Asmens duomenys versle: kaip sumažinti kibernetinių atakų pasekmes

Publikuota: 2017-05-30
Iš kairės: Justina Rakauskaitė ir Yvonne Goldammer. Kontoros nuotr.
Iš kairės: Justina Rakauskaitė ir Yvonne Goldammer. Kontoros nuotr.
Advokatų kontoros „bntattorneys-at-law Vilnius“ teisininkės

Klinikos „Grožio chirurgija“ atvejis yra jokiam verslininkui nelinkėtinas pavyzdys, iš kurio dera pasimokyti. Kaip žinia, prieš kelias savaites žiniasklaidoje pasirodė informacija, jog iš minėtos klinikos buvo pavogti jos pacientų asmens duomenys. Tokios kibernetinės atakos nėra naujiena šiuolaikiniame verslo pasaulyje ir dėl to, vis labiau tobulėjant technologijoms, įmonės turi galvoti, kaip maksimaliai apsaugoti save nuo galimų internetinių pavojų.

Nepasirūpinus apsauga – didelės pasekmės

Kiekvienas šiuolaikinis verslo subjektas didžiąją dalį informacijos, o kai kuriais atvejais ir visą informaciją apie save, įskaitant ir komercines įmonės paslaptis, informaciją apie verslo partnerius, klientus, saugo internete ir (ar) įvairiose kompiuterinėse laikmenose (serveriuose). Tinkamai neapsaugojus vidinės informacijos, pasekmės atitinkamam verslo subjektui gali būti labai skaudžios ir negrįžtamos.

Pirma, įsilaužus į įmonės (fizinio asmens, vykdančio ūkinę veiklą) duomenų bazę ar interneto puslapį, gali būti pavogta konfidenciali informacija, kuri gali būti panaudota prieš pačią įmonę arba būti naudinga įmonės konkurentams, dar blogiau, jeigu paaiškėtų atitinkamo verslo subjekto ir jo verslo partnerių susitarimai, pačių verslo partnerių konfidenciali informacija ir kiti susiję duomenys. Tai galėtų ypač pakenkti verslo subjekto vykdomai veiklai, pabloginti ar visiškai sugadinti verslo subjekto reputaciją, o tai lemtų visiškai ar iš dalies prarastą klientų, verslo partnerių pasitikėjimą ir atneštų daug nuostolių.

Be komercinės informacijos verslo subjektas, kuris tvarko asmens duomenis automatiniu būdu, gali prarasti arba iš jo gali būti neteisėtai nukopijuoti (pavogti) ir tvarkomi asmens duomenys.Įvykus tokio pobūdžio ir masto asmens duomenų vagystei, tikėtina, jog atitinkamas verslo subjektas gali sulaukti savo klientų pretenzijų ir (ar) ieškinių dėl žalos atlyginimo. Kaip konkrečiu atveju turėtų būti sprendžiamas atitinkamo verslo subjekto ir jo klientų žalos atlyginimo klausimas dėl neteisėtai pasisavintų asmens duomenų, tikriausiai priklausytų nuo paties verslininko ir jo klientų požiūrio į susidariusią situaciją, nustatytų pažeidimų masto ir patirtos žalos apimties.

Šiuo informaciniu pranešimu siekiame suteikti bendresnio pobūdžio informaciją duomenų valdytojams apie galimus atsakomybės (rizikos) ribojimo būdus kibernetinių atakų atvejais. Tinkamai saugant asmens duomenis, tikėtina, kad tinkamai bus apsaugota ir kita fiziniam ar juridiniam asmeniui jautri informacija.

Kas svarbu duomenų valdytojams?

Duomenų valdytojų veiksmai priklauso nuo to, kokie yra renkami asmens duomenys (bendrieji asmens duomenys, leidžiantys identifikuoti asmenį, ar ypatingi asmens duomenys, susiję su fizinio asmens rasine ar etnine kilme, politiniais, religiniais, filosofiniais įsitikinimais, naryste profesinėse sąjungose, sveikata, lytiniu gyvenimu, informacija apie asmens teistumą). Pirmuoju atveju, t. y. renkant asmenį leidžiančius identifikuoti duomenis, duomenų valdytojas turi registruotis Valstybinėje duomenų apsaugos inspekcijoje (toliau – „Inspekcija“), priimti duomenų tvarkymo taisykles, tuo tarpu duomenų valdytojams, tvarkantiems ypatingus asmens duomenis, kyla pareiga ne tik registruotis Inspekcijoje, tačiau ir gauti Inspekcijos leidimą tvarkyti ypatingus asmens duomenis, o tam reikia atitikti aukštesnius asmens duomenų tvarkymo saugumo reikalavimus.

Galiojantys teisės aktai numato, jog duomenų valdytojas (asmuo, kuris nustato asmens duomenų tvarkymo tikslus ir priemones) ir duomenų tvarkytojas (asmuo, duomenų valdytojo įgaliotas tvarkyti asmens duomenis). privalo įgyvendinti tinkamas organizacines ir technines priemones, skirtas apsaugoti asmens duomenims nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo. Minėtos priemonės turi užtikrinti tokį saugumo lygį, kuris atitiktų saugotinų asmens duomenų pobūdį ir jų tvarkymo keliamą riziką, ir turi būti išdėstytos rašytinės formos dokumente (duomenų valdytojo patvirtintose asmens duomenų tvarkymo taisyklėse, duomenų valdytojo ir duomenų tvarkytojo sudarytoje sutartyje ir pan.). Taigi kiekvienas asmuo, tvarkydamas duomenis turi atsižvelgti į tvarkomų duomenų pobūdį ir priklausomai nuo to parinkti tinkamiausias priemones tam, kad būtų užtikrintas tinkamas tvarkomų duomenų saugumas.

Parinkti ir įgyvendinti tinkamas organizacines ir technines duomenų tvarkymo priemones, duomenų tvarkymo taisykles ir užsiregistruoti duomenų valdytoju yra privaloma kiekvienam fiziniam ar juridiniam asmeniui, tvarkančiam asmens duomenis.

Tačiau be teisės aktais numatytų privalomų veiksmų, duomenų valdytojai gali kitais būdais apsaugoti save nuo didelės apimties nuostolių kibernetinės atakos atveju.

Pirma, atkreiptinas dėmesys, jog dar pačioje pradžioje registruojantis duomenų valdytoju, Inspekcijai reikia pateikti duomenis, ar tas pats asmuo, kuris yra duomenų valdytojas, yra ir duomenų tvarkytojas, t.y. asmuo, kuris realiai tvarko (renka, užrašo, kaupia, saugo, klasifikuoja, grupuoja, jungia, keičia (papildo ar taiso), teikia, paskelbia, naudoja, atlieka logines ir (arba) aritmetines operacijas, ieško, skleidžia, naikina ar atlieka kitą veiksmą arba veiksmų rinkinį) asmens duomenis. Dažnu atveju duomenų tvarkytojas ir valdytojas skiriasi (bent jau daliai duomenų tvarkymo veiksmų), tačiau visa atsakomybė pagal galiojantį teisinį reglamentavimą už tinkamą duomenų tvarkymą neša duomenų valdytojas.

Kaip teisingai pasirinkti duomenų tvarkytoją?

Teisės aktai numato, jog, jeigu duomenų valdytojas įgalioja duomenų tvarkytoją tvarkyti asmens duomenis, jis privalo parinkti tokį duomenų tvarkytoją, kuris garantuotų reikiamas technines ir organizacines duomenų apsaugos priemones, kurios yra privalomos pačiam duomenų valdytojui, ir užtikrintų, kad tokių priemonių būtų laikomasi.

Taigi šiuo atveju, duomenų valdytojams pirmiausia patartina tinkamai pasirinkti asmenį, kuris patikimai tvarkytų (saugotų) asmens duomenis, antra, duomenų valdytojai turėtų numatyti sutartyse su duomenų tvarkytojais, kad netinkamo tvarkymo atveju, jeigu duomenų valdytojai patirs bet kokios žalos dėl netinkamų tvarkytojų veiksmų, jie turės teisę tokią žalą išsiieškoti iš duomenų tvarkytojų. Atitinkamai šiose sutartyse svarbu tinkamai apibrėžti sąvokas ir pasiskirstyti pareigas, atsakomybes, kad vėliau nekiltų klausimų.

Pažymėtina ir tai, kad neužtenka tik sutartyje numatyti, kad duomenų tvarkytojas atsako už sukeltą žalą ar dėl jo neveikimo atsiradusius nuostolius, reikia parinkti tokį duomenų tvarkytoją, kuris realiai galėtų įvykdyti ir (ar) kompensuoti atsiradusius nuostolius. O tai reiškia, kad reikėtų atkreipti dėmesį į duomenų tvarkytojo turtinę padėtį, draudimo buvimą (nebuvimą), draudimo galimybes ar kitas garantijas, kokias jis galėtų pasiūlyti.

Kaip dar apsisaugoti nuo rizikų?

Antras būdas sumažinti duomenų valdytojų nešamą rizikos naštą yra atsakomybės draudimas. Mūsų kontoros žiniomis Lietuvoje jau yra pradedamas teikti draudimas nuo kibernetinių rizikų, kurio pagalba bendrovės galėtų išvengti netikėtų nuostolių, atsitikus jų klientų ar pacientų asmens duomenų vagystei. Priklausomai nuo draudimo sąlygų, duomenų valdytojai, pasinaudoję tokiomis draudimo paslaugomis būtų apdrausti nuo tiesioginių materialinių nuostolių, t. y. pretenzijų, ieškinių iš klientų dėl žalos atlyginimo, galimų baudų už duomenų tvarkymo pažeidimus, o taip pat ir nuo nematerialinių nuostolių, t.y. reputacijos pablogėjimo, kurie, atsižvelgiant į draudimo sutarties sąlygas, turėtų būti įvertinti tam tikra materialine išraiška, galimai priklausomai nuo negautų pajamų ar kitų objektyvių kriterijų.

O ką daryti, jei vis tiek atsitinka incidentas?

Pažymėtina, jog šiai dienai galiojantys teisės aktai nenumato konkrečių pareigų duomenų valdytojams, kurių jie turėtų imtis, esant pavogtiems jų tvarkomiems asmens duomenims, o tuo tarpu nuo 2018 m. gegužės 25 d. privalomasES reglamentas duomenų apsaugos srityje numato, kad apie tokius incidentus nedelsiant (bet ne vėliau kaip per 72 val.) turės būti informuojama Inspekcija, o tam tikrais atvejais ir duomenų subjektai, kurių duomenys buvo prarasti.

Nors šiuo metu ir nėra numatyta konkretūs veiksmai duomenų valdytojams kibernetinės atakos atveju, manytina, kad neįmanoma paslėpti tokių incidentų, todėl duomenų valdytojas, sužinojęs apie tokį įvykį, turi kuo greičiau pranešti Inspekcijai, kreiptis dėl ikiteisminio tyrimo pradėjimo ir iš karto informuoti savo klientus. Vieša komunikacija yra svarbu, siekiant išsaugoti gerą vardą ir klientų pasitikėjimą. Kai kurios draudimo kompanijos, priklausomai nuo sutarties sąlygų, gali suteikti draudiko sąskaita pasisamdyti krizių valdymo specialistus bei viešųjų ryšių specialistus.

Kiek „kainuoja“ pažeidimas?

Už LR asmens duomenų teisinės apsaugos įstatymo pažeidimą yra numatyta 150-580 Eur bauda, o atskirai juridinių asmenų vadovams ar kitiems atsakingiems asmenims baudos yra 300–1150 Eur. Atitinkamus pažeidimus atlikus pakartotinai baudos padvigubėja, tačiau šios įstatyme numatytos baudos neprilygsta galimų pažeidimų mastui, jų pasekmių apimčiai ir potencialiai sukeltos žalos dydžiui.Net jei ir bauda už pažeidimą atrodo labai menka, duomenų valdytojai turėtų įvertinti galimų pažeidimų pasekmes savo reputacijai, o galimi civiliniai ieškiniai iš klientų gali labai stipriai padidinti duomenų valdytojo patiriamus nuostolius, kurie netgi galėtų baigtis verslo žlugimu.

Nuo 2018-05-25 įsigaliosiantis reglamentas numato baudas iki 20 mln. Eur už neteisėtą asmens duomenų tvarkymą. Tai labiau atspindi asmens duomenų tvarkymo pažeidimų pasekmių apimtį ir galimų nuostolių dydį.

Apibendrinant, pažymėtina, jog asmens duomenų tvarkymo sritis šiuolaikiniame versle yra svarbus ir jautrus dalykas, todėl visiems duomenų valdytojams patartina tinkamai įvertinti tvarkomų duomenų pobūdį ir pasirinkti tinkamas priemones bei stengtis kuo maksimaliau apsaugoti savo riziką trečiųjų asmenų atliktų neteisėtų veiksmų atžvilgiu.

Komentaro autorės – Yvonne Goldammer, advokatų kontoros „bntattorneys-at-law Vilnius“ partnerė, ir Justina Rakauskaitė, kontoros vyresnioji teisininkė

Autoriaus nuomonė nebūtinai sutampa su redakcijos pozicija.
Rašyti komentarą

Rašyti komentarą

Pažiro žinomų įmonių IPO: kada verta investuoti Premium

JAV akcijų rinkoje šiemet debiutavus ar dar tik ruošiantis debiutuoti ne vienai žinomai kompanijai, tarp...

Rinkos
2019.05.23
Japonų kompanijos stabdo bendradarbiavimą su „Huawei“ 17

Japonijos kompanija „Panasonic“ pranešė stabdanti dalies komponentų tiekimą Kinijos kompanijai „Huawei“,...

Technologijos
2019.05.23
„Honor“ telefonų pristatymą aptemdė JAV ir „Huawei“ konfliktas Premium 8

Kinijos milžinė „Huawei“ Londone pristatė jaunimui skirto prekės ženklo „Honor“ išmaniųjų telefonų naujus...

