Bendrasis duomenų apsaugos reglamentas (BDAR) buvo įvestas siekiant apsaugoti asmens duomenis ir užtikrinti jų saugumą. Jei jūsų verslas nesilaiko šių reikalavimų, gali kilti rimtų pasekmių. BDAR nesilaikymas gali sukelti rimtas finansines, teisines ir reputacijos pasekmes. Asmens duomenų saugumo pažeidimai (ADSP) - tai vienas iš didžiausių iššūkių šiuolaikiniam verslui. Atsitikus tokiam incidentui, kyla rimtų teisinių, finansinių ir reputacinių rizikų. Šiame straipsnyje aptarsime, kas yra ADSP, kaip įmonės turėtų reaguoti į pažeidimus ir kokios baudos gresia už duomenų nesaugojimą.
Kas yra asmens duomenų saugumo pažeidimas (ADSP)?
ADSP apima bet kokį netyčinį ar neteisėtą asmens duomenų praradimą, sunaikinimą, pakeitimą, atskleidimą ar be leidimo gautą prieigą. Tai gali atsitikti dėl įvairių priežasčių: nuo netinkamų IT saugumo praktikų, žmogiškų klaidų iki kibernetinių atakų. Pavyzdžiui, įsilaužėlis užšifruoja duomenų bazes arba sukeičia skirtingų asmenų duomenis.
ADSP taip pat gali būti, jei net ir netyčia suteikiate prieigą paslaugų teikėjui prie informacijos, kurios jis neturi teisės gauti. Pavyzdžiui, jei tiesioginės rinkodaros paslaugų teikėjui suteikiama prieiga prie klientų, kurie davę tiesioginės rinkodaros sutikimus el. paštų pasiūlymams siųsti, tačiau kartu paslaugų teikėjas netyčia gauna prieigą ir prie buhalterinių duomenų, įskaitant darbuotojų atlyginimus.
Valstybinės duomenų apsaugos inspekcijos (VDAI) skelbiama statistika už 2025 metus rodo, kad žmogiškosios klaidos sudaro apie 58 proc. visų ADSP.
Kylanti panika dėl pažeidimo ir kaip ją suvaldyti?
Kai įvyksta ADSP, dažnai kyla panika - kaip tai paveiks įmonės reputaciją, kas bus su klientais ir kokios gali būti finansinės pasekmės. Darbuotojai patys neturėtų spręsti, ar tai ADSP, vertinti jo pobūdžio - tą reikėtų labai aiškiai jiems paaiškinti mokymų metu. Kilus bet kokiam įtarimui, darbuotojai turėtų nedelsiant pranešti atsakingam asmeniui.
Jei kyla panika ir nežinoma, kam reikia pranešti, o vidinių taisyklių skaityti nėra kada, visada pasiteisina praktika pranešti IT departamentui ar žmogui, kuris rūpinasi IT dalimi. Būna, kad vidinėse tvarkose būna nurodyta, kad darbuotojai, pastebėję ADSP, turi pranešti atsakingam asmeniui per 8 darbo valandas. Tačiau tai yra žalinga praktika, nes per tą laiką verslas gali patirti didelių nuostolių.
Atsakingas asmuo, gavęs informacijos apie ADSP, privalo nedelsiant pažeidimą užkardyti. Pavyzdžiui, jei tai nutekėjimas, atjungti duomenų bazę nuo tinklo; jei laiškas, išsiųstas netinkamam adresatui, pamėginti atšaukti laišką (kai kurie funkcionalumai tai leidžia padaryti), o jei tai neįmanoma, išsiųsti prašymą nedelsiant gautą laišką ištrinti.
Užkardžius pažeidimą, reikėtų nedelsiant nustatyti pažeidimo tipą ir jo mastą. Ar tai buvo žmogiška klaida, ar kibernetinė ataka? Kiek žmonių ir duomenų palietė? Kokia galima žala? Kuo greičiau išsiaiškinsite situaciją, tuo lengviau bus ją suvaldyti.
Kada pranešti apie ADSP Valstybinei duomenų apsaugos inspekcijai?
Jei ADSP gali kelti pavojų fiziniams asmenims, apie ADSP reikia pranešti VDAI ne vėliau kaip per 72 valandas nuo sužinojimo momento. Jei kyla didelis pavojus, tuomet privaloma nepagrįstai nedelsiant pranešti ir patiems asmenims, kurių duomenys pažeisti.
