2018 06 10 /2018 06 11

Duomenų apsauga pagal „Mano gilę“: radai čekį – žinosi pavardę, adresą, skolas, gali prikrėsti eibių

Pakanka žinoti tik vardą ir atsiskaitymo knygelės numerį, ir svetainėje „Mano gilė“ apie tokį žmogų galima sužinoti daug privačios informacijos ir netgi pridaryti nuostolių. Funkcijos leidžia sužinoti sąskaitos savininko pavardę, adresą, sąskaitas ar skolos už elektrą dydį, netgi galima skolas padidinti įrašant naujus rodmenis. 15min skaitytoją tokia spraga papiktino – tai privatūs duomenys. Tačiau įmokų už elektrą surinkėja mano, kad viskas gerai – bet kas negali knygelės numerio žinoti. O patį kliento kodą sužinoti visai nesunku.
ESO skaitiklių tikrinimas
ESO skaitiklių tikrinimas / ESO nuotr.

Į 15min kreipėsi skaitytojas Gediminas, skųsdamasis, kad prisijungęs svetainėje „Mano gilė“, jis gali įvesti bet kokį kitą asmenį, jei tik žino jo kliento kodą. O tuomet jau mato visas jo sąskaitas, mokėjimus, adresą.

„Aš tikrai nenorėčiau, kad už mane kas nors tikrintų tokius dalykus, kurie yra privatūs. Dabar paprašiau kolegės duomenų, tai prisijungiau jos elektros sutartį prie savo paskyros. Žiūriu, kokie jos mokėjimai, sąskaitas patikrinti. Gal ir sutartį galiu taip nutraukt?“ – stebisi Gediminas.

Anot jo, šitaip jis galėtų netgi pridaryti kitiems žmonėms problemų – deklaruoti milžinišką elektros vartojimą, o nieko neįtariantiems žmonėms ateitų skolos.

15min skaitytojo nuotr./„Mano gilėje“ žinant vardą ir elektros knygelės numerį – galima sužinoti privačių duomenų
15min skaitytojo nuotr./„Mano gilėje“ žinant vardą ir elektros knygelės numerį – galima sužinoti privačių duomenų

Jam nesuprantama, kaip galima sudaryti galimybę bet kam prieiti prie privačių duomenų. Jis teiraujasi, ar tai nesikerta su įsiteisėjusiu nauju Bendruoju duomenų apsaugos reglamentu (BDAR).

Tačiau institucijos trūkčioja pečiais ir didelių problemų nemato.

15min patikrino – iš tiesų, pakanka tik vardo ir vartotojo kodo (knygelės numerio). Tuomet „Mano gilėje“ galima sužinoti adresą, pavardę, skolą ESO bendrovei, peržiūrėti vėliausią sąskaitą, taip pat galima deklaruoti elektros suvartojimą.

Apribojo galimybę

Po 15min kreipimosi, „Mano gilę“ valdantis Verslo aptarnavimo centras (VAC) apribojo galimybę prieiti prie trečiųjų asmenų duomenų.

„Mano gilė“ dėkoja skaitytojui, atkreipusiam dėmesį į tai, kad faktiniam mokėtojui suteikta galimybė pamatyti paskutinę sąskaitą už elektros energiją ir kitus mokėjimo duomenis, gali sukelti papildomų klausimų sutarties savininkui. Rūpinamės klientų duomenų saugumu ir nuo praėjusio penktadienio tokią galimybę apribojome. Ir toliau stiprinsime duomenų apsaugą ir rūpinsimės, kaip saugiai pateikti būtiną mokėjimo informaciją, neatskleidžiant jokių sutarties savininko duomenų, kad šis, net leidęs pridėti savo sutartį kitam asmeniui, jaustųsi saugus“, – sako „Mano gilė“ atstovė Jurga Buividienė

Ji pažymi, kad kiekvienas asmuo yra atsakingas už savo asmens duomenis ir turi suprasti, kad atskleisdamas juos gali suteikti prieigą ir prie kitos savo informacijos.

Žygimanto Gedvilos / 15min nuotr./Manogile.lt sistema
Žygimanto Gedvilos / 15min nuotr./Manogile.lt sistema

„Unikalus kliento kodas, nurodytas mokėjimo kvite, savaime nesuteikia galimybės prisijungti prie savitarnos sistemos, nes pridedant prie paskyros sutartį reikalingas dar ir sutarties savininko vardas. Unikalaus kliento kodo teisėtais būdais gauti be savininko žinios neįmanoma, jis nėra viešas“, – sako J.Buividienė.

Siekiant išlaikyti galimybę mokėti už elektros energiją kitiems asmenims, pvz., nuomininkams, senjorais besirūpinantiems vaikams ar už buto paslaugas mokančiam sutuoktiniui, nuo šiol klientas svetainėje pridėjęs kitą sutartį matys tik to objekto adresą, taip pat galės deklaruoti ir mokėti už paslaugas, matyti tik savo atliktų mokėjimų istoriją.

