Todėl, siekiant užtikrinti gaunamų skundų tyrimo efektyvumą, VDAI pateikia dažniausiai pasitaikančius atvejus su pavyzdžiais, kai inspekcijai pateikti skundai pripažįstami nepagrįstais.

GDPR REGISTER PATARIMAS:   Kiekviena taisyklė turi išimtį. Todėl, prieš pateikiant skundą, reiktų susipažinti su įmonės privatumo politika, kurioje turi būti nurodoma kokie asmens duomenys yra renkami ir kokiais tikslais tvarkomi.

Skaitykite plačiau:

Duomenų tvarkymo veiklos įrašai (BDAR 30 straipsnis)

Duomenų tvarkymo teisėtumas remiantis BDAR

BDAR įtaka tiesioginei rinkodarai ir profiliavimui

The post Valstybinė duomenų apsaugos inspekcija paaiškina, kada gaunami skundai laikomi nepagrįstais appeared first on GDPR Register | Compliance tool for privacy experts.

Vis dėlto, pasirodo, kad NASA yra tokia pat pažeidžiama. Duomenų apsaugos pažeidimo metu buvo atskleisti ir viešai prieinami NASA darbuotojų duomenys (vardai, el. pašto adresai, darbuotojų vaidmenys priskirtuose projektuose, informacija apie dabartinius NASA projektus ir būsimas užduotis). Tai galimai nutiko dėl klaidingai suprastos „visi vartotojai“ sąvokos, paskiriant leidimus naujai sukurtos programos valdymui. Tariamai, sistemos administratorius suteikė prieigą „visiems“ (žmogiškosios klaidos lemia apie 88% praneštų pažeidimų). Tai suteikė visuomenei prieigą bent 3 savaites prie  NASA darbuotojų sąrašo, lankutojai galėjo susipažinti su projektų ir užduočių skirstymu į kategorijas  ir kt.

Be to, tai nėra vienintelis duomenų pažeidimas, kurį patiria NASA. 2018 m. Spalio mėn. „hakeriai“ prisijungė prie vieno iš NASA serverių, kuriame buvo saugoma asmeninį identifikuojanti informacija (PII), tokia kaip socialinio draudimo numeriai ir kiti spoecialiosios kategorijos duomenys.

GDPR REGISTER PATARIMAS:   darbuotojo/ žmogaus klaidos sukelia 4 iš 5 duomenų apsaugos pažeidimų (JK). Mokymų trūkumas, neaiškiai nurodytos pareigos ar neatsakingumas gali nulemti tokias klaidas kaip  konfidencialių duomenų išsiuntimą neteisingam gavėjui, dokumentų praradimą ar neteisėtą pasisavinimą, duomenų palikimą  nesaugioje vietoje ir kt. Siekiant išvengti galimų žmogiškųjų klaidų, kiekvienam darbuotojui turėtų būti pateiktos aiškūs pareigų nurodymai. Be to, mokymas turėtų vykti kaskart įdiegus naują techninę ar organizacinę saugumo priemonę. Darbuotojai turi būti gerai informuoti, kaip atpažinti grėsmę ir ką daryti duomenų apsaugos pažeidimo atveju.
Taip pat, veikloje turi būti taikomos tam atitinkamos techninės ir operacinės saugos priemonės, kad būtų išvengta kibernetinių atakų bei kitų grėsmių.

The post NASA patyrė dar vieną duomenų apsaugos pažeidimą appeared first on GDPR Register | Compliance tool for privacy experts.

Praėjus kelioms dienoms po viešo pranešimo apie incidentą buvo rastas galimas kibernetinės atakos kaltininkas. Manoma, kad 19 metų vaikinas sukelė didžiulį duomenų apsaugos pažeidimą, kuris paveikė šimtus politikų ir įžymybių. Kuomet Vokietijos vyriausybė vertina šį išpuolį kaip abai rimtą amens duomenų apsaugos pažeidimą, kibernetinio saugumo ekspertai įspėja visus aukšto rango pareigūnus, kad jie atpažintų riziką ir imtųsi veiksmų panašių incidentų prevencijai.

