Asmens duomenų saugumo pažeidimai (ADSP) - tai vienas iš didžiausių iššūkių šiuolaikiniam verslui. Atsitikus tokiam incidentui, kyla rimtų teisinių, finansinių ir reputacinių rizikų. Dažnai įmonės vadovą, sužinojus apie duomenų nutekėjimą ar kitą pažeidimą, ištinka panika, nes daugelis yra girdėję apie Bendrojo duomenų apsaugos reglamento (BDAR) baudas.
ADSP apima bet kokį netyčinį ar neteisėtą asmens duomenų praradimą, sunaikinimą, pakeitimą, atskleidimą ar be leidimo gautą prieigą. Tai gali atsitikti dėl įvairių priežasčių: nuo netinkamų IT saugumo praktikų, žmogiškų klaidų iki kibernetinių atakų. Taip pat ADSP gali būti, jei net ir netyčia suteikiate prieigą paslaugų teikėjui prie informacijos, kurios jis neturi teisės gauti. Pavyzdžiui, jei tiesioginės rinkodaros paslaugų teikėjui suteikiame prieigą prie klientų, kurie davę tiesioginės rinkodaros sutikimus el. paštų pasiūlymams siųsti, tačiau kartu paslaugų teikėjas netyčia gauna prieigą ir prie buhalterinių duomenų, įskaitant darbuotojų atlyginimus.
Valstybinės duomenų apsaugos inspekcijos (VDAI) skelbiama statistika už 2025 metus rodo, kad žmogiškosios klaidos sudaro apie 58 proc. Kai įvyksta ADSP, dažnai kyla panika - kaip tai paveiks įmonės reputaciją, kas bus su klientais ir kokios gali būti finansinės pasekmės. Darbuotojai patys neturėtų spręsti, ar tai ADSP, vertinti jo pobūdžio - tą reikėtų labai aiškiai jiems paaiškinti mokymų metu. Kilus bet kokiam įtarimui, darbuotojai turėtų nedelsiant pranešti atsakingam asmeniui. Jei ima panika ir nežinoma, kam reikia pranešti, o vidinių taisyklių skaityti nėra kada, visada pasiteisina praktika pranešti IT departamentui ar žmogui, kuris rūpinasi IT dalimi. Būna, kad vidinėse tvarkose būna nurodyta, kad darbuotojai, pastebėję ADSP, turi pranešti atsakingam asmeniui per 8 darbo valandas.
Atsakingas asmuo, gavęs informacijos apie ADSP, privalo nedelsiant pažeidimą užkardyti. Užkardžius pažeidimą, reikėtų nedelsiant nustatyti pažeidimo tipą ir jo mastą. Ar tai buvo žmogiška klaida, ar kibernetinė ataka? Kiek žmonių ir duomenų palietė? Kokia galima žala? Tai labai trumpas laiko tarpas, nes per tris dienas reikia susirinkti visą informaciją apie ADSP, įvertinti jo rūšį, nustatyti, kokie duomenys pažeisti.
Iš praktikos galiu pasakyti, kad sunkiausia nustatyti ADSP priežastis, nes jų gali būti įvairių: nuo darbuotojo aplaidumo siunčiant laiškus iki prisegtuko iš darbuotojui atsiųsto laiško atidarymo. Tam kartais reikia pasitelkti net ekspertus, kad ateityje būtų panaikintos silpnosios duomenų saugumo vietos.
Bendrasis duomenų apsaugos reglamentas (BDAR) buvo įvestas siekiant apsaugoti asmens duomenis ir užtikrinti jų saugumą. Jei jūsų verslas nesilaiko šių reikalavimų, gali kilti rimtų pasekmių. Štai, kas gali nutikti:
- Už mažesnius pažeidimus baudos gali siekti 10 milijonų eurų arba 2% metinių pajamų.
- Teisinės išlaidos gali būti didelės, o taip pat galimi teisminiai procesai dėl duomenų apsaugos pažeidimų.