Tai labai trumpas laiko tarpas, nes per tris dienas reikia susirinkti visą informaciją apie ADSP, įvertinti jo rūšį, nustatyti, kokie duomenys pažeisti. Iš praktikos galima pasakyti, kad sunkiausia nustatyti ADSP priežastis, nes jų gali būti įvairių: nuo darbuotojo aplaidumo siunčiant laiškus iki prisegtuko iš darbuotojui atsiųsto laiško atidarymo. Tam kartais reikia pasitelkti net ekspertus, kad ateityje būtų panaikintos silpnosios duomenų saugumo vietos. Neišaiškinta ADSP priežastis yra tarsi namuose paliktos atviros durys.
ADSP pasekmės ir baudos
BDAR nesilaikymas gali sukelti rimtas finansines, teisines ir reputacijos pasekmes. Už mažesnius pažeidimus baudos gali siekti 10 milijonų eurų arba 2% metinių pajamų. Sunkesni pažeidimai kainuos iki 20 mln. eurų arba 4% metinės pasaulinės įmonės apyvartos. Be baudų, teisinės išlaidos gali būti didelės, o taip pat galimi teisminiai procesai dėl duomenų apsaugos pažeidimų.
Valstybinės duomenų apsaugos inspekcijos (VDAI) 2025 metų statistika rodo, kad Lietuvoje buvo gauti 223 pranešimai apie ADSP. Per šiuos metus VDAI skyrė 5 baudas, kurių bendra suma siekia 27 529 eurus. Vidutiniškai viena bauda tenka 45 pranešimams apie pažeidimus, kas rodo, kad baudos skiriamos gana retai ir vien pranešimas paprastai automatiškai neužtraukia baudos, kaip dažnai baiminamasi.
Nepaisant to, baudos nėra blogiausia, kas gali nutikti, nes gali grėsti ir civiliniai ieškiniai bei reputacinė žala ar net verslo paralyžius. Žmonės nori dirbti tik su tais, kurie laikosi teisės aktų ir rūpinasi jų duomenų saugumu, todėl pažeidimai gali turėti ilgalaikių pasekmių verslo reputacijai.
Baudų dydžių palyginimas Lietuvoje ir Europoje
Lietuvoje nuo sausio 1 d. pora kartų išaugo baudos už duomenų apsaugos pažeidimus. Asmens duomenų teisinės apsaugos įstatymo pažeidimas nuo šiol kainuos nuo 300 iki 1150 eurų. Pakartotinis neatsakingas požiūris į duomenų apsaugą gali baigtis bauda nuo 1100 iki 3000 eurų. Iki šiol duomenų apsaugos pažeidimai užtraukdavo baudą nuo 144 iki 289 eurų, o pakartotinio pažeidimo atveju buvo skiriamos baudos nuo 289 iki 579 eurų. Padidėjusios baudos rodo augančią duomenų apsaugos svarbą Lietuvoje, tačiau jos išlieka vienos mažiausių Europoje.
Europos valstybėse tokia veikla gali pasibaigti žymiai liūdniau. Pavyzdžiui, Jungtinė Karalystėje netinkamas požiūris į duomenų apsaugą gali baigtis pusės milijono svarų bauda. Vokietijoje ir Prancūzijoje grubūs privatumo ir duomenų apsaugos pažeidimai užtraukia baudas iki 300 tūkst. eurų. 2009 m. Vokietijoje prekybos tinklui buvo paskirta 1,46 mln. eurų bauda už daugybę duomenų apsaugos pažeidimų.
Pasirengimas ir prevencija
Norėdami sumažinti ADSP riziką ir jos pasekmes, svarbu imtis prevencinių priemonių:
- Apmokykite savo komandą: Užtikrinkite, kad visi darbuotojai būtų susipažinę su BDAR reikalavimais ir jų atsakomybe. Darbuotojai neturėtų patys spręsti, ar tai ADSP, o kilus bet kokiam įtarimui, nedelsiant pranešti atsakingam asmeniui.
- Nuolatinė priežiūra ir auditai: Inspektoriai gali įpareigoti atlikti auditus ir teikti nuolatinę priežiūrą. Reguliarūs auditai padeda nustatyti silpnąsias duomenų saugumo vietas.
- Greitas reagavimas: Atsakingas asmuo, gavęs informacijos apie ADSP, privalo nedelsiant pažeidimą užkardyti ir nustatyti jo tipą bei mastą.
Asmens duomenų saugumo pažeidimai yra rimtas iššūkis kiekvienai organizacijai, tačiau teisinga ir laiku atlikta reakcija gali sumažinti žalos mastą.
tags: #duomenu #nesaugojimas #bauda