Created by Unknown User (m.zvinyte@juridicon.lt), last modified by CPO on Sep 27, 2023
Duomenų apsaugos pareigūnas Allaw® supažindina
Olandijos duomenų apsaugos tarnyba skyrė 475 000 eurų baudą „Booking.com“, nes minėta įmonė praleido nustatytą terminą pranešti apie duomenų saugumo pažeidimą. Tyrimo metu nustatyta, kad dėl įvykusio pažeidimo nusikaltėliai gavo daugiau nei 4000 "Booking.com" klientų asmens duomenis bei beveik 300 klientų kreditinių kortelių duomenis. Kokie pažeidimai lėmė baudos skyrimą ir kas padėtų jų išvengti? Apie tai supažindina Duomenų apsaugos pareigūnas Allaw.
Neapmokyti darbuotojai - grėsmė įmonės tvarkomiems asmens duomenims
Telefonu vykdytoje aferoje, nukreiptoje į 40 viešbučių Jungtiniuose Arabų Emyratuose (toliau - JAE) 2018 m. gruodžio mėn., nusikaltėliai įtikino viešbučio darbuotojus „Booking.com“ sistemoje atskleisti savo prisijungimo duomenis. Tokiu būdu nusikaltėliai gavo prieigą prie 4109 žmonių, užsisakiusių viešbučio kambarį JAE, duomenų. Nusikaltėliai gavo tokius duomenis kaip asmenų vardai, pavardės, adresai ir telefono numeriai, taip pat išsami užsakymo informacija. Nusikaltėliai taip pat galėjo susipažinti su 283 žmonių kredito kortelių informacija. 97 atvejais buvo gautas ir kredito kortelės apsaugos kodas. Nusikaltėliai taip pat bandė sužinoti kitų aukų kreditinės kortelės informaciją, susisiekdami su „Booking.com“ darbuotojais el. paštu ar telefonu.
Iš susiklosčiusios situacijos akivaizdu, kad pati įmonė neskyrė pakankamai dėmesio darbuotojų apmokymui tiek tvarkyti, tiek saugoti asmens duomenis, neinformavo apie prieigos prie asmens duomenų suteikimo taisykles ir galimas rizikas. Ši situacija tik dar kartą patvirtinta ir Valstybinės duomenų apsaugos inspekcijos (toliau - VDAI) ne kartą akcentuotą duomenų saugumo pažeidimų priežastį - žmogiškąją klaidą, kurios padeda išvengti reguliarūs ir specializuoti mokymai. Tik instruktavę darbuotojus apie tai, kokias duomenų saugumo priemones jie turi taikyti bei kokios grėsmės asmens duomenims gali kilti ir kaip jas valdyti, gali tikėtis veiksmingos duomenų apsaugos sistemos.
Delsimas pateikti pranešimą apie pažeidimą didina tikimybę žalai atsirasti
Vadovaujantis Bendrojo duomenų apsaugos reglamento (toliau - BDAR) 33 str. 1 d. apie duomenų saugumo pažeidimą įmonė (duomenų valdytojas) turi pranešti priežiūros institucijai nedelsdama, ne vėliau kaip per 72 val. nuo momento, kai nustatė pažeidimą. Tais atvejais, kai gali kilti didelis pavojus duomenų subjektų teisėms ir laisvėms, taip pat reikia pranešti ir duomenų subjektams. Vadovaujantis VDAI rekomendacijomis, duomenų subjektams rekomenduojama pranešti taip pat ne vėliau kaip per 72 valandas. Atlikto tyrimo duomenimis, pati „Booking.com“ apie duomenų pažeidimą buvo informuota 2019 m. sausio 13 d., tačiau apie tai nepranešė Olandijos duomenų apsaugos tarnybai tik vasario 7 d., t. y., pavėlavusi 22 dienas. Prieš informuodama Olandijos duomenų apsaugos tarnybą, „Booking.com“ vis dėlto informavo nukentėjusius klientus apie pažeidimą, tačiau tai padarė taip pat nepagrįstai vėlai - praėjus 19 dienų po pažeidimo.
Olandijos duomenų apsaugos tarnyba pažymėjo, kad duomenų saugumo pažeidimas gali įvykti, net ir taikant tinkamas duomenų saugumo priemones, tačiau, norint išvengti žalos klientams ir būsimų atakų (ypatingai, kai pažeidimas susijęs su finansiniais duomenimis), reikia nedelsiant pranešti priežiūros institucijai, kuri teikdama nurodymus gali padėti suvaldyti pažeidimą, pvz., nurodyti pranešti apie pažeidimą duomenų subjektams, taip sumažinant tikimybę, kad nusikaltėliams pavyks pasinaudoti jų duomenimis. Duomenų subjektų informavimas ypatingai svarbus, kai yra pavogti finansiniai duomenys, nes pasinaudojant šiais duomenimis galima ir finansinė žala duomenų subjektams, todėl efektyvus ir savalaikis jų informavimas gali padėti šios žalos išvengti.
