Su15min susisiekusi Renata „Big Box“ užsisakytą naują planšetę, kuri kainavo 147 eurus, atsiėmė sausio 12 dieną. Moteris pasakojo, kad tai buvo jau ne pirmas jos pirkinys šioje elektroninėje parduotuvėje – jos šeima iš „Big Box“ anksčiau įsigijo šaldytuvą, indaplovę ir jokių nesklandumų nepatyrė.
Vis dėlto paskutinis pