Asmens duomenų saugumo pažeidimai (ADSP) – tai vienas iš didžiausių iššūkių šiuolaikiniam verslui. Atsitikus tokiam incidentui, kyla rimtų teisinių, finansinių ir reputacinių rizikų. Dažnai įmonės vadovą, sužinojus apie duomenų nutekėjimą ar kitą pažeidimą, ištinka panika, nes daugelis yra girdėję apie Bendrojo duomenų apsaugos reglamento (BDAR) baudas. Kaip įmonės gali pasiruošti tokioms situacijoms, kaip reikia reaguoti, kad išvengtumėte baudų ir nuostolių, ir kokia baudų taikymo praktika?
Asociatyvi „Pixabay“ nuotr.
Kas yra asmens duomenų saugumo pažeidimas?
ADSP apima bet kokį netyčinį ar neteisėtą asmens duomenų praradimą, sunaikinimą, pakeitimą, atskleidimą ar be leidimo gautą prieigą. Tai gali atsitikti dėl įvairių priežasčių: nuo netinkamų IT saugumo praktikų, žmogiškų klaidų iki kibernetinių atakų. Pavyzdžiui, įsilaužėlis užšifruoja duomenų bazes arba sukeičia skirtingų asmenų duomenis.
Taip pat ADSP gali būti, jei net ir netyčia suteikiate prieigą paslaugų teikėjui prie informacijos, kurios jis neturi teisės gauti. Pavyzdžiui, jei tiesioginės rinkodaros paslaugų teikėjui suteikiame prieigą prie klientų, kurie davę tiesioginės rinkodaros sutikimus el. paštų pasiūlymams siųsti, tačiau kartu paslaugų teikėjas netyčia gauna prieigą ir prie buhalterinių duomenų, įskaitant darbuotojų atlyginimus. Valstybinės duomenų apsaugos inspekcijos (VDAI) skelbiama statistika už 2025 metus rodo, kad žmogiškosios klaidos sudaro apie 58 proc. visų ADSP.
Kylanti panika dėl pažeidimo ir kaip ją suvaldyti?
Kai įvyksta ADSP, dažnai kyla panika – kaip tai paveiks įmonės reputaciją, kas bus su klientais ir kokios gali būti finansinės pasekmės. Tačiau svarbu racionaliai įvertinti situaciją ir atsiminti, kad greita ir sisteminga reakcija gali sumažinti žalos mastą.
Karštasis krizės valdymo etapas susideda iš keturių pagrindinių žingsnių:
- vidinis pranešimas atsakingam asmeniui,
- užkardymas,
- analizė ir,
- kai reikia, pranešimai institucijoms ir su pažeidimu susijusiems asmenims.
Darbuotojai patys neturėtų spręsti, ar tai ADSP, vertinti jo pobūdžio – tą reikėtų labai aiškiai jiems paaiškinti mokymų metu. Kilus bet kokiam įtarimui, darbuotojai turėtų nedelsiant pranešti atsakingam asmeniui. Jei ima panika ir nežinoma, kam reikia pranešti, o vidinių taisyklių skaityti nėra kada, visada pasiteisina praktika pranešti IT departamentui ar žmogui, kuris rūpinasi IT dalimi. Būna, kad vidinėse tvarkose būna nurodyta, kad darbuotojai, pastebėję ADSP, turi pranešti atsakingam asmeniui per 8 darbo valandas. Tai yra žalinga praktika, nes per tą laiką verslas gali sugriūti.
Atsakingas asmuo, gavęs informacijos apie ADSP, privalo nedelsiant pažeidimą užkardyti. Pavyzdžiui, jei tai nutekėjimas, atjungti duomenų bazę nuo tinklo, jei laiškas, išsiųstas netinkamam adresatui, pamėginti atšauti laišką (kai kurie funkcionalumai tai leidžia padaryti), o jei tai neįmanoma, išsiųsti prašymą nedelsiant gautą laišką ištrinti.
Užkardžius pažeidimą, reikėtų nedelsiant nustatyti pažeidimo tipą ir jo mastą. Ar tai buvo žmogiška klaida, ar kibernetinė ataka? Kiek žmonių ir duomenų palietė? Kokia galima žala? Kuo greičiau išsiaiškinsite situaciją, tuo lengviau bus ją suvaldyti.
Kada pranešti apie ADSP Valstybinei duomenų apsaugos inspekcijai?
Jei ADSP gali kelti pavojų fiziniams asmenims, apie ADSP reikia pranešti VDAI ne vėliau kaip per 72 valandas nuo sužinojimo momento, o jei kyla didelis pavojus, tuomet privaloma nepagrįstai nedelsiant pranešti ir patiems asmenims, kurių duomenys pažeisti.
Tai labai trumpas laiko tarpas, nes per tris dienas reikia susirinkti visą informaciją apie ADSP, įvertinti jo rūšį, nustatyti, kokie duomenys pažeisti. Iš praktikos galiu pasakyti, kad sunkiausia nustatyti ADSP priežastis, nes jų gali būti įvairių: nuo darbuotojo aplaidumo siunčiant laiškus iki prisegtuko iš darbuotojui atsiųsto laiško atidarymo. Tam kartais reikia pasitelkti net ekspertus, kad ateityje būtų panaikintos silpnosios duomenų saugumo vietos. Neišaiškinta ADSP priežastis, tai lyg namuose paliktos atviros durys.
Ar skaudžios ADSP pasekmės?
Jei kalbėti apie baudas, pagal VDAI 2025 metų statistiką Lietuvoje buvo gauti 223 pranešimai apie ADSP. Per šiuos metus VDAI skyrė 5 baudas, kurių bendra suma siekia 27 529 eurus. Vidutiniškai viena bauda tenka 45 pranešimams apie pažeidimus, kas rodo, kad baudos skiriamos gana retai ir vien pranešimas paprastai automatiškai neužtraukia baudos, kaip dažnai baiminamasi.
Tačiau baudos nėra blogiausia, kas gali nutikti, nes gali grėsti ir civiliniai ieškiniai bei reputacinė žala ar net verslo paralyžius.
Asmens duomenų saugumo pažeidimai yra rimtas iššūkis kiekvienai organizacijai, tačiau teisinga ir laiku atlikta reakcija gali sumažinti žalos mastą. Svarbu turėti iš anksto parengtą veiksmų planą, kuris apimtų ne tik krizės valdymą, bet savalaikį pranešimų teikimą.
Asta Macijauskienė, advokatų kontoros WIDEN partnerė, advokatė, duomenų apsaugos, intelektinės nuosavybės ir IT teisės praktikos vadovė
