Mindaugas Beniušis: Žinotos, bet neįvertintos rizikos kaina – 1,2 mln. eurų

Prieš dvi savaites Latvijoje priimtas neeilinis sprendimas. Latvijos interneto paslaugų, ryšio, skaitmeninio turinio (kabelinės TV) ir medijos paslaugų teikėjui „Tet“ skirta 1,2 mln. eurų bauda dėl netinkamo asmens duomenų tvarkymo. Teisininkai įsitikinę – šis atvejis puikiai iliustruoja BDAR taikymo principus ir kiek gali kainuoti žinota, bet rimtai neįvertinta rizika.
Mindaugas Beniušis
Mindaugas Beniušis / Asmeninio archyvo nuotr.

Bendrovė „Tet“ nepakankamai užtikrino klientų tapatybės patikrinimą ir nustatymą registruojantis ir kuriant paskyrą skaitmeninio turinio platformoje „Tet+“– nusprendė Latvijos duomenų inspekcija. Paslaugomis naudojęsis klientas sukūrė paskyrą ir tam pasitelkė kito asmens duomenimis.

Atitinkamai, tariamam paskyros savininkui (t.y., asmeniui, kuris iš tikrųjų paslaugos neužsakė), „Tet“ išrašė sąskaitą už „suteiktas“ paslaugas ir pastarajam atsisakius sumokėti, perdavė jo duomenis skolų išieškojimo bendrovei.

Šis atvejis ypatingas, nes Latvijos duomenų inspekcija analizavo „Tet“ atliktą poveikio duomenų apsaugai vertinimą (PDAV) ir nusprendė, kad „Tet“ buvo identifikavusi riziką, jog asmenys gali bandyti sukurti „Tet+“ paskyrą naudodamiesi svetimais duomenimis, tačiau nesiėmė tinkamų priemonių šiai rizikai suvaldyti. „Tet“ pasirinktos priemonės buvo nepakankamos užtikrinti, jog prisijungiantis asmuo naudojasi būtent savo asmens duomenimis paskyrai susikurti.

Latvijos duomenų inspekcijos sprendimas svarbus bent dviem aspektais. Pirma, šis atvejis parodo, jog šiuolaikinėje skaitmeninio turinio paslaugų rinkoje tiesmukiška prisijungimo vardo ir slaptažodžio pora grindžiama autentifikacija tampa nesaugia atgyvena, kurią būtina pakeisti kelių žingsnių autentifikacija (MFA), ypač tais atvejais, kai vartotojai kuria naują paskyrą ar prie paslaugų jungiasi iš nepažįstamo prietaiso.

Antra, sprendimas išryškino poveikio duomenų apsaugai vertinimo proceso reikšmę: vertinimo proceso neatlikimas ir duomenų naudojimo keliamų rizikų neįvertinimas yra BDAR pažeidimas, tačiau rizikos vertinimo metu nustatytos rizikos ignoravimas arba nepagrįstai aukštos rizikos toleravimas yra ne ką mažesnė blogybė.

Atitinkamai, dėl tokio rizikos nesuvaldymo įvykus pažeidimui verslas privalo prisiimti atsakomybę ir jos padarinius pagal BDAR. Sprendimas parodo, jog vertinimo negalima atlikti atmestinai, jo metu būtina atidžiai išanalizuoti kylančias grėsmes, jų tikėtinumą ir atitinkamai, parinkti rizikos laipsniui adekvačias saugos priemones.

Šis sprendimas signalizuoja, jog į BDAR taikymą negalima žiūrėti kaip į formalumą ar popierių susitvarkymą. BDAR reikalauja atsakingo įmonės elgesio visuose etapuose: tiek kokybiškai vertinant rizikas, imantis prevencinių priemonių rizikoms sumažinti ir žinomiems pažeidžiamumas suvaldyti, tiek ir reaguojant į įvykusį pažeidimą ir šalinant jo padarinius.

Pranešti klaidą

Sėkmingai išsiųsta

Dėkojame už praneštą klaidą
Reklama
Pasisemti ilgaamžiškumo – į SPA VILNIUS
Akiratyje – žiniasklaida: ką veiks žurnalistai, kai tekstus rašys „Chat GPT“?
Reklama
Išmanesnis apšvietimas namuose su JUNG DALI-2
Reklama
„Assorti“ asortimento vadovė G.Azguridienė: ieškantiems, kuo nustebinti Kalėdoms, turime ir dovanų, ir idėjų