Ar už tai gali grėsti baudos ir žalos klientams kompensavimo procedūros? Europos valstybių praktika rodo, kad taip. Už nepakankamą ir netinkamą saugumo priemonių naudojimą, dėl ko yra nutekinami asmens duomenys, įmonės įprastai susilaukia didesnių ar mažesnių priežiūros institucijų baudų. Tuo pat metu visi nukentėję asmenys turi teisę reikalauti ir žalos atlyginimo.
ES tokių atveju jau buvo ir ne vienas. Praėjusiais metais Jungtinės Karalystės duomenų inspekcija (ICO) nubaudė „British Airways“ 22 mln. € bauda, nes 2018 metais po kibernetinės atakos buvo pavogti 400 tūkstančių klientų duomenys – vardai, pavardės, el. pašto adresai bei bankinių kortelių duomenys. Maksimali bauda galėjo siekti ir 100 mln. €, tačiau dėl bendrovės patiriamų COVID-19 ekonominių pasekmių ji buvo gerokai sumažinta.
ES tokių atveju jau buvo ir ne vienas.
Tačiau įmonės problemos vien bauda nesibaigė. JK advokatų kontora PGMBM šiuo metu rengia grupės ieškinį, kurio reikalavimai vertinami daugiau nei 800 mln. €, o kiekvienam nukentėjusiajam prašoma 2 000 € kompensacijos (gruodžio mėnesį buvo 16 tūkst. asmenų, tikimasi surinkti apie 40 tūkst.). Tad ir Lietuvoje po VDAI tyrimo tikėtinas grupės ieškinys. Žinoma, lietuviškos kompensacijos dydį pirmiausia gali lemti paskleistų duomenų jautrumo lygis (pavyzdžiui, ar tarp jų yra finansiniai duomenys).
Galima prisiminti ir kitą ICO baudą, skirtą gerai žinomam viešbučių tinklui „Marriot“, sulaukusiai 20,4 mln. € baudos dėl kibernetinės atakos, kai nukentėjo daugiau nei 339 mln. vartotojų visame pasaulyje. Pažeidimas tęsėsi net 4 metus, pavogti klientų vardai, pavardės, el. pašto adresai, telefono numeriai, paso duomenys ir kiti asmens duomenys.
Tad kas lems kompensacijos dydį „CityBee“ byloje?
Pirma, reikia atkreipti dėmesį į situacijos rimtumą. „Citybee“ leidžia suprasti, kad tai nėra reikšmingas pažeidimas, nes neva mokėjimo duomenys nebuvo nutekinti. Tą tyrimo metu turi detaliai tikrinti VDAI –abejoti leidžia tai, kad tokie duomenys įmonės aplikacijoje buvo pildomi, o tai gali reikšti, jog teisine prasme tokie duomenys buvo renkami.
Reikia atkreipti dėmesį į situacijos rimtumą.
Tuo pat metu svarbu, kad nukentėję asmenys gavo pranešimus apie asmens duomenų apsaugos pažeidimus, o tokie pranešimai yra siunčiami tik tada, kai yra didelė rizika fizinių asmenų teisėms ir laisvėms. Žinoma, galbūt įmonė tik prevenciškai ėmėsi tokių veiksmų, tačiau įprastai, jeigu nėra didelio pavojaus, tokie pranešimai nėra siunčiam. Tokias rekomendacijas yra paskelbusi ir VDAI.
Antra, vertinant lietuviškus precedentus, reikia prisiminti „Grožio klinikos“ incidentą, kai buvo pavogti itin jautrūs sveikatos duomenys, nuotraukos, ligų istorijos ir pan. Tačiau tai įvyko dar iki BDAR įsigaliojimo, todėl didesnių sankcijų įmonė tuomet išvengė. Šiandien tai būtų vertinama kaip itin reikšmingas pažeidimas ir, tikėtina, sankcijos būtų grėsusios dar rimtesnės, nei dabar „Citybee“ situacijoje.
Trečia, svarbus ir bendros jungtinės nukentėjusių klientų pastangos. Ar jie sugebės deramai fiksuoti pažeidimo aplinkybes (pavyzdžiui, klientai turėtų išsisaugoti iš „Citybee“ gautą pranešimą apie įvykdytą pažeidimą – tai svarbi faktinė aplinkybė), kaip ir kas įvertins patirtą žalą, kiek ginčą pavyks užbaigti ikiteisminėje stadijoje, ar teks procesą perkelti ir išbandyti visas Lietuvos teismų instancijas?
Nukentėjusiems klientams belieka priminti, kad jie turi ir patys reguliariai rūpintis savo duomenų saugumu – reguliariai atnaujinti slaptažodžius, nenaudoti tų pačių slaptažodžių skirtingose paskyrose, o tokių incidentų atvejų bent jau svarbiausių prisijungimų duomenis pakeisti naujais. Šie prevenciniai veiksmai nieko nekainuos, tačiau gali padėti išvengti neigiamų pasekmių net ir tada, kai asmens duomenys nuteka.
Mantas Baigys yra advokatų profesinės bendrijos „Avocad“ teisininkas.