Technologijos
2019.05.22
Lietuva prisijungė prie dirbtinio intelekto standartų, Kinija, Rusija jį kurs be taisyklių 1

Lietuva ir dar 41 valstybė šiandien sutarė laikytis Ekonominio bendradarbiavimo ir plėtros organizacijos...

Vadyba
2019.05.22
Estų „TransferWise“ tapo brangiausiu „fintech“ Europoje 36

Piniginių perlaidų kompanija „TransferWise“ per vėliausią investuotojų pritraukimo etapą buvo įvertinta 3,5...

Rinkos
2019.05.22
Lietuvos įmonės stebi situaciją dėl „Huawei“ 4

JAV interneto milžinei „Google“ pareiškus apie nutraukiamus ryšius su Kinijos technologijų milžine „Huawei“,...

Technologijos
2019.05.21
Po skandalų „Facebook“ sunkiai sekasi rasti darbuotojų 

Kadaise geriausia darboviete JAV laikytai bendrovei „Facebook“ sunkiai sekasi rasti darbuotojų. Jos...

Vadyba
2019.05.20
„Huawei“: apsieisime be „Google“ ir amerikietiškų lustų Premium 27

JAV milžinei „Google“ patvirtinus, kad ji iš dalies stabdo bendradarbiavimą su Kinijos kompanija „Huawei“, tą...

Technologijos
2019.05.20
Lustų gamintojai seka „Google“ ir stabdo bendradarbiavimą su „Huawei“ 41

JAV milžinei „Google“ patvirtinus, kad ji iš dalies stabdo bendradarbiavimą su Kinijos kompanija „Huawei“, tą...

Technologijos
2019.05.20
Slovėnai STO daro per Lietuvą – nori pritraukti 1,8 mln. Eur 1

Slovėnijos inžinierių plėtojama kriptovaliutų platforma „Kriptomat“ per lietuvišką vertybinių popierių...

Rinkos
2019.05.20
Pagrindinis „NFQ Technologies“ pardavimų komandos tikslas – rasti įdomius projektus 300 IT specialistams 5

Norint, kad kuo daugiau potencialių pardavimų konvertuotųsi į pardavimą, pirminiame bendravimo su klientu...

Pardavimai
2019.05.19
„Practica Capital“ 1 mln. Eur investavo į Latvijos startuolį

Lietuvos rizikos kapitalo fondų valdytoja „Practica Capital“ kartu su partneriais investavo į Latvijos garso...

Rinkos
2019.05.17
„Alna“ sulaukė finansinio investuotojo, nupirko 35% 3

Investicijų valdymo įmonės „Orion Asset Management“ fondas įsigijo 35% „Alnos“ grupės įmones...

Rinkos
2019.05.17
Nauji telefonų modeliai: „Palaikyk mano drakoną“ arba džiuginanti Kinijos gamintojų konkurencija 1

Kinijos kompanija „OnePlus“ pristatė šių metų modelius – „OnePlus 7“ ir „OnePlus 7 Pro“. Nepraėjus nė parai į...

Technologijos
2019.05.16
Kompiuterinė rega: darbų saugą prižiūri mašinos Premium

Technologijų bendrovė „Agmis“ sukūrė kompiuterinės regos (angl. Computer Vision) sprendimą, skirtą darbų...

Paslaugos
2019.05.16
„Barclays“ parduoda „Rise Vilnius“ bankui „Swedbank“ 5

Praėjusių metų gruodį pranešęs apie veiklos stabdymą, Jungtinės Karalystės bankas „Barclays“ skelbia...

Paslaugos
2019.05.16
Vilnius perka naują elektroninio bilieto sistemą Premium 10

Savivaldybės įmonė „Susisiekimo paslaugos“ paskelbė tarptautinį naujos Vilniaus elektroninio bilieto sistemos...

Paslaugos
2019.05.16
Lietuvių sukurtas galingiausias pasaulyje lazeris jau veikia 17

Trečiadienį Lazerinių tyrimų centre Vengrijoje pradėjo veikti lietuvių pagaminta viena galingiausių pasaulyje...

Paslaugos
2019.05.15
„WhatsApp“ patyrė programišių ataką  

Socialinių tinklų milžinei „Facebook“ priklausanti pokalbių ir susirašinėjimo programėlė „WhatsApp“ patyrė...

Verslo aplinka
2019.05.14
Pardavimų valanda „NFQ Technologies“: ieško tinkamų projektų IT specialistams Premium 1

Kai pardavimų komandos pagrindinis tikslas yra surasti įdomius projektus trims šimtams IT specialistų, tampa...

Pardavimai
2019.05.14

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Sutinku Plačiau