Kaip praneša Valstybinė duomenų apsaugos inspekcija, automobilių., mikroautobusų ir dviračių nuomos paslaugas teikianti įmonė "Citybee" susidūrė su asmens duomenų saugumo pažeidimu - jos saugomų asmens duomenų vagyste ir paviešinimu. Kaip teigia pati įmonė, buvo pavogta apie 110 tūkst. įmonės klientų asmens duomenų (įskaitant klientų vardus, pavardes, asmens kodus, su „CityBee“ automobilių naudojimu susijusius duomenis – mašinų rezervavimo, parkavimo istorija, užkoduoti slaptažodžiai). Valstybinė duomenų apsaugos inspekcija bei policija pradėjo tyrimus, o Duomenų apsaugos pareigūnas Allaw paaiškina kokios duomenų valdytojo pareigos, susijusios su pranešimu apie duomenų saugumo pažeidimą.
Užsivėlinsite pranešti apie duomenų saugumo pažeidimą ir VDAI apie tai sužinos iš žiniasklaidos - tai bus įvertinta skiriant baudą
BDAR 33 str. 1 d. numato, akd asmens duomenų saugumo pažeidimo atveju duomenų valdytojas nepagrįstai nedesldamas, ir jei įmanoma, praėjus ne daugiau kaip 72 val. nuo tada, kai sužinojo apie asmens duomenų saugumo pažedimą, apie tai turi pranešti priežiūros institucijai - Lietuvos atveju - Valstybinei duomenų apsaugos inspekcijai (toliau - VDAI). Pranešti VDAI paprasčiausia naudojant jos patvirtintą pranešimo apie duomenų saugumo pažeidimą formą. Kaip galima spręsti iš VDAI pranešimo, VDAI dėl Citybee atvejo tyrimą pradėjo savo iniciatyva, reaguodama į viešojoje erdvėje paskelbtą informaciją, vadinasi Citybee dar nebuvo pranešusi apie pažeidimą VDAI. Atkreiptinas dėmesys, kad tais atvejais, kai sprendžiama dėl baudos dydžio yra atsižvelgiama į tai, kokiu būdu priežiūros institucija sužinojo apie pažeidimą, visų pirma tai, ar duomenų valdytojas arba duomenų tvarkytojas pranešė apie pažeidimą (BDAR 83 str. 2 d. h) punktas).
Kita vertus, kaip numato BDAR 33 str. 1 d. jeigu priežiūros institucijai apie asmens duomenų saugumo pažeidimą nepranešama per 72 val., prie pranešimo pridedamos vėlavimo priežastys, pvz., nėra nustatytos visos pažeidimo aplinkybės ir pan. Tačiau reiktų suvokti, kad tai greičiau išimtiniai atvejai, nes BDAR 33 str. 4 d. numato, kad jeigu informacijos neįmanoma pateikti tuo pačiu metu, informacija toliau nepagrįstai nedelsiant gali būti teikiama etapais.
Todėl labai svarbu, kad duomenų valdytojai būtų dokumentavę asmens duomenų saugumo pažeidimų nustatymo, tyrimo ir pranešimo paie juos tvarką, paskirti už jos įgyvendinimą atsakingus asmenis, nes kitaip bus praktiškai neįmanoma operatyviai ir efektyviai valdyti duomenų saugumo pažedimų ir apie juos pranešti VDAI.
Dėl duomenų saugumo pažeidimo gali kilti didelis pavojus - nepamirškite informuoti duomenų subjektų
BDAR 34 str. numato, kad kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms duomenų vakdytojas turi prnaešti duomenų subjektui. Pranešant labai svarbu, kad duomenų subjektams aiškia ir paprasta kalba būtų pranešta apie:
asmens duomenų saugumo pažeidimo pobūdį (kas nutiko, kokie duomenys buvo pažeisti),
duomenų apsaugos pareigūno kontaktinius duomenis (arba kito asmens, su kuriuo duomenų subjektai gali susisiekti dėl įvykusių duomenų saugumo pažeidimo),
tikėtinas duomenų saugumo pažeidimo pasekmes,
priemonės, kurių ėmėsi duomenų valdytojas ir kurių siūlo imtis duomenų subjektams.
