first fine in Lithuania

Skirta pirmoji BDAR bauda Lietuvoje

Praėjus metams po BDAR įsigaliojimo, Lietuvos valstybinė duomenų apsaugos inspekcija (VDAI) skyrė pirmą administracinę baudą. Įmonei UAB „Mister Tango“, kuri teikia finansines paslaugas tiek Lietuvoje, tiek užsienio šalyse, buvo skirta 61 500 EUR bauda už BDAR 5, 32 ir 33 straipsnių pažeidimus, tarp kurių – netinkamas asmens duomenų tvarkymas momentiniuose ekrano vaizduose (MEV).

Netinkamas asmens duomenų tvarkymas

Remiantis VDAI pateiktais duomenimis,  nustatyta, kad UAB „MisterTango“ tvarko daugiau asmens duomenų, negu būtina mokėtojo inicijuotam mokėjimui įvykdyti. Be to, nustatyta, kad įmonė duomenis saugo ilgiau, negu pati yra nustačiusi bei nurodo esant reikalinga.

VDAI rašo, kad tyrimo metu nustatyta, kad ne mažiau kaip 2 dienas internete buvo prieinamas tinklalapis su UAB „MisterTango“ apdorotų mokėjimų sąrašu. Jame buvo matomi įvairių bankų įstaigų klientų atlikti mokėjimai per UAB „MisterTango“ mokėjimo iniciavimo paslaugų sistemą su tų klientų asmens duomenimis. Taip pat daugiau kaip 9 000 MEV su 12 skirtingų bankų, esančių skirtingose valstybėse, klientų mokėjimo sesijų detalių puslapiais. Be kita ko, nustatyta, kad įmonėje saugos užtikrinimą ir valdymą bei visos įmonės IT infrastruktūros (techninės ir programinės) valdymą, diegimą ir priežiūrą vykdė vienas darbuotojas. Taip nebuvo užtikrintas tinkamas neautorizuotų ar netyčinių modifikacijų galimybių minimizavimas ir tinkamos asmens duomenų apsaugos politikos įgyvendinimas. Taigi, UAB „MisterTango“ nepasirinko atitinkamų techninių ar organizacinių priemonių, kurios padėtų užtikrinti pavojų atitinkančio lygio saugumą, įskaitant apsaugą nuo neteisėto tvarkymo, atskleidimo, ir tuo pažeidė BDAR 5 ir 32 str.

Inspekcijos nuomone, pirmiau minėtas incidentas, kai 2 dienas internete neautorizuotiems asmenims buvo sudaryta galimybė prieiti prie asmens duomenų, laikytinas tokiu duomenų saugumo pažeidimu, apie kurį privaloma pranešti priežiūros institucijai. Todėl UAB „MisterTango“ privalėjo ne vėliau kaip 72 val, kai sužinojo apie asmens duomenų saugumo pažeidimą, apie tai pranešti Inspekcijai. Apie šį pažeidimą nepranešdama priežiūros institucijai UAB „MisterTango“ pažeidė BDAR 33 str.

Asmens duomenų apsaugos inspekcijos tyrimas

Prieš priimdama sprendimą dėl baudos skirimo, VDAI apsvarstė visus veiksnius, susijusius su tuo, ar įmonė „Mister Tango“, dėjo visas pastangas, siekdama užtikrinti, kad duomenų tvarkymas būtų skaidrus, suderinamas ir saugus. VDAI padarė išvadą, kad „Mister Tango“ neturi reikiamų techninių ir organizacinių saugumo priemonių, kad užtikrintų reikiamą saugos lygį, įskaitant apsaugą nuo neteisėto tvarkymo ar atskleidimo.

VDAI sprendimas dar neįsigaliojo ir gali būti apskųstas teismui.

Originalus šaltinis: Įmonės atsakomybės neišvengs – Lietuvoje skirta ženkli bauda už Bendrojo duomenų apsaugos reglamento pažeidimus

Daugiau panašiomis temomis:

Share on facebook
Share on google
Share on twitter
Share on linkedin
Share on pinterest
Share on print
Share on email

Subscribe to our Newsletter

Your e-mail address is only used to send you our newsletter and information about the activities of GDPR Register. You can always use the unsubscribe link included in the mail.

