Tiek organizacijos, tvarkančios asmens duomenis, tiek priežiūros bei teisėsaugos institucijos kasdien sprendžia su asmens duomenų tvarkymu susijusius klausimus. Pastarąją savaitę visuomenėje kilo susirūpinimas dėl net keleto tokių atvejų.

Kilo sumaištis, ar nutekėję asmenų duomenys gali sukelti ilguoju laikotarpiu jiems neigiamas finansines pasekmes ar net tapatybės vagystę. Pasak Valstybinės duomenų apsaugos inspekcijos vadovo Raimondo Andrijausko „Kaskart įvykus incidentams su asmens duomenimis, tai žinutė kiekvienai ir su tuo nė nesusijusiai organizacijai. Incidentas gali įvykti bet kur ir bet kada. Svarbu prisiminti, kad Bendrasis duomenų apsaugos reglamentas yra teisės aktas, kurio privalu laikytis. Tinkamų duomenų saugumo priemonių nebuvimo pasekmės gali būti labai skaudžios, ne tik nukentėjusiems žmonėms, bet ir aplinkinių verslų ekosistemai“.

Incidentas dėl „CityBee“ klientų asmens duomenų

Po 2021 m. vasario 15 d. viešojoje erdvėje pasirodžiusios informacijos, kad buvo galimai pavogta ir nutekinta įmonės „CityBee“ (toliau – Bendrovė) klientų duomenų bazė su asmenų privačiais duomenimis, asmens duomenų apsaugos priežiūros institucija, Valstybinė duomenų apsaugos inspekcija (VDAI), pradėjo tyrimą savo iniciatyva.

Atsižvelgiant į tai, kad VDAI jau pradėjo tyrimą, todėl atskiri asmenų skundai nebus nagrinėjami. Apie priimtą sprendimą bus paskelbta viešai. Asmenims, kurie jau yra kreipęsi į VDAI, informaciją apie priimtą sprendimą pateiksime nurodytais kontaktais. Iki vasario 17 d. VDAI gavo daugiau kaip 2 600 asmenų kreipimųsi įvairiais klausimais dėl „CityBee“ atvejo. Reaguodama į tai, VDAI paskelbė nukentėjusiems asmenims aktualią informaciją:

– Dėl saugumo priemonių elektroninėje erdvėje: https://vdai.lrv.lt/lt/naujienos/patarimai-jeigu-jusu-paskyra-buvo-nulauzta

– Atsakymus į dažnai užduodamus klausimus: https://vdai.lrv.lt/lt/naujienos/valstybines-duomenu-apsaugos-inspekcijos-atsakymai-i-daznai-uzduodamus-klausimus-del-citybee-atvejo

Tyrimo trukmė. Vadovaujantis teisės aktais, priežiūros institucijos atliekamas tyrimas gali trukti iki  4 mėnesių su galimybe, atsižvelgiant į tyrimo aplinkybes ir eigą, pratęsti ilgesniam laikotarpiui (pavyzdžiui, dėl aplinkybių sudėtingumo, vėluojančių atsakymų pateikimo ir kt.).

Jeigu tyrimo eigoje paaiškėtų, kad buvo atskleisti ir kitų Europos Sąjungos valstybių narių gyventojų asmens duomenys, tyrimo terminai gali keistis dėl veiksmų derinimo su užsienio valstybių susijusiomis asmens duomenų apsaugos priežiūros institucijomis.

CityBee pranešimo pateikimas priežiūros institucijai. Vadovaujantis Bendruoju duomenų apsaugos reglamentu, asmens duomenų saugumo pažeidimą patyrusi organizacija turi nedelsiant imtis visų priemonių padėčiai ištaisyti. Be kita ko, ne vėliau kaip per 72 val. apie tai pateikti pranešimą VDAI ir informuoti su šiuo incidentu susijusius asmenis. Bendrovė pirminį pranešimą VDAI pateikė vasario 17 d. Jame nurodoma, kad dėl šio incidento taip pat kreiptasi į policiją ir Nacionalinį kibernetinio saugumo centrą, apie pažeidimą informuoti klientai.

Bendrovės pirminiame pranešime nurodoma, kad asmenų, kurių asmens duomenų saugumas pažeistas, skaičius – 111052.

Nurodytos šios asmens duomenų, kurių saugumas pažeistas, kategorijos: vardas, pavardė, el. pašto adresas, asmens kodas, gyvenamosios vietos adresas, telefono numeris, šifruotas (užhashint’as) slaptažodis. Duomenų apimtis tyrimo metu dar gali būti patikslinta.

Veiksmai, kurių ėmėsi bendrovė – atliekamas vidinis tyrimas ir planuojamas išorinis auditas. Bendrovės manymu, incidentas galimai įvyko dėl žmogiškosios klaidos.

VDAI analizuoja Bendrovės pateiktą informaciją, planuojamas patikrinimas vietoje.

Atsižvelgiant į tai, kad atliekamas tyrimas, išsamesnė informacija galės būti paskelbta tik jam pasibaigus.

Incidentas dėl „Orakulas.lt“ duomenų bazės

Vasario 18 d. viešojoje erdvėje pasirodė informacija dėl „Orakulas.lt“ duomenų bazės pardavinėjimo, kurioje galimai yra informacija apie daugiau kaip 257 tūkst. vartotojų. VDAI, vykdydama stebėseną, artimiausiu metu kreipsis į atitinkamus asmenis dėl informacijos pateikimo. VDAI taip pat atkreipia dėmesį, kad dėl bet kokios galimai nusikalstamos veikos, susijusios su asmens duomenimis, turi būti kreipiamasi į policiją.

Širvintų rajono savivaldybės asmens duomenų tvarkymas dėl  COVID-19

Kilus įtarimų dėl COVID-19 asmens duomenų tvarkymo teisėtumo, Nacionalinis visuomenės sveikatos centras VDAI pateikė pranešimą apie galimai įvykusį asmens duomenų saugumo pažeidimą, kurio informaciją dar tikslina. Kol kas tyrimas nėra pradėtas, šiuo metu VDAI vertina Nacionalinio visuomenės sveikatos centro pateiktą informaciją.

Atkreipiame dėmesį, kad asmens duomenų tvarkymas savaime nėra draudžiamas, tačiau jis turi būti atliekamas laikantis BDAR reikalavimų, įskaitant, bet neapsiribojant, kad asmens duomenys gali būti teikiami asmenims, pirma, turintiems teisėtą tikslą juos gauti, antra, turintiems teisę juos gauti, trečia, tik adekvačia apimtimi.

Savivaldybės taip pat dalyvauja COVID-19 pandemijos valdyme, todėl tam tikrų jų funkcijų įgyvendinimui asmens duomenys gali būti reikalingi. Valstybės ir savivaldybės institucijų keitimasis asmens duomenimis, kai tai atitinka BDAR reikalavimus, yra neatsiejama šių institucijų funkcijų vykdymo dalis. Tai nereiškia, kad konkrečiam tikslui gautus asmens duomenis savivaldybės galėtų tvarkyti neribotai. Savivaldybės, kaip duomenų valdytojai, privalo užtikrinti, kad šie asmens duomenys būtų tvarkomi tik konkrečiu tikslu, susijusiu su jų funkcijų vykdymu, ir tik nustatyta tvarka.

Pranešimą paskelbė: Raminta Sinkevičiūtė-Šečkuvienė, Valstybinė duomenų apsaugos inspekcija