Vienerių metų BDAR taikymo proga Valstybinė duomenų apsaugos inspekcija paskyrė pirmąją baudą Lietuvoje - elektroninių pinigų įstaigos “MisterTango” pažeidimai buvo įvertinti 61,5 tūkst. EUR bauda. Pats tyrimas pradėtas gavus informaciją apie paviešintus bankų klientų asmens duomenis bei galimai įvykusį asmens duomenų saugumo pažeidimą.

Bauda paskirta už BDAR 5, 32 bei 33 straipsnių pažeidimus:

1. Netinkamai vykdytas asmens duomenų kiekio mažinimo principas, t.y., įmonė rinko perteklinius mokėtojų duomenis (neperžiūrėtų elektroninių sąskaitų pateikimo datos, siuntėjų pavadinimai bei sumos; neperskaitytų pranešimų pateikimo datos, temos ir dalis pranešimo teksto; turimų paskolų paskirtys, pobūdžiai, sumos; pensijų fondų pavadinimai, sukaupti vienetai, jų vertė, sukauptos sumos; kredito tipai (pvz., būsto), mokėtini likučiai, kitų mokėjimų sumos bei datos, išduotų mokėjimo kortelių numeriai ir jose esančios sumos). Taip pat nustatyta, kad įmonė duomenis saugojo ilgiau, negu pati yra nustačiusi bei nurodžiusi esant reikalinga, t. y. dalis duomenų buvo saugota 216 dienų, vietoje nustatytų 10 minučių.

2. Ne mažiau kaip 2 dienas internete buvo prieinamas tinklalapis su „MisterTango“ apdorotų mokėjimų sąrašu, kuriame buvo matomi įvairių bankų įstaigų klientų atlikti mokėjimai per „MisterTango“ mokėjimo inicijavimo paslaugų sistemą su tų klientų asmens duomenimis. Inspekcijos teigimu, nutekėję duomenys leidžia nustatyti asmenų tapatybę, apėmė banko paslaptį, buvo tvarkomi nešifruoti bei asmens duomenų saugumo pažeidimo metu buvo tvarkomi neužtikrinant prieigos kontrolės prie šių duomenų.

3. Internete taip pat buvo prieinama daugiau kaip 9 000 momentinių ekrano vaizdų su 12 skirtingų bankų, esančių skirtingose valstybėse, klientų mokėjimo sesijų detalių puslapiais. Įmonėje saugos užtikrinimą ir valdymą bei visos įmonės IT infrastruktūros (techninės ir programinės) valdymą, diegimą ir priežiūrą vykdė vienas darbuotojas, todėl nebuvo užtikrintas tinkamas neautorizuotų ar netyčinių modifikacijų galimybių minimizavimas ir tinkamos asmens duomenų apsaugos politikos įgyvendinimas.

Inspekcijos sprendimas kol kas nėra įsiteisėjęs ir greičiausiai bus skundžiamas teismui, todėl galutinio sprendimo dar reikės palaukti. Tačiau koks jis bebūtų, viena yra akivaizdu - ignoruoti BDAR ir duomenų apsaugos politikos šiuo metu labai neapsimoka. Inspekcijos atliekamų tyrimų apimtys tik didės, o skiriamų baudų dydis gali suduoti reikšmingą smūgį bet kokiam verslui. "MisterTango" atvejis parodo, kad verslas suklumpa ties tinkamų techninių bei organizacinių priemonių taikymu savo veikloje, renkasi verčiau nuslėpti duomenų saugumo pažeidimą, nei apie jį informuoti Inspekciją ir neinvestuoja į žmogiškuosius išteklius bei darbuotojų kompetenciją dirbant su duomenų saugumu.

Plačiau: 15 min ir Verslo žinios