Registrų centrui suteikus galimybę pasitikrinti, ar asmens duomenys buvo pavogti, pastebėta, kad neteisėta veikla galėjo būti vykdyta jau sausį. Socialiniuose tinkluose žinomi asmenys kelia klausimą, kodėl visuomenė informuota taip vėlai.
Ramų ir šiltą penktadienio vakarą, daliai žmonių jau skubant į sodybas, Generalinė prokuratūra išplatino pranešimą, kuriame teigiama, kad iš Registrų centro buvo neteisėtai pasisavinta per 600 tūkst. žmonių ir įmonių duomenų.
STRAIPSNIS TRUMPAI
- Registrų centras apie duomenų vagystę sužinojo balandžio pradžioje.
- VDAI praneša, kad informaciją apie galimą duomenų vagystę gavo balandžio 3 d.
- Registrų centro teigimu, gyventojai apie galimą vagystę nebuvo informuoti balandį, mat buvo norima išsiaiškinti visas aplinkybes.
- Advokato M. Civilkos teigimu, BDAR nenumato konkretaus ir griežto termino, kada turi būti pranešta nukentėjusiesiems.
Taip pat skaitykite
Visgi, panašu, jei ne „15min“ žurnalistės Jūratės Damulytės užklausa Registrų centrui dėl galimos vagystės, diena ir toliau būtų buvusi rami. Tik po žurnalistės kreipimosi Generalinės prokuratūra informavo visuomenę.
Pirmadienio vakarą Registrų centras suteikė gyventojams galimybę pasitikrinti, ar jų duomenys galėjo būti peržiūrėti neteisėtai. Dalis jų socialiniame tinkle „Facebook“ ėmė piktintis, kad informacija pavogta dar 2026 m. sausį, o apie vagystę pranešama tik dabar.
„Mano nekilnojamojo turto registro įrašas suformuotas ir nutekintas sausio 9 dieną. Aš apie tai sužinau gegužės pabaigoje. Stačiai nuostabu“, – rašė skaitmeninio turinio kūrėja Dovilė Filmanavičiūtė.
Mano nekilnojamojo turto registro įrašas suformuotas ir nutekintas sausio 9 dieną. Aš apie tai sužinau gegužės pabaigoje.
Dovilė Filmanavičiūtė
„Registrų centro laikomi duomenys apie mane buvo nutekinti sausį. Sausį… Visuomenei pranešta gegužės 22 d. Po 4 mėnesių. Ir tik po žurnalistų klausimų“, – skelbia LRT tyrimų žurnalistas Mindaugas Aušra.
Kiti asmenys pažymėjo, kad jų asmeninių duomenų vagystė įvyko kovą.
„Kovo mėnesį. Kovo mėnesį mano duomenys buvo nutekinti. Dabar beveik birželis. Ir niekas net nesiruošė to pranešti, jei ne kelios susiklosčiusios aplinkybės.
Kovo mėnesį. Kovo mėnesį mano duomenys buvo nutekinti. Dabar beveik birželis. Ir niekas net nesiruošė to pranešti, jei ne kelios susiklosčiusios aplinkybės
Fausta Marija Leščiauskaitė
I. Ruginienė galvoja, kad užteks pamojuoti pirštuku, atseit, kažkoks devintas vanduo nuo kisieliaus turi atsistatydinti. Dar „sorry“ pasakys. Ir viskas“, – „Facebook“ pažymėjo tekstų rašytoja, laidų vedėja Fausta Marija Leščiauskaitė.
Registrų centras žinojo jau balandį
LRT.lt kreipėsi į ekonomikos ir inovacijų ministrą Edviną Grikšą bei premjerę Ingą Ruginienę, kada pastarieji sužinojo apie galimą duomenų nutekinimą, tačiau atsakymo kol kas negavo.
Visgi, pirmadienį publikuotame BNS interviu jau buvęs Registrų centro vadovas Adrijus Jusas pažymėjo, kad reikiamos institucijos buvo informuotos vos tik sužinojus apie galimą vagystę.
„Iš karto kreipėmės į visas reikiamas institucijas ir informavome apie situaciją, bet toliau jau visas planas, komunikacijos sprendimai, tai buvo jau labiau koordinuojama ikiteisminio tyrimo pareigūnų ir kitų institucijų“, – sakė A. Jusas.
O apie vagystę Registrų centras sako sužinojęs balandį.
„Registrų centrui apie šį atvejį tapo žinoma balandžio pradžioje“, – LRT.lt sako Registrų centro atstovas Mindaugas Samkus.
Registrų centrui apie šį atvejį tapo žinoma balandžio pradžioje
M. Samkus
Jo teigimu, paaiškėjus šiai informacijai nedelsiant buvo užblokuotos įtartinos vartotojų paskyros, informacija perduota visoms atsakingoms institucijoms.
Gyventojai apie galimą vagystę, anot M. Samkaus, nebuvo informuoti balandį, mat buvo norima išsiaiškinti visas aplinkybes.
„Teisėsaugai pradėjus tyrimą buvo nuspręsta, kad gyventojų informavimas apie neteisėtai atskleistus jų asmens duomenis vyks tuomet, kai bus išsiaiškintos visos aplinkybės ir bus techniškai pasirengta tinkamam tokio kiekio asmenų informavimui“, – sakė M. Samkus.
Teisėsaugai pradėjus tyrimą buvo nuspręsta, kad gyventojų informavimas apie neteisėtai atskleistus jų asmens duomenis vyks tuomet, kai bus išsiaiškintos visos aplinkybės ir bus techniškai pasirengta tinkamam tokio kiekio asmenų informavimui
M. Samkus
Kada privalėjo būti informuoti nukentėję asmenys?
