Versions Compared

Old Version 21

changes.mady.by.user CPO

Saved on

compared with

New Version Current

changes.mady.by.user CPO

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Comment: patikslinta prieiga


Aura - Panel
tab1
styles{"body":{"text":{"color":"#465671","textAlign":"left","fontWeight":"normal","fontSize":14}},"header":{"backgroundColor":{"color":"#344563"},"icon":{"size":26,"name":"faPaperPlane","color":"#fff"}},"headline":{"text":{"text":"Duomenų apsaugos pareigūnas Allaw® supažindina","color":"#fff","textAlign":"left","fontWeight":"normal","fontSize":18}},"base":{"boxShadow":{"shadows":[{"color":"rgba(0, 0, 0, 0.08)","x":0,"y":1,"blur":1,"spread":0},{"color":"rgba(0, 0, 0, 0.16)","x":0,"y":1,"blur":3,"spread":1}]},"backgroundColor":{"color":"#ffffff"},"border":{"color":"#344563","style":"solid","width":2,"bottom":true,"top":false,"left":false,"right":false}}}

Olandijos duomenų apsaugos tarnyba  skyrė 475 000 eurų baudą Booking.com, nes minėta įmonė praleido nustatytą terminą pranešti apie duomenų saugumo pažeidimą. Tyrimo metu nustatyta, kad dėl įvykusio pažeidimo nusikaltėliai gavo daugiau nei 4000 "Booking.com" klientų asmens duomenis bei beveik 300 klientų kreditinių kortelių duomenis. Kokie pažeidimai lėmė baudos skyrimą ir kas padėtų jų išvengti? Apie tai supažindina Duomenų apsaugos pareigūnas Allaw.


Neapmokyti darbuotojai - grėsmė įmonės tvarkomiems asmens duomenims

Telefonu vykdytoje aferoje, nukreiptoje į 40 viešbučių Jungtiniuose Arabų Emyratuose (toliau - JAE) 2018 m. gruodžio mėn., nusikaltėliai įtikino viešbučio darbuotojus „Booking.com“ sistemoje atskleisti savo prisijungimo duomenis. Tokiu būdu nusikaltėliai gavo prieigą prie 4109 žmonių, užsisakiusių viešbučio kambarį JAE, duomenų. Nusikaltėliai gavo tokius duomenis kaip asmenų vardai, pavardės, adresai ir telefono numeriai, taip pat išsami užsakymo informacija. Nusikaltėliai taip pat galėjo susipažinti su 283 žmonių kredito kortelių informacija. 97 atvejais buvo gautas ir kredito kortelės apsaugos kodas. Nusikaltėliai taip pat bandė sužinoti kitų aukų kreditinės kortelės informaciją, susisiekdami su „Booking.com“ darbuotojais el. paštu ar telefonu.

Aura - Panel
tab1
styles{"header":{},"headline":{},"base":{"backgroundColor":{"color":"#FFF3D3"},"borderRadius":{"radius":4},"border":{"width":10,"color":"#FFC021","top":false,"right":false,"bottom":false,"left":true,"style":"solid"}},"body":{"text":{"color":"#B68201","fontSize":14,"fontWeight":"normal","textAlign":"left"}}}
body<br />

Iš susiklosčiusios situacijos akivaizdu, kad pati įmonė neskyrė pakankamai dėmesio darbuotojų apmokymui tiek tvarkyti, tiek saugoti asmens duomenis, neinformavo apie prieigos prie asmens duomenų suteikimo taisykles ir galimas rizikas. Ši situacija tik dar kartą patvirtinta ir Valstybinės duomenų apsaugos inspekcijos (toliau - VDAI) ne kartą akcentuotą duomenų saugumo pažeidimų priežastį - žmogiškąją klaidą, kurios padeda išvengti reguliarūs ir specializuoti mokymai. Tik instruktavę darbuotojus apie tai, kokias duomenų saugumo priemones jie turi taikyti bei kokios grėsmės asmens duomenims gali kilti ir kaip jas valdyti, gali tikėtis veiksmingos duomenų apsaugos sistemos.