Siekiant, kad tiek priežiūros institucijos, tiek duomenų subjektai, pažeidimo atveju būtų laiku informuoti, įmonės turi būti pasirengusios ir dokumentavusios duomenų saugumo pažeidimų nustatymo, tyrimo ir pranešimo apie juos bei dokumentavimo tvarkos aprašą, paskyrusi atitinkamas atsakomybes savo darbuotojams bei informavusi ir apmokiusi darbuotojus atpažinti duomenų saugumo pažeidimą.
Pastaruoju metu duomenų vagysčių daugėja - kokių priemonių imtis?
Olandijos duomenų apsaugos tarnyba pastebi, kad išaugo įsibrovimų, kuriais siekiama pavogti asmens duomenis, skaičius. Pranešimų apie tokius pažeidimus skaičius 2020 m. buvo 30 % didesnis nei praėjusiais metais. Tą pačią tendenciją galime pastebėti ir Lietuvoje: plačiai nuskambėjęs "CityBee" atvejis, "Orakulas.lt", Vilniaus kolegijos bei kiti atvejai. Dėl šios priežasties tik dar labiau išauga tinkamų duomenų saugumo priemonių taikymo reikšmė.
Be abejo, kaip jau buvo minėta, kartais ir efektyvias duomenų saugumo priemones randama kaip apeiti ir pažeidimai įvyksta, tačiau netaikant duomenų saugumo priemonių arba taikant netinkamas, nepakankamas tokių bandymų sėkmė praktiškai garantuota. Todėl ypatingai svarbu, kad įmonės skirtų dėmesį ne tik duomenų saugumo priemonių parinkimui - kas praktiškai neįmanoma be rizikos lygio nustatymo (būtent pagal rizikos lygį, priklausomai nuo to ar jis aukštas, vidutinis ar žemas turėtų būti parenkamos atitinkamos duomenų saugumo priemonės), bet ir reguliariai parinktų duomenų saugumo priemonių peržiūrai ir jų efektyvumo bandymams bei, nustačius poreikį, atnaujinimui.
Olandijos duomenų apsaugos tarnyba skyrė 475 000 Eur baudą Booking.com už vėlavimą pranešti apie duomenų saugumo pažeidimą
Olandijos duomenų apsaugos tarnyba skyrė 475 000 eurų baudą „Booking.com“, nes minėta įmonė praleido nustatytą terminą pranešti apie duomenų saugumo pažeidimą. Tyrimo metu nustatyta, kad dėl įvykusio pažeidimo nusikaltėliai gavo daugiau nei 4000 "Booking.com" klientų asmens duomenis bei beveik 300 klientų kreditinių kortelių duomenis. Kokie pažeidimai lėmė baudos skyrimą ir kas padėtų jų išvengti? Apie tai supažindina Duomenų apsaugos pareigūnas Allaw.
Neapmokyti darbuotojai - grėsmė įmonės tvarkomiems asmens duomenims
Telefonu vykdytoje aferoje, nukreiptoje į 40 viešbučių Jungtiniuose Arabų Emyratuose (toliau - JAE) 2018 m. gruodžio mėn., nusikaltėliai įtikino viešbučio darbuotojus „Booking.com“ sistemoje atskleisti savo prisijungimo duomenis. Tokiu būdu nusikaltėliai gavo prieigą prie 4109 žmonių, užsisakiusių viešbučio kambarį JAE, duomenų. Nusikaltėliai gavo tokius duomenis kaip asmenų vardai, pavardės, adresai ir telefono numeriai, taip pat išsami užsakymo informacija. Nusikaltėliai taip pat galėjo susipažinti su 283 žmonių kredito kortelių informacija. 97 atvejais buvo gautas ir kredito kortelės apsaugos kodas. Nusikaltėliai taip pat bandė sužinoti kitų aukų kreditinės kortelės informaciją, susisiekdami su „Booking.com“ darbuotojais el. paštu ar telefonu.
Iš susiklosčiusios situacijos akivaizdu, kad pati įmonė neskyrė pakankamai dėmesio darbuotojų apmokymui tiek tvarkyti, tiek saugoti asmens duomenis, neinformavo apie prieigos prie asmens duomenų suteikimo taisykles ir galimas rizikas. Ši situacija tik dar kartą patvirtinta ir Valstybinės duomenų apsaugos inspekcijos (toliau - VDAI) ne kartą akcentuotą duomenų saugumo pažeidimų priežastį - žmogiškąją klaidą, kurios padeda išvengti reguliarūs ir specializuoti mokymai. Tik instruktavę darbuotojus apie tai, kokias duomenų saugumo priemones jie turi taikyti bei kokios grėsmės asmens duomenims gali kilti ir kaip jas valdyti, gali tikėtis veiksmingos duomenų apsaugos sistemos.
