Kaip praneša VDAI, inspekcija, atlikusi tyrimą, nustatė, kad įmonė pažeidė BDAR reikalavimus netinkamai tvarkydama asmens duomenis momentiniuose ekrano vaizduose (MEV), paviešindama asmens duomenis ir nepateikdama pranešimo apie asmens duomenų saugumo pažeidimą asmens duomenų apsaugos priežiūros institucijai.
Inspekcija nurodo, kad „MisterTango“ rinko perteklinius mokėtojų duomenis: pavyzdžiui, informaciją apie neperžiūrėtų elektroninių sąskaitų pateikimo datas, siuntėjų pavadinimus bei sumas, neperskaitytų pranešimų pateikimo datas, temas ir dalį pranešimo teksto, turimų paskolų paskirtį, pobūdžius, sumas, pensijų fondų pavadinimus, sukauptus vienetus, jų vertę, sukauptas sumas, kredito tipus mokėtinus likučius ir pan.
Taip pat nustatyta, kad ne mažiau kaip 2 dienas internete buvo prieinamas tinklalapis su „MisterTango“ apdorotų mokėjimų sąrašu. Jame buvo matomi įvairių bankų įstaigų klientų atlikti mokėjimai per „MisterTango“ mokėjimo inicijavimo paslaugų sistemą su tų klientų asmens duomenimis.
VDAI taip pat nurodo, kad apie šį incidentą įmonė, praėjus 72 valandoms nuo tada, kai sužinojo apie asmens duomenų saugumo pažeidimą, turėjo pranešti inspekcijai, tačiau to nepadarė.
Inspekcijos turimais duomenimis, reikšmingas baudas pagal BDAR jau yra skyrusi Prancūzija, Ispanija, Vokietija, Lenkija, Austrija, Bulgarija, Kipras, Malta.
Papildyta MisterTango komentaru 13.08 val.
„Apgailestaujame, kad dėl techninės klaidos buvo kilęs pavojus mūsų klientų duomenims. Mūsų vidinis tyrimas parodė, kad pasinaudojus specialia nuoroda, buvo galima pamatyti 58 mūsų klientų el. pašto adresus, tačiau mūsų žiniomis šia technine spraga pasinaudota nebuvo. Tai buvo techninė duomenų saugojimo klaida.
Tiek mūsų komanda, tiek geriausi šios srities išorės konsultantai nuolatos dirba tam, kad užtikrintų mūsų klientų duomenų saugumą, todėl visi tyrimo metu inspekcijos nustatyti neatitikimai BDAR buvo ištaisyti. Šiuo metu taikomas sugriežtintas duomenų saugojimas pasitelkus profesionalių ekspertų pagalbą. Mūsų tikslas – užtikrinti mūsų klientų duomenų saugumą.
Pripažįstame, kad buvo kilęs pavojus nutekėti mūsų klientų el. pašto adresams, tačiau vasarą vykdytas Lietuvos banko auditas parodė, kad grėsmės klientų bankiniams duomenims nebuvo. Pagal BDAR taisykles, jeigu duomenų saugumo pažeidimas kelia didelį pavojų atitinkamiems asmenims, ko nustatyta nebuvo, apie pažeidimą informuoti neprivaloma.
Manome, kad mums skirta bauda yra neadekvati pažeidimo dydžiui ir tyrimo nuoseklumui, todėl šį VDAI sprendimą ginčysime teisme“, – rašoma išplatintame pranešime.
