Signalas įmonėms: Lietuvoje skirta pirmoji stambi bauda už BDAR pažeidimą

Publikuota: 2019-05-16
Atnaujinta 2019-05-16 13:11
Pasak inspekcijos, pradėtos skirti baudos pagal BDAR turėtų būti reikšmingas signalas ir kitoms įmonėms, tik deklaratyviai įgyvendinančioms šio teisės akto nuostatas. Juditos Grigelytės (VŽ) nuotr.
svg svg
Pasak inspekcijos, pradėtos skirti baudos pagal BDAR turėtų būti reikšmingas signalas ir kitoms įmonėms, tik deklaratyviai įgyvendinančioms šio teisės akto nuostatas. Juditos Grigelytės (VŽ) nuotr.
„Verslo žinios“

Valstybinė duomenų apsaugos inspekcija UAB „MisterTango“ už Bendrojo duomenų apsaugos reglamento (BDAR) pažeidimus skyrė administracinę baudą, siekiančią 61.500 Eur.

Sankcijos „MisterTango“ pritaikytos dėl minėto reglamento 5, 32 ir 33 straipsnių pažeidimų – dėl asmens duomenų saugumo pažeidimo mokėjimo iniciavimo paslaugų sistemoje, apie kurį, be kita ko, nebuvo pranešta priežiūros institucijai.

Inspekcijos nuomone, pradėtos skirti baudos pagal Bendrąjį duomenų apsaugos reglamentą turėtų būti reikšmingas signalas ir kitoms įmonėms, tik deklaratyviai įgyvendinančioms šio teisės akto nuostatas.

Tiesa, šis inspekcijos sprendimas yra neįsiteisėjęs ir gali būti skundžiamas teismui.

Nemokami naujienlaiškiai į savo el. pašto dėžutę:













Svarbiausios dienos naujienos trumpai:



 

Inspekcijos turimais duomenimis, reikšmingas baudas pagal BDAR jau yra skyrusi Prancūzija, Ispanija, Vokietija, Lenkija, Austrija, Bulgarija, Kipras, Malta.

Valstybinė duomenų apsaugos inspekcija skelbia atlikusi tyrimą ir skyrusi baudą, atsižvelgdama į gautą informaciją apie paviešintus bankų klientų asmens duomenis bei galimai įvykusį asmens duomenų saugumo pažeidimą UAB „MisterTango“.

Kaip rašoma pranešime, „MisterTango“ veikia tarptautiniu mastu ir teikia mokėjimo paslaugas tiek Lietuvos, tiek ir užsienio gyventojams bei įmonėms.

Ji yra įsteigusi savo padalinį ir Latvijoje, paslaugas teikė ir kitose valstybėse.

Pasak inspekcijos, šis atvejis parodo, kad įmonės turėtų daugiau dėmesio skirti duomenų saugumo pažeidimų valdymui ir bendradarbiavimui su priežiūros institucija tyrimų metu.

Kas užkliuvo tikrintojams

Inspekcija praneša, kad atlikusi tyrimą, nustatė, jog minėta įmonė pažeidė BDAR reikalavimus netinkamai tvarkydama asmens duomenis momentiniuose ekrano vaizduose (MEV), paviešindama asmens duomenis ir nepateikdama pranešimo apie asmens duomenų saugumo pažeidimą asmens duomenų apsaugos priežiūros institucijai.

Įvertinus tyrimo metu surinktą informaciją ir pateiktus paaiškinimus, nustatyta, kad „MisterTango“ tvarko daugiau asmens duomenų, negu pati nurodo esant būtina mokėtojo inicijuotam mokėjimui įvykdyti.

Inspekcijos nuomone, įgyvendinant asmens duomenų kiekio mažinimo principą, turėtų būti renkami tik mokėjimo atlikimui būtini tokie duomenys kaip mokėtojo vardas, pavardė, jei mokėtojas pageidauja, jo identifikavimo kodas, banko sąskaitos numeris, valiuta ir likutis, mokėjimo paskirtis / įmokos kodas.

