UAB „Grožio chirurgija“ nurodyta tinkamai užtikrinti klientų saugumą

2017-06-20

Valstybinė duomenų apsaugos inspekcija (toliau – VDAI), atlikusi UAB „Grožio chirurgija“ asmens duomenų tvarkymo teisėtumo ir įgyvendinamų asmens duomenų saugumo priemonių tinkamumo patikrinimą, bendrovei pateikė nurodymus.

2017 m. balandžio mėn. VDAI gavo pranešimą, kad UAB „Grožio chirurgija“ neužtikrino tinkamų organizacinių ir techninių priemonių, skirtų apsaugoti asmens duomenims, dėl to buvo įsilaužta į minėtos bendrovės duomenų bazę ir neteisėtai pasisavinti klientų asmens duomenys. Iš bendrovės ir jos klientų buvo reikalaujama išpirkos bei grasinama, negavus išpirkos, paviešinti asmens duomenis. 2017 m. gegužės mėn. pabaigoje visuomenės informavimo priemonės pranešė, kad pasisavinta informacija buvo paviešinta.       VDAI, tikrindama UAB „Grožio chirurgija“, nustatė, kad asmens duomenims tvarkyti bendrovė naudoja dvi informacines sistemas – nuo 2017 m. naująją ir šiuo metu dar veikiančią, tačiau retai naudojamą senąją. VDAI, atlikusi tikrinimą, nustatė, kas bendrovėje yra atliekama netinkamai, ir pateikė nurodymus, kad bendrovė turi:

  • Užtikrinti, kad duomenų kliento sutikimas dėl fotografavimo atitiktų Asmens duomenų teisinės apsaugos įstatymo reikalavimus.
  • Atsisakyti ypatingų asmens duomenų teikimo el. paštu arba užtikrinti, kad tokiu būdu teikiami duomenys būtų šifruojami.
  • Nustatyti konkrečius asmens duomenų saugojimo terminus arba nurodyti konkrečius teisės aktus, kuriuose yra nustatyti asmens duomenų saugojimo terminai.
  • Pasirūpinti, kad asmens duomenis tvarkanti bendrovė užtikrintų tinkamą duomenų saugumą.
  • Reglamentuoti asmens duomenų tvarkymą išorinėse laikmenose nustatant, kokiais atvejais reikia saugoti duomenis šiose laikmenose, duomenų saugojimo terminą, sunaikinimo tvarką, privalomas įgyvendinti organizacines ir technines duomenų saugumo priemones.
  • Užtikrinti, kad senojoje informacinėje sistemoje naudojami slaptažodžiai atitiktų saugumo reikalavimus dėl slaptažodžių ilgio, sudėtingumo bei keitimo periodiškumo.
  • Užtikrinti, kad senojoje informacinėje sistemoje būtų fiksuojami vartotojų veiksmai: prisijungimo identifikatorius, data, laikas ir veiksmai (įvedimas, peržiūra, keitimas, naikinimas).
  • Užtikrinti, kad naujojoje informacinėje sistemoje būtų fiksuojami asmens duomenų peržiūros veiksmai.
  • Sudaryti galimybę naujojoje informacinėje sistemoje kontroliuoti prisijungimus ir teikti duomenų valdytojui ataskaitas.
  • Užtikrinti apsaugą nuo pilno duomenų bazės kopijavimo tiek senojoje, tiek naujojoje sistemoje.
  • Užtikrinti, kad išoriniai prisijungimai prie senosios ir naujosios informacinės sistemos būtų vykdomi naudojant VPN ryšį.
  • Pateikti VDAI pranešimą dėl išankstinės patikros dėl ypatingų asmens duomenų apie sveikatą tvarkymo automatiniu būdu.

Iki 2017 m. liepos pabaigos UAB „Grožio chirurgija“ turės raštu informuoti VDAI apie nurodymų įvykdymą. Už VDAI nurodymų nevykdymą pagal Lietuvos Respublikos administracinių nusižengimo kodeksą gali būti skiriama administracinė nuobauda. Šis VDAI nurodymas Administracinių bylų teisenos įstatymo nustatyta tvarka per 1 mėnesį nuo jo įteikimo dienos gali būti skundžiamas Vilniaus apygardos administraciniam teismui.

 

Raminta Sinkevičiūtė-Šečkuvienė, VDI atstovė

 

© 2006 Visos teisės saugomos.