„Uber“ pamoka: nutekėję asmenų duomenys ir tūkstantinės baudos

Autorius: Valdemaras Kovalevskis, METIDA teisininkas, advokato padėjėjas

  • Kaip amens duomenų vagystė atsiliepia didelėms kompanijoms?
  • Įvyko pažeidimas – informuok priežiūros instituciją
  • Už aplaidumą gresia tūkstantinės baudos

2017 m. pabaigoje „Uber“ atskleidė, kad jie nepateikė informacijos apie 50 mln. klientų ir 7 mln. vairuotojų visame pasaulyje vardų, el. pašto adresų ir mobiliojo telefono numerių nutekėjimą, įvykusį dar 2016 metų spalį. Be vardų, el. pašto adresų ir mobiliojo telefono numerių programišiai taip pat pavogė informaciją apie maždaug 600 tūkst. vairuotojų pažymėjimų. Šį įsilaužimo faktą įmonė nuslėpė net tik nuo priežiūros institucijų, bet  ir nuo vartotojų.

Be kita ko, viešumoje pasirodė informacija, jog „Uber“ programišiams sumokėjo 100 tūkst. JAV dolerių, kad šie sunaikintų duomenis ir „gautų patvirtinimą“, jog jie tai padarė.

Dizainas be pavadinimo

Tai nebuvo pirma duomenų vagystė „Uber“ istorijoje. Kaip tik 2017 m. pradžioje „Uber“ jau buvo nubausta 20 tūkst. dolerių bauda už tai, kad laiku nepranešė priežiūros institucijai už gerokai smulkesnį asmens duomenų apsaugos pažeidimą. „Uber“ taip ir nepasimokė iš savo klaidų bei ant to paties grėblio užlipo antrą kartą.

Bendrasis duomenų apsaugos reglamentas numato atvejus, kuomet apie pažeidimus, susijusius su asmens duomenų apsauga, privaloma informuoti ne tik priežiūros instituciją, bet ir asmenis, kurių duomenys buvo tvarkomi.

Kada reikia informuoti priežiūros instituciją apie duomenų saugumo pažeidimą?

Duomenų saugumo pažeidimas suprantamas plačiai. Tokiems atvejams priskiriami pažeidimai, dėl kurių netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami, persiunčiami, saugomi arba kitaip tvarkomi asmens duomenys. Duomenų saugumo pažeidimu taip pat laikomi atvejai, kai prie tvarkomų duomenų gaunama prieiga be leidimo.

Bendrasis duomenų apsaugos reglamentas duomenų valdytojui numato pareigą informuoti priežiūros instituciją (Lietuvoje – Valstybinę duomenų apsaugos inspekciją) praktiškai apie kiekvieną duomenų saugumo pažeidimą. Informuoti nereikia, jeigu toks pažeidimas neturėtų kelti pavojaus fizinių asmenų teisėms ir laisvėms. Priežiūros instituciją reikėtų informuoti nedelsiant, bet ne vėliau nei 72 valandas nuo tada, kai sužinoma apie asmens duomenų saugumo pažeidimą.

Kada reikia informuoti duomenų subjektą apie duomenų saugumo pažeidimą?

Tais atvejais, kai dėl duomenų saugumo pažeidimo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, duomenis tvarkantis asmuo nedelsdamas taip pat privalo apie tai pranešti ir duomenų subjektui. Savaime suprantama, „didelis“ yra vertinamoji sąvoka, o reglamentas nepateikia sąrašo atvejų, kuomet laikoma, kad pavojus yra didelis, todėl duomenų valdytojui paliekama tam tikra diskrecija pačiam spręsti, kas yra didelis pavojus.

Manytina, kad duomenų subjektą būtina informuoti apie duomenų saugumo pažeidimą tada, kai prarandami specialių kategorijų asmens duomenys, pvz. genetiniai, biometriniai ar sveikatos duomenys. Didelio pavojaus buvimas taip pat gali būti siejamas su finansinių nuostolių atsiradimu fiziniam asmeniui.

Už nepranešimą apie duomenų saugumo pažeidimus gresia baudos

Bendrasis duomenų apsaugos reglamentas numato, kad už prievolės pranešti apie duomenų saugumo pažeidimą neįvykdymą duomenų valdytojui gali būti skirta bauda iki 10 mln. Eurų arba įmonių atveju iki 2% jos ankstesnių finansinių metų bendros pasaulinės apyvartos.

„Uber“ atvejis yra puiki pamoka, kad nereikia vengti pranešti priežiūros institucijai apie duomenų saugumo pažeidimus, nes nuslėpus šį faktą gali kilti dar daugiau nuostolių. Bet kokiu atveju, įvykus duomenų saugumo pažeidimui, programišiams nereikėtų mokėti jokių „išpirkos“ ar „tylos“ mokesčių, nes išlindus ylai iš maišo gresia ne tik dar didesnė bauda iš priežiūros institucijos, bet ir prarandami sumokėti pinigai šantažavusiems asmenims. Tokiu atveju ne tik kad patiriami dar didesni nuostoliai, bet ir žymiai labiau nukenčia reputacija, nes parodoma, kad duomenų valdytojas nesugeba tinkamai vertinti rizikų, susijusių su asmens duomenų apsauga, bei duomenų apsaugai neskiria pakankamai dėmesio.

ĮVERTINKITE BLOGĄ ⇒

Įrašas paskelbtas temoje Asmens duomenų apsauga | Protection of Personal Data, Verslas | Business ir pažymėtas , , , .Išsisaugokite pastovią nuorodą.

Parašykite komentarą