- Tai gali turėti ilgalaikių pasekmių jūsų verslui, nes žmonės nori dirbti tik su tais, kurie laikosi teisės aktų ir rūpinasi jų duomenų saugumu.
- Inspektoriai gali įpareigoti atlikti auditus ir teikti nuolatinę priežiūrą.
Apibendrinant, BDAR nesilaikymas gali sukelti rimtas finansines, teisines ir reputacijos pasekmes.
BDAR taikymas ir išimtys
Kada taikomas Bendrasis duomenų apsaugos reglamentas (BDAR)? Už ES ribų įsisteigusios įmonės, kurios tvarko ES piliečių duomenis, turi paskirti atstovą Europos Sąjungoje.
Kas yra asmens duomenys ir kas juos tvarko?
Kas yra asmens duomenys? Asmens duomenys - tai bet kokia informacija apie fizinį asmenį, kurio tapatybė yra nustatyta arba gali būti nustatyta; toks asmuo dar vadinamas duomenų subjektu. Kas tvarko asmens duomenis? Asmens duomenis tvarko duomenų valdytojas, kuris nustato duomenų tvarkymo tikslus ir priemones. Taip pat gali būti duomenų tvarkytojas, kuris saugo ir tvarko duomenis duomenų valdytojo vardu.
Duomenų apsaugos pareigūnas
Kas atlieka asmens duomenų tvarkymo įmonėje stebėseną? Duomenų apsaugos pareigūnas (DAP) prižiūri, kaip laikomasi BDAR ir kitų duomenų apsaugos teisės aktų, konsultuoja darbuotojus apie jų pareigas ir atsako į duomenų subjektų prašymus. Kada turėtumėte paskirti duomenų apsaugos pareigūną? Jei jūsų įmonė tvarko specialių kategorijų duomenis (pvz., apie sveikatą, genetiką) dideliu mastu, arba jei jūsų pagrindinė veikla yra didelio masto reguliari ir sisteminga asmens duomenų stebėsena. DAP tikriausiai nereikalingas, jei jūsų veikla nepatenka į šias kategorijas.
Asmens duomenų perdavimas už ES ribų
Jeigu asmens duomenys perduodami už ES ribų, BDAR suteikiama apsauga turėtų „keliauti" kartu su duomenimis. ES nepriklausančios šalies apsaugos priemones ES laiko tinkamomis, jei jos atitinka nustatytus standartus.
Sutikimas duomenų tvarkymui
Kada leidžiama tvarkyti duomenis? Tvarkyti duomenis leidžiama, kai tai būtina sutarties vykdymui, teisės aktų reikalavimams, gyvybiniams interesams, viešojo intereso užduotims, duomenų valdytojo teisėtiems interesams arba kai gautas aiškus ir informuotas asmens sutikimas. BDAR taikomos griežtos sutikimu pagrįsto duomenų tvarkymo taisyklės. Sutikimas turi būti duotas laisva valia, konkretus, informuotas ir nedviprasmis. Jis turi būti lengvai atšaukiamas.
Duomenų subjektų teisės
Kiekvienas asmuo turi teisę susipažinti su savo asmens duomenimis nemokamai. Jis taip pat turi teisę reikalauti, kad jo duomenys būtų nedelsiant ištaisyti arba papildyti. Duomenų subjektas gali prašyti apriboti duomenų tvarkymą, ištrinti duomenis arba nesutikti su duomenų tvarkymu tam tikrais atvejais. Jis turi teisę į duomenų perkeliamumą, t. y. gauti savo duomenis bendrai naudojamu ir automatizuotai nuskaitomu formatu ir perduoti juos kitai įmonei. Asmuo turi teisę būti informuotas apie sprendimo loginį pagrindą, svarbą ir pasekmes, jei sprendimas priimamas tik automatizuotu tvarkymu.
