aA
Netrukus minėsime Bendrojo duomenų apsaugos reglamento (BDAR) pirmąjį gimtadienį ir turėsime galimybę ne tik teoriškai pakalbėti apie tai, ar reglamentas pakeitė įmonių požiūrį į asmens duomenų tvarkymą, bet ir apie tai, kad Lietuvoje jau yra bent viena įmonė, kuriai skaudžiai kliuvo BDAR vėzdu.
Renata Vasiliauskienė
© Asmeninio archyvo nuotr.

Valstybinė duomenų apsaugos inspekcija (VDAI) šiandien paskelbė, jog už BDAR pažeidimą yra paskirta 61 000 eurų bauda. Po atlikto tyrimo nustačius, jog buvo pažeisti trys BDAR straipsniai, nubausta UAB „MisterTango“.

VDAI viešame pranešime teigiama, kad UAB „MisterTango“ pažeidė BDAR reikalavimus trimis aspektais: (i) buvo vykdomas perteklinis asmens duomenų tvarkymas, (ii) dėl saugumo spragos buvo paviešinti dalies klientų asmens duomenys ir (iii) įmonė nepranešė apie duomenų saugumo incidentą VDAI.

Skiriant įmonei 61 500 eurų administracinę baudą taip pat atsižvelgta ir į įmonės metinę pasaulinę apyvartą. Šis Inspekcijos sprendimas yra neįsiteisėjęs ir gali būti skundžiamas teismui.

Įdomu yra tai, kad pažeidimai nustatyti šioje įmonėje yra dažniausiai tokie patys, kaip ir kitais atvejais, kai inspekcija tikrina atitiktį BDAR. Didelės dalies atliekamų VDAI tyrimų metu nustatoma, kad yra tvarkomi pertekliniai asmens duomenys, t. y. renkama daugiau duomenų negu reikia nustatytam tikslui pasiekti.

Be to, asmens duomenys tvarkomi per ilgai, kartais netgi neribotą laikotarpį. UAB „MisterTango“ atveju taip pat buvo konstatuota, kad duomenys saugomi ilgiau negu jų reikia ir ilgiau, negu deklaruojama pačios įmonės privatumo taisyklėse.

Kita sritis, kurioje taip pat yra gausu pažeidimų, yra duomenų saugumo užtikrinimas (prisiminkime UAB „Grožio chirurgija“ atvejį). Didžioji dalis verslų generuoja pajamas elektroniniais kanalais ir yra priklausomi, arba kaip „MisterTango“ atveju, visiškai priklausomi nuo IT sprendimų.

Įdomu yra tai, kad pažeidimai nustatyti šioje įmonėje yra dažniausiai tokie patys, kaip ir kitais atvejais, kai inspekcija tikrina atitiktį BDAR.
R. Vasiliauskienė


„Tyrimo metu nustatyta, kad ne mažiau kaip 2 dienas (2018 m. liepos 9–10 d.) internete buvo prieinamas tinklalapis su UAB „MisterTango“ apdorotų mokėjimų sąrašu. Jame buvo matomi įvairių bankų įstaigų klientų atlikti mokėjimai per UAB „MisterTango“ mokėjimo iniciavimo paslaugų sistemą su tų klientų asmens duomenimis.

Taip pat daugiau kaip 9 000 MEV su 12 skirtingų bankų, esančių skirtingose valstybėse, klientų mokėjimo sesijų detalių puslapiais.“

Nededant pakankamai pastangų ir lėšų saugumui šioje erdvėje užtikrinti, duomenų saugos incidentų tik daugės. Tačiau dažnu atveju, atliekant IT saugumo patikrinimus, nustatoma, kad elektroninės erdvės keliami iššūkiai yra nepakankamai įvertinami ir duomenys nėra saugūs, todėl tai yra tik laiko ir sėkmės klausimas, ar įmonės IT sistema atlaikys išorines kibernetines grėsmes.

Ką dar atskleidžia šis VDAI sprendimas ir baudos dydis yra tai, kad VDAI BDAR nuostatas yra linkusi aiškinti gana griežtai. Pavyzdžiui, VDAI nuomone duomenų saugos pažeidimas, kai 2 dienas internete neautorizuotiems asmenims buvo sudaryta galimybė prieiti prie asmens duomenų, laikytinas tokiu duomenų saugumo pažeidimu, apie kurį privaloma pranešti priežiūros institucijai.

UAB „MisterTango“ to nepadarius, konstatuotas BDAR 33 straipsnio pažeidimas. Vargu ar daugelis duomenų saugos specialistų būtų taip „siaurai“ interpretavę šią nuostatą ir, panašu, kad pati įmonė taip pat nesutinka su šiuo sprendimu ir ginčys jį teisme.

Tačiau esminė nuostata, kurią turėtų išgirsti įmonių vadovai iš VDAI viešojo pranešimo apie baudos skyrimą yra visai ne baudos dydis, o tai, jog ši bauda turėtų būti reikšmingas signalas ir kitoms įmonėms, tik deklaratyviai įgyvendinančioms šio teisės akto nuostatas.

