BDAR: Asmens duomenų saugumas

09.09.2020 BDAR: Asmens duomenų saugumas

Komentaro autoriai – partneris Mindaugas Civilka, teisininkė Elvina Jurčiukonytė, jaunesnysis teisininkas Minvydas Balčiūnas.

 Techninės ir organizacinės saugumo priemonės

Kaip užtikrinti duomenų saugumą

VDAI tyrimas: „MisterTango“

Faktinė situacija: Elektroninių pinigų įstaigai UAB „MisterTango“ VDAI skyrė 61,5 tūkst. EUR baudą. Nustatyta, kad:

1) Ne mažiau kaip 2 dienas internete buvo prieinama interneto nuoroda, kurioje – daugiau kaip 9 000 momentinių ekrano vaizdų su UAB „MisterTango“ klientų mokėjimo sesijų detalėmis. VDAI apie šį asmens duomenų saugumo pažeidimą nebuvo informuota.

2) Turėtų būti renkami tik mokėjimo atlikimui būtini duomenys (mokėtojo vardas, pavardė, jei mokėtojas pageidauja, jo identifikavimo kodas, banko sąskaitos numeris, valiuta ir likutis, mokėjimo paskirtis / įmokos kodas). Tačiau UAB „MisterTango” rinko dar daugiau duomenų: neperžiūrėtų elektroninių sąskaitų pateikimo datos, siuntėjų pavadinimai bei sumos; neperskaitytų pranešimų pateikimo datos, temos ir dalis pranešimo teksto; turimų paskolų paskirtys, pobūdžiai, sumos; pensijų fondų pavadinimai, sukaupti vienetai, jų vertė, sukauptos sumos; kredito tipai (pvz., būsto), mokėtini likučiai, kitų mokėjimų sumos bei datos, išduotų mokėjimo kortelių numeriai ir jose esančios sumos.

3) Įmonė duomenis saugo ilgiau, negu pati yra nustačiusi bei nurodo esant reikalinga, t. y. tyrimo metu pastebėta, kad kai kurie duomenys saugoti 216 dienų, o ne nustatytas 10 minučių. 

4) Įmonės IT infrastruktūros valdymą, diegimą ir priežiūrą vykdė vienas darbuotojas. Vienas darbuotojas vykdė tarpusavyje konkuruojančias funkcijas. Taip nebuvo užtikrintas tinkamas neautorizuotų ar netyčinių modifikacijų galimybių minimizavimas.

Teisinė problema: Incidentas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami persiųsti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų be leidimo gaunama prieiga, yra duomenų saugumo pažeidimas. Šiam įvykus, įmonė privalo nepagrįstai nedelsdama pateikti pranešimą VDAI.

Kas iš to? Įmonė privalo imtis organizacinių ir techninių priemonių tvarkomų asmens duomenų saugumui užtikrinti, pvz., pseudonimų suteikimą asmens duomenims, taip pat jų šifravimą; gebėjimą užtikrinti nuolatinį duomenų tvarkymo sistemų ir paslaugų konfidencialumą, vientisumą, atsparumą ir kt. Tokių priemonių sąrašas nėra apibrėžtas – įmonė gali laisvai pasirinkti būdus, kaip ji užtikrins tvarkomų duomenų saugumą.

Jei įvyko duomenų saugumo pažeidimas, apie tai būtina nedelsiant (jei įmanoma, ne vėliau kaip per 72 val. nuo sužinojimo) pranešti VDAI. To daryti nebūtina, kai pažeidimas nekelia pavojaus fizinių asmenų teisėms, tačiau tai – labiau išimtinis atvejis; rekomenduojame visuomet profilaktiškai išsiųsti pranešimą VDAI.

 

Duomenų saugumo procedūrų tęstinumo svarba

Vokietijos duomenų apsaugos institucijos 2020 m. birželio 30 d. sprendimas: „AOK“

Faktinė situacija: Vokietijos sveikatos draudimo teikėjas AOK Baden-Württemberg (AOK) nuo 2015 iki 2019 m. organizuodavo įvairias loterijas, kurių metu rinkdavo dalyvių asmens duomenis, pavyzdžiui, kontaktinius duomenis, esamus sveikatos draudimo teikėjus. AOK siekė naudoti loterijų dalyvių asmens duomenis reklamos tikslais, jei dalyviai su tokiu duomenų tvarkymu sutinka. Tačiau daugiau nei 500 loterijos dalyvių asmens duomenys vis vien buvo panaudoti reklamos tikslais be išankstinio sutikimo.

Teisinė problema: Vokietijos duomenų apsaugos institucija pabrėžė, kad duomenų saugumo užtikrinimas yra tęstinio pobūdžio pareiga įmonėms. Saugumo priemonės turi būti reguliariai peržiūrimos, atnaujinamos ir pritaikomos naujoms aplinkybėms.

