Šiemet balandį inspekcija gavo pranešimą, kad „Grožio chirurgija“ neužtikrino tinkamų priemonių, skirtų apsaugoti asmens duomenims, dėl to buvo įsilaužta į minėtos bendrovės duomenų bazę ir neteisėtai pasisavinti klientų asmens duomenys.
Iš bendrovės ir jos klientų buvo reikalaujama išpirkos bei grasinama, negavus išpirkos, paviešinti asmens duomenis, rašoma pranešime spaudai. Paskui skelbta, kad duomenys buvo paviešinti.
Duomenų apsaugos inspekcija, tikrindama „Grožio chirurgiją“, nustatė, kad asmens duomenims tvarkyti bendrovė naudoja 2 informacines sistemas: nuo 2017 m. naująją ir šiuo metu dar veikiančią, tačiau retai naudojamą senąją.
Inspekcija atliko tikrinimą ir nustatė, kas bendrovėje yra atliekama netinkamai, bei pateikė nurodymų, ką bendrovė turi padaryti.
Nurodoma, kad įmonė turi užtikrinti, jog kliento sutikimas dėl fotografavimo atitiktų Asmens duomenų teisinės apsaugos įstatymo reikalavimus, turi atsisakyti ypatingų asmens duomenų teikimo el. paštu arba užtikrinti, kad tokiu būdu teikiami duomenys būtų šifruojami, nustatyti konkrečius asmens duomenų saugojimo terminus arba nurodyti konkrečius teisės aktus, kuriuose yra nustatyti asmens duomenų saugojimo terminai.
Taip pat klinika turi pasirūpinti, kad asmens duomenis tvarkanti bendrovė užtikrintų tinkamą duomenų saugumą, turi reglamentuoti asmens duomenų tvarkymą išorinėse laikmenose.
Detalizuojama, kad įmonė turi užtikrinti, kad senojoje informacinėje sistemoje naudojami slaptažodžiai atitiktų saugumo reikalavimus dėl slaptažodžių ilgio, sudėtingumo bei keitimo periodiškumo, kad joje būtų fiksuojami vartotojų veiksmai: prisijungimo identifikatorius, data, laikas ir veiksmai (įvedimas, peržiūra, keitimas, naikinimas).
Nurodoma, kad įmonė turi užtikrinti, jog naujojoje informacinėje sistemoje būtų fiksuojami asmens duomenų peržiūros veiksmai, turi sudaryti galimybę kontroliuoti prisijungimus ir teikti duomenų valdytojui ataskaitas.
Galiausiai įmonė įpareigojama užtikrinti apsaugą nuo duomenų bazės kopijavimo tiek senojoje, tiek naujojoje sistemoje, taip pat užtikrinti, kad išoriniai prisijungimai prie sistemų būtų vykdomi naudojant VPN ryšį.
Iki 2017 m. liepos pabaigos „Grožio chirurgija“ turės raštu informuoti inspekciją apie nurodymų įvykdymą, antraip gali būti skiriama administracinė nuobauda.