GDPR REGISTER PATARIMAS  kaip apsisaugoti nuo „hakerių“:
1.  Sudėtingų slaptažodžių naudojimas, susidarytus iš skaičių, didžiųjų ir mažųjų raidžių ir specialių simbolių, kuriuos sunku atspėti.
2. Slaptažodžių valdytojo naudojimas, kuris savo sistemoje saugo slaptažiodžius ir automatiškai užpildo prisijungimo laukelius, padeda sukurti sudėtingą ir unikalų slaptažodį kiekvienai paskyrai. Tai padeda apsaugoti ne tik turimas paskyras, bet ir įrenginius.
3. Slaptažodžio NEatskleidimas. Išskyrus kai kurias mokyklo įstaigų paslaugas, niekada nepateikite administratoriui paskyros slaptažodžio.
4. Slaptažodžio keitimas nors kartą per 6 mėn. 
5. Dviejų veiksnių autentifikavimas, kuris reikalauja įvesti gautą kodą, pvz., atsiųstą SMS žinute. Tai apsunkina „hakerio“ darbą siekiant tikslinės informacijos, net jis gali įveikti slaptažodį.
6. NEteisingo atsakymo į saugumo klausimus įvedimas. „Hakeris“gali labai lengvai sužinoti „taikinio“ mamos mergautinę pavardę arba kiokioje gatvėje jis užaugo. Todėl geriau įvesti atsitiktinius atsakymus arba sukurti naujus slaptažodžius, kurie neturi visiškai jokio ryšio su saugumo  klausimu.
7. Privatumo politikos perskaitymas. .Bet kuri įmonė, kuri renka asmeninius duomenis, privalo turėti privatumo politiką, kurioje būtų išsamiai aprašyta, kaip jie naudojasi šia informacija ir kiek jie dalijasi su 3 asmenimis.
8. Atsijungimas nuo paskyros baigus sesiją. Ypač svarbu, jei naudojamasi vietose, kuriose bendrai naudojamasi kompiuteriu (bibliotekos, interneto kavinės ir kt. Taip pat patartina neatidaryti, nespausdinti svarbių/konfidencialių dokumentų naudojantis viešai prieinamu WiFi ryšiu.
9. Įsitikinkinimas, kad į slaptažodis įvedamas į oficialų tinklalapį. Phishing tipo sukčiavimas – atvejai, kai kenkėjiškas puslapis apsimeta, kad yra socialinis tinklas,  žiniasklaidos ar banko sąskaitos prisijungimo puslapis – tai vienas iš paprasčiausių būdų, kaip neteisėtu būdu gauti asmenų duomenis. Vienas iš būdų atpažinti netikras svetaines yra pažvelgti į jos URL (adresą): jei jis labai panašus (tačiau tiksliai neatitinka) tikrosios svetainės URL, tai yra apgavystė.

Kaip ir bet kuris asmuo, bet kuri įmonė, nepaisant dydžio, gali tapti kibernetinės atakos taikiniu. Užpuolikai žino, kad GDPR bauda gali būti mirtina mažesnėms įmonėms. Skaitykite plačiau apie tai, kaip užkirsti kelią kibernetinėms atakoms įmonėse.

The post Vokietijos politikai kibernetinių išpuolių taikinyje appeared first on GDPR Register | Compliance tool for privacy experts.

Klientų asmens duomenų privatumas buvo pažeistas dėl silpnos duomenų apsaugos sistemos ir darbuotojų klaidos. Remiantis the Lexology duomenimis, kompiuterio kodas, reikalaujantis vartotojo autentifikavimo, buvo deaktyvuotas sistemos testavimo metu. Testavimui pasibaigus,  šis kodas nebuvo iš naujo aktyvuotas. Dokumentai su kliento asmens duomenimis tapo viešai prieinamais.  Bendrovė užblokavo prieigą prie duomenų. pažeidimo nustatymas ir pranešimas apie jį užtruko 4 dienas.