Tačiau be šių duomenų įmonė rinko ir tokius pertekliniais laikytinus duomenis, pavyzdžiui, neperžiūrėtų elektroninių sąskaitų pateikimo datos, siuntėjų pavadinimai bei sumos; neperskaitytų pranešimų pateikimo datos, temos ir dalis pranešimo teksto; turimų paskolų paskirtys, pobūdžiai, sumos; pensijų fondų pavadinimai, sukaupti vienetai, jų vertė, sukauptos sumos; kredito tipai (pvz., būsto), mokėtini likučiai, kitų mokėjimų sumos bei datos, išduotų mokėjimo kortelių numeriai ir jose esančios sumos.

Be to, nustatyta, kad įmonė duomenis saugo ilgiau, negu pati yra nustačiusi bei nurodo esant reikalinga, t. y. tyrimo metu buvo pateikta duomenų dėl saugojimo 216 dienų, vietoje nustatytų 10 minučių. Pagal BDAR 5 straipsnį įmonė yra pati atsakinga, kad įgyvendintų atskaitomybės principą, t. y. laikytųsi BDAR reikalavimų ir sugebėtų tai įrodyti, tačiau tyrimo metu įmonė pakankamų įrodymų priežiūros institucijai nepateikė.

Dėl asmens duomenų paviešinimo

Tyrimo metu nustatyta, kad ne mažiau kaip 2 dienas (2018 m. liepos 9–10 d.) internete buvo prieinamas tinklalapis su UAB „MisterTango“ apdorotų mokėjimų sąrašu.

Jame buvo matomi įvairių bankų įstaigų klientų atlikti mokėjimai per UAB „MisterTango“ mokėjimo iniciavimo paslaugų sistemą su tų klientų asmens duomenimis.

Taip pat daugiau kaip 9.000 MEV su 12 skirtingų bankų, esančių skirtingose valstybėse, klientų mokėjimo sesijų detalių puslapiais.

Be kita ko, nustatyta, kad įmonėje saugos užtikrinimą ir valdymą bei visos įmonės IT infrastruktūros (techninės ir programinės) valdymą, diegimą ir priežiūrą vykdė vienas darbuotojas. Tai yra vienas darbuotojas vykdė tarpusavyje konkuruojančias funkcijas.

Taip nebuvo užtikrintas tinkamas neautorizuotų ar netyčinių modifikacijų galimybių minimizavimas ir tinkamos asmens duomenų apsaugos politikos įgyvendinimas. Taigi, UAB „MisterTango“ nepasirinko atitinkamų techninių ar organizacinių priemonių, kurios padėtų užtikrinti pavojų atitinkančio lygio saugumą, įskaitant apsaugą nuo neteisėto tvarkymo, atskleidimo, ir tuo pažeidė BDAR 5 ir 32 str.

Pagal BDAR toks incidentas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami persiųsti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų be leidimo gaunama prieiga, yra duomenų saugumo pažeidimas.

Inspekcijos nuomone, pirmiau minėtas incidentas, kai 2 dienas internete neautorizuotiems asmenims buvo sudaryta galimybė prieiti prie asmens duomenų, laikytinas tokiu duomenų saugumo pažeidimu, apie kurį privaloma pranešti priežiūros institucijai.

Todėl „MisterTango“ privalėjo nepagrįstai nedelsdama ir, jei įmanoma, praėjus ne daugiau kaip 72 valandoms nuo tada, kai sužinojo apie asmens duomenų saugumo pažeidimą, apie tai pranešti Inspekcijai. Apie šį pažeidimą nepranešdama priežiūros institucijai UAB „MisterTango“ pažeidė BDAR 33 str.

