Vadovaujantis Bendrojo duomenų apsaugos reglamento (toliau - BDAR) 33 str. 1 d. apie duomenų saugumo pažeidimą įmonė (duomenų valdytojas) turi pranešti priežiūros institucijai nedelsdama, ne vėliau kaip per 72 val. nuo momento, kai nustatė pažeidimą. Tais atvejais, kai gali kilti didelis pavojus duomenų subjektų teisėms ir laisvėms, taip pat reikia pranešti ir duomenų subjektams. Vadovaujantis VDAI rekomendacijomis, duomenų subjektams rekomenduojama pranešti taip pat ne vėliau kaip per 72 valandas. Atlikto tyrimo duomenimis, pati „Booking.com“ apie duomenų pažeidimą buvo informuota 2019 m. sausio 13 d., tačiau apie tai nepranešė Olandijos duomenų apsaugos tarnybai tik vasario 7 d., t. y., pavėlavusi 22 dienas. Prieš informuodama Olandijos duomenų apsaugos tarnybą, „Booking.com“ vis dėlto informavo nukentėjusius klientus apie pažeidimą, tačiau tai padarė taip pat nepagrįstai vėlai - praėjus 19 dienų po pažeidimo. Olandijos duomenų apsaugos tarnyba pažymėjo, kad duomenų saugumo pažeidimas gali įvykti, net ir taikant tinkamas duomenų saugumo priemones, tačiau, norint išvengti žalos klientams ir būsimų atakų (ypatingai, kai pažeidimas susijęs su finansiniais duomenimis), reikia nedelsiant pranešti priežiūros institucijai, kuri teikdama nurodymus gali padėti suvaldyti pažeidimą, pvz., nurodyti pranešti apie pažeidimą duomenų subjektams, taip sumažinant tikimybę, kad nusikaltėliams pavyks pasinaudoti jų duomenimis. Duomenų subjektų informavimas ypatingai svarbus, kai yra pavogti finansiniai duomenys, nes pasinaudojant šiais duomenimis galima ir finansinė žala duomenų subjektams, todėl efektyvus ir savalaikis jų informavimas gali padėti šios žalos išvengti. Siekiant, kad tiek priežiūros institucijos, tiek duomenų subjektai, pažeidimo atveju būtų laiku informuoti, įmonės turi būti pasirengusios ir dokumentavusios duomenų saugumo pažeidimų nustatymo, tyrimo ir pranešimo apie juos bei dokumentavimo tvarkos aprašą, paskyrusi atitinkamas atsakomybes savo darbuotojams bei informavusi ir apmokiusi darbuotojus atpažinti duomenų saugumo pažeidimą.
Olandijos duomenų apsaugos tarnyba pastebi, kad išaugo įsibrovimų, kuriais siekiama pavogti asmens duomenis, skaičius. Pranešimų apie tokius pažeidimus skaičius 2020 m. buvo 30 % didesnis nei praėjusiais metais. Tą pačią tendenciją galime pastebėti ir Lietuvoje: plačiai nuskambėjęs "CityBee" atvejis, "Orakulas.lt", Vilniaus kolegijos bei kiti atvejai. Dėl šios priežasties tik dar labiau išauga tinkamų duomenų saugumo priemonių taikymo reikšmė. Be abejo, kaip jau buvo minėta, kartais ir efektyvias duomenų saugumo priemones randama kaip apeiti ir pažeidimai įvyksta, tačiau netaikant duomenų saugumo priemonių arba taikant netinkamas, nepakankamas tokių bandymų sėkmė praktiškai garantuota. Todėl ypatingai svarbu, kad įmonės skirtų dėmesį ne tik duomenų saugumo priemonių parinkimui - kas praktiškai neįmanoma be rizikos lygio nustatymo (būtent pagal rizikos lygį, priklausomai nuo to ar jis aukštas, vidutinis ar žemas turėtų būti parenkamos atitinkamos duomenų saugumo priemonės), bet ir reguliariai parinktų duomenų saugumo priemonių peržiūrai ir jų efektyvumo bandymams bei, nustačius poreikį, atnaujinimui. |
|