Duomenų apsaugos pareigūnas Allaw® supažindina

Kaip praneša Valstybinė duomenų apsaugos inspekcija, automobilių, mikroautobusų ir dviračių nuomos paslaugas teikianti įmonė "CityBee" susidūrė su asmens duomenų saugumo pažeidimu - jos saugomų asmens duomenų vagyste ir paviešinimu. Kaip teigia pati įmonė, buvo pavogta apie 110 tūkst. įmonės klientų asmens duomenų (įskaitant klientų vardus, pavardes, asmens kodus, su „CityBee“ automobilių naudojimu susijusius duomenis – mašinų rezervavimo, parkavimo istorija, užkoduoti slaptažodžiai). Šis pažeidimas atskleidžia ne vieną problemą - galimai nebuvo identifikuotos visos vietos, kuriose saugomi asmens duomenys ir imtasi pakankamų priemonių jose saugomų asmens duomenų saugumui užtikrinti, nėra aišku ir kodėl apie pažeidimą vis dar nepranešta Valstybinei duomenų apsaugos inspekcijai. Valstybinė duomenų apsaugos inspekcija bei policija pradėjo tyrimus, o kol nėra tikslesnių duomenų dėl CityBee pažeidimo Duomenų apsaugos pareigūnas Allaw paaiškina, kokios duomenų valdytojo pareigos, susijusios su pranešimu apie duomenų saugumo pažeidimą. 

Užsivėlinsite pranešti apie duomenų saugumo pažeidimą ir VDAI apie tai sužinos iš žiniasklaidos - tai bus įvertinta skiriant baudą


BDAR 33 str. 1 d. numato, kad asmens duomenų saugumo pažeidimo atveju duomenų valdytojas nepagrįstai nedelsdamas, ir, jei įmanoma, praėjus ne daugiau kaip 72 val. nuo tada, kai sužinojo apie asmens duomenų saugumo pažeidimą, apie tai turi pranešti priežiūros institucijai  - Lietuvos atveju - Valstybinei duomenų apsaugos inspekcijai (toliau - VDAI). Pranešti VDAI paprasčiausia naudojant jos patvirtintą pranešimo apie duomenų saugumo pažeidimą formą. Kaip galima spręsti iš VDAI pranešimo, VDAI dėl CityBee atvejo tyrimą pradėjo savo iniciatyva, reaguodama į viešojoje erdvėje paskelbtą informaciją, vadinasi CityBee dar nebuvo pranešusi apie pažeidimą VDAI, to priežastys nėrai aiškios: arba vis dar atliekamas pažeidimo tyrimas arba vėluojama įgyvendinti BDAR 33 str. nustatytą pareigą. Atkreiptinas dėmesys, kad tais atvejais, kai sprendžiama dėl baudos dydžio, yra atsižvelgiama į tai, kokiu būdu priežiūros institucija sužinojo apie pažeidimą, visų pirma tai, ar duomenų valdytojas arba duomenų tvarkytojas pranešė apie pažeidimą (BDAR 83 str. 2 d. h) punktas).

Kita vertus, kaip numato BDAR 33 str. 1 d., jeigu priežiūros institucijai apie asmens duomenų saugumo pažeidimą nepranešama per 72 val., prie pranešimo pridedamos vėlavimo priežastys, pvz., nėra nustatytos visos pažeidimo aplinkybės ir pan. Tačiau reiktų suvokti, kad tai yra išimtiniai atvejai, nes BDAR 33 str. 4 d. numato, kad jeigu informacijos neįmanoma pateikti tuo pačiu metu, informacija toliau nepagrįstai nedelsiant gali būti teikiama etapais

Todėl labai svarbu, kad duomenų valdytojai būtų dokumentavę asmens duomenų saugumo pažeidimų nustatymo, tyrimo ir pranešimo apie juos tvarką, paskyrę už jos įgyvendinimą atsakingus asmenis, nes kitaip bus praktiškai neįmanoma operatyviai ir efektyviai valdyti duomenų saugumo pažeidimų ir apie juos pranešti VDAI.


