Į 15min kreipėsi skaitytojas Gediminas, skųsdamasis, kad prisijungęs svetainėje „Mano gilė“, jis gali įvesti bet kokį kitą asmenį, jei tik žino jo kliento kodą. O tuomet jau mato visas jo sąskaitas, mokėjimus, adresą.
„Aš tikrai nenorėčiau, kad už mane kas nors tikrintų tokius dalykus, kurie yra privatūs. Dabar paprašiau kolegės duomenų, tai prisijungiau jos elektros sutartį prie savo paskyros. Žiūriu, kokie jos mokėjimai, sąskaitas patikrinti. Gal ir sutartį galiu taip nutraukt?“ – stebisi Gediminas.
Anot jo, šitaip jis galėtų netgi pridaryti kitiems žmonėms problemų – deklaruoti milžinišką elektros vartojimą, o nieko neįtariantiems žmonėms ateitų skolos.
Jam nesuprantama, kaip galima sudaryti galimybę bet kam prieiti prie privačių duomenų. Jis teiraujasi, ar tai nesikerta su įsiteisėjusiu nauju Bendruoju duomenų apsaugos reglamentu (BDAR).
Tačiau institucijos trūkčioja pečiais ir didelių problemų nemato.
15min patikrino – iš tiesų, pakanka tik vardo ir vartotojo kodo (knygelės numerio). Tuomet „Mano gilėje“ galima sužinoti adresą, pavardę, skolą ESO bendrovei, peržiūrėti vėliausią sąskaitą, taip pat galima deklaruoti elektros suvartojimą.
Apribojo galimybę
Po 15min kreipimosi, „Mano gilę“ valdantis Verslo aptarnavimo centras (VAC) apribojo galimybę prieiti prie trečiųjų asmenų duomenų.
„Mano gilė“ dėkoja skaitytojui, atkreipusiam dėmesį į tai, kad faktiniam mokėtojui suteikta galimybė pamatyti paskutinę sąskaitą už elektros energiją ir kitus mokėjimo duomenis, gali sukelti papildomų klausimų sutarties savininkui. Rūpinamės klientų duomenų saugumu ir nuo praėjusio penktadienio tokią galimybę apribojome. Ir toliau stiprinsime duomenų apsaugą ir rūpinsimės, kaip saugiai pateikti būtiną mokėjimo informaciją, neatskleidžiant jokių sutarties savininko duomenų, kad šis, net leidęs pridėti savo sutartį kitam asmeniui, jaustųsi saugus“, – sako „Mano gilė“ atstovė Jurga Buividienė
Ji pažymi, kad kiekvienas asmuo yra atsakingas už savo asmens duomenis ir turi suprasti, kad atskleisdamas juos gali suteikti prieigą ir prie kitos savo informacijos.
„Unikalus kliento kodas, nurodytas mokėjimo kvite, savaime nesuteikia galimybės prisijungti prie savitarnos sistemos, nes pridedant prie paskyros sutartį reikalingas dar ir sutarties savininko vardas. Unikalaus kliento kodo teisėtais būdais gauti be savininko žinios neįmanoma, jis nėra viešas“, – sako J.Buividienė.
Siekiant išlaikyti galimybę mokėti už elektros energiją kitiems asmenims, pvz., nuomininkams, senjorais besirūpinantiems vaikams ar už buto paslaugas mokančiam sutuoktiniui, nuo šiol klientas svetainėje pridėjęs kitą sutartį matys tik to objekto adresą, taip pat galės deklaruoti ir mokėti už paslaugas, matyti tik savo atliktų mokėjimų istoriją.
Pradžioje taip ir buvo numatyta
Valstybės valdomo VAC, kuriam priklauso ir „Mano gilė“, atstovė J.Buividienė aiškina, kad toks funkcionalumas leidžia tretiesiems asmenims sumokėti už elektrą, pavyzdžiui, nuomininkams.
„Mano gilė“ klientai, žinantys sutarties savininko vardą bei unikalų kliento kodą, kuris nėra viešas – jį žino tik sutarties savininkas, prie savo paskyros gali prisidėti kitų asmenų turimas elektros ir dujų sutartis. Pridėtą sutartį klientas gali administruoti tik ribota apimtimi – deklaruoti rodmenis, mokėti už paslaugas bei matyti su atliekamais mokėjimais susijusią informaciją“, – aiškina J.Buividienė.
Anot jos, jei klientas pats yra sutarties savininkas, jis gali save identifikuoti per e.bankininkystę ar e.valdžios vartus. Tik tada savininkas gali administruoti sutartį visa apimtimi: mokėti už paslaugas, keisti sutarties informaciją, užsisakyti paslaugas ar jų atsisakyti, atlikti kitus veiksmus.
„Tokiu kliento vaidmenų atskyrimu sudarėme galimybę asmenims, kurie nėra sutarties savininkai, bet yra, pvz.: nuomininkai, arba moka už savo tėvus ar kitus asmenis, sumokėti už paslaugas ne tik įmokų priėmimo vietose, bet ir naudojantis internetine savitarnos svetaine“, – sako J.Buividienė.
Duomenų inspektoriai: reikia įgaliojimų
Valstybinė duomenų apsaugos inspekcija (VDAI) patikino, kad nėra susidūrusi su konkrečia informacija, kad nurodžius ne savo, o kito asmens kliento kodą ir vardą galėtų būti gauta prieiga prie nesusijusio asmens duomenų.
„Reikėtų atkreipti dėmesį, kad tiek anksčiau galiojęs asmens duomenų apsaugos reguliavimas, tiek naujasis numato pareigą duomenų valdytojams užtikrinti savo informacinėse sistemose technines ir organizacines priemones, kad būtų tinkamai tvarkomi asmens duomenys, kad vartotojas turėtų prieigą prie savo asmens duomenų, o kito asmens duomenimis turėtų teisę naudotis tik turėdamas tam tinkamus įgaliojimus“, – teigiama VDAI atsakyme.
VDAI patikina, kad naujame reglamente skirtas ypatingas dėmesys duomenų saugumo pažeidimams, incidentams, kai gali kilti ar kyla grėsmė įmonės tvarkomiems asmens duomenims.
„Pažeidimą patyrusi organizacija turi nedelsdama imtis veiksmų pažeidimui pašalinti. Taip pat visiems duomenų valdytojams BDAR numato pareigą apie pažeidimą, kai gali kilti didelis pavojus asmenų teisėms ir laisvėms, per 72 val. pranešti VDAI“, – teigiama komentare.
15min jau rašė, kad baudos pagal naująjį BDAR gali būti itin didelės ir siekti net 10–20 mln. eurų arba 2–4 proc. bendrovės apyvartos.
Įsigaliojus BDAR padaugėjo skundų
Naujasis duomenų apsaugos reglamentas, atrodo, sukėlė rinkos dalyvių aktyvumą – VDAI ėmė gauti daugiau skundų dėl įvairių pažeidimų.
Gegužę registruotas 81 skundas, tai daugiausiai skundų per mėnesį bent per trejus metus. Vien po gegužės 25-osios, kuomet įsigaliojo BDAR, gauti jau 33 skundai.
Dažniausiai skundžiamasi dėl tiesioginės rinkodaros, vaizdo duomenų, skolininkų duomenų, duomenų tvarkymo internete, taip pat specialiųjų kategorijų asmens duomenų, nurodo VDAI.
