Page History
Versions Compared
Key
- This line was added.
- This line was removed.
- Formatting was changed.
Aura - Panel | ||||
---|---|---|---|---|
| ||||
Olandijos duomenų apsaugos tarnyba skyrė 475 000 eurų baudą „Booking.com“, nes minėta įmonė praleido nustatytą terminą pranešti apie duomenų saugumo pažeidimą. Tyrimo metu nustatyta, kad dėl įvykusio pažeidimo nusikaltėliai gavo daugiau nei 4000 "Booking.com" klientų asmens duomenis bei beveik 300 klientų kreditinių kortelių duomenis. Kokie pažeidimai lėmė baudos skyrimą ir kas padėtų jų išvengti? Apie tai supažindina Duomenų apsaugos pareigūnas Allaw. |
Neapmokyti darbuotojai - grėsmė įmonės tvarkomiems asmens duomenims
Telefonu vykdytoje aferoje, nukreiptoje į 40 viešbučių Jungtiniuose Arabų Emyratuose (toliau - JAE) 2018 m. gruodžio mėn., nusikaltėliai įtikino viešbučio darbuotojus „Booking.com“ sistemoje atskleisti savo prisijungimo duomenis. Tokiu būdu nusikaltėliai gavo prieigą prie 4109 žmonių, užsisakiusių viešbučio kambarį JAE, duomenų. Nusikaltėliai gavo tokius duomenis kaip asmenų vardai, pavardės, adresai ir telefono numeriai, taip pat išsami užsakymo informacija. Nusikaltėliai taip pat galėjo susipažinti su 283 žmonių kredito kortelių informacija. 97 atvejais buvo gautas ir kredito kortelės apsaugos kodas. Nusikaltėliai taip pat bandė sužinoti kitų aukų kreditinės kortelės informaciją, susisiekdami su „Booking.com“ darbuotojais el. paštu ar telefonu.
Aura - Panel | ||||||
---|---|---|---|---|---|---|
| ||||||
Iš susiklosčiusios situacijos akivaizdu, kad pati įmonė neskyrė pakankamai dėmesio darbuotojų apmokymui tiek tvarkyti, tiek saugoti asmens duomenis, neinformavo apie prieigos prie asmens duomenų suteikimo taisykles ir galimas rizikas. Ši situacija tik dar kartą patvirtinta ir Valstybinės duomenų apsaugos inspekcijos (toliau - VDAI) ne kartą akcentuotą duomenų saugumo pažeidimų priežastį - žmogiškąją klaidą, kurios padeda išvengti reguliarūs ir specializuoti mokymai. Tik instruktavę darbuotojus apie tai, kokias duomenų saugumo priemones jie turi taikyti bei kokios grėsmės asmens duomenims gali kilti ir kaip jas valdyti, gali tikėtis veiksmingos duomenų apsaugos sistemos. |
Aura - Panel | |||||||||
---|---|---|---|---|---|---|---|---|---|
| |||||||||
Vadovaujantis Bendrojo duomenų apsaugos reglamento (toliau - BDAR) 33 str. 1 d. apie duomenų saugumo pažeidimą įmonė (duomenų valdytojas) turi pranešti priežiūros institucijai nedelsdama, ne vėliau kaip per 72 val. nuo momento, kai nustatė pažeidimą. Tais atvejais, kai gali kilti didelis pavojus duomenų subjektų teisėms ir laisvėms, taip pat reikia pranešti ir duomenų subjektams. Vadovaujantis VDAI rekomendacijomis, duomenų subjektams rekomenduojama pranešti taip pat ne vėliau kaip per 72 valandas. Atlikto tyrimo duomenimis, pati „Booking.com“ apie duomenų pažeidimą buvo informuota 2019 m. sausio 13 d., tačiau apie tai nepranešė Olandijos duomenų apsaugos tarnybai tik vasario 7 d., t. y., pavėlavusi 22 dienas. Prieš informuodama Olandijos duomenų apsaugos tarnybą, „Booking.com“ vis dėlto informavo nukentėjusius klientus apie pažeidimą, tačiau tai padarė taip pat nepagrįstai vėlai - praėjus 19 dienų po pažeidimo. Olandijos duomenų apsaugos tarnyba pažymėjo, kad duomenų saugumo pažeidimas gali įvykti, net ir taikant tinkamas duomenų saugumo priemones, tačiau, norint išvengti žalos klientams ir būsimų atakų (ypatingai, kai pažeidimas susijęs su finansiniais duomenimis), reikia nedelsiant pranešti priežiūros institucijai, kuri teikdama nurodymus gali padėti suvaldyti pažeidimą, pvz., nurodyti pranešti apie pažeidimą duomenų subjektams, taip sumažinant tikimybę, kad nusikaltėliams pavyks pasinaudoti jų duomenimis. Duomenų subjektų informavimas ypatingai svarbus, kai yra pavogti finansiniai duomenys, nes pasinaudojant šiais duomenimis galima ir finansinė žala duomenų subjektams, todėl efektyvus ir savalaikis jų informavimas gali padėti šios žalos išvengti. Siekiant, kad tiek priežiūros institucijos, tiek duomenų subjektai, pažeidimo atveju būtų laiku informuoti, įmonės turi būti pasirengusios ir dokumentavusios duomenų saugumo pažeidimų nustatymo, tyrimo ir pranešimo apie juos bei dokumentavimo tvarkos aprašą, paskyrusi atitinkamas atsakomybes savo darbuotojams bei informavusi ir apmokiusi darbuotojus atpažinti duomenų saugumo pažeidimą.
|
Bylos santrauka (turinys tik Allaw klientams)
Show If | ||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||||||||||||||||||||||||
Pagrindinė informacija
Papildoma informacija
|
Bootstrap Spacer | ||
---|---|---|
|
Nuorodos
UI Tabs | |||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
Aura - Panel | ||||||
---|---|---|---|---|---|---|
| ||||||
Pasitikrinti, ar esate nustatę ir dokumentavę duomenų saugumo pažeidimų nustatymo, nagrinėjimo ir pranešimo apie juos taisyklesPasitikrinti, ar periodiškai peržiūrite ir, nustačius poreikį,atnaujinate taikomas duomenų saugumo priemonesPasitikrinti, ar Jūsų darbuotojai apmokyti atpažinti duomenų saugumo pažeidimusPasitikrinti, ar Jūsų BDAR mokymų temos apima duomenų saugumo priemones, duomenų saugumo pažeidimus |
Aura - Panel | ||||||
---|---|---|---|---|---|---|
| ||||||
Apie duomenų saugumo pažeidimus reikalinga pranešti VDAI ne vėliau kaip per 72 val. |
Center |
---|
Aura - Panel | ||||
---|---|---|---|---|
| ||||
BDAR specializuoti mokymai duomenų saugos pažeidimų prevencijaiBDAR e-vedlysDažnai užduodami klausimai (DUK) |
Aura - Panel | ||||
---|---|---|---|---|
| ||||
Teirautis dėl prieigos prie BDAR mokymų e-medžiagosSužinoti apie inovatyvią paslaugą duomenų apsaugos pareigūnas Allaw®Palikti žinutę duomenų apsaugos pareigūnui Allaw®Telefonu: 8-616 02000 |