Kaip tinkamai elgtis duomenų nutekinimo atveju?

Žinių bazė

2021.02.26

Kaip tinkamai elgtis duomenų nutekinimo atveju?

Temos: .

Į klausimą atsakė:

Atsakyti į klausimą

Kad atsakyti turite tapti ekspertu. Jei esate patvirtintas ekspertas, turite prisijungti.

Andrius Pranckevičius

Advokatas, vadovaujantis partneris / BALTICLAW

Premium

Publikavimo data: 2021-02-26 12:42

Plačiai nuskambėjus Citybee asmens duomenų nutekinimo atvejui, kuomet neidentifikuoti asmenys neteisėtai prisijungė prie sistemų bei paviešino registruotų vartotojų vardus, pavardes,...

Publikavimo data: 2021-02-26 12:42

Plačiai nuskambėjus Citybee asmens duomenų nutekinimo atvejui, kuomet neidentifikuoti asmenys neteisėtai prisijungė prie sistemų bei paviešino registruotų vartotojų vardus, pavardes, asmens kodus, adresus, el. pašto adresus ir telefonų numerius, ir kt. informaciją skubame priminti kaip tokiu atveju reikėtų tinkamai elgtis tiek duomenų valdytojui, tiek nukentėjusiam asmens duomenų subjektui. 1. Kaip panašiose situacijose dėl asmens duomenų nutekinimo turėtų elgtis duomenų valdytojai – t. y. įmonės, įvykus duomenų saugumo pažeidimui. Visų pirma, primename, jog asmens duomenų saugumo pažeidimu laikomas saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami persiųsti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų be leidimo gaunama prieiga. Atitinkamai, darbuotojas, pastebėjęs asmens duomenų saugumo pažeidimą, turėtų nedelsiant informuoti atsakingą asmenį t. y. įmonės vadovą, asmens duomenų pareigūną, arba bet kurį kitą įgaliotą asmenį apie pastebėtą pažeidimą.    Įmonės vadovas, duomenų apsaugos pareigūnas ar kitas paskirtas atsakingas asmuo, sužinojęs apie galimą asmens duomenų saugumo pažeidimą, turėtų kaip įmanoma greičiau sustabdyti vykdomą pažeidimą imantis atitinkamų techninių priemonių bei atlikti pirminį tyrimą, išsiaiškinti ir nustatyti, kokios galimos pasekmės asmenims - t. y. įvertinti riziką. Rizika, kuri gali atsirasti dėl įvykusio duomenų saugumo pažeidimo, turėtų būti vertinama remiantis objektyviu įvertinimu ir atsižvelgiant į šiuos toliau nurodomus kriterijus: Pažeidimo tipą; Asmens duomenų pobūdį, apimtis (pvz., specialių kategorijų asmens duomenys); Kaip lengvai identifikuojamas fizinis asmuo; Pasekmių rimtumą fiziniams asmenims; Specialias fizinio asmens savybes (pvz., duomenys susiję su vaikais ar kitais pažeidžiamais asmenimis); Nukentėjusiųjų fizinių asmenų skaičių; Specialias duomenų valdytojo savybes (pvz., veiklos pobūdį). Vertinant riziką, turėtų būti laikoma, kad asmens duomenų saugumo pažeidimas, galintis kelti pavojų asmenų teisėms ir laisvėms yra toks, dėl kurio, laiku nesiėmus tinkamų priemonių, fiziniai asmenys gali patirti kūno sužalojimą, materialinę ar nematerialinę žalą. Įvertinus riziką duomenų valdytojo vadovas (ar jo įgaliotas asmuo) turi priimti sprendimą dėl tolimesnių veiksmų, susijusių su asmens duomenų saugumo pažeidimo sustabdymu bei pašalinimu. Pranešimas Valstybinei duomenų apsaugos inspekcijai teikiamas nustačius, kad pažeidimas buvo ir, kad yra rizika fizinių asmenų teisėms ir laisvėms. Atsakingas asmuo nedelsdamas, ne vėliau kaip per 72 val. nuo sužinojimo apie pažeidimą, turi pranešti apie tai Inspekcijai. Taip pat, esant poreikiui, informuoti ir kitas valstybines įstaigas, kaip pavyzdžiui, policiją dėl ikiteisminio tyrimo pradėjimo. Nustačius, kad yra didelė rizika fizinių asmenų teisėms ir laisvėms, atsakingas asmuo nedelsdamas (rekomenduojama per 72 val.) apie tai turėtų pranešti