Advokatų kontoros „Tegos“ partneris, Technologijų industrijos grupės vadovas Mindaugas Civilka pažymi, kad kalbant apie pranešimą nukentėjusiems asmenims, BDAR nenumato konkretaus ir griežto termino.
Pranešimas teikiamas nedelsiant nustačius, kad asmens duomenų saugumo pažeidimas (ADSP) gali sukelti didelę riziką asmenims
M. Civilka
„Pranešimas teikiamas nedelsiant nustačius, kad asmens duomenų saugumo pažeidimas (ADSP) gali sukelti didelę riziką asmenims. Vertindama šią riziką, organizacija turi įvertinti ne tik galimą duomenų nutekėjimo poveikį, jo sunkumą, bet ir tikimybę, kad tokie padariniai žmonės bus sukelti, t,y., reikia vertinti tokius kriterijus, kaip: paveiktų duomenų pobūdis, jautrumas ir apimtis; ar duomenys buvo apsaugoti techninėmis apsaugos priemonėmis, veiksmingai ribojančiomis tapatybės klastojimo arba kitokio neteisėto duomenų naudojimo tikimybę; identifikavimo lengvumas; poveikis asmenims: ar pažeidimas gali sukelti tapatybės vagystę, fizinę, psichologinę žalą ar reputacijos pažeidimą; nukentėję asmenys ir jų skaičius, kt.“, – sako advokatas.
Pagrindinis tokio pranešimo žmonėms tikslas – pateikti konkrečią informaciją apie veiksmus, kurių asmenys turėtų imtis savo ir savo duomenų apsaugai (pvz., pasikeisti slaptažodžius, ištrinti ar užblokuoti paskyras, patikrinti ar užblokuoti mokėjimo priemones, kt.).
„Laiku gautas pranešimas leidžia asmenims operatyviau reaguoti ir sumažinti galimas neigiamas pažeidimo pasekmes“, – pažymi M. Civilka.
Jo teigimu, apie pažeidimą asmenys turėtų būti informuojami tiesiogiai, nebent tam reikėtų neproporcingų pastangų arba yra kitų išimtinių aplinkybių. Šiame kontekste, teigia advokatas, kyla klausimas, ar savitarnos polapis, leidžiantis pasitikrinti, ar vartotojų duomenys buvo paveikti, yra pakankama ir tinkama informavimo priemonė, ar vis dėlto tikslinga informuoti kiekvieną asmenį individualiai.
Anot M. Civilkos, svarbu ir tai, kad BDAR numato, kad gali egzistuoti tam tikrų viešojo pobūdžio interesų, kurie gali riboti asmenų teisę būti informuotiems apie pažeidimą.
BDAR numato, kad gali egzistuoti tam tikrų viešojo pobūdžio interesų, kurie gali riboti asmenų teisę būti informuotiems apie pažeidimą
M Civilka
„Pavyzdžiui, BDAR preambulėje minima, kad nustatant pranešimo apie asmens duomenų saugumo pažeidimus formos ir tvarkos taisykles, reikėtų atsižvelgti į teisėtus teisėsaugos institucijų interesus, kai ankstyvas informacijos atskleidimas galėtų bereikalingai pakenkti asmens duomenų pažeidimo aplinkybių tyrimui.
Taigi, mano nuomone, tais atvejais, kuomet viešas informacijos apie incidentą pateikimas galėtų pakenkti ikiteisminiam tyrimui, būtina imtis priemonių šių vienas kitam prieštaraujančių interesų suderinimui – t.y., siekiat užtikrinti tinkamą individų informavimą tuo pačiu nepakenkiant ikiteisminio tyrimui slaptumui.
Tokiais atvejais, matyt, yra būtinas duomenų valdytojo (organizacijos, kuri atsakinga už paveiktus duomenis) ir ikiteisminio tyrimo pareigūnų bei priežiūros institucijų bendradarbiavimas ieškant protingo balanso ir pusiausvyros. Visgi, mano vertinimu, tai nepanaikina pačios duomenų valdytojo pareigos informuoti nukentėjusius asmenis (nustačius, kad jiems gali kilti rimtas pavojus) ir negali iš viso atleisti valdytojo nuo aptartos nukentėjusių asmenų informavimo pareigos“, – komentuoja advokatas M. Civilka.
Pirminę informaciją iš Registrų centro gavo balandžio 13 d.
Valstybinės duomenų apsaugos inspekcijos (VDAI) pateiktame komentare taip pat pažymima, kad įvykus asmens duomenų saugumo pažeidimui ir nustačius, kad dėl įvykusio pažeidimo kyla pavojus fizinių asmenų teisėms ir laisvėms, apie tai įstaigos VDAI privalo pranešti ne vėliau kaip per 72 valandas.
VDAI pažymi, kad įstaigos prie Vidaus reikalų ministerijos (tikėtina, Migracijos departamento) pranešimą, susijusį su galima duomenų vagyste, gavo balandžio 3 d.
„Iš Registrų centro – balandžio 13 d. Registrų centras pateikė pranešimą apie ADSP gegužės 7 d.“, – rašoma VDAI atsakyme.
Jame taip pat pažymima, kad gegužės 15 d. VDAI direktoriaus įsakymais pradėti šių institucijų tikrinimai Inspekcijos iniciatyva. Paprašyta pateikti papildomos informacijos, aktualios vertinant asmens duomenų saugumo pažeidimą.