Duomenų subjektų informavimo būdus pasirenka pats duomenų valdytojas, kaip savo rekomendacijose dėmėsį atkreipia VDAI, duomenų subjektas turėtų būti informuotas tiesiogiai, pvz, siunčiant pranešimą el. paštu, SMS ar pan. Šis pranešimas turi būti atskirtas nuo kitos informacijos, tokios kaip nuolatiniai atnaujinimai, naujienlaiškiai ar standartiniai pranešimai. Tais atvejais kai tiesioginio pranešimo duomenų subjektui pateikimas pareikalautų neproporcingai daug pastangų (pvz., yra daug duomenų subjektų ir ne visų kontaktai yra žinomi) apie įvykusį pažeidimą gali būti paskelbiama viešai arba taikoma panaši priemonė, kuria duomenų subjektai būtų informuojami taip pat efektyviai, pvz., pranešiams žinomos interneto svetainės antraštėje ar pranešimuose.
Nors konkretaus termino informuoti duomenų subjektus BDAR nenumato, VDAI rekomenduoja tą padaryti per 72 val. nuo pažeidimo nustatymo momento. Citybee savo klientus pasirinko informuoti el. paštu, įmonės interneto svetainėje apie įvykusį pažeidimą informacijos šiai dienai paskelbta nėra.
Kaip pasiruošti informavimui apie duomenų saugumo pažeidimą?
Kiekvienas duomenų valdytojas turi imtis reikiamų priemonių jo tvarkomų asmens duomenų apsaugai, tačiau taip pat turi nepmiršti, kad net ir saugiausios sistemos gali tapti programišių taikiniu ir būti pasiruošus pranešti apie duomenų saugumo pažeidimą yra itin svarbu. Tam duomenų valdytojams rekomenduojame:
būti pasitvirtinus asmens duomenų saugumo pažeidimų nustatymo, tyrimo ir pranešimo paie juos tvarkos aprašą,
būti paskyrus už asmens duomenų saugumo pažeidimų nustatymą, tyrimą ir pranešimą atsakingus asmenis,
būti pasitvirtinus pranešimo duomenų subjektams apie duomenų saugumo pažeidimą formą,
būti apgalvojus duomenų subjektų kategorijų informavimo būdus (pvz., kaip bus informuojami tie duomenų subjektai kurių kontaktiniai duomenys duomenų valdytojui žinomi ir tie, kurių duomenų valdytojas nežino).
Citybee duomenų saugumo pažeidimas atkreipė dėmesį į duomenų valdytojo informavimo pareigą
Kaip praneša Valstybinė duomenų apsaugos inspekcija, automobilių., mikroautobusų ir dviračių nuomos paslaugas teikianti įmonė "Citybee" susidūrė su asmens duomenų saugumo pažeidimu - jos saugomų asmens duomenų vagyste ir paviešinimu. Kaip teigia pati įmonė, buvo pavogta apie 110 tūkst. įmonės klientų asmens duomenų (įskaitant klientų vardus, pavardes, asmens kodus, su „CityBee“ automobilių naudojimu susijusius duomenis – mašinų rezervavimo, parkavimo istorija, užkoduoti slaptažodžiai). Valstybinė duomenų apsaugos inspekcija bei policija pradėjo tyrimus, o Duomenų apsaugos pareigūnas Allaw paaiškina kokios duomenų valdytojo pareigos, susijusios su pranešimu apie duomenų saugumo pažeidimą.