Vadovaujantis Bendrojo duomenų apsaugos reglamento (toliau - BDAR) 33 str. 1 d. apie duomenų saugumo pažeidimą įmonė (duomenų valdytojas) turi pranešti priežiūros institucijai nedelsdama, ne vėliau kaip per 72 val. nuo momento, kai nustatė pažeidimą. Tais atvejais, kai gali kilti didelis pavojus duomenų subjektų teisėms ir laisvėms, taip pat reikia pranešti ir duomenų subjektams. Vadovaujantis VDAI rekomendacijomis, duomenų subjektams rekomenduojama pranešti taip pat ne vėliau kaip per 72 valandas. Atlikto tyrimo duomenimis, pati „Booking.com“ apie duomenų pažeidimą buvo informuota 2019 m. sausio 13 d., tačiau apie tai nepranešė Olandijos duomenų apsaugos tarnybai tik vasario 7 d., t. y., pavėlavusi 22 dienas. Prieš informuodama Olandijos duomenų apsaugos tarnybą, „Booking.com“ vis dėlto informavo nukentėjusius klientus apie pažeidimą, tačiau tai padarė taip pat nepagrįstai vėlai - praėjus 19 dienų po pažeidimo.
Olandijos duomenų apsaugos tarnyba pažymėjo, kad duomenų saugumo pažeidimas gali įvykti, net ir taikant tinkamas duomenų saugumo priemones, tačiau, norint išvengti žalos klientams ir būsimų atakų (ypatingai, kai pažeidimas susijęs su finansiniais duomenimis), reikia nedelsiant pranešti priežiūros institucijai, kuri teikdama nurodymus gali padėti suvaldyti pažeidimą, pvz., nurodyti pranešti apie pažeidimą duomenų subjektams, taip sumažinant tikimybę, kad nusikaltėliams pavyks pasinaudoti jų duomenimis. Duomenų subjektų informavimas ypatingai svarbus, kai yra pavogti finansiniai duomenys, nes pasinaudojant šiais duomenimis galima ir finansinė žala duomenų subjektams, todėl efektyvus ir savalaikis jų informavimas gali padėti šios žalos išvengti.
Siekiant, kad tiek priežiūros institucijos, tiek duomenų subjektai, pažeidimo atveju būtų laiku informuoti, įmonės turi būti pasirengusios ir dokumentavusios duomenų saugumo pažeidimų nustatymo, tyrimo ir pranešimo apie juos bei dokumentavimo tvarkos aprašą, paskyrusi atitinkamas atsakomybes savo darbuotojams bei informavusi ir apmokiusi darbuotojus atpažinti duomenų saugumo pažeidimą.
Olandijos duomenų apsaugos tarnyba pastebi, kad išaugo įsibrovimų, kuriais siekiama pavogti asmens duomenis, skaičius. Pranešimų apie tokius pažeidimus skaičius 2020 m. buvo 30 % didesnis nei praėjusiais metais. Tą pačią tendenciją galime pastebėti ir Lietuvoje: plačiai nuskambėjęs "CityBee" atvejis, "Orakulas.lt", Vilniaus kolegijos bei kiti atvejai. Dėl šios priežasties tik dar labiau išauga tinkamų duomenų saugumo priemonių taikymo reikšmė.
Be abejo, kaip jau buvo minėta, kartais ir efektyvias duomenų saugumo priemones randama kaip apeiti ir pažeidimai įvyksta, tačiau netaikant duomenų saugumo priemonių arba taikant netinkamas, nepakankamas tokių bandymų sėkmė praktiškai garantuota. Todėl ypatingai svarbu, kad įmonės skirtų dėmesį ne tik duomenų saugumo priemonių parinkimui - kas praktiškai neįmanoma be rizikos lygio nustatymo (būtent pagal rizikos lygį, priklausomai nuo to ar jis aukštas, vidutinis ar žemas turėtų būti parenkamos atitinkamos duomenų saugumo priemonės), bet ir reguliariai parinktų duomenų saugumo priemonių peržiūrai ir jų efektyvumo bandymams bei, nustačius poreikį, atnaujinimui.
Bylos santrauka (turinys tik Allaw klientams)
Nuorodos
Kur eiti toliau
Panašūs straipsniai
Pasitikrinti, ar esate nustatę ir dokumentavę duomenų saugumo pažeidimų nustatymo, nagrinėjimo ir pranešimo apie juos taisykles
Pasitikrinti, ar periodiškai peržiūrite ir, nustačius poreikį,atnaujinate taikomas duomenų saugumo priemones
Pasitikrinti, ar Jūsų darbuotojai apmokyti atpažinti duomenų saugumo pažeidimus
Pasitikrinti, ar Jūsų BDAR mokymų temos apima duomenų saugumo priemones, duomenų saugumo pažeidimus
Apie duomenų saugumo pažeidimus reikalinga pranešti VDAI ne vėliau kaip per 72 val.
You will need to contact your administrator.
BDAR specializuoti mokymai duomenų saugos pažeidimų prevencijai
BDAR e-vedlys
Dažnai užduodami klausimai (DUK)
Teirautis dėl prieigos prie BDAR mokymų e-medžiagos
Sužinoti apie inovatyvią paslaugą duomenų apsaugos pareigūnas Allaw®
Palikti žinutę duomenų apsaugos pareigūnui Allaw®
Telefonu: 8-616 02000