KAIP TINKAMAI ELGTIS DUOMENŲ NUTEKINIMO ATVEJU?

2021-03-30

Kaip tinkamai elgtis duomenų nutekinimo atveju?

Atsakymas:

Plačiai nuskambėjus Citybee asmens duomenų nutekinimo atvejui, kuomet neidentifikuoti asmenys neteisėtai prisijungė prie sistemų bei paviešino registruotų vartotojų vardus, pavardes, asmens kodus, adresus, el. pašto adresus ir telefonų numerius, ir kt. informaciją skubame priminti kaip tokiu atveju reikėtų tinkamai elgtis tiek duomenų valdytojui, tiek nukentėjusiam asmens duomenų subjektui.

1. Kaip panašiose situacijose dėl asmens duomenų nutekinimo turėtų elgtis duomenų valdytojai – t. y. įmonės, įvykus duomenų saugumo pažeidimui.

Visų pirma, primename, jog asmens duomenų saugumo pažeidimu laikomas saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami persiųsti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų be leidimo gaunama prieiga. Atitinkamai, darbuotojas, pastebėjęs asmens duomenų saugumo pažeidimą, turėtų nedelsiant informuoti atsakingą asmenį t. y. įmonės vadovą, asmens duomenų pareigūną, arba bet kurį kitą įgaliotą asmenį apie pastebėtą pažeidimą. Įmonės vadovas, duomenų apsaugos pareigūnas ar kitas paskirtas atsakingas asmuo, sužinojęs apie galimą asmens duomenų saugumo pažeidimą, turėtų kaip įmanoma greičiau sustabdyti vykdomą pažeidimą imantis atitinkamų techninių priemonių bei atlikti pirminį tyrimą, išsiaiškinti ir nustatyti, kokios galimos pasekmės asmenims - t. y. įvertinti riziką. Rizika, kuri gali atsirasti dėl įvykusio duomenų saugumo pažeidimo, turėtų būti vertinama remiantis objektyviu įvertinimu ir atsižvelgiant į šiuos toliau nurodomus kriterijus:

Pažeidimo tipą; Asmens duomenų pobūdį, apimtis (pvz., specialių kategorijų asmens duomenys); Kaip lengvai identifikuojamas fizinis asmuo; Pasekmių rimtumą fiziniams asmenims; Specialias fizinio asmens savybes (pvz., duomenys susiję su vaikais ar kitais pažeidžiamais asmenimis); Nukentėjusiųjų fizinių asmenų skaičių; Specialias duomenų valdytojo savybes (pvz., veiklos pobūdį).

Vertinant riziką, turėtų būti laikoma, kad asmens duomenų saugumo pažeidimas, galintis kelti pavojų asmenų teisėms ir laisvėms yra toks, dėl kurio, laiku nesiėmus tinkamų priemonių, fiziniai asmenys gali patirti kūno sužalojimą, materialinę ar nematerialinę žalą. Įvertinus riziką duomenų valdytojo vadovas (ar jo įgaliotas asmuo) turi priimti sprendimą dėl tolimesnių veiksmų, susijusių su asmens duomenų saugumo pažeidimo sustabdymu bei pašalinimu. Pranešimas Valstybinei duomenų apsaugos inspekcijai teikiamas nustačius, kad pažeidimas buvo ir, kad yra rizika fizinių asmenų teisėms ir laisvėms. Atsakingas asmuo nedelsdamas, ne vėliau kaip per 72 val. nuo sužinojimo apie pažeidimą, turi pranešti apie tai Inspekcijai. Taip pat, esant poreikiui, informuoti ir kitas valstybines įstaigas, kaip pavyzdžiui, policiją dėl ikiteisminio tyrimo pradėjimo. Nustačius, kad yra didelė rizika fizinių asmenų teisėms ir laisvėms, atsakingas asmuo nedelsdamas (rekomenduojama per 72 val.) apie tai turėtų pranešti duomenų subjektui, kurio teisėms ir laisvėms dėl šio pažeidimo gali kilti didelis pavojus. Visi pažeidimai, nepriklausomai nuo to, ar apie juos buvo pranešta Inspekcijai, ar ne, turėtų būti registruojami duomenų valdytojo žurnale. Kita vertus, tam, kad būtų išvengta tokių pažeidimų ateityje, siūloma, visų pirma, imtis tinkamų techninių ir organizacinių saugumo priemonių, kurios būtų pajėgios apsaugoti valdomus asmens duomenis nuo bet kokios neteisėtos prieigos. Turėtų būti užtikrinama apsauga nuo toliau nurodomų veiksnių:

Neteisėtos fizinės prieigos prie kompiuterinės įrangos; Neteisėti programinės įrangos naudotojai; Neteisėtas prisijungimas prie tinklo; Neteisėtas saugomų laikmenų naudojimas; Vagystė, įsilaužimas; Programinės įrangos klaidos; Techninės įrangos gedimai ir kt.