Kas iš to? Įmonėje įdiegtas technines ir organizacines saugumo priemones reikėtų periodiškai peržiūrėti ir esant poreikiui atnaujinti. To laiku nepadarius, gali įvykti duomenų saugumo pažeidimas, nulemtas pasenusių ir dėl to nepakankamų saugumo priemonių.

 

Kodėl svarbu prieigą prie konkrečių duomenų suteikti apdairiai

Prancūzijos duomenų apsaugos institucijos (CNIL) 2019 m. gegužės 28 d. sprendimas: „SERGIC“

Faktinė situacija: Asmenų dokumentai, tokie kaip tapatybės dokumentai, socialinio draudimo kortelių kopijos, banko sąskaitų išrašai, pranešimai dėl mokesčių ir t. t. buvo prieinami nekilnojamojo turto bendrovės SERGIC interneto svetainėje be jokio išankstinio tapatybės patvirtinimo. Asmenys galėjo pasiekti informaciją apie kitus asmenis vien pakeitę URL adresą.

CNIL nustatė, kad SERGIC žinojo apie šią saugumo spragą beveik pusę metų. CNIL taip pat nustatė, kad SERGIC saugojo net ir asmenų, kurie naudojosi SERGIC paslaugomis, tačiau nesudarė nuomos sutarties, asmens duomenis neribotą laiką. SERGIC buvo skirt 400 tūkst. EUR bauda.

Teisinė problema: SERGIC neužtikrino į interneto svetainę įkeltų asmens duomenų saugumo. Prieiga prie dokumentų turėjo būti skirta tik įgaliotiems asmenims.

Kas iš to? Tvarkomų duomenų saugumui užtikrinti būtina diegti tinkamas technines ir organizacines priemones. Pvz., duomenys turėtų būti šifruojami, prieiga prie asmens duomenų suteikiama tik patiems asmenims, jų įgaliotiems asmenims ir (ar) asmenims, kuriems tokia prieiga būtina. Atitinkamai įmonės turėtų atidžiai sekti, kokie asmenys gali prieiti prie ir susipažinti su asmens duomenims.

 

Kaip NEsaugoti slaptažodžių

Vokietijos duomenų apsaugos institucijos 2018 m. lapkričio 21 d. sprendimas: „Knuddels.de“

Faktinė situacija: Pokalbių platformos valdytojo knuddels.de platforma buvo nulaužta – 808 tūkst. el. pašto adresų, 1,8 mln. vartotojų vardų ir slaptažodžių buvo pavogti ir vėliau paviešinti. Paaiškėjo, kad vartotojų duomenys knuddels.de platformoje buvo saugomi neužšifruoti, t. y. kaip paprastas tekstas (angl. plain text). Platformos valdytojui skirta 20 tūkst. EUR bauda.

Teisinė problema: Įmonė privalo užtikrinti tvarkomų asmens duomenų saugumą. Net ir tinkamas, laiku pateiktas pranešimas priežiūros institucijai apie įvykusį duomenų saugumo pažeidimą neleis išvengti baudos, jei įmonė nepalaikė reikiamo lygio saugumo.

Kas iš to? Vengtinas didelio kiekio asmens duomenų, ypač slaptažodžių, sąrašų saugojimas paprasto teksto formatu. Tokiems duomenims turėtų būti suteikiami pseudonimai, užtikrinamas duomenų šifravimas.

 

Kodėl svarbu prieigą prie konkrečių duomenų suteikti apdairiai

Portugalijos duomenų apsaugos institucijos 2018 m. liepos 17 d. sprendimas: ligoninė

Faktinė situacija: Ligoninės informacinėje sistemoje buvo sukurti 985 gydytojų profiliai, nors iš viso įstaigoje dirbo tik 296 gydytojai. Visi gydytojai turėjo prieigą prie visų pacientų bylų, nepaisant gydytojo specialybės. Taip pat, nebuvo priimtas joks vidaus dokumentas, kuriame būtų įtvirtinta prieigų prie duomenų teikimo tvarka. Ligoninei buvo skirta 400 tūkst. EUR bauda.

Teisinė problema: Kiekvienai gydytojo paskyrai suteikus neribotą prieigą prie visų pacientų duomenų, buvo pažeistas BDAR duomenų kiekio mažinimo principas. Nepritaikius jokių techninių ir organizacinių priemonių, skirtų užkirsti kelią neteisėtai prieigai prie pacientų duomenų, buvo pažeistas šių duomenų konfidencialumas.

Kas iš to? Įmonės tvarkomi asmens duomenys turi būti saugomi prieigą prie jų suteikiant tik tiems asmenims (darbuotojams), kuriems tokie duomenys būtini jų darbo funkcijoms atlikti. Įprastai net toje pačioje įmonėje dirbantys asmenys neturėtų prieiti prie visų jos tvarkomų asmens duomenų.