Praėjus metams po BDAR įsigaliojimo, Lietuvos valstybinė duomenų apsaugos inspekcija (VDAI) skyrė pirmą administracinę baudą. Įmonei UAB „Mister Tango“, kuri teikia finansines paslaugas tiek Lietuvoje, tiek užsienio šalyse, buvo skirta 61 500 EUR bauda už BDAR 5, 32 ir 33 straipsnių pažeidimus, tarp kurių – netinkamas asmens duomenų tvarkymas momentiniuose ekrano vaizduose (MEV).
Netinkamas asmens duomenų tvarkymas
Remiantis VDAI pateiktais duomenimis, nustatyta, kad UAB „MisterTango“ tvarko daugiau asmens duomenų, negu būtina mokėtojo inicijuotam mokėjimui įvykdyti. Be to, nustatyta, kad įmonė duomenis saugo ilgiau, negu pati yra nustačiusi bei nurodo esant reikalinga.
VDAI rašo, kad tyrimo metu nustatyta, kad ne mažiau kaip 2 dienas internete buvo prieinamas tinklalapis su UAB „MisterTango“ apdorotų mokėjimų sąrašu. Jame buvo matomi įvairių bankų įstaigų klientų atlikti mokėjimai per UAB „MisterTango“ mokėjimo iniciavimo paslaugų sistemą su tų klientų asmens duomenimis. Taip pat daugiau kaip 9 000 MEV su 12 skirtingų bankų, esančių skirtingose valstybėse, klientų mokėjimo sesijų detalių puslapiais. Be kita ko, nustatyta, kad įmonėje saugos užtikrinimą ir valdymą bei visos įmonės IT infrastruktūros (techninės ir programinės) valdymą, diegimą ir priežiūrą vykdė vienas darbuotojas. Taip nebuvo užtikrintas tinkamas neautorizuotų ar netyčinių modifikacijų galimybių minimizavimas ir tinkamos asmens duomenų apsaugos politikos įgyvendinimas. Taigi, UAB „MisterTango“ nepasirinko atitinkamų techninių ar organizacinių priemonių, kurios padėtų užtikrinti pavojų atitinkančio lygio saugumą, įskaitant apsaugą nuo neteisėto tvarkymo, atskleidimo, ir tuo pažeidė BDAR 5 ir 32 str.
Inspekcijos nuomone, pirmiau minėtas incidentas, kai 2 dienas internete neautorizuotiems asmenims buvo sudaryta galimybė prieiti prie asmens duomenų, laikytinas tokiu duomenų saugumo pažeidimu, apie kurį privaloma pranešti priežiūros institucijai. Todėl UAB „MisterTango“ privalėjo ne vėliau kaip 72 val, kai sužinojo apie asmens duomenų saugumo pažeidimą, apie tai pranešti Inspekcijai. Apie šį pažeidimą nepranešdama priežiūros institucijai UAB „MisterTango“ pažeidė BDAR 33 str.
Asmens duomenų apsaugos inspekcijos tyrimas
Prieš priimdama sprendimą dėl baudos skirimo, VDAI apsvarstė visus veiksnius, susijusius su tuo, ar įmonė „Mister Tango“, dėjo visas pastangas, siekdama užtikrinti, kad duomenų tvarkymas būtų skaidrus, suderinamas ir saugus. VDAI padarė išvadą, kad „Mister Tango“ neturi reikiamų techninių ir organizacinių saugumo priemonių, kad užtikrintų reikiamą saugos lygį, įskaitant apsaugą nuo neteisėto tvarkymo ar atskleidimo.
VDAI sprendimas dar neįsigaliojo ir gali būti apskųstas teismui.
Originalus šaltinis: Įmonės atsakomybės neišvengs – Lietuvoje skirta ženkli bauda už Bendrojo duomenų apsaugos reglamento pažeidimus