Sprendima skųs

„Apgailestaujame, kad dėl techninės klaidos buvo kilęs pavojus mūsų klientų duomenims, – komentare VŽ rašo bendrovės atstovai. – Mūsų vidinis tyrimas parodė, kad pasinaudojus specialia nuoroda, buvo galima pamatyti 58 mūsų klientų el. pašto adresus, tačiau mūsų žiniomis šia technine spraga pasinaudota nebuvo. Tai buvo techninė duomenų saugojimo klaida.“

Bendrovė pripažįsta, kad buvo kilęs pavojus nutekėti mūsų klientų el. pašto adresams. Tačiau ji nesutinka, kad buvo kilusi grėsmė klientų bankiniams duomenims. Be to, ji tikina, kad tuo atveju, kai duomenų saugumo pažeidimas nekelia didelio pavojaus konkretiems asmenims, apie pažeidimą informuoti neprivaloma.

„Manome, kad mums skirta bauda yra neadekvati pažeidimo dydžiui ir tyrimo nuoseklumui, todėl šį VDAI sprendimą ginčysime teisme“, – teigia bendrovė.

Baudė atsižvelgdami ir į apyvartą

Inspekcija, spręsdama dėl administracinės baudos dydžio, skelbia įvertinusi visas aplinkybes, reikšmingas taikant atsakomybę „MisterTango“, pavyzdžiui, kad įmonė asmens duomenis tvarkė neskaidriai, didesne apimtimi ir ilgiau, negu tai yra būtina duomenų tvarkymo tikslui pasiekti, neteisėtą asmens duomenų tvarkymą atliko sistemingai, asmens duomenų saugumo pažeidimo metu neužtikrino asmens duomenų saugumo, priežiūros institucijai nepranešė apie įvykusį asmens duomenų saugumo pažeidimą, kuris turėjo poveikį asmens duomenims, pagal kuriuos buvo galima tiesiogiai nustatyti asmens tapatybę.

Be to, šie duomenys sudarė banko paslaptį ir buvo tvarkomi nešifruoti bei asmens duomenų saugumo pažeidimo metu buvo tvarkomi neužtikrinant prieigos kontrolės prie šių duomenų.

Skiriant įmonei 61.500 Eur administracinę baudą taip pat atsižvelgta ir į įmonės metinę pasaulinę apyvartą.

Pasirinkite jus dominančias įmones ir temas – asmeniniu naujienlaiškiu informuosime iškart, kai jos bus minimos „Verslo žiniose“, „Sodros“, Registrų centro ir kt. šaltiniuose.

Tema „Paslaugos“
Norite pasiūlyti temą, turite pastabų, pasiūlymų ar klausimų? Parašykite „Verslo žinių“ redaktoriams.

Jei norite suteikti konfidencialios informacijos, rašykite vyr. redaktoriui rolandas.barysas@verslozinios.lt

„Paramount“ pelnas traukėsi trečdaliu

JAV žiniasklaidos milžinės „Paramount Global Inc.“ (ankstesnis pavadinimas „ViacomCBS Inc.“) antrojo metų...

Rinkos
2022.08.05
Naujienų portalai sutarė vienodai žymėti reklamas

Didieji naujienų portalai susitarė dėl vienodo rinkodaros turinio žymėjimo visose naujienų portalų...

Rinkodara
2022.07.28
„Respublikos leidiniams“, „Diena Media News“ ir „Lietuvos rytui“ skirtos baudos už klaidinančią reklamą 1

Laikraščių „Respublika“, „Kauno diena“, „Klaipėdos diena“ ir „Lietuvos ryto“ valdytojoms Vartotojų teisių...

Rinkodara
2022.07.18
„Netflix“ žada siūlyti pigesnius prenumeratos planus su reklama

„Netflix“ bendradarbiaus su „Microsoft“, kad savo klientams galėtų pasiūlyti pigesnių prenumeratos planų, į...

Inovacijos
2022.07.14
„Eurobarometro“ apklausa: ES piliečiai labiausiai pasitiki tradicine žiniasklaida 2

Televizija (75%) yra pagrindinis ES piliečių, ypač atstovaujančiųjų vyresniajai kartai, žinių šaltinis, rodo...

Rinkodara
2022.07.12
„Eltos“ direktore paskirta D. Juozaitytė, vyr. redaktoriumi – V. Bruveris 1

Naujienų agentūros „Elta“ direktore paskirta Daiva Juozaitytė, pastaruosius aštuonerius metus dirbusi „Delfi“...

