Prenumeratoriai žino daugiau. Prenumerata vos nuo 1,00 Eur!
Išbandyti
2019 05 16 /12:05

Už BDAR pažeidimus „MisterTango“ nubausta 61,5 tūkstančio eurų bauda

Valstybinė duomenų apsaugos inspekcija (VDAI) skyrė 61,5 tūkstančio eurų baudą elektroninių pinigų įstaigai „MisterTango“ – bendrovė Lietuvoje tampa viena pirmųjų bendrojo duomenų apsaugos reglamento (BDAR) aukų. „MisterTango“ netinkamai tvarkė duomenis, jų rinko per daug, jie nutekėjo, o apie incidentus nebuvo pranešta. Tačiau bendrovė vertina, kad bauda yra neadekvati nustatytiems pažeidimams ir ją skųs.
Mistertango
Mistertango / 15min nuotr.

VDAI rašo, kad sankcijos „MisterTango“ pritaikytos dėl BDAR pažeidimų: dėl asmens duomenų saugumo pažeidimo mokėjimo inicijavimo paslaugų sistemoje, apie kurį, be kita ko, nebuvo pranešta priežiūros institucijai.

Inspekcijos nuomone, pradėtos skirti baudos pagal BDAR turėtų būti reikšmingas signalas ir kitoms įmonėms, tik deklaratyviai įgyvendinančioms šio teisės akto nuostatas.

VDAI atliko tyrimą ir skyrė baudą, atsižvelgdama į gautą informaciją apie paviešintus bankų klientų asmens duomenis bei galimai įvykusį asmens duomenų saugumo pažeidimą UAB „MisterTango“.

„Tai įmonė, veikianti tarptautiniu mastu ir teikianti mokėjimo paslaugas tiek Lietuvos, tiek ir užsienio gyventojams bei įmonėms. Ji yra įsteigusi savo padalinį ir Latvijoje, paslaugas teikė ir kitose valstybėse“, – teigiama pranešime.

Bendrasis duomenų apsaugos reglamentas (BDAR) pradėtas taikyti 2018 m. gegužės 25 d. – nuo tada praėjo beveik metai.

„VDAI, spręsdama dėl administracinės baudos dydžio, įvertino visas aplinkybes, reikšmingas taikant atsakomybę „MisterTango“, pavyzdžiui, kad įmonė asmens duomenis tvarkė neskaidriai, didesne apimtimi ir ilgiau, negu tai yra būtina duomenų tvarkymo tikslui pasiekti, neteisėtą asmens duomenų tvarkymą atliko sistemingai, asmens duomenų saugumo pažeidimo metu neužtikrino asmens duomenų saugumo, priežiūros institucijai nepranešė apie įvykusį asmens duomenų saugumo pažeidimą“, – vardijama VDAI pranešime.

Nutekėję duomenys leidžia nustatyti asmenų tapatybę, apėmė banko paslaptį, buvo tvarkomi nešifruoti bei asmens duomenų saugumo pažeidimo metu buvo tvarkomi neužtikrinant prieigos kontrolės prie šių duomenų.

„Skiriant įmonei 61 500 eurų administracinę baudą taip pat atsižvelgta ir į įmonės metinę pasaulinę apyvartą. Šis Inspekcijos sprendimas yra neįsiteisėjęs ir gali būti skundžiamas teismui“, – skelbia VDAI.

Bauda sudaro 1,5 proc. bendrovės „MisterTango“ apyvartos.

Atsiskaitymas internetu
Atsiskaitymas internetu

„MisterTango“: apgailestaujame, tik bauda – neadekvati

„MisterTango“ pasidalijo komentaru, kuriame apgailestauja, „kad dėl techninės klaidos buvo kilęs pavojus mūsų klientų duomenims“.

„Mūsų vidinis tyrimas parodė, kad pasinaudojus specialia nuoroda, buvo galima pamatyti 58 mūsų klientų el. pašto adresus, tačiau, mūsų žiniomis, šia technine spraga pasinaudota nebuvo. Tai buvo techninė duomenų saugojimo klaida. Tiek mūsų komanda, tiek geriausi šios srities išorės konsultantai nuolatos dirba tam, kad užtikrintų mūsų klientų duomenų saugumą, todėl visi tyrimo metu inspekcijos nustatyti neatitikimai BDAR buvo ištaisyti“, – rašoma bendrovės komentare.

Patikinama, kad šiuo metu taikomas sugriežtintas duomenų saugojimas pasitelkus profesionalių ekspertų pagalbą.

123RF.com nuotr./Internetinė bankininkystė
123RF.com nuotr./Internetinė bankininkystė

„Pripažįstame, kad buvo kilęs pavojus nutekėti mūsų klientų el. pašto adresams, tačiau vasarą vykdytas Lietuvos banko auditas parodė, kad grėsmės klientų duomenims nebuvo“, – vertina įmonė.

Teigiama, kad pagal BDAR taisykles, jeigu duomenų saugumo pažeidimas kelia didelį pavojų atitinkamiems asmenims, ko nustatyta nebuvo, apie pažeidimą informuoti neprivaloma.

„Manome, kad mums skirta bauda yra neadekvati pažeidimo dydžiui ir tyrimo nuoseklumui, todėl šį VDAI sprendimą ginčysime teisme“, – patikino „MisterTango“.

Netinkamai tvarkyti duomenys nutekėjo ir tai slėpta

VDAI nustatė tris šiurkščius BDAR pažeidimus – duomenys netinkamai tvarkyti, buvo paviešinti, o apie pažeidimus įmonė nepranešė.