Aura - Panel
tab1
styles{"body":{"text":{"color":"#465671","textAlign":"left","fontWeight":"normal","fontSize":14}},"header":{"backgroundColor":{"color":"#ffffff"}},"headline":{"alignment":{"horizontal":"start"},"text":{"text":"Delsimas pateikti pranešimą apie pažeidimą didina tikimybę žalai atsirasti","color":"#333333","textAlign":"left","fontWeight":"bold","fontSize":26},"border":{"color":"#344563","style":"solid","top":false,"right":false,"bottom":true,"left":false,"width":1}},"base":{"border":{"bottom":false,"left":false,"right":false,"top":true,"color":"#344563","width":6,"style":"solid"},"backgroundColor":{"color":"#ffffff"},"borderRadius":{"radius":4},"boxShadow":{"shadows":[{"color":"rgba(0, 0, 0, 0.08)","x":0,"y":1,"blur":1,"spread":0},{"color":"rgba(0, 0, 0, 0.16)","x":0,"y":1,"blur":3,"spread":1}]}}}
body<p class="auto-cursor-target"><br /></p><ac:structured-macro ac:name="ui-text-box" ac:schema-version="1" ac:macro-id="7da7f479-5a88-42f0-855d-096d9644fb9e"><ac:parameter ac:name="size">medium</ac:parameter><ac:rich-text-body><p><span style="color: #000000;">Tikriausiai kiekvienai organizacijai yra tekę gauti banko, institucijos ar fizinio asmens pra&scaron;ymą pateikti asmens duomenis. Valstybinė duomenų apsaugos inspekcija (toliau - VDAI) paskelbė gaires dėl pra&scaron;ymų pateikti asmens duomenis vertinimo, kurias dar vasarą buvo teikusi vie&scaron;osioms konsultacijoms, kad visuomenė pateiktų savo pastabas. Minėtomis&nbsp;gairėmis VDAI siekia padėti duomenų valdytojams ir duomenų tvarkytojams geriau suprasti, kaip jie turi vertinti gaunamus pra&scaron;ymus dėl asmens duomenų teikimo.&nbsp;<ac:structured-macro ac:name="ui-button" ac:schema-version="1" ac:macro-id="493a7769-991d-409a-9cf4-73d71ea551d3"><ac:parameter ac:name="color">blue</ac:parameter><ac:parameter ac:name="newWindow">true</ac:parameter><ac:parameter ac:name="icon">link</ac:parameter><ac:parameter ac:name="tooltip">Sužinokite, kas gali padėti šiuo klausimu </ac:parameter><ac:parameter ac:name="title">Duomenų apsaugos pareigūnas Allaw® </ac:parameter><ac:parameter ac:name="url">https://allaw.lt/legalspaces/pages/viewpage.action?pageId=25231481</ac:parameter></ac:structured-macro>&nbsp;paai&scaron;kina, kokius tris kriterijus turi įvertinti organizacijos, prie&scaron; įgyvendindamos pra&scaron;ymą atskleisti asmens duomenis, kad galėtų įvertinti pra&scaron;ymo teisėtumą ir proporcingumą.</span></p></ac:rich-text-body></ac:structured-macro><p class="auto-cursor-target"><br /></p>

Vadovaujantis Bendrojo duomenų apsaugos reglamento (toliau -  BDAR) 33 str. 1 d. apie duomenų saugumo pažeidimą įmonė (duomenų valdytojas) turi pranešti priežiūros institucijai nedelsdama, ne vėliau kaip per 72 val. nuo momento, kai nustatė pažeidimą. Tais atvejais, kai gali kilti didelis pavojus duomenų subjektų teisėms ir laisvėms, taip pat reikia pranešti ir duomenų subjektams. Vadovaujantis VDAI rekomendacijomis, duomenų subjektams rekomenduojama pranešti taip pat ne vėliau kaip per 72 valandas. Atlikto tyrimo duomenimis, pati Booking.com“ apie duomenų pažeidimą buvo informuota 2019 m. sausio 13 d., tačiau apie tai nepranešė Olandijos duomenų apsaugos tarnybai tik vasario 7 d., t. y., pavėlavusi 22 dienas. Prieš informuodama Olandijos duomenų apsaugos tarnybą, „Booking.com“ vis dėlto informavo nukentėjusius klientus apie pažeidimą, tačiau tai padarė taip pat nepagrįstai vėlai - praėjus 19 dienų po pažeidimo

Olandijos duomenų apsaugos tarnyba pažymėjo, kad duomenų saugumo pažeidimas gali įvykti, net ir taikant tinkamas duomenų saugumo priemones, tačiau, norint išvengti žalos klientams ir būsimų atakų (ypatingai, kai pažeidimas susijęs su finansiniais duomenimis), reikia nedelsiant pranešti priežiūros institucijai, kuri teikdama nurodymus gali padėti suvaldyti pažeidimą, pvz., nurodyti pranešti apie pažeidimą duomenų subjektams, taip sumažinant tikimybę, kad nusikaltėliams pavyks pasinaudoti jų duomenimis. Duomenų subjektų informavimas ypatingai svarbus, kai yra pavogti finansiniai duomenys, nes pasinaudojant šiais duomenimis galima ir finansinė žala duomenų subjektams, todėl efektyvus ir savalaikis jų informavimas gali padėti šios žalos išvengti.

