Valstybinės duomenų apsaugos inspekcijos išvadoje nurodyti trūkumai ištaisyti, rekomendacijos įgyvendinamos

2017-02-08

Valstybinė duomenų apsaugos inspekcija (Inspekcija), atlikusi asmens duomenų tvarkymo teisėtumo patikrinimą dėl interneto svetainėje www.rinkejopuslapis.lt įgyvendinamų asmens duomenų saugumo priemonių, Vyriausiajai rinkimų komisijai (VRK) pateikė išvadas ir rekomendacijas.

Valstybinės duomenų apsaugos inspekcijos išvadoje nurodyti trūkumai ištaisyti, rekomendacijos įgyvendinamos

Inspekcija nustatė, kad VRK, tvarkydama asmens duomenis interneto svetainėje www.rinkejopuslapis.lt yra pasitelkusi duomenų tvarkytojus: portalą ,,Rinkėjo puslapis" (Portalas) kūrė ir diegė išorinis paslaugų teikėjas UAB „Tieto Lietuva"; o Portalo priežiūrą, vadovaujantis 2016 m. vasario 25 d. paslaugų viešojo pirkimo sutartimi, vykdo UAB „iTree Lietuva", kuri yra atsakinga už Portalo funkcinę ir techninę priežiūrą. Techninę Portalo infrastruktūrą valdo UAB „Baltnetos komunikacijos", kuri su UAB „iTree Lietuva" yra pasirašiusi jungtinės veiklos sutartį.

Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo (Įstatymas) 30 straipsnio 1 dalis nurodo, kad duomenų valdytojas ir duomenų tvarkytojas privalo įgyvendinti tinkamas organizacines ir technines priemones, skirtas apsaugoti asmens duomenims nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo.

Inspekcija patikrinimo metu nustatė, kad 2016 m. spalio 9 d. Seimo rinkimų metu UAB „iTree Lietuva" ir UAB „Baltnetos komunikacijos", siekiant užtikrinti didesnio vartotojų srauto aptarnavimo, nusprendė įjungti serveriuose duomenų laikymo laikinoje atmintyje funkcionalumą. Dėl techninės realizacijos specifikos, prisijungę vartotojai ribotą laiko tarpą turėjo galimybę matyti kito asmens duomenis (vardą, pavardę ir adresą) atnaujindami naršomą tinklapį. Tokių asmenų galimai buvo 91.

Portale asmens duomenys buvo neteisėtai atskleisti pašaliniams asmenims dėl kūrimo metu atsiradusios F5 formos programinės įrangos realizacijos tinklapyje trūkumų, kurie turėjo būti pastebėti atliekant saugos testavimą kūrimo ir diegimo metu, tačiau to padaryta nebuvo.

Inspekcijos pateiktoje išvadoje nurodoma, kad paslaugos teikėjas nesilaikė Bendrųjų elektroninės informacijos saugos reikalavimų aprašo 42 punkto, nebuvo atliktas programinės įrangos pokyčių patikrinimas bandomojoje aplinkoje, kurioje nėra konfidencialių ir asmens duomenų, kuri atskirta nuo eksploatuojamos informacinės sistemos.

Vykdant Inspekcijos rekomendacijas bus vykdomas portalo „Rinkėjo puslapis" saugos auditas, vertinami galimai nustatyti saugos trūkumai ir atliekamas jų šalinimas. Paslaugų teikėjai kiekvieną ketvirtį VRK teiks saugos incidentų stebėsenos ataskaitas, kurios bus analizuojamos, o nustatyti trūkumai šalinami. Siekiant užtikrinti perduodamų duomenų vientisumą ir konfidencialumą bei užtikrinti SSL sertifikatų valdymą, įgytas Wildcard tipo SSL sertifikatas portalo „Rinkėjo puslapis" domenui rinkejopuslapis.lt. VRK portalo užsakomi pakeitimai tikrinami ir testuojami bandomojoje aplinkoje, kuri yra atskirta nuo eksploatuojamos informacinės sistemos.

 

Vyriausiosios rinkimų komisijos informacija.