Atsižvelgiant į aukščiau išdėstytą, be visų BDAR bendrųjų tvarkų, duomenų valdytojui rekomenduotina įmonės viduje patvirtinti rašytinius dokumentus, tiek reglamentuojančius pažeidimo tyrimo tvarką bei už tai atsakingus asmenis, tiek ir informacinių technologijų - programinės ir kompiuterinės įrangos naudojimo tvarkas bei už tai atsakingus asmenis. Tinkamas tokių tvarkų įgyvendinimas ne tik padeda išvengti saugumo pažeidimų, tačiau ir padeda juos suvaldyti greičiau ir efektyviau.

2. Kaip turėtų elgtis duomenų subjektas, sužinojęs, jog jo duomenys buvo nutekinti.

Duomenų subjektas t. y. asmuo, kuriam tapo žinoma, jog jo asmens duomenys buvo nutekinti turi teisę kreiptis į teismą dėl jo teisių pažeidimo bei žalos atlyginimo. Tačiau, tuo atveju, jei nukentėjusių asmenų yra daug – Lietuvoje galiojantys įstatymai suteikia teisę teikti grupės ieškinį, taip apginant visų nukentėjusių asmenų interesus. Šiuo atveju, ieškinys turėtų būti teikiamas apygardos teismui dėl duomenų subjektų netinkamo asmens duomenų tvarkymo bei patirtos žalos atlyginimo. Būtina pažymėti ir tai, jog prieš kreipiantis į teismą, kyla pareiga pateikti pretenziją duomenų valdytojui. Šiam neatsakius į pretenziją arba nepatenkinus jos, visi nukentėję asmenys, atstovaujami advokato, gali kreiptis į teismą.

Paaiškiname, jog žalos dydis kiekvienu konkrečiu atveju yra individualus. Žalos sąvoka turėtų būti suvokiama kaip realiai patirta žala dėl neteisėto duomenų nutekinimo. Tai gali būti finansinė žala, kuomet tretieji asmenys neteisėtai pasinaudojo duomenimis gaunant kreditus, įsigyjant prekes ar paslaugas ar kitokia žala, patirta dėl neteisėto asmens duomenų atskleidimo. Galiausiai primintina, jog siekiant išvengti tokių situacijų, rekomenduotina nuolat atnaujinti slaptažodžius, nenaudoti vienodų slaptažodžių skirtingose paskyrose, o sužinojus apie duomenų nutekinimą, nedelsiant pasikeisti svarbiausių prisijungimų duomenis. Tokie prevenciniai veiksmai ne tik apsaugo nuo asmens duomenų nutekinimo, tačiau gali padėti ir tais atvejais, kai asmens duomenys jau nutekėję.

Atkreipiame dėmesį, jog tai yra bendro pobūdžio konsultacija. Dėl detalesnės konsultacijos susisiekite su advokatų profesinės bendrijos „BALTICLAW Pranckevičius, Valiulis ir partneriai“ advokatu Andriumi Pranckevičiumi el. paštu: andrius.pranckevicius@balticlaw.com.

https://bznstart.lt/ziniu-baze/teise/kaip-tinkamai-elgtis-duomenu-nutekinimo-atveju/

Kitos naujienos

AR ĮMONĖS GALI SAVO VARTOTOJAMS SKAMBINTI IR VYKDYTI APKLAUSAS?

2021-03-30

Neseniai viena privati finansinė institucija (mokėjimų sistema Paysera) paskambino man, kaip įmonės direktoriui. Prisistatė kaip tos įmonės darbuotoja ir iškart pradėjo nuo klausimo, kodėl mūsų įmonė nesinaudoja paslaugomis, nevyksta pinigų srautai ar mes susiradome kitą tiekėją ir t. t.

AR GALIMA SIŲSTI ASMENINIUS PASIŪLYMUS KITOS ĮMONĖS DARBUOTOJAMS AR Į INFO DĖŽUTĘ?

2021-03-30

Ar galima iš darbinio ar privataus el. pašto siųsti asmeninius pasiūlymus kitos įmonės darbuotojams ar į info dėžutę?

DARBUOTOJAS NEPAISĖ VIDINĖS NUSTATYTOS TVARKOS IR SIUNTĖ PASIŪLYMUS

2021-03-30

Mano vadovaujamos įmonės darbuotojas, nepaisydamas vidinės tvarkos, išsiuntė asmeninius pasiūlymus potencialiems klientams, pasinaudodamas savo esamų kontaktu tinklu LinkedIne.

FIKTYVIOS NUORODOS

2021-03-30

Mano klientas yra didelis e-komercas.  Teikiu SEO paslaugas. Aptikau, kad užkrėstas viruso nuo 2019 spalio–lapkričio. Virusas spamina iš jo serverio, spraga pas tiekėją. Dėl to klientas prarado krūvas pinigų.

Visos naujienos

Kontaktai

Vilnius

+370 5 263 9000

Gedimino pr. 32, Vilnius 01104, Lietuva

Klaipėda

+370 4 6314 955

Ligoninės gatvė 13, Klaipėda 92131, Lietuva