„Incidentas gali įvykti bet kur ir bet kada. Svarbu prisiminti, kad Bendrasis duomenų apsaugos reglamentas yra teisės aktas, kurio privalu laikytis. Tinkamų duomenų saugumo priemonių nebuvimo pasekmės gali būti labai skaudžios ne tik nukentėjusiems žmonėms, bet ir aplinkinių verslų ekosistemai“, - sako R. Andrijauskas.
Incidentas dėl „CityBee“ klientų asmens duomenų
Po vasario 15-ąją viešojoje erdvėje pasirodžiusios informacijos, kad buvo galimai pavogta ir nutekinta įmonės „CityBee“ klientų duomenų bazė su asmenų privačiais duomenimis, asmens duomenų apsaugos priežiūros institucija, Valstybinė duomenų apsaugos inspekcija (VDAI), pradėjo tyrimą savo iniciatyva.
Atsižvelgiant į tai, kad VDAI jau pradėjo tyrimą, atskiri asmenų skundai nebus nagrinėjami. Apie priimtą sprendimą bus paskelbta viešai. Iki vasario 17 d. VDAI gavo daugiau kaip 2 600 asmenų kreipimųsi įvairiais klausimais dėl „CityBee“ atvejo.
Pagal teisės aktus priežiūros institucijos atliekamas tyrimas gali trukti iki 4 mėnesių su galimybe, atsižvelgiant į tyrimo aplinkybes ir eigą, pratęsti ilgesniam laikotarpiui (pavyzdžiui, dėl aplinkybių sudėtingumo, vėluojančių atsakymų pateikimo ir kt.).
Jeigu tyrimo eigoje paaiškėtų, kad buvo atskleisti ir kitų Europos Sąjungos valstybių narių gyventojų asmens duomenys, tyrimo terminai gali keistis dėl veiksmų derinimo su užsienio valstybių susijusiomis asmens duomenų apsaugos priežiūros institucijomis.
Bendrovė pirminį pranešimą VDAI pateikė vasario 17 d. Jame nurodoma, kad dėl šio incidento taip pat kreiptasi į policiją ir Nacionalinį kibernetinio saugumo centrą, apie pažeidimą informuoti klientai. Bendrovės pirminiame pranešime nurodoma, kad asmenų, kad pažeistas 111052 asmenų duomenų saugumas.
“CityBee„ atlieka vidaus tyrimą ir planuoja išorinį auditą. Bendrovės manymu, incidentas galimai įvyko dėl žmogiškosios klaidos.
VDAI analizuoja Bendrovės pateiktą informaciją, planuojamas patikrinimas vietoje.
Incidentas dėl „Orakulas.lt“ duomenų bazės
Vasario 18 d. viešojoje erdvėje pasirodė informacija dėl „Orakulas.lt“ duomenų bazės pardavinėjimo, kurioje galimai yra informacija apie daugiau kaip 257 tūkst. vartotojų. VDAI, vykdydama stebėseną, artimiausiu metu kreipsis į atitinkamus asmenis dėl informacijos pateikimo. VDAI taip pat atkreipia dėmesį, kad dėl bet kokios galimai nusikalstamos veikos, susijusios su asmens duomenimis, turi būti kreipiamasi į policiją.
Širvintų rajono savivaldybės asmens duomenų tvarkymas dėl COVID-19
Kilus įtarimų dėl COVID-19 asmens duomenų tvarkymo teisėtumo Širvintų rajono savivaldybėje, Nacionalinis visuomenės sveikatos centras VDAI pateikė pranešimą apie galimai įvykusį asmens duomenų saugumo pažeidimą, kurio informaciją dar tikslina. Kol kas tyrimas nėra pradėtas, šiuo metu VDAI vertina Nacionalinio visuomenės sveikatos centro pateiktą informaciją.
VDAI atkreipia dėmesį, kad asmens duomenų tvarkymas savaime nėra draudžiamas, tačiau jis turi būti atliekamas laikantis BDAR reikalavimų, įskaitant, bet neapsiribojant, kad asmens duomenys gali būti teikiami asmenims, pirma, turintiems teisėtą tikslą juos gauti, antra, turintiems teisę juos gauti, trečia, tik adekvačia apimtimi.
„Savivaldybės taip pat dalyvauja COVID-19 pandemijos valdyme, todėl tam tikrų jų funkcijų įgyvendinimui asmens duomenys gali būti reikalingi. Valstybės ir savivaldybės institucijų keitimasis asmens duomenimis, kai tai atitinka BDAR reikalavimus, yra neatsiejama šių institucijų funkcijų vykdymo dalis. Tai nereiškia, kad konkrečiam tikslui gautus asmens duomenis savivaldybės galėtų tvarkyti neribotai. Savivaldybės, kaip duomenų valdytojai, privalo užtikrinti, kad šie asmens duomenys būtų tvarkomi tik konkrečiu tikslu, susijusiu su jų funkcijų vykdymu, ir tik nustatyta tvarka", - sakoma VDAI pranešime.