Siekiant, kad tiek priežiūros institucijos, tiek duomenų subjektai, pažeidimo atveju būtų laiku informuoti, įmonės turi būti pasirengusios ir dokumentavusios duomenų saugumo pažeidimų nustatymo, tyrimo ir pranešimo apie juos bei dokumentavimo tvarkos aprašą, paskyrusi atitinkamas atsakomybes savo darbuotojams bei informavusi ir apmokiusi darbuotojus atpažinti duomenų saugumo pažeidimą.


Aura - Panel
tab1
styles{"base":{"backgroundColor":{"color":"#ffffff"},"border":{"color":"#592e70","width":10,"top":false,"right":false,"bottom":false,"left":true,"style":"solid"},"borderRadius":{"radius":4},"boxShadow":{"shadows":[{"color":"rgba(0, 0, 0, 0.08)","x":0,"y":1,"blur":1,"spread":0},{"color":"rgba(0, 0, 0, 0.16)","x":0,"y":1,"blur":3,"spread":1}]}},"body":{"text":{"fontSize":14,"color":"#9d9d9d","fontWeight":"normal","textAlign":"left"}},"header":{"icon":{"name":"faQuestionCircle","color":"#490a78","size":26}},"headline":{"text":{"text":"Pastaruoju metu duomenų vagysčių daugėja - kokių priemonių imtis?","color":"#2d2d2d","fontSize":26,"fontWeight":"bold","textAlign":"left"}}}
body<h4><span style="color: #000000;"><a href="https://allaw.lt/legaldesk/plugins/servlet/desk/portal/67/create/182" style="color: #000000;">Pasitikrinti, ar teisingai organizuojame nuotolinį darbą</a></span></h4><hr /><h4><span style="color: #000000;"><a href="https://allaw.lt/legaldesk/plugins/servlet/desk/portal/67/create/182" style="color: #000000;">Perduoti peržiūrai susitarimo dėl nuotolinio darbą projektą</a></span></h4><hr /><h4><span style="color: #000000;"><a href="https://allaw.lt/legaldesk/plugins/servlet/desk/portal/76/create/388" style="color: #000000;">Patikrinti, ar susitarimas dėl nuotolinio darbo atitinka BDAR&nbsp;</a></span></h4>

Olandijos duomenų apsaugos tarnyba pastebi, kad išaugo įsibrovimų, kuriais siekiama pavogti asmens duomenis, skaičius. Pranešimų apie tokius pažeidimus skaičius 2020 m. buvo 30 % didesnis nei praėjusiais metais. Tą pačią tendenciją galime pastebėti ir Lietuvoje: plačiai nuskambėjęs "CityBee" atvejis, "Orakulas.lt", Vilniaus kolegijos bei kiti atvejai. Dėl šios priežasties tik dar labiau išauga tinkamų duomenų saugumo priemonių taikymo reikšmė. 

Be abejo, kaip jau buvo minėta, kartais ir efektyvias duomenų saugumo priemones randama kaip apeiti ir pažeidimai įvyksta, tačiau netaikant duomenų saugumo priemonių arba taikant netinkamas, nepakankamas tokių bandymų sėkmė praktiškai garantuota. Todėl ypatingai svarbu, kad įmonės skirtų dėmesį ne tik duomenų saugumo priemonių parinkimui - kas praktiškai neįmanoma be rizikos lygio nustatymo (būtent pagal rizikos lygį, priklausomai nuo to ar jis aukštas, vidutinis ar žemas turėtų būti parenkamos atitinkamos duomenų saugumo priemonės), bet ir reguliariai parinktų duomenų saugumo priemonių peržiūrai ir jų efektyvumo bandymams bei, nustačius poreikį, atnaujinimui.