„Nustatyta, kad UAB „MisterTango“ tvarko (prieina, renka) daugiau asmens duomenų, negu pati nurodo esant būtina mokėtojo inicijuotam mokėjimui įvykdyti. VDAI nuomone, įgyvendinant asmens duomenų kiekio mažinimo principą, turėtų būti renkami tik mokėjimo atlikimui būtini tokie duomenys kaip mokėtojo vardas, pavardė, jei mokėtojas pageidauja, jo identifikavimo kodas, banko sąskaitos numeris, valiuta ir likutis, mokėjimo paskirtis / įmokos kodas“, – teigiama pranešime.

„MisterTango“ rinko ir tokius pertekliniais laikytinus duomenis, pavyzdžiui, neperžiūrėtų elektroninių sąskaitų pateikimo datos, siuntėjų pavadinimai bei sumos; neperskaitytų pranešimų pateikimo datos, temos ir dalis pranešimo teksto; turimų paskolų paskirtys, pobūdžiai, sumos; pensijų fondų pavadinimai, sukaupti vienetai, jų vertė, sukauptos sumos; kredito tipai (pvz., būsto), mokėtini likučiai, kitų mokėjimų sumos bei datos, išduotų mokėjimo kortelių numeriai ir jose esančios sumos.

„Nustatyta, kad įmonė duomenis saugo ilgiau, negu pati yra nustačiusi bei nurodo esant reikalinga, t.y. tyrimo metu buvo pateikta duomenų dėl saugojimo 216 dienų, vietoje nustatytų 10 minučių“, – pastebi VDAI.

15min nuotr./Mistertango
15min nuotr./Mistertango

Tyrimo metu nustatyta, kad ne mažiau kaip 2 dienas (2018 m. liepos 9–10 d.) internete buvo prieinamas tinklalapis su „MisterTango“ apdorotų mokėjimų sąrašu. Jame buvo matomi įvairių bankų įstaigų klientų atlikti mokėjimai per „MisterTango“ mokėjimo inicijavimo paslaugų sistemą su tų klientų asmens duomenimis.

Taip pat daugiau kaip 9 000 momentinių ekrano vaizdų su 12 skirtingų bankų, esančių skirtingose valstybėse, klientų mokėjimo sesijų detalių puslapiais. Įmonėje saugos užtikrinimą ir valdymą bei visos įmonės IT infrastruktūros (techninės ir programinės) valdymą, diegimą ir priežiūrą vykdė vienas darbuotojas.

„Vienas darbuotojas vykdė tarpusavyje konkuruojančias funkcijas. Taip nebuvo užtikrintas tinkamas neautorizuotų ar netyčinių modifikacijų galimybių minimizavimas ir tinkamos asmens duomenų apsaugos politikos įgyvendinimas“, – teigiama VDAI pranešime.

Pagal BDAR toks incidentas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami persiųsti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų be leidimo gaunama prieiga, yra duomenų saugumo pažeidimas. VDAI nuomone, pirmiau minėtas incidentas, kai 2 dienas internete neautorizuotiems asmenims buvo sudaryta galimybė prieiti prie asmens duomenų, laikytinas tokiu duomenų saugumo pažeidimu, apie kurį privaloma pranešti priežiūros institucijai.

„Todėl „MisterTango“ privalėjo nepagrįstai nedelsdama ir, jei įmanoma, praėjus ne daugiau kaip 72 valandoms nuo tada, kai sužinojo apie asmens duomenų saugumo pažeidimą, apie tai pranešti Inspekcijai. Apie šį pažeidimą nepranešdama priežiūros institucijai UAB „MisterTango“ pažeidė BDAR 33 str.“, – rašo VDAI.

Inspekcijos turimais duomenimis, reikšmingas baudas pagal BDAR jau yra skyrusi Prancūzija, Ispanija, Vokietija, Lenkija, Austrija, Bulgarija, Kipras, Malta.

Institucijoms veikla kliuvo ir anksčiau

Pernai Lietuvos bankas už pinigų plovimo ir teroristų finansavimo prevencijos reikalavimų nesilaikymą „MisterTango“ skyrė 30,4 tūkst. eurų baudą, tačiau vėliau, įmonei baudą apskundus, ji buvo sumažinta 10 kartų. Tuomet įstaiga neužtikrino klientų dalykinių santykių ir operacijų stebėsenos, dalį nuosavų lėšų įstaiga laikė kartu su lėšomis, gautomis iš elektroninių pinigų turėtojų už išleistus elektroninius pinigus, dalį klientų lėšų saugojo ne kredito įstaigoje.

2017 m. Lietuvos bankas įspėjo „MisterTango“ už tai, kad bendrovė nevykdo nuosavo kapitalo reikalavimų, o pirmąjį įspėjimą iš Lietuvos banko ji buvo gavusi 2016 m.

Šiemet buvo skelbiama ir apie įvairius kitokius nesklandumus su „MisterTango“. Šiemet kovą bendrovė klientams neleido atsidaryti naujų sąskaitų. Vasarį viena klientė skundėsi dvi savaites negalėjusi atgauti atlyginimo iš sąskaitos, kurios slaptažodį pamiršo, kadangi bendrovė atliko sistemų migravimo darbus.

Pranešti klaidą

Sėkmingai išsiųsta

Dėkojame už praneštą klaidą
Reklama
„ID Vilnius“ – Vilniaus miesto technologijų kompetencijų centro link
Reklama
Šviežia ir kokybiška mėsa: kaip „Lidl“ užtikrina jos šviežumą?
Reklama
Kaip efektyviai atsikratyti drėgmės namuose ir neleisti jai sugrįžti?
Reklama
Sodyba – saugus uostas neramiais laikais