duomenų subjektui, kurio teisėms ir laisvėms dėl šio pažeidimo gali kilti didelis pavojus. Visi pažeidimai, nepriklausomai nuo to, ar apie juos buvo pranešta Inspekcijai, ar ne, turėtų būti registruojami duomenų valdytojo žurnale. Kita vertus, tam, kad būtų išvengta tokių pažeidimų ateityje, siūloma, visų pirma, imtis tinkamų techninių ir organizacinių saugumo priemonių, kurios būtų pajėgios apsaugoti valdomus asmens duomenis nuo bet kokios neteisėtos prieigos. Turėtų būti užtikrinama apsauga nuo toliau nurodomų veiksnių: Neteisėtos fizinės prieigos prie kompiuterinės įrangos; Neteisėti programinės įrangos naudotojai; Neteisėtas prisijungimas prie tinklo; Neteisėtas saugomų laikmenų naudojimas; Vagystė, įsilaužimas; Programinės įrangos klaidos; Techninės įrangos gedimai ir kt. Atsižvelgiant į aukščiau išdėstytą, be visų BDAR bendrųjų tvarkų, duomenų valdytojui rekomenduotina įmonės viduje patvirtinti rašytinius dokumentus, tiek reglamentuojančius pažeidimo tyrimo tvarką bei už tai atsakingus asmenis, tiek ir informacinių technologijų - programinės ir kompiuterinės įrangos naudojimo tvarkas bei už tai atsakingus asmenis. Tinkamas tokių tvarkų įgyvendinimas ne tik padeda išvengti saugumo pažeidimų, tačiau ir padeda juos suvaldyti greičiau ir efektyviau. 2. Kaip turėtų elgtis duomenų subjektas, sužinojęs, jog jo duomenys buvo nutekinti. Duomenų subjektas t. y. asmuo, kuriam tapo žinoma, jog jo asmens duomenys buvo nutekinti turi teisę kreiptis į teismą dėl jo teisių pažeidimo bei žalos atlyginimo. Tačiau, tuo atveju, jei nukentėjusių asmenų yra daug – Lietuvoje galiojantys įstatymai suteikia teisę teikti grupės ieškinį, taip apginant visų nukentėjusių asmenų interesus. Šiuo atveju, ieškinys turėtų būti teikiamas apygardos teismui dėl duomenų subjektų netinkamo asmens duomenų tvarkymo bei patirtos žalos atlyginimo. Būtina pažymėti ir tai, jog prieš kreipiantis į teismą, kyla pareiga pateikti pretenziją duomenų valdytojui. Šiam neatsakius į pretenziją arba nepatenkinus jos, visi nukentėję asmenys, atstovaujami advokato, gali kreiptis į teismą. Paaiškiname, jog žalos dydis kiekvienu konkrečiu atveju yra individualus. Žalos sąvoka turėtų būti suvokiama kaip realiai patirta žala dėl neteisėto duomenų nutekinimo. Tai gali būti finansinė žala, kuomet tretieji asmenys neteisėtai pasinaudojo duomenimis gaunant kreditus, įsigyjant prekes ar paslaugas ar kitokia žala, patirta dėl neteisėto asmens duomenų atskleidimo. Galiausiai primintina, jog siekiant išvengti tokių situacijų, rekomenduotina nuolat atnaujinti slaptažodžius, nenaudoti vienodų slaptažodžių skirtingose paskyrose, o sužinojus apie duomenų nutekinimą, nedelsiant pasikeisti svarbiausių prisijungimų duomenis. Tokie prevenciniai veiksmai ne tik apsaugo nuo asmens duomenų nutekinimo, tačiau gali padėti ir tais atvejais, kai asmens duomenys jau nutekėję. Atkreipiame dėmesį, jog tai yra bendro pobūdžio konsultacija. Dėl detalesnės konsultacijos susisiekite su advokatų profesinės bendrijos „BALTICLAW Pranckevičius, Valiulis ir partneriai“ advokatu Andriumi Pranckevičiumi el. paštu andrius.pranckevicius@balticlaw.com.

Ekspertai

Andrius Pranckevičius

Andrius Pranckevičius

Advokatas, vadovaujantis partneris / BALTICLAW

Tapk ekspertu

Esi savo srities žinovas, turi patirties? Tuomet pasidalink savo žiniomis su kitais verslo atstovais ir padėk jiems auginti savo verslą. Prisijunk prie „bzn start” bendruomenės!

Dėmesio! Svetainė naudoja slapukus. Daugiau informacijos apie slapukus galite rasti čia.