Kosmetinis arba deklaratyvus asmens duomenų tvarkymas yra pagrindinė daugelio įmonių, kurios pernai pavasarį suskubo rengtis BDAR įgyvendinimui, problema. Nepakanka turėti privatumo politiką ar kitą panašų dokumentą ir net nežinoti, kas jame parašyta. Šią VDAI išsakytą mintį reikėtų vertinti labai rimtai, ji rodo, kad institucijos žiūri į realiai vykdomą, o ne privatumo politikose gražiai ir protingai aprašytą duomenų tvarkymą.

Apibendrinant pirmųjų BDAR metų „rezultatus“, galima pasakyti, kad šiuo metu tai yra didžiausia bauda Baltijos valstybėse, paskirta už BDAR pažeidimą. Palyginimui Latvijoje didžiausias iki šiol baudos dydis tesiekė 2000 eurų. Paskirta 61500 eurų bauda yra tikrai didelis šuolis asmens duomenų tvarkymo pažeidimų atveju.

Priminsime, kad prieš keletą metų plačiai nuskambėjęs UAB „Grožio chirurgija“ aplaidumas tvarkant asmens duomenis buvo „įvertintas“ 750 eurų bauda (pastaba: tuo metu galiojęs įstatymas numatė, jog maksimali bauda gali būti 1150 eurų).

Ko būtina pasimokyti? Sakoma, kad žmonės iš kaimynų klaidų nesimoko, tačiau ši, UAB „MisterTango“ paskirta, bauda turėtų būti kaip žadintuvo skambutis daugeliui Lietuvos įmonių ir įstaigų, kurios yra deklaratyviai susitvarkiusios savo asmens duomenų ūkį.

Griežtai draudžiama DELFI paskelbtą informaciją panaudoti kitose interneto svetainėse, žiniasklaidos priemonėse ar kitur arba platinti mūsų medžiagą kuriuo nors pavidalu be sutikimo, o jei sutikimas gautas, būtina nurodyti DELFI kaip šaltinį.
Įvertink šį straipsnį
Norėdami tobulėti, suteikiame jums galimybę įvertinti skaitomą DELFI turinį.
(2 žmonės įvertino)
4.0000

Greta Ilekytė. Lietuvos eksportas mažėja: ar jau skambinti pavojaus varpais? (3)

Pirmieji recesijos ženklai ėmė gaubti Vokietijos ekonomiką , prekybos karų paliaubų...

Nerijus Mačiulis. Ar yra alternatyvų didesniems mokesčiams? (13)

Didesni akcizai, didesnis gyventojų pajamų mokestis savarankiškai dirbantiems bei daugiau...

Marius Dubnikovas. Skubotas Finansų ministerijos mokesčių pasiūlymas turi ir teigiamų aspektų

Finansų ministerija atskleidė mokestinius pasiūlymus, kuriuos bus teikiama priimti valstybės...

Ieva Valeškaitė. Didinti mokesčius didelio proto nereikia (12)

Imti ir padidinti beveik visus mokesčius, papildomai dar įvesti naujų Lietuvoje nėra sunku. Tą...

Marius Endzinas. Nuolat tobulinami viešieji pirkimai į juodąjį sąrašą ves sparčiau (3)

Metinei viešųjų pirkimų vertei Lietuvoje svyruojant apie 3–4 mlrd. eurų, o dėl jų...

Top naujienos

Po pragaro Pravieniškėse – šokiruojanti kalinio išpažintis: jie ten kone meldėsi, kad neišgyvenčiau (115)

Pasižiūrėję į Vytautą ir išgirdę jo balsu sunkiai tariamus žodžius nė neįtartumėte, kad...

Ekspertas perspėja dėl naujos aneksijos pavojaus: Putinas čia be vargo susitvarkytų (40)

Buvęs Vladimiro Putino patarėjas Andrejus Illarionovas perspėja dėl naujos aneksijos, kurią...

Įvertino Nausėdos pasiūlymus ir drąsiai rėžė: skurdo su 10 eurų neišgelbėsime (25)

Lietuvos verslo konfederacijos mokesčių komisijos pirmininkas Marius Dubnikovas sako, kad...

Vakarų šalys negali atsistebėti lietuvių sėkme: kaip mums pavyko pranokti patiems save (4)

Vis daugiau valstybių spaudžiamos visuomenės įvesti pakuočių užstato sistemą . Apie tokią...

Saulius Siparis apie naują mylimąją: mes beveik vienmečiai, draugystėmis su mergaitėmis aš netikiu (2)

„Mes esame praktiškai bendraamžiai. Vyrų santykiai su jaunomis mergaitėmis man atrodo visiškas...

Profesorius Stukas paaiškino, kodėl būtina valgyti pusryčius: ryte dažnai daroma klaida situaciją tik pablogina (44)

Pasak Vilniaus universiteto Medicinos fakulteto profesoriaus Rimanto Stuko , sunku patikėti, bet...

Ką pasakytų Greta Thunberg Indijoje? Čia yra 150 mln. vairuotojų ir tik 8000 nori elektrinių automobilių (95)

Šią vasarą „ Hyundai Motor Co.“ pristatė pirmąjį Indijos elektrinį visureigį...

Ilgiausia apgultis istorijoje: du dešimtmečius siaubo iškentę miestelėnai maro protrūkio laukė kaip išganymo (15)

Osmanų imperijos karo su Venecijos respublika metu Kandijos miestas (dabar – Heraklionas ,...