 M€?

Valstybės narės turėjo galimybę viešajam sektoriui nacionaliniuose teisės aktuose nustatyti mažesnes baudas ir šia teise pasinaudojo. Tai atrodo logiškas žingsnis, nes baudos vis tiek yra pakankamai didelės, kad atgrasytų nuo piktybiško BDAR reikalavimų nesilaikymo, tačiau mažesnės, negu privačiam sektoriui, nes valstybinis sektorius mokės baudas iš to paties valstybės biudžeto, į kurį baudos ir sugrįš.

Kokiu pagrindu Creditinfo tvarko kreditingumo duomenis. Tokio sutikimo jiems nedaviau. Ar jie pažeidžia BDAR?

Į šį klausimą, kaip ir prieš tai aptartu „Maximos“ atveju, galėtų ir turėtų atsakyti pati duomenų valdytoja, t. y. „CreditInfo“.

Kokia yra viena iš geriausių kibernetinio saugumo specialistų sertifikavimo programų?

Kaip valstybinė institucija neturime teisės reklamuoti konkrečių produktų.

Ar yra patvirtintos DAP sertifikavimo gairės?

Apie tokias neteko girdėti, tačiau Valstybinė duomenų apsaugos inspekcija yra parengusi ir paskelbusi viešąją konsultaciją „Dėl pareigos paskirti duomenų apsaugos pareigūną“. O Europos duomenų apsaugos valdyba yra parengusi Duomenų apsaugos pareigūnų gaires.

Ar tikrai kiekvieną galima “Nulaužti”?

Tai labiau retorinis klausimas, tačiau praktikoje visgi vyrauja nuomonė, kad viskas priklauso nuo resursų, kuriuos turi įsilaužėlis, jeigu įsilaužėlis turi ir gali skirti didesnius resursus, negu „nulaužiamasis“, paprastai teigiama, kad tokia tikimybė egzistuoja.

 ESET Security Day 2018 Renginio akimirkos: