Pirmoji bauda pagal BDAR – kokias pamokas turi išmokti verslas
Lietuvoje skirta pirmoji bauda už Bendrojo duomenų apsaugos reglamento (BDAR) pažeidimus. Teisininkai įvardijo, ko iš šios istorijos verta pasimokyti kiekvienam, savo veikloje tvarkančiam asmens duomenis.
VŽ rašė, kad Valstybinė duomenų inspekcija (VDAI) skyrė 61.500 Eur baudą elektroninių pinigų įstaigai UAB MisterTango , kai jos veikloje nustatė trijų BDAR staipsnių pažeidimus.
Renata Vasiliauskienė, Cobalt asocijuota teisininkė, sako, kad sprendiant iš VDAI pranešimo, MisterTango padarė tris BDAR pažeidimus. Pirmasis- perteklinis asmens duomenų tvarkymas, antrasis asmens duomenų paviešinimas, ir trečiasis nepranešimas apie asmens duomenų saugumo pažeidimą VDAI.
Matyti, kad Lietuvos priežiūros institucija BDAR nuostatas aiškina gana griežtai. Pavyzdžiui, inspekcijos nuomone, duomenų saugos pažeidimas, kuomet dvi dienas internete neautorizuotiems asmenims buvo sudaryta galimybė prieiti prie asmens duomenų, laikytinas tokiu duomenų saugumo pažeidimu, apie kurį privaloma pranešti priežiūros institucijai. Bendrovei nepranešus, konstatuotas BDAR 33 straipsnio pažeidimas, sako ji.
Ant to paties grėblio
Pasak p. Vasiliauskienės, kalbant apie pirmąjį pažeidimą perteklinį duomenų tvarkymą galima tik apgailestauti, kad verslas niekaip neišmoksta šios pamokos.
Beveik visų VDAI tyrimų metu nustatoma, kad yra tvarkomi pertekliniai asmens duomenys, t.y. jų renkama daugiau negu reikia nustatytam tikslui pasiekti. Akivaizdu, kad verslas aplaidžiai žiūri į šį reikalavimą ir neišsišluoja savo asmens duomenų ūkio, dėsto p. Vasiliauskienė
nuotrauka::1left.
Pasak jos, šiek tiek neramina VDAI reakcija dėl trečiojo nustatyto pažeidimo, t.y. dėl nepranešimo apie įvykusį asmens duomenų saugumo pažeidimą.
Juk pasak įmonės atstovų, nors ir buvo atsiradusi saugumo spraga, ja pasinaudota nebuvo ir teoriškai nukentėti galėjo tik kelios dešimtys žmonių. Vargu, ar koks nors duomenų apsaugos specialistas būtų įtaręs, kad toks duomenų saugos incidentas galėtų būti vertinamas kaip keliantis didelį pavojų fizinių asmenų laisvėms ir teisėms, sako teisininkė.
Ji atkreipia dėmesį, kad pagal BDAR ne apie visus asmens duomenų pažeidimus reikia informuoti VDAI, o tik apie tokius, kurie iš esmės yra reikšmingi.
Taigi jei nėra kitų, mums nežinomų sunkinančių aplinkybių, mūsų vertinimu, šiuo klausimu MisterTango turi galimybių apginti savo poziciją teisme, sako ji.
Namų darbų sąrašas
Kristina Rišytė-Augustinaitienė, advokatų kontoros AAA Law teisininkė, atkreipia dėmesį ir į tai, jog skirdama baudą VDAI papildomai akcentavo, kad bendrovėje MisterTango saugos užtikrinimą ir valdymą bei visos įmonės IT infrastruktūros valdymą vykdė vienas darbuotojas. Tai reiškia, jog tas pats darbuotojas iš esmės vykdė tarpusavyje konkuruojančias funkcijas.
Tokia VDAI pozicija tik dar kartą įrodo, jog tinkamos techninės ir organizacinės priemonės, gebančios užtikrinti tinkamą saugumo lygį asmens duomenų tvarkymo apimtyje, yra itin svarbus BDAR atitikties komponentas ir to nevalia pamiršti, sako teisininkė.
Be to, baudą gavusi įstaiga asmens duomenis saugojo ilgiau, nei pati buvo nusistačiusi ir nurodžiusi kaip pagrįstą saugojimo terminą: 216 dienų vietoje nustatytų 10 minučių.
Pasak teisininkės, tai yra signalas, kad bendrovių veikloje itin svarbu laikytis asmens duomenų tvarkymo higienos, t. y. ne tik vidiniuose bendrovės dokumentuose nusistatyti teorinius asmens duomenų tvarkymo terminus, bet ir užtikrinti, jog visos BDAR nuostatos bendrovėje būtų įgyvendinamos ir praktiniu lygmeniu.
Iš pirmosios VDAI Lietuvoje skirtos baudos verta pasimokyti kiekvienam. Viena esminių pamokų neužtenka vien pasitvirtinti vidinius bendrovės dokumentus dėl asmens duomenų tvarkymo. Yra būtina tinkamai taikyti asmens duomenų tvarkymo dokumentus kasdienėje veikloje bei gebėti tinkamai reaguoti į kilusius incidentus su asmens duomenimis, reziumuoja AAA Law teisininkė.
Taip pat svarbu skirti tinkamą dėmesį duomenų saugumo prevencijai, o kilus incidentams jų suvaldymui bei geranoriškai komunikuoti su priežiūros funkciją atliekančia valstybine institucija, kai ta komunikacija būtina.
VŽ rašė, kad baudą MisterTango inspekcija skyrė, kai tyrimo metu nustatė duomenų saugumo pažeidimą, apie kurį MisterTango neinformavo priežiūros institucijos.
Internete buvo paviešintas mokėjimų sąrašas, kuriame fiksuoti įvairių bankų klientų atlikti mokėjimai, atlikti per MisterTango valdomą mokėjimo iniciavimo paslaugų sistemą, su tų klientų asmens duomenimis.
Tačiau bendrovė apie tokį incidentą su asmens duomenų paviešinimu VDAI neinformavo, nors tokią pareiga jai numato BDAR.
Pasirinkite jus dominančias įmones ir temas asmeniniu naujienlaiškiu informuosime iškart, kai jos bus minimos Verslo žiniose, Sodros, Registrų centro ir kt. šaltiniuose.
Tema Paslaugos
Prisijungti
Prisijungti
Prisijungti
Prisijungti