Latest Posts
Duomenų apsaugos pareigūno vaidmuo ir pareigos

Duomenų apsaugos pareigūno vaidmuo ir pareigos

Atsižvelgiant į naujausią CPO žurnalo apklausą, mes aiškinamės, koks yra duomenų apsaugos pareigūno (DAP) vaidmuo. Šiame straipsnyje bus atsakyta į...
Skirta pirmoji BDAR bauda Lietuvoje

Skirta pirmoji BDAR bauda Lietuvoje

Praėjus metams po BDAR įsigaliojimo, Lietuvos valstybinė duomenų apsaugos inspekcija (VDAI) skyrė pirmą administracinę baudą. Įmonei UAB „Mister Tango“, kuri...
Poveikio duomenų apsaugai vertinimo vadovas

Poveikio duomenų apsaugai vertinimo vadovas

Bendrasis duomenų apsaugos reglamentas (BDAR) reikalauja, kad įmonės ir organizacijos, kurių duomenų tvarkymas gali sukelti pavojų fizinių asmenų interesams, atliktų poveikio asmens...
BDAR ir B2B rinkodara

BDAR ir B2B rinkodara

Perduodant asmeninius duomenis tiesioginei rinkodarai B2B ir B2C veikloje, reikia vadovautis dviem atskirais ES lygmens reglamentais. Elektroninių ryšių įstatymu (ERĮ)...
BDAR: Teisėti interesai

BDAR: Teisėti interesai

BDAR nurodo 6 teisėtumo pagrindus asmens duomenų tvarkymui ir teisėti interesai - vienas jų.Teisėti interesai nenurodo konkretaus duomenų tvarkymo tikslo, todėl tai...
Šeši mėnesiai su GDPR. Kas įvyko?

Šeši mėnesiai su GDPR. Kas įvyko?

BDAR, įsigaliojęs 2018 m. gegužės 25 d., išplėtė ES duomenų apsaugos zonos aprėptį, pristatė naujoves, turinčios įtakos tiek įmonėms, tiek...
Kibernetinės atakos iš BDAR perspektyvos: Ransomware

Kibernetinės atakos iš BDAR perspektyvos: Ransomware

Beveik kiekvienas verslo sektorius, vykdydamas kasdienes operacijas, į jas integruoja įvairias technologijas. IT infrastruktūra ir praktika, jei ji nėra reguliariai...
Sveikatos priežiūros sektorius: kaip atitikti BDAR reikalavimus?

Sveikatos priežiūros sektorius: kaip atitikti BDAR reikalavimus?

Įsigaliojus BDAR, asmens duomenų apsauga tapo sudėtingesnė sveikatos priežiūros sektoriui -  duomenys turi būti tvarkomi remiantis holistiniu požiūriu. Organizacijose turi būti...
Viešbučių ir laisvalaikio planavimo sektorius: Kaip atitikti BDAR reikalavimus?

Viešbučių ir laisvalaikio planavimo sektorius: Kaip atitikti BDAR reikalavimus?

Viešbučių ir laisvalaikio planavimo sektorius surenka didžiulį kiekį asmens duomenų, todėl būtina imtis reikiamų veiksmų, kad būtų išvengta finansinių pasekmių dėl...
Google Analytics: IP Anonimizacija

Google Analytics: IP Anonimizacija

Daugelis įmonių naudoja "Google Analytics" kaip pagalbinę priemonę, kad surinktų vertingos informacijos apie klientų elgesį svetainėse, mobiliosse programėlėse ir kt....

Zpracovává vaše společnost osobní údaje?


Zpracovávat vaše společnost osobní údaje fyzických osob, jako jsou:

  • Údaje zaměstnanců, zákazníků, uchazečů o zaměstnání nebo pacientů včetně:
    • Jméno nebo osobní identifikační číslo
    • Kontaktní údaje (e-mailová adresa, telefonní číslo, adresa)
    • Bankovní údaje, plat, údaje o pasu nebo jiné osobní údaje

 

Ar Jūsų įmonė renka ir tvarko fizinių asmenų asmens duomenis? 


Asmens duomenys gali būti:

  • Kliento, darbuotojo. paciento, kandidato į darbo vietą ir kt. 
    • Vardas ar asmens  numeris 
    • Kontaktinė informacija (el.pašto adresas, telefono numeris, adresas ir kt)
    • Banko sąskaitos  duomenys, atlyginimo dydis, paso duomenys ar bet kokia kita asmeninė informacija. 

Onko yrityksessäsi enemmän, kuin 250 työntekijää?


Kas teie ettevõte kogub ja töötleb isikuandmeid?


Kas teie ettevõte kogub ja töötleb füüsiliste isikutega seotud andmeid nagu näiteks:

Töötajate, klientide, tööle kandideerijate, patsientide:

  • Nimi, isikukood
  • E-posti aadress, telefoninumber, kodune aadress
  • Pangakontonumber, palgasumma, krediitkaardiandmed või mõnda muut tüüpi isiklikud andmed

Does your company collect any personal data?


Does your company collect and process any personal data of natural persons such as:

  • Employees, Customers, Job Applicants or Patients including:
    • Name or personal ID number
    • Contact details (Email address, Phone number, Address)
    • Bank details, Salary amounts, Passport details or any other personal data