Leedu isikuandmete kaitse järelevalveasutus (Valstybinė duomenų apsaugos inspekcija (ADA)) määras 02.03.21 Leedu riigiettevõttele Registrite Keskus (Registrų centras) 15 000 eurot trahvi infotehnoloogiliste ja korralduslike turvameetmete ebapiisava rakendamise eest.

Trahviotsuse kohaselt ei taganud Registrite Keskus infosüsteemide turvalisust, sh isikuandmete terviklust ja kättesaadavust ning ei täitnud oma kohustust taastada turvaintsidendi korral juurdepääs isikuandmetele seaduses ette nähtud aja jooksul.

Registrite Keskuse hoole all on Leedus 22 riiklikku registrit, sh kinnistusraamat, maakataster, äriregister, rahvastikuregister, kohtutäiturite- ja õigusabi infosüsteemid jne.

Keskus on ka neis registrites sisalduvate isikuandmete vastutav ja/või volitatud töötleja ning tal on seega GDPR artiklis 32 sätestatud kohustus rakendada asjakohaseid tehnilisi ja korralduslikke meetmeid, võttes arvesse teaduse ja tehnoloogia viimast arengut ja rakendamise kulusid, ning arvestades isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke, samuti erineva tõenäosuse ja suurusega ohte füüsiliste isikute õigustele ja vabadustele.

Eelviidatud meetmed peavad mh tagama isikuandmeid töötlevate süsteemide ja teenuste konfidentsiaalsuse, tervikluse ja kättesaadavuse, sh peavad need olema võimelised taastama õigeaegselt isikuandmete kättesaadavuse ka turvaintsidendi korral.

Haldustrahvi määramisel võttis järelevalveasutus arvesse GDPR artiklis 83 sätestatud kriteeriume – kas rikkumine pandi toime tahtlikult või hooletusest, töötleja poolt võetud meetmeid andmesubjektide kantava kahju leevendamiseks, töötleja eelnevad asjakohaseid rikkumis ja järelevalveasutusega tehtava koostöö määra rikkumise heastamiseks ja rikkumise võimaliku kahjuliku mõju leevendamiseks ning ka seda – millisel viisil sai järelevalveasutus rikkumisest teada, eelkõige kas töötleja ise teatas rikkumisest või mitte.