Bylos santrauka (turinys tik Allaw klientams)

Show If
special@authenticated

Pagrindinė informacija

Page properties
idBylos-info


1.00 Eil. nr.

ETid-612

1.01 Šalis

Olandija

1.02 Data

2020-12-10

1.03 Bauda, EUR

475 000 EUR

1.04 Valdytojas/tvarkytojas

Booking.com B.V. (Apgyvendinimo paslaugos per internetinę svetainę)

1.05 Sektorius

Apgyvendinimas ir Svetingumas

1.06 Cituojami BDAR str.

Str. 33

1.07 Tipas

Nepranešimas apie duomenų saugumo pažeidimą

1.08 Šaltinis

Straipsnis olandų kalba


Papildoma informacija

Page properties
idPapildoma-info


1.11 Pažeidimo aprašymas

Booking.com B.V. (Apgyvendinimo paslaugos per internetinę svetainę) byla:

Olandijos duomenų apsaugos tarnyba  skyrė 475 000 eurų baudą Booking.com, nes minėta įmonė praleido nustatytą terminą pranešti apie duomenų saugumo pažeidimą. Tyrimo metu nustatyta, kad dėl įvykusio pažeidimo nusikaltėliai gavo daugiau nei 4000 "Booking.com" klientų asmens duomenis bei beveik 300 klientų kreditinių kortelių duomenis.

1.12 Susijusi naujiena

Olandijos įmonei "Booking.com" skirta 475 000 Eur bauda



Bootstrap Spacer
Height50px

Nuorodos

UI Tabs


UI Tab
titleKur eiti toliau ➡️

Kur eiti toliau

Outgoing Links




UI Tab
title✨ Panašūs straipsniai

Panašūs straipsniai

Content by Label
showLabelsfalse
max5
spacesBDARKELRODIS
showSpacefalse
sortmodified
reversetrue
typepage
cqllabel = "pranešimas-apie-pažeidimą" and type in ("page","blogpost") and space in ("BDARKELRODIS","ATN","DAI")
labelskb-how-to-article

Page properties
hiddentrue


Related issues






Aura - Panel
tab1
styles{"base":{"backgroundColor":{"color":"#ffffff"},"border":{"color":"#e5556e","width":10,"top":false,"right":false,"bottom":false,"left":true,"style":"solid"},"borderRadius":{"radius":4},"boxShadow":{"shadows":[{"color":"rgba(0, 0, 0, 0.08)","x":0,"y":1,"blur":1,"spread":0},{"color":"rgba(0, 0, 0, 0.16)","x":0,"y":1,"blur":3,"spread":1}]}},"body":{"text":{"fontSize":14,"color":"#9d9d9d","fontWeight":"normal","textAlign":"left"}},"header":{},"headline":{"text":{"text":"Svarbu ...","color":"#2d2d2d","fontSize":26,"fontWeight":"bold","textAlign":"left"}}}
body<h4><span style="color: #000000;"><a href="https://allaw.lt/klauskite-teisininko/">Pasiteirauti dėl duomenų apsaugos audito</a></span></h4><hr /><h4><span style="color: #000000;"><a href="https://allaw.lt/legaldesk/plugins/servlet/desk/portal/67/create/182">Perduoti peržiūrai p</a><a href="https://allaw.lt/legaldesk/plugins/servlet/desk/portal/76/create/388">rieigos suteikimo procedūros apra&scaron;ą</a></span></h4><hr />

Pasitikrinti, ar esate nustatę ir dokumentavę duomenų saugumo pažeidimų nustatymo, nagrinėjimo ir pranešimo apie juos taisykles

Pasitikrinti, ar periodiškai peržiūrite ir, nustačius poreikį,atnaujinate taikomas duomenų saugumo priemones

Pasitikrinti, ar Jūsų darbuotojai apmokyti atpažinti duomenų saugumo pažeidimus

Pasitikrinti, ar Jūsų BDAR mokymų temos apima duomenų saugumo priemones, duomenų saugumo pažeidimus


Aura - Panel
tab1
styles{"base":{"backgroundColor":{"color":"#ffffff"},"border":{"color":"#FFC021","width":10,"top":false,"right":false,"bottom":false,"left":true,"style":"solid"},"borderRadius":{"radius":4},"boxShadow":{"shadows":[{"color":"rgba(0, 0, 0, 0.08)","x":0,"y":1,"blur":1,"spread":0},{"color":"rgba(0, 0, 0, 0.16)","x":0,"y":1,"blur":3,"spread":1}]}},"body":{"text":{"fontSize":14,"color":"#9d9d9d","fontWeight":"normal","textAlign":"left"}},"header":{"icon":{"name":"faExclamationCircle","color":"#FFC021","size":26}},"headline":{"text":{"text":"Nepamiršti","color":"#2d2d2d","fontSize":26,"fontWeight":"bold","textAlign":"left"}}}
body<p class="auto-cursor-target"><br /></p><ac:structured-macro ac:name="ui-text-box" ac:schema-version="1" ac:macro-id="7da7f479-5a88-42f0-855d-096d9644fb9e"><ac:parameter ac:name="size">medium</ac:parameter><ac:rich-text-body><p><span style="color: #000000;">Tikriausiai kiekvienai organizacijai yra tekę gauti banko, institucijos ar fizinio asmens pra&scaron;ymą pateikti asmens duomenis. Valstybinė duomenų apsaugos inspekcija (toliau - VDAI) paskelbė gaires dėl pra&scaron;ymų pateikti asmens duomenis vertinimo, kurias dar vasarą buvo teikusi vie&scaron;osioms konsultacijoms, kad visuomenė pateiktų savo pastabas. Minėtomis&nbsp;gairėmis VDAI siekia padėti duomenų valdytojams ir duomenų tvarkytojams geriau suprasti, kaip jie turi vertinti gaunamus pra&scaron;ymus dėl asmens duomenų teikimo.&nbsp;<ac:structured-macro ac:name="ui-button" ac:schema-version="1" ac:macro-id="493a7769-991d-409a-9cf4-73d71ea551d3"><ac:parameter ac:name="color">blue</ac:parameter><ac:parameter ac:name="newWindow">true</ac:parameter><ac:parameter ac:name="icon">link</ac:parameter><ac:parameter ac:name="tooltip">Sužinokite, kas gali padėti šiuo klausimu </ac:parameter><ac:parameter ac:name="title">Duomenų apsaugos pareigūnas Allaw® </ac:parameter><ac:parameter ac:name="url">https://allaw.lt/legalspaces/pages/viewpage.action?pageId=25231481</ac:parameter></ac:structured-macro>&nbsp;paai&scaron;kina, kokius tris kriterijus turi įvertinti organizacijos, prie&scaron; įgyvendindamos pra&scaron;ymą atskleisti asmens duomenis, kad galėtų įvertinti pra&scaron;ymo teisėtumą ir proporcingumą.</span></p></ac:rich-text-body></ac:structured-macro><p class="auto-cursor-target"><br /></p>

Apie duomenų saugumo pažeidimus reikalinga pranešti VDAI ne vėliau kaip per 72 val.


Center


Aura - Panel
tab1
styles{"base":{"backgroundColor":{"color":"#ffffff"},"border":{"color":"#B01EC1","width":10,"top":false,"right":false,"bottom":false,"left":true,"style":"solid"},"borderRadius":{"radius":4},"boxShadow":{"shadows":[{"color":"rgba(0, 0, 0, 0.08)","x":0,"y":1,"blur":1,"spread":0},{"color":"rgba(0, 0, 0, 0.16)","x":0,"y":1,"blur":3,"spread":1}]}},"body":{"text":{"fontSize":14,"color":"#9d9d9d","fontWeight":"normal","textAlign":"left"}},"header":{},"headline":{"text":{"text":"Naudingi ištekliai","color":"#2d2d2d","fontSize":26,"fontWeight":"bold","textAlign":"left"}}}

BDAR specializuoti mokymai duomenų saugos pažeidimų prevencijai 

BDAR e-vedlys

Dažnai užduodami klausimai (DUK)


Aura - Panel
tab1
styles{"base":{"backgroundColor":{"color":"#ffffff"},"border":{"color":"#86CA81","width":10,"top":false,"right":false,"bottom":false,"left":true,"style":"solid"},"borderRadius":{"radius":4},"boxShadow":{"shadows":[{"color":"rgba(0, 0, 0, 0.08)","x":0,"y":1,"blur":1,"spread":0},{"color":"rgba(0, 0, 0, 0.16)","x":0,"y":1,"blur":3,"spread":1}]}},"body":{"text":{"fontSize":14,"color":"#9d9d9d","fontWeight":"normal","textAlign":"left"}},"header":{},"headline":{"text":{"text":"Susisiekti ","color":"#2d2d2d","fontSize":26,"fontWeight":"bold","textAlign":"left"}}}

Teirautis dėl prieigos prie BDAR mokymų e-medžiagos

Sužinoti apie inovatyvią paslaugą duomenų apsaugos pareigūnas Allaw®

Palikti žinutę duomenų apsaugos pareigūnui Allaw®

Telefonu: 8-616 02000