Jei duomenų tvarkymas kelia didelį pavojų asmenų teisėms ir laisvėms, duomenų valdytojas privalo atlikti poveikio vertinimą. Jei asmens duomenys tvarkomi siekiant vykdyti viešojo intereso užduotį, duomenų valdytojas turi pasirūpinti tinkamomis priemonėmis.
BDAR pažeidimų statistika ir baudos
Remiantis „OneTrust“ skelbiamais duomenimis, per 2024 metus ES valstybių narių priežiūros institucijos paskyrė 315 baudų, bendrai šios baudos sudarė 1,19 mlrd. eurų. Daugiausia baudų buvo skirta už:
- Asmens duomenų tvarkymo pagrindų pažeidimus (72 baudos, 368,2 mln. eurų).
- Asmens duomenų apsaugos principų pažeidimus (80 baudų 325,5 mln. eurų).
- Asmens duomenų saugumo pažeidimus (80 baudų 121,5 mln. eurų).
- Duomenų subjektų teisių pažeidimus ar netinkamą įgyvendinimą (35 baudos 5,8 mln. eurų).
Didžiausią 310 mln. eurų baudą gavo „Amazon“. Analizuojant laikotarpį nuo BDAR įsigaliojimo (2018 m. gegužės 25 d.) iki 2024 metų pabaigos, pastebima, kad aptariamų 4 pažeidimų tipų procentinė dalis nuo visų baudų skirtų už BDAR pažeidimus iš esmės išlieka nepakitusi.
Valstybinė duomenų apsaugos inspekcija (VDAI) Lietuvoje taip pat skiria baudas už BDAR pažeidimus. Pavyzdžiui, net du duomenų valdytojai gavo po 2 000 eurų baudą už teisėtumo principo pažeidimą vykdant vaizdo stebėjimą neturint tam teisinio pagrindo. Taip pat, VDAI duomenų apsaugos principų pažeidimą konstatavo ir situacijoje, kai advokato padėjėjas rinko informaciją iš nekilnojamojo turto registro, kuri nebuvo būtina teisinių paslaugų teikimui.
VDAI duomenimis, 2025 metais Lietuvoje buvo gauti 223 pranešimai apie ADSP. Per šiuos metus VDAI skyrė 5 baudas, kurių bendra suma siekia 27 529 eurus.
Veiksmai, kurių turėtų imtis įmonės, norinčios išvengti BDAR pažeidimų
Norint išvengti BDAR pažeidimų, įmonėms rekomenduojama atlikti šiuos veiksmus:
- Apmokykite savo komandą: Užtikrinkite, kad visi darbuotojai būtų susipažinę su BDAR reikalavimais ir jų atsakomybe.
- Atlikite duomenų apsaugos poveikio vertinimą: Tai padės nustatyti ir sumažinti rizikas, susijusias su asmens duomenų tvarkymu.
- Įgyvendinkite duomenų apsaugą nuo projektavimo ir pagal numatytuosius nustatymus: Atsižvelkite į duomenų apsaugą pradiniuose projektavimo etapuose ir užtikrinkite, kad numatytieji parametrai atitiktų BDAR reikalavimus.
- Tinkamai tvarkykite slapukus: Būtiniesiems slapukams sutikimo nereikia, tačiau kitų slapukų naudojimui jis privalomas. Sutikimas turi būti aiškus, informatyvus ir atitikti BDAR reikalavimus.
- Turėkite aiškią ir prieinamą privatumo politiką: Joje turėtų būti išsamiai aprašyti duomenų tvarkymo tikslai, saugojimo laikotarpiai ir kita esminė informacija.
Atvejų analizė: didelės baudos ir jų priežastys
„MisterTango“ nubausta 61,5 tūkstančio eurų bauda. Elektroninių pinigų įstaiga „MisterTango“ netinkamai tvarkė duomenis, jų rinko per daug, jie nutekėjo, o apie incidentus nebuvo pranešta. Bauda sudaro 1,5 proc.