Pradžioje taip ir buvo numatyta

Valstybės valdomo VAC, kuriam priklauso ir „Mano gilė“, atstovė J.Buividienė aiškina, kad toks funkcionalumas leidžia tretiesiems asmenims sumokėti už elektrą, pavyzdžiui, nuomininkams.

„Mano gilė“ klientai, žinantys sutarties savininko vardą bei unikalų kliento kodą, kuris nėra viešas – jį žino tik sutarties savininkas, prie savo paskyros gali prisidėti kitų asmenų turimas elektros ir dujų sutartis. Pridėtą sutartį klientas gali administruoti tik ribota apimtimi – deklaruoti rodmenis, mokėti už paslaugas bei matyti su atliekamais mokėjimais susijusią informaciją“, – aiškina J.Buividienė.

Žygimanto Gedvilos / 15min nuotr./Manogile.lt sistema
Žygimanto Gedvilos / 15min nuotr./Manogile.lt sistema

Anot jos, jei klientas pats yra sutarties savininkas, jis gali save identifikuoti per e.bankininkystę ar e.valdžios vartus. Tik tada savininkas gali administruoti sutartį visa apimtimi: mokėti už paslaugas, keisti sutarties informaciją, užsisakyti paslaugas ar jų atsisakyti, atlikti kitus veiksmus.

„Tokiu kliento vaidmenų atskyrimu sudarėme galimybę asmenims, kurie nėra sutarties savininkai, bet yra, pvz.: nuomininkai, arba moka už savo tėvus ar kitus asmenis, sumokėti už paslaugas ne tik įmokų priėmimo vietose, bet ir naudojantis internetine savitarnos svetaine“, – sako J.Buividienė.

Duomenų inspektoriai: reikia įgaliojimų

Valstybinė duomenų apsaugos inspekcija (VDAI) patikino, kad nėra susidūrusi su konkrečia informacija, kad nurodžius ne savo, o kito asmens kliento kodą ir vardą galėtų būti gauta prieiga prie nesusijusio asmens duomenų.

„Reikėtų atkreipti dėmesį, kad tiek anksčiau galiojęs asmens duomenų apsaugos reguliavimas, tiek naujasis numato pareigą duomenų valdytojams užtikrinti savo informacinėse sistemose technines ir organizacines priemones, kad būtų tinkamai tvarkomi asmens duomenys, kad vartotojas turėtų prieigą prie savo asmens duomenų, o kito asmens duomenimis turėtų teisę naudotis tik turėdamas tam tinkamus įgaliojimus“, – teigiama VDAI atsakyme.

Žygimanto Gedvilos / 15min nuotr./Manogile.lt sistema
Žygimanto Gedvilos / 15min nuotr./Manogile.lt sistema

VDAI patikina, kad naujame reglamente skirtas ypatingas dėmesys duomenų saugumo pažeidimams, incidentams, kai gali kilti ar kyla grėsmė įmonės tvarkomiems asmens duomenims.

„Pažeidimą patyrusi organizacija turi nedelsdama imtis veiksmų pažeidimui pašalinti. Taip pat visiems duomenų valdytojams BDAR numato pareigą apie pažeidimą, kai gali kilti didelis pavojus asmenų teisėms ir laisvėms, per 72 val. pranešti VDAI“, – teigiama komentare.

15min jau rašė, kad baudos pagal naująjį BDAR gali būti itin didelės ir siekti net 10–20 mln. eurų arba 2–4 proc. bendrovės apyvartos.

Įsigaliojus BDAR padaugėjo skundų

Naujasis duomenų apsaugos reglamentas, atrodo, sukėlė rinkos dalyvių aktyvumą – VDAI ėmė gauti daugiau skundų dėl įvairių pažeidimų.

Gegužę registruotas 81 skundas, tai daugiausiai skundų per mėnesį bent per trejus metus. Vien po gegužės 25-osios, kuomet įsigaliojo BDAR, gauti jau 33 skundai.

Dažniausiai skundžiamasi dėl tiesioginės rinkodaros, vaizdo duomenų, skolininkų duomenų, duomenų tvarkymo internete, taip pat specialiųjų kategorijų asmens duomenų, nurodo VDAI.

VDAI inf./Valstybinės duomenų apsaugos inspekcijos gauti skundai
VDAI inf./Valstybinės duomenų apsaugos inspekcijos gauti skundai

Pranešti klaidą

Sėkmingai išsiųsta

Dėkojame už praneštą klaidą
Reklama
Išmanesnis apšvietimas namuose su JUNG DALI-2
Reklama
„Assorti“ asortimento vadovė G.Azguridienė: ieškantiems, kuo nustebinti Kalėdoms, turime ir dovanų, ir idėjų
Reklama
Išskirtinės „Lidl“ ir „Maisto banko“ kalėdinės akcijos metu buvo paaukota produktų už daugiau nei 75 tūkst. eurų
Akiratyje – žiniasklaida: tradicinės žiniasklaidos ateitis