Verslo pozicija

2021.04.06 11:38

Mantas Baigys. Adrenalinui nuslūgus: penkios „CityBee“ pamokos verslui

Mantas Baigys, Advokatų profesinės bendrijos „Avocad“ teisininkas2021.04.06 11:38

Ar jau galime pasimokyti iš svetimų „CityBee“ klaidų? Jau pradėjome diegti deramas asmens duomenų saugumo priemones? Gal jau pakeitėme vidaus tvarkas, kaip turi būti stebima rizika ir į grėsmes reaguojama? Ar „CityBee“ komandos veiksmai buvo tinkami ir pakankami sprendžiant tokio pobūdžio incidentus?

Vidiniuose dokumente turi būti aprašytos ne tik procedūros (jų vykdymo terminai), tačiau ir už šių procedūrų įgyvendinimą atsakingi asmenys. Numatytas procedūras turi žinoti ne tik vadovai ir tiesiogiai atsakingi asmenys, bet ir visi darbuotojai. Todėl asmens duomenų sauga reikalauja dėmesio ir baziniuose darbuotojų mokymuose – „šiandien“ yra pats geriausias laikas sustoti ir pradėti pokyčius.

I pamoka. Per 72 valandas praneškite inspekcijai

Nustačius, kad asmens duomenų pažeidimas įvyko ir kad yra didėlė rizika fizinių asmenų teisėms ir laisvėms, ne vėliau kaip per 72 valandas nuo sužinojimo momento būtina informuoti Valstybinę duomenų apsaugos inspekciją.

Ar pažeidimas yra keliantis „didelę riziką“? Tai lems kelios aplinkybės. Pirma, pačių duomenų pobūdis – ar tai specialiosios kategorijos (pavyzdžiui, sveikatos) asmens duomenys. Antra, ar duomenys leidžia lengvai identifikuoti fizinį asmenį. Trečia, ar pasekmės gali būti rimtos (pavyzdžiui, finansinės nutekėjus mokėjimo kortelių duomenims). Ketvirta, ar atskleidžiamos asmens savybės, duomenys apie vaikus ar kitus pažeidžiamus asmenis. Penkta, nukentėjusiųjų fizinių asmenų skaičius. Šešta, koks yra pačios duomenis praradusios organizacijos veiklos pobūdis.

Aplinkybes įvertinus ir nusprendus neteikti pranešimo, tokio sprendimo priėmimo motyvus reikia dokumentuoti ir pagrįsti argumentais. Suprantama, inspekcijos pozicija su organizacijos pozicija gali nesutapti, todėl reikia itin kritiškai įvertinti, ar turimi argumentai pakankamai svarūs ir išties liudija, kad pažeidimas neturės jokios reikšmingos įtakos fizinių asmenų laisvėms ir teisėms.

II pamoka. Tyrimo nebaigiate per 72 valandas – praneškite etapais

Jeigu dėl objektyvių priežasčių per 72 valandas nespėta atlikti vidinio tyrimo, tai nepanaikina pareigos tokį pranešimą pateikti vėliau, kai išsiaiškinama, jog didelė rizika fizinių asmenų laisvėms ir teisėms kilo.

Jeigu būtina atlikti išsamesnį tyrimą ir vertinti atskiras svarbias aplinkybes (pavyzdžiui, dėl pažeidimo masto), o per 72 valandos to padaryti objektyviai neįmanoma, tai pranešimas inspekcijai turi būti teikiamas etapais, apie tai atitinkamai informuojant jau pirminiame pranešime.

III pamoka. Nepateikę pranešimo ruoškitės ir baudoms, ir didesnėms sumoms

Pranešimo per 72 valandas nepateikus gresia administracinė sankcija – bauda. Pavyzdžiui, dar 2019 metais Rumunijos finansų įstaigai „Vreau Credit S.R.L“ buvo skirta 20 tūkst. € bauda vien už tai, jog įmonė laiku neinformavo duomenų apsaugos inspekcijos (vėliau už patį pažeidimą įmonei skirta dar viena 150 tūkst. €).

Svarbu, jog skubūs ir neatidėliojami veiksmai gali lemti ir pagrindinės baudos dydį. Pavyzdžiui, spręsdama klausimą dėl baudos dydžio inspekcija turi įvertinti, ar apie pažeidimą sužinojo iš pačios organizacijos, ar, tarkime, iš žiniasklaidos. Todėl analizuodami „CityBee“ atvejį žinome, kad įmonė nepraleido 72 valandų termino, tačiau inspekcija apie pažeidimą anksčiau sužinojo iš žiniasklaidos. Tokie nepakankamai operatyvūs įmonės veiksmai gali virsti didesne bauda už duomenų saugumo pažeidimą.

Pirminiame pranešime „CityBee“ nepateikė išsamios informacijos. Tik vėliau, žiniasklaidoje pasirodžius įvairių ekspertų nuomonėms, įmonė atskleidė daugiau, nors tai turėjo padaryti dar pirminiame pranešime. Įvykus pažeidimui greitas reagavimas ir operatyvus informavimas mažina galimos žalos mastą.

IV pamoka. Informuokite ir asmens duomenų savininką

Pasitvirtinus, kad pažeidimas buvo ir yra didelė rizika fizinių asmenų teisėms ir laisvėms, turite nedelsdami informuoti duomenų subjektą – t.y. asmens duomenų savininką. Tą turite padaryti pilna inspekcijos rekomenduojama apimtimi, o ne pasirinktinai rinkdamiesi (kaip padaryta „CityBee“ atveju) tik įmonei palankius ir „patogius“ akcentus.

Pirma, įvardinkite įvykusio pažeidimo pobūdį. Antra, nurodykite paskirtą kontaktinį asmenį ir kaip su juo susisiekti. Trečia, apibūdinkite tikėtinų pasekmių aprašymą. Ketvirta, aprašykite priemones, kurių ėmėsi arba pasiūlė imtis duomenų valdytojas, kad būtų pašalintas pažeidimas. Tai apima ir priemones galimoms neigiamoms pasekmėms sumažinti – pavyzdžiui, inspekcijos informavimą, patarimą dėl pažeidimo tvarkymo ir jo pasekmių mažinimo, siūlymą pasikeisti slaptažodžius ir kt.

V pamoka. Procedūros svarbios ne tik teisininkams, mažesnė žala ir kitose srityse

Tinkamas pasirengimas bei reagavimas įvykus duomenų saugumo pažeidimui gali padėti spręsti ne tik teisinius klausimus. Pavyzdžiui, „CityBee“ atveju deramas pasiruošimas ir tinkamas reagavimas būtų padėjęs išvengti komunikacijos klaidų. Dabar įmonės delsimas ir laiku klientams nepateikta informacija tapo ir priežastimi suabejoti ilgą laiką įmonės kurta reputacija. Ir priešingai – profesionaliai sprendžiami jautrių asmens duomenų apsaugos klausimai būtų padėję išvengti ir šių šalutinių, tiesiogiai su teisinėmis procedūromis nesusijusių, neigiamų pasekmių.

Populiariausi