H&M Hennes and Mauritz skirta 35,2 milijonai eurų bauda. Nustatyta, kad bendrovės vadovai grupės paslaugų centre Niurnberge per daug kišosi į savo darbuotojų privatų gyvenimą, rinkdami įvairią informaciją, pradedant gana nereikšmingomis detalėmis ir baigiant informacija apie šeimos problemas ar religinius įsitikinimus. Be to, skaitmeniniu būdu buvo fiksuojama ir saugoma išsami informacija apie ligos simptomus ir diagnozes. Darbuotojai nebuvo informuoti apie tokį jų asmens duomenų tvarkymą, buvo pažeisti teisėtumo, sąžiningumo bei skaidrumo, tikslo apribojimo ir duomenų kiekio mažinimo principai.
TIM - Telecom provider - 27,8 milijonai eurų. Bauda buvo paskirta už agresyvią tiesioginės rinkodaros strategiją, dėl kurios nukentėjo keli milijonai žmonių. Jie buvo atakuojami reklaminiais skambučiais ir nepageidaujama komunikacija, kai kurie iš jų buvo asmenys, nepageidaujantys tiesioginės rinkodaros pasiūlymų.
Oro linijas „British Airways“ valdančiai bendrovei „International Airlines Group“ (IAG) grėsė rekordinė 230 mln. USD bauda dėl kompanijos nesugebėjimo savo tinklalapyje apsaugoti 500 000 vartotojų duomenų. Visgi buvo paskirta gerokai mažesnė - 21,9 milijonai eurų bauda. Bauda skirta dėl „British Airways“ nesugebėjimo apsaugoti klientų duomenų, kurie buvo pasisavinti per 2018 m. įvykdytą programišių ataką. Informacijos komisaro tarnyba (ICO) teigė, kad „British Airways“ turėjo nustatyti kibernetinio saugumo rizikas ir jas išspręsti, o tai būtų užkirtę kelią programišių atakai.
Marriott International - 20,45 milijonai eurų. Bauda buvo skirta už patirtą kibernetinę ataką. ICO padarė išvadą, kad „Marriott“ įsigyjant viešbučių grupę „Starwood“ nebuvo atliktas išsamus teisinis patikrinimas ir nebuvo įgyvendintos tinkamos saugumo priemonės. Incidento metu iš „Starwood Hotels“, kuris priklauso „Marriott International“, duomenų bazės buvo pavogta daugiau nei 300 milijonų rezervacijų duomenų. Manoma, kad duomenys tapo prieinami įsilaužėliams dar 2014 m., pažeidus „Starwood“ viešbučių grupės sistemas, tačiau šis incidentas buvo pastebėtas tik 2018 m. Visą šį laiką įsilaužėliai turėjo neteisėtą prieigą prie „Starwood“ sistemose esančių duomenų (vardai, pašto adresai, telefono numeriai, elektroninio pašto adresai, paso numeriai, gimimo datos ir kiti duomenys). Nepaisant paskirtos vienos didžiausių baudų, panašu, kad šis viešbučių tinklas nepasimokė: 2020 m. kovo 31 d. „Marriott“ paskelbė dar vieną pranešimą apie incidentą, kurio metu gali būti atskleista maždaug 5,2 milijonų svečių kontaktinė informacija, pvz., vardai, pašto adresai, lojalumo sąskaitų numeriai ir kita asmeninė informacija.
Taip pat svarbu paminėti, kad už BDAR pažeidimus nukentėję duomenų subjektai turi teisę reikalauti turtinės ir neturtinės žalos atlyginimo. Pavyzdžiui, 2024 metais Lietuvos apeliacinis teismas patenkino „Vartotojų aljanso“ grupės ieškinį dėl neturtinės žalos atlyginimo „Citybee“ programėlės vartotojams, kurių asmens duomenys nutekėjo 2021 metais, ir priteisė iš UAB „Prime leasing“ 103 800 eurų, t. y. po 300 eurų kiekvienam iš 346 grupės ieškinio narių.
tags: #duomenu #nesaugojimas #bauda