Dėl duomenų saugumo pažeidimo gali kilti didelis pavojus - nepamirškite informuoti duomenų subjektų

BDAR 34 str. numato, kad, kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas turi pranešti duomenų subjektui. Pranešant labai svarbu, kad duomenų subjektams aiškia ir paprasta kalba būtų pranešta apie:

  1. asmens duomenų saugumo pažeidimo pobūdį (kas nutiko, kokie duomenys buvo pažeisti),

  2. duomenų apsaugos pareigūno kontaktinius duomenis (arba kito asmens, su kuriuo duomenų subjektai gali susisiekti dėl įvykusių duomenų saugumo pažeidimo),

  3. tikėtinas duomenų saugumo pažeidimo pasekmes,

  4. priemones, kurių ėmėsi duomenų valdytojas ir kurių siūlo imtis duomenų subjektams.

Duomenų subjektų informavimo būdus pasirenka pats duomenų valdytojas, kaip savo rekomendacijose dėmesį atkreipia VDAI, duomenų subjektas turėtų būti informuotas tiesiogiai, pvz., siunčiant pranešimą el. paštu, SMS žinute ar pan. Šis pranešimas turi būti atskirtas nuo kitos informacijos, tokios kaip nuolatiniai atnaujinimai, naujienlaiškiai ar standartiniai pranešimai. Tais atvejais, kai tiesioginio pranešimo duomenų subjektui pateikimas pareikalautų neproporcingai daug pastangų (pvz., yra daug duomenų subjektų ir ne visų kontaktai yra žinomi), apie įvykusį pažeidimą gali būti paskelbiama viešai arba taikoma panaši priemonė, kuria duomenų subjektai būtų informuojami taip pat efektyviai, pvz., pranešimas žinomos interneto svetainės antraštėje ar pranešimuose.

Nors konkretaus termino informuoti duomenų subjektus BDAR nenumato, VDAI rekomenduoja tą padaryti per 72 val. nuo pažeidimo nustatymo momento. CityBee savo klientus pasirinko informuoti el. paštu, įmonės interneto svetainėje apie įvykusį pažeidimą informacijos šiai dienai paskelbta nėra.

Kaip pasiruošti informavimui apie duomenų saugumo pažeidimą?

Kiekvienas duomenų valdytojas turi imtis reikiamų priemonių jo tvarkomų asmens duomenų apsaugai, tačiau taip pat turi nepamiršti, kad net ir saugiausios sistemos gali tapti programišių taikiniu ir būti pasiruošus pranešti apie duomenų saugumo pažeidimą yra itin svarbu. Tam duomenų valdytojams rekomenduojame:

  • būti pasitvirtinus asmens duomenų saugumo pažeidimų nustatymo, tyrimo ir pranešimo apie juos tvarkos aprašą,

  • būti paskyrus už asmens duomenų saugumo pažeidimų nustatymą, tyrimą ir pranešimą atsakingus asmenis,

  • būti pasitvirtinus pranešimo duomenų subjektams apie duomenų saugumo pažeidimą formą,

  • būti apgalvojus duomenų subjektų kategorijų informavimo būdus (pvz., kaip bus informuojami tie duomenų subjektai kurių kontaktiniai duomenys duomenų valdytojui žinomi ir tie, kurių duomenų valdytojas nežino),

  • būti pasirengus techniškai įgyvendinti visas aukščiau aptartas informavimo priemones.


Nuorodos


https://vdai.lrv.lt/lt/naujienos/valstybine-duomenu-apsaugos-inspekcija-pradeda-tyrima-del-citybee-klientu-asmens-duomenu-saugumo


Nepamiršti

Taikyti rizikos lygį atitinkančias duomenų saugumo priemones.

Pranešti apie duomenų saugumo pažeidimus VDAI ir duomenų subjektams (jeigu kyla didelis pavojus jų teisėms ir laisvėms) nedelsiant, bet ne vėliau kaip per 72 val. nuo pažeidimo nustatymo.

This page contains macros or features from a plugin which requires a valid license.

You will need to contact your administrator.

Link to this page