Šių metų spalio 16 dieną Didžiosios Britanijos priežiūros institucija ICO skyrė skrydžių bendrovei British Airways 22 mln. Eur už tai, kad ši neužtikrino pakankamų asmens duomenų saugumo priemonių, dėl ko nukentėjo daugiau nei 400 000 bendrovės klientų. Kas lėmė baudos skyrimą ir ko galėtų pasimokyti kiekviena bendrovė, siekdama apsaugoti savo klientų asmens duomenis? Apie tai supažindina Duomenų apsaugos pareigūnas Allaw. Norite išsamių pritaikytų nuotolinių mokymų? Rašykite mums.

Kaip buvo pažeistas asmens duomenų saugumas?


Saugumo incicentas, kaip manoma, prasidėjo dar 2018 m. birželio mėnesį, kai ataką prieš bendrovę vykdę asmenys įsilaužė į bendrovės internetinį puslapį, kas lėmė, jog bendrovės klientai, apsilankę šiame puslapyje ir norėdami užsisakyti skrydį, buvo nukreipiami į apgaulingą puslapį, sukurtą ataką vykdžiusių asmenų. Taip puspalio saugumo pažeidėjai gavo prieigą prie bendrovės klientų duomenų. Kaip pranešama, apie pažeidimą bendrovė susžinojo iš trečiųjų asmenų, tik po keletos mėnesių. Per šį laiką buvo paveikta daugiau kaip 400 000 bendrovės klientų duomenų, t.y., bendrovės klientų vardus, adresus, mokėjimo kortelių duomenis, o taip pat ir bendrovės darbuotojų prisijungimo duomenis: prisijungimo vardus ir slaptažodžius. Kadangi pažeidimas įvyko dar prieš Didžiajai Britanijai pasitraukiant iš Europos Sąjungos, ICO pažeidimą tyrė remdamasi Bendrojo duomenų apsaugos reglamento (toliau - BDAR) nuostatomis ir pripažino, kad bendrovė, taikydama nepkankamas saugumo priemones pažeidė BDAR 32 str ir 5 str. 1 d. f) punktą ir lėmė minėtos baudos paskyrimą. 

Į kokius veiksnius atsižvelgiama skiriant baudą? 


BDAR 83 str. 2 d. numato faktorius, į kuriuos priežiūros institucijos turi atsižvelgti skirdamos baudą už BDAR pažeidimus. British Airways atveju, manytina, jog aktualiausi yra šie:

- pažeidimo trukmė: pažeidimas tęsėsi mažiausiai du - tris mėnesius (nuo birželio iki rugsėjo, kai buvo pranešta ICO);

- nukentėjusių duomenų subjektų skaičius: daugiau nei 400 000 duomenų subjektų;

- asmens duomenų, kurioms pažeidimas turėjo poveikį, kategorijos - buvo pažeisti ir finansiniai duomenys, kas galėjo lemti materialinius nuostolius duomenų subjektams;

- į duomenų valdytojo įgyvendintas duomenų saugumo priemones - tai, kad jos buvo nepakankamos.

Šiuo atveju, skirdama baudą, ICO atsižvelgė ir į Covid-19 poveikį skrydžių bendrovių verslui.

Ko gali pasimokyti kitos bendrovės, siekdamos apsaugoti savo klientų asmens duomenis?


British Airways situacija iš esmės tik dar kartą atkreipia dėmesį į tai, kad kuo daugiau įmonė tvarko asmens duomenų, įskaitant finansinių (pvz., mokėjimo kortelių duomenis ir pan.), tuo ji tampa patrauklesnė įvairių atakų planuotojams. Ir iš esmės tik laiko klausimas, kada tokios bendrovės taikomos saugumo priemonės bus patikrintos minėtų asmenų. Tačiau nevertėtų atsipūsti ir mažesnėms įmonėms, nes viena iš saugumo priemonių spragų gali būti ir nekompetentingi arba tiesiog neapmokyti darbuotojai. Tad į ką vertėtų atkreipti dėmesį bendrovėms, siekiančioms apsaugoti tvarkomus asmens duomenis?

- apriboti prieigą prie programų, duomenų ir įrankių tik tiems darbuotojams / paslaugų teikėjams, kuriems duomenys reikalingi jų funkcijai atlikti;

- naudoti kelių lygių autentifkaciją, jungiantis prie asmens duomenų tvarkymo programų / sistemų / įrankių;

- atlikti rizikos vertinimą ir, pagal nustatytą rizikos lygį, parinkti duomenų saugumo priemones;

- periodiškai peržiūrėti taikomas priemones ir patikrinti jų efektyvumą, imituojant saugumo incidentą;

- apmokyti darbuotojus taikyti bendrovės nustatytas asmens duomenų saugumo priemones.

Nuorodos