GDPR REGISTER PATARIMAS:  darbuotojo/ žmogaus klaidos sukelia 4 iš 5 duomenų apsaugos pažeidimų (JK). Mokymų trūkumas, neaiškiai nurodytos pareigos ar neatsakingumas gali nulemti tokias klaidas kaip  konfidencialių duomenų, išsiuntimą neteisingam gavėjui, dokumentų praradimą ar neteisėtą pasisavinimą, duomenų palikimą  nesaugioje vietoje ir kt. Siekiant išvengti galimų žmogiškųjų klaidų, kiekvienam darbuotojui turėtų būti pateiktos aiškūs pareigų nurodymai. Be to, mokymas turėtų vykti kaskart įdiegus naują techninę ar organizacinę saugumo priemonę. Darbuotojai turi būti gerai informuoti, kaip atpažinti grėsmę ir ką daryti duomenų apsaugos pažeidimo atveju.

Skaitykite daugiau apie dažniausiai pasitaikančias duomenų apsaugos pažeidimų priežastis.

The post Prancūzijos telekomunikacijų operatoriui „Bouygues Telecom“ paskirta bauda appeared first on GDPR Register | Compliance tool for privacy experts.

The post TRAFI Suomijoje paviešino asmens duomenis appeared first on GDPR Register | Compliance tool for privacy experts.

Portugalijos duomenų apsaugos priežiūros institucija atliko tyrimą vietos ligoninėje. Tyrimo metu paaiškėjo, kad ligoninės darbuotojai, psichologai, dietologai ir kiti specialistai, susikūrę netikras paskyras, turėjo prieigą prie pacientų duomenų. Pažeidimas aptiktas įtarus netinkamą įmonės darbuotojų paskirų valdymą – ligoninėje buvo registruotos 985 gydytojų paskiros, nors oficialus gydytojų skaičius ligoninėje – 296. Be to, gydytojai turėjo neribotą prieigą prie visų pacientų bylų, neatsižvelgiant į gydytojo specialybę. Pranešama, kad Portugalijos duomenų apsaugos priežiūros institucija padarė išvadą, kad ligoninė nevykdo tinkamų techninių ir organizacinių priemonių pacientų duomenų apsaugai.

Gindamasi ligoninė teigia, kad Portugalijos sveikatos apsaugos ministerija naudoja IT sistemą, teikiamą viešosioms ligoninėms. Tačiau, remiantis BDAR, kiekviena įmonė/organizacija yra pati atsakinga, kad naudojami IT sprendimai atitiktų BDAR reikalavimus.

GDPR REGISTER PATARIMAS:   Siekiant išvengti neteisėtos prieigos prie serveryje ar debesijoje laikomų asmens duomenų, jų neteisėto naudojimo ir praradimo, būtina nustatyti tam tikras technines saugumo priemones. Skaitykite daugiau apie  sveikatos priežiūros sektoriaus atitikimą BDAR

Pilna istorija
Ligoninė Portugalijoje pateikė apeliaciją dėl baudos gavimo 

The post Ligoninei Portugalijoje skirta 400 000 eurų baudą appeared first on GDPR Register | Compliance tool for privacy experts.

Pažeidimas buvo nustatytas praėjus 20 dienų nuo jo atsiradimo.  Nukentėjusių klientų paskyros buvo pažymėtos, kad būtų galima stebėti bet kokį galimą neleistiną elgesį. „Radisson“ viešbučių grupė nedelsiant informavo ES duomenų apsaugos priežiūros institucijas apie esamą padėtį.

Šiuo metu bauda „Radisson“ viešbučių grupėi gali siekti 10 mln. eur. arba 2 proc.  nuo apyvartos. Tačiau reikia atlikti išsamų tyrimą, siekiant įvertinti riziką ir veiksmus, kurių įmonė ėmėsi žalai sumažinti.

MŪSŲ PATARIMAS:  Įmonės viešbučių ir turizmo sektoriuje tvarko didelį kieki įvairios asmeninės informacijos apie savo kientus. Todėl pirmas dalykas, kurį turėtų atlikti šios bendrovės, – peržiūrėti visus sukauptus duomenis. Sutikimas tvarkyti asmens duomenis turėtų būti gauti tiek jau esamiems, tiek naujai gaunamiems duomenims. Įmonės, kurios tvarko didelio masto asmens duomenis, turėtų skirti duomenų apsaugos pareigūną (DPO) ir atlikti Duomenų apsaugos poveikio vertinimą (DPIA). Taip pat yra papildomų reikalavimų, taikomų duomenims, kurie perduodami už ES ribų.

