Gerai žinomo ir reputaciją turinčio viešbučio saugumo sistema, kaip rašoma spaudoje, pastebėjo neteisėtą įsilaužimą į klientų duomenų bazę, todėl netrukus nuo sužinojimo apie įsilaužimą, viešbutis iš karto ėmėsi veiksmų informuoti tiek nukentėjusius klientus, tiek ir atsakingas institucijas apie šį rekordinį skaičių fizinių asmenų palietusį incidentą.
Dar šių metų lapkričio mėnesį Jungtinės Karalystės duomenų apsaugos institucija paskelbė naujieną apie 500,000 svarų Facebook, Inc. už neteisėtą 87 milijonų vartotojų asmens duomenų tvarkymą paskirtą baudą. Tiesa, ši rekordinio dydžio bauda buvo skirta pagal seną Jungtinės Karalystės įstatymą, o ne pagal naująjį Bendrąjį Duomenų Apsaugos Reglamentą (BDAR), mat pažeidimas įvyko dar iki BRAD įsigaliojimo, todėl dabar galima tik spėlioti, kokio dydžio bauda jau įsigaliojus BDAR laukia Marriott International.
Šių įvykių kontekste atkreiptinas dėmesys, kad pagal BDAR, kiekvienas duomenų valdytojas, tvarkydamas fizinių asmenų duomenis, privalo garantuoti, jog yra įvestos tinkamos techninės ir organizacinės priemonės, užtikrinančios adekvatų bei duomenų tvarkymo operacijoms proporcingą duomenų saugumo lygį. Saugumo priemonės turi būti taikomos tokios, jog jomis būtų įmanoma užkirsti kelią saugumo pažeidimo atsiradimui, o jeigu jis įvyko – greitam pažeidimo padarinių užkardymui.
Vis tik, absoliutus IT sistemų saugumas nėra įmanomas. Taigi, nuo duomenų saugumo pažeidimų nėra apsaugotas nei vienas duomenų valdytojas. Atitinkamai, kiekvienai atsakingai įmonei, sužinojus naujieną apie įsilaužimą, neteisėtą tyčinę ar netyčinę prieigą prie įmonės duomenų bazės, fizinių asmens duomenų nutekėjimą, nukopijavimą ar kitokį pasavinimą, gali kilti klausimas, kaip užtikrinti, kad tolimesni duomenų valdytojo sprendimai pažeidimo suvaldymo kontekste atitiktų BDAR reglamentavimus bei būtų išvengta tiek dar didesnės žalos fizinių asmenų teisėms, tiek ir didesnės baudos pačiai įmonei skyrimo?
Atsižvelgiant į tai, žemiau pateikiame rekomendacijas, ką reikėtų daryti įmonei, įvykus jos tvarkomų duomenų saugumo pažeidimui.
Pirmiausia, identifikavus duomenų saugumo pažeidimą, įmonė turėtų įsivertinti, ar minėtas pažeidimas gali kelti pavojų fizinių asmenų teisėms ir laisvėms.
Pavyzdžiui, toks pavojus mažai tikėtinas, jeigu prarasti asmens duomenys jau ir taip yra viešai prieinami ir publikuojami, o prieiga prie jų turi bet kuris suinteresuotas asmuo. Arba, pavyzdžiui, jeigu duomenų valdytojo prarasti asmens duomenys buvo užšifruoti, ir įsilaužėlis neturi rakto šiems duomenimis atšifruoti. Ir atvirkščiai, pavojus fizinių asmenų teisėms ir laisvėms beveik neabejotinas, jeigu prarastų duomenų faktas galėtų reikšti, jog fiziniai asmenys gali patirti kūno sužalojimą, jų tapatybė galėtų būti pavogta, suklastota, būtų pakenkta fizinio asmens reputacijai, saugomai profesiniai paslapčiai ar, pavyzdžiui, atsirastų finansinių nuostolių ir kt.
Jeigu duomenų valdytojas nustato, jog pavojus egzistuoja, apie asmens duomenų saugumo pažeidimą privalu pranešti duomenų apsaugos priežiūros institucijai. Lietuvoje tai - Lietuvos Respublikos valstybinė duomenų apsaugos inspekcija. Jei galintis kilti pavojaus yra didelis, papildomai apie įvykusį incidentą reikės informuoti ir nukentėjusius duomenų subjektus, tačiau detaliau apie tai toliau.