Vadyba
2022.07.01
M. Skuodis: leidinių pristatymo kainas reikia didinti, kartu keisti žiniasklaidos rėmimo modelį

Lietuvos paštui pranešus apie planus nuo kitų metų maždaug du-tris kartus didinti leidinių prenumeratos...

Rinkodara
2022.06.23
Pernai Lietuvoje kas aštunta žiniasklaidos priemonė buvo valdoma politikų 2

68 politikai, valstybės tarnautojai bei jų sutuoktiniai pernai Lietuvoje valdė 129 arba kas aštuntą...

Rinkodara
2022.06.23
Spaudos, radijo ir televizijos rėmimo fondą turėtų pakeisti naujas Medijų rėmimo fondas

Kultūros ministerijos siūlomas steigti Medijų rėmimo fondas galės skirti paramą ne tik leidiniams, bet ir...

Rinkodara
2022.06.20
Lietuvos pašto viražai: kartais augančios pristatymo kainos – šantažas leidėjams Premium

Lietuvos paštas (LP) antrus metus iš eilės kelia leidinių prenumeratos pristatymo kainas miestuose. Pernai...

Rinkodara
2022.06.20
„Google“ Rusijos padalinys pateikė teismui bankroto pareiškimą 1

JAV technologijų milžinės „Google“ antrinė įmonė Rusijoje Maskvoje arbitražo teismui pateikė bankroto...

Inovacijos
2022.06.17
Architektai darbų turi metams į priekį, bet ramybės nėra Premium

Architektų biurai užsakymų gauna tiek, kad nors vežimu vežk, o ir į vežimą ne visada telpa. Vis dėlto...

Statyba ir NT
2022.06.16
Tautinių bendrijų žiniasklaidai stiprinti skirta 500.000 Eur

Lietuvos informacinei erdvei ir tautinių bendrijų žiniasklaidai stiprinti skirta 500.000 Eur, trečiadienį...

Rinkodara
2022.06.15
Į LRT tarybą Seimas siūlo D. Jastramskį, R. Gudauską, L. Matjošaitytę ir J. Pabrėžą

Seimo Kultūros komitetas trečiadienį pritarė keturių naujų LRT tarybos narių kandidatūroms.

Rinkodara
2022.06.15
D. Radzevičius: žiniasklaida nemoka daryti verslo Premium 5

Lietuvos žurnalistų sąjungos pirmininkas Dainius Radzevičius VŽ podkaste negaili kritikos žiniasklaidos...

Rinkodara
2022.06.15
„Disney+“ įžengė į Lietuvą 10

„Walt Disney Company“ priklausantis transliuotojas „Disney+“ pradeda transliacijas Lietuvoje. Standartinė...

Rinkodara
2022.06.14
Nepriklausoma Rusijos televizija „Dožd“ transliuos iš Rygos

Latvijos nacionalinė elektroninės žiniasklaidos taryba (NEPLP) pirmadienį nutarė suteikti licenciją...

Rinkodara
2022.06.06
„Bitės“ pelnas dvigubėjo, bet „Mezon“ kol kas nuostolingas Premium

UAB „Bitė Lietuva“ vertina, kad, nepaisant tebesitęsiančios pandemijos, pavyko pasiekti gerų rezultatų –...

Inovacijos
2022.06.03
Planeta Vilnius ieško Ryšių su žiniasklaida specialisto (-ės)! Verslo tribūna

Jei puikiai supranti žiniasklaidos pasaulį, žinai, kodėl žurnalistams svarbu atsakymus gauti greitai ir...

Rinkodara
2022.06.02
„Delfi“ perka Lietuvos naujienų agentūrą „Elta“

UAB „Delfi“, kurios 100% akcijų priklauso estų žiniasklaidos bendrovei „Ekspress Grupp“, perka naujienų...

Rinkodara
2022.05.31

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Valdyti Sutinku