Daugiau naudingos informacijos rasite straipsnyje „Viešbučių ir turizmo sektorius: Kaip atitikti BDAR reikalavimus?“

Pilna istorija (anglų kalba)

The post „Radisson Hotel“ lojalumo programos duomenų apsaugos pažeidimas appeared first on GDPR Register | Compliance tool for privacy experts.

Privatumo politikoje turėtų būti nurodyti pagrindiniai elementai. Taip pat informaciją apie trečiąsias šalis, turinčias prieigą prie duomenų bei bet kuri trečioji šalis, renkanti duomenis naudodama valdiklius (pvz., socialinių tinklų mygtukus) ir integraciją (pvz., „Facebook Connect“)..

Be to, privatumo politikoje turi būti nurodomos bet kokios „pavojingos“ leidimų grupės, pvz .: kalendorius, fotoaparatas, kontaktai, vietos nustatymas, mikrofonas, telefonas, jutikliai, SMS ir saugykla.

Jei programėlė apdoroja naudotojų asmens duomenis dėl priežasčių, nesusijusių su jos funkcionalumu, kūrėjas turi įtraukti papildomą informaciją apie tai ir gauti vartotojo sutikimą

Jei programėlė skirta vaikams, prieš renkant  asmeninę jų informaciją, tėvams turi būti pateikiamas pranešimas dėl jų renkamos jų vaikų informacijos.  Taip pat reikia gauti jų sutikimą, su galimybe patikrinti jo teisėtumą.

GDPR REGSTER PATARIMAS:  parenkite aiškią ir detalią privatumo politiką. Nurodykite kokie asmens duomenys yra renkami, bei  kaip ir kokiu tikslu programėlė ar paslauga juos renka. Nepamirškite pridėti  leidimų “pavojingoms” gupėms.

Skaitykite daugiau (anglų kalba)

The post Privatumo politika dabar privaloma programėlėms ir Google Play platformoje appeared first on GDPR Register | Compliance tool for privacy experts.

AIQ tyrimas, vykdytas ICO (duomenų apsaugos institucija Jungtinėje Karalystėje), prasidėjo dar prieš BDAR įsigaliojimo datą. Tyrimo metu buvo sprendžiamas klausimas:  ar bendrovė pažeidė Kanados ir Britų Kolumbijos privatumo įstatymus? Tuomet AIQ atsisakė atsakyti į ICO užklausas, remdamasi tuo, kad Jungtinėje Karalystėje veikianti duomenų apsaugos institucija neturėjo jurisdikcinės galios prieš Kanados įmonę. Tačiau, BDAR apima duomenų valdytojus ir tvarkytojus visame pasaulyje. Tai reiškia, kad jei įmonė renka ir/ar tvarko Europos ekonominės erdvės gyventojų duomenis, jie turi laikytis BDAR nurodymų. Remdamasi tuo, ICO atrado pagrindą teisėtai vykdyti veiksmus prieš AIQ.

GDPR REGISTER PATARIMAS:  Net jei jūsų įmonė yra už ES ribų, jai vis dar gali būti taikomos BDAR taisyklės. Tai reiškia, kad įmonės, kurios dirba su ES rinka ir tvarko ES piliečių asmens duomenis (renka, saugo ar naudoja), turi laikytis BDAR.

Skaityti daugiau (anglų kalba)

The post GDPR smūgis mažai žinomui Cambridge Analytica partneriui appeared first on GDPR Register | Compliance tool for privacy experts.

Privatumo politikoje turi būti nurodomos trečiosios šalys – analizės įrankiai, reklaminiai tinklai, motininės ir dukterinės įmonės, ar bet kas, turintis prieigą prie vartotojo asmeninių duomenų.

Šis nurodymas įsigaliojo spalio 3 dieną ir taikomas visoms naujoms programėlėms ir programėlių atnaujinimams, įtraukiant ir tas, kurios nereikalauja prieigos prie interneto.

GDPR REGISTER PATARIMAS:   Parenkite aiškią ir detalią Privatumo politiką, nurodykite visus duomenis, renkamus apie vartotoją, kokiu būdu ji renkama ir kokiu tikslu. 

Skaitykite daugiau anglų kalba : Apple Developer.

The post Parenkite privatumo politiką kuriamoms programėlėms appeared first on GDPR Register | Compliance tool for privacy experts.