Antra, ypač svarbu, kad saugumo pažeidimo atveju duomenų valdytojas privalo veikti greitai, kadangi apie įvykusį incidentą kompetentingą instituciją informuoti privalu nepagrįstai nedelsiant, bet ne vėliau kaip per 72 valandas nuo sužinojimo apie įvykusi saugumo pažeidimą.
Paprastai duomenų valdytojas yra laikomas sužinojusiu apie duomenų valdytojo saugumo pažeidimą nuo tada, kai jis turi pagrįstą pagrindą manyti, kad saugumo pažeidimas iš tiesų įvyko, o tai kartu galėjo lemti fizinių asmenų duomenų pažeidimą.
Trečia, pranešime duomenų apsaugos institucijai būtinai turi būti aprašytas asmens duomenų saugumo pažeidimo pobūdis, įskaitant, jeigu įmanoma, atitinkamų duomenų subjektų kategorijas ir apytikslį skaičių, taip pat atitinkamos asmens duomenų įrašų kategorijos ir apytikslis skaičius, nurodyta duomenų apsaugos pareigūno arba kito kontaktinio asmens, galinčio suteikti daugiau informacijos, vardas bei pavardė (pavadinimas) ir kontaktiniai duomenys, aprašytos tikėtinos asmens duomenų saugumo pažeidimo pasekmės, priemonės, kurių ėmėsi arba pasiūlė imtis duomenų valdytojas, kad būtų pašalintas asmens duomenų saugumo pažeidimas, įskaitant, jei tinkama, priemones galimoms neigiamoms jo pasekmėms sumažinti. Visoms šioms aplinkybėms aprašyti duomenų valdytojas gali naudoti Valstybinės duomenų apsaugos inspekcijos patvirtintą pranešimo apie įvykusį duomenų saugumo pažeidimą formą.
Pažymėtina, kad pagal duomenų apsaugos reikalavimus, jeigu informacijos neįmanoma pateikti tuo pačiu metu, informacija toliau nepagrįstai nedelsiant gali būti teikiama etapais.
Ketvirta, kaip minėta, jeigu dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus fizinio asmens teisėms ir laisvėms, duomenų valdytojas, kaip galima greičiau ir bendradarbiaudamas kartu su priežiūros institucija bei laikantis jos ar kitų valdžios institucijų nurodymų, privalo paprasta ir suprantama kalba pranešti duomenų subjektams apie įvykusį incidentą ir pranešime nurodyti asmens duomenų saugumo pažeidimo pobūdį ir kitą priežiūros institucijai teikiamą informaciją, kartu pateikiant atitinkamam fiziniam asmeniui rekomendacijas, kaip sumažinti galimą neigiamą poveikį.
Penkta, duomenų valdytojas privalo dokumentuoti įvykusį duomenų saugumo pažeidimą, įskaitant su asmens duomenų saugumo pažeidimu susijusius faktus, jo poveikį ir taisomuosius veiksmus, kurių buvo imtasi.
Pažymėtina, jog šios pareigos laikymasis, be kita ko, yra svarbus dėl to, jog priežiūros institucija turi teisę patikrinti, ar buvo atlikti visi reikalingi veiksmai, susiję su duomenų saugumo pažeidimo suvaldymu, ir kaip jie buvo atlikti. Taip pat, duomenų valdytojas turi pareigą parodyti, kad iš pažeidimo buvo pasimokyta bei imtasi reikalingų veiksmų, kad tokie pažeidimai ateityje nebepasikartotų.
Aukščiau nurodytų veiksmų sekos laikymasis įvykus duomenų saugumo pažeidimui yra būtinas. Nesiėmus jų, įmonė pažeistų savo, kaip duomenų valdytojo, pareigas, kas būtų laikoma savarankišku BDAR pažeidimu, o tai reikštų dar daugiau reputacinių bei finansinių nemalonumų, įskaitant galimybė taikyti papildomą baudą ar kitas poveikio priemones, o gal ir didesnio duomenų subjektų skundų skaičiaus dėl neteisėtai tvarkomų jų asmens duomenų.
Taigi, kiekvienai įmonei itin svarbu turėti iš anksto nustatytas bei pasitvirtintas aiškias ir konkrečias asmens duomenų saugumo pažeidimų valdymo taisykles, su jomis supažindinti už saugų asmens duomenų tvarkymą įmonėje atsakingus asmenis, juos reguliariai apmokyti, kad įvykus incidentui visi žinotų, kaip elgtis, kad tiek duomenų subjektams, tiek įmonei butų padaryta kuo mažiau žalos.