Užsivėlinsite pranešti apie duomenų saugumo pažeidimą ir VDAI apie tai sužinos iš žiniasklaidos - tai bus įvertinta skiriant baudą
BDAR 33 str. 1 d. numato, akd asmens duomenų saugumo pažeidimo atveju duomenų valdytojas nepagrįstai nedesldamas, ir jei įmanoma, praėjus ne daugiau kaip 72 val. nuo tada, kai sužinojo apie asmens duomenų saugumo pažedimą, apie tai turi pranešti priežiūros institucijai - Lietuvos atveju - Valstybinei duomenų apsaugos inspekcijai (toliau - VDAI). Pranešti VDAI paprasčiausia naudojant jos patvirtintą pranešimo apie duomenų saugumo pažeidimą formą. Kaip galima spręsti iš VDAI pranešimo, VDAI dėl Citybee atvejo tyrimą pradėjo savo iniciatyva, reaguodama į viešojoje erdvėje paskelbtą informaciją, vadinasi Citybee dar nebuvo pranešusi apie pažeidimą VDAI. Atkreiptinas dėmesys, kad tais atvejais, kai sprendžiama dėl baudos dydžio yra atsižvelgiama į tai, kokiu būdu priežiūros institucija sužinojo apie pažeidimą, visų pirma tai, ar duomenų valdytojas arba duomenų tvarkytojas pranešė apie pažeidimą (BDAR 83 str. 2 d. h) punktas).
Kita vertus, kaip numato BDAR 33 str. 1 d. jeigu priežiūros institucijai apie asmens duomenų saugumo pažeidimą nepranešama per 72 val., prie pranešimo pridedamos vėlavimo priežastys, pvz., nėra nustatytos visos pažeidimo aplinkybės ir pan. Tačiau reiktų suvokti, kad tai greičiau išimtiniai atvejai, nes BDAR 33 str. 4 d. numato, kad jeigu informacijos neįmanoma pateikti tuo pačiu metu, informacija toliau nepagrįstai nedelsiant gali būti teikiama etapais.
Todėl labai svarbu, kad duomenų valdytojai būtų dokumentavę asmens duomenų saugumo pažeidimų nustatymo, tyrimo ir pranešimo paie juos tvarką, paskirti už jos įgyvendinimą atsakingus asmenis, nes kitaip bus praktiškai neįmanoma operatyviai ir efektyviai valdyti duomenų saugumo pažedimų ir apie juos pranešti VDAI.
Dėl duomenų saugumo pažeidimo gali kilti didelis pavojus - nepamirškite informuoti duomenų subjektų
BDAR 34 str. numato, kad kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms duomenų vakdytojas turi prnaešti duomenų subjektui. Pranešant labai svarbu, kad duomenų subjektams aiškia ir paprasta kalba būtų pranešta apie:
Duomenų subjektų informavimo būdus pasirenka pats duomenų valdytojas, kaip savo rekomendacijose dėmėsį atkreipia VDAI, duomenų subjektas turėtų būti informuotas tiesiogiai, pvz, siunčiant pranešimą el. paštu, SMS ar pan. Šis pranešimas turi būti atskirtas nuo kitos informacijos, tokios kaip nuolatiniai atnaujinimai, naujienlaiškiai ar standartiniai pranešimai. Tais atvejais kai tiesioginio pranešimo duomenų subjektui pateikimas pareikalautų neproporcingai daug pastangų (pvz., yra daug duomenų subjektų ir ne visų kontaktai yra žinomi) apie įvykusį pažeidimą gali būti paskelbiama viešai arba taikoma panaši priemonė, kuria duomenų subjektai būtų informuojami taip pat efektyviai, pvz., pranešiams žinomos interneto svetainės antraštėje ar pranešimuose.
Nors konkretaus termino informuoti duomenų subjektus BDAR nenumato, VDAI rekomenduoja tą padaryti per 72 val. nuo pažeidimo nustatymo momento. Citybee savo klientus pasirinko informuoti el. paštu, įmonės interneto svetainėje apie įvykusį pažeidimą informacijos šiai dienai paskelbta nėra.
Kaip pasiruošti informavimui apie duomenų saugumo pažeidimą?
Kiekvienas duomenų valdytojas turi imtis reikiamų priemonių jo tvarkomų asmens duomenų apsaugai, tačiau taip pat turi nepmiršti, kad net ir saugiausios sistemos gali tapti programišių taikiniu ir būti pasiruošus pranešti apie duomenų saugumo pažeidimą yra itin svarbu. Tam duomenų valdytojams rekomenduojame:
Šaltiniai:
https://vdai.lrv.lt/lt/naujienos/valstybine-duomenu-apsaugos-inspekcija-pradeda-tyrima-del-citybee-klientu-asmens-duomenu-saugumo