Duomenų apsaugos pareigūnas Allaw® supažindina

Lenkijos duomenų apsaugos priežiūros institucija vienai šalies įmonių skyrė 250 000 Eur baudą už tai, kad ši, gavusi informaciją apie asmens duomenų saugumo spragas, tinkamai šios informacijos neištyrė ir nepašalino trukdžių, kas lėmė jog įvyko duomenų saugumo pažeidimas. Duomenų apsaugos pareigūnas Allaw analizuoja, kas lėmė baudos skyrimą ir atkreipia dėmesį į pagrindinius aspektus, padedančius duomenų valdytojams tinkamai ir laiku reaguoti į gautą informaciją apie galimą duomenų saugumo pažeidimą.


Klaidos, padarytos vertinant gautą informaciją apie galimą duomenų saugumo pažeidimą, lemiančios baudos skyrimą


Nubausta Lenkijos įmonė (skolinimo platformos „MoneyMan.pl“ savininkė) tinkamai nesureagavo į gautą informaciją apie savo saugumo spragas. Lenkijos priežiūros institucija nustatė, kad pažeidimas įvyko po to, kai nepavyko atkurti tinkamos saugos konfigūracijos, kai vienas iš duomenų tvarkytojo (prieglobos įmonės) valdomų serverių buvo paleistas iš naujo. Apie tai duomenų valdytojui pranešė vienas iš jo kibernetinio saugumo specialistų, kuris aptiko pažeidžiamumą ir nurodė, kad įmonės klientų duomenys galimai prieinami viešai. Tačiau įmonė tokio pranešimo neįvertino rimtai ir nesiėmė priemonių, todėl, praėjus kelioms dienoms, pašalinis asmuo nukopijavo duomenis ir ištrynė juos iš serverio. Asmuo, nukopijavęs ir ištrynęs duomenis, pareikalavo išpirkos už pavogtą informaciją. Tik tada įmonė pradėjo analizuoti savo serverių saugos funkcijas ir kartu pranešė priežiūros institucijai apie duomenų saugumo pažeidimą.

Kelios įmonės klaidos, lėmusios šios situacijos susidarymą:

1. Duomenų valdytojo pavėluota reakcija į gautą informaciją. Šis pažeidimas nebūtų įvykęs, jei duomenų valdytojas nedelsdamas tinkamai būtų sureagavęs į informaciją, kad jo serveryje esantys duomenys nėra apsaugoti. Lenkijos priežiūros institucijos nuomone, duomenų valdytojas turėtų greitai ir veiksmingai nustatyti pažeidimus, kad galėtų imtis atitinkamų veiksmų.

2. Nepakankamas bendradarbiavimas su duomenų tvarkytoju. Priežiūros institucija taip pat nustatė, kad nepakankamai greitas duomenų tvarkytojo atsakymas į pranešimą apie sistemos pažeidžiamumą neatmeta duomenų valdytojo atsakomybės už duomenų pažeidimą. Duomenų valdytojas turi sugebėti nustatyti, pašalinti ir pranešti apie duomenų pažeidimą - tai yra kritinis techninių ir organizacinių priemonių elementas.

3. Nepaisant operatyvaus grėsmės nustatymo, duomenų valdytojas nesiėmė pakankamai veiksmų grėsmei suvaldyti. Atliktas tyrimas parodė, kad duomenų valdytojas trumpai išanalizavo gautą signalą, į jį nežiūrėjo rimtai ir neįpareigojo duomenų tvarkytojo su pažeidžiamumu susitvarkyti tinkamai.


Į ką buvo atsižvelgta skiriant baudą?

Skirdama baudą už asmens duomenų konfidencialumo praradimą dėl duomenų valdytojo aplaidumo, Lenkijos priežiūros institucija atsižvelgė į:

  • Pažeidimo mastą,

  • Pavogtų duomenų apimtį,

  • Duomenų valdytojo vėlavimą imtis prevencinių priemonių,

  • Patirtą žalą (taip pat nutekėjo nešifruoti slaptažodžiai, šiuos duomenis galima naudoti prisijungiant prie skirtingų klientų paskyrų, jei jie naudojo tą patį prisijungimo vardą (pvz., el. paštą) ir slaptažodį kitose svetainėse).

Lenkijos priežiūros institucija atkreipė dėmesį, kad baudos dydis turėtų atlikti ir represinę, ir prevencinę funkciją. Institucijos nuomone, ateityje tai turėtų užkirsti kelią panašiems pažeidimams tiek nubaustoje įmonėje, tiek pas kitus duomenų valdytojus.

Kas padeda duomenų valdytojams tinkamai ir laiku reaguoti į gautą informaciją apie galimą duomenų saugumo pažeidimą?

Kiekvienas duomenų valdytojas, siekdamas tinkamai įgyvendinti jam taikomas BDAR 32, 33, 34 str. nustatytas pareigas turi:

1. Taikyti rizikos lygį atitinkančias priemones,

2. Pasitelkti tik tuos duomenų tvarkytojus, kurie gali užtikrinti pakankamas duomenų saugumo priemones,

3. Turėti pasitvirtinęs aiškią Informavimo apie duomenų saugumo pažeidimus, jų valdymo ir dokumentavimo tvarką bei būti su ja supažindinęs darbuotojus,

4. Įpareigoti (pvz., sutartyje) duomenų tvarkytojus informuoti duomenų valdytoją apie duomenų saugumo pažeidimą ne vėliau kaip per 24 valandas,

5. Apmokyti darbuotojus atpažinti duomenų saugumo pažeidimus,

6. Informuoti darbuotojus apie jų pareigą pranešti apie pastebėtus duomenų saugumo pažeidimus įmonės vadovo paskirtam atsakingam asmeniui.


Nuorodos


https://edpb.europa.eu/news/national-news_en


Nepamiršti

Duomenų tvarkytojas turi imtis proaktyvių prevencinių veiksmų, siekdamas išvengti duomenų saugumo pažeidimų. Rizikos lygio vertinimo priemonių naudojimas ir darbuotojų apmokymas tinkamai tvarkyti duomenis gali padėti išvengti duomenų saugumo pažeidimų. 

This page contains macros or features from a plugin which requires a valid license.

You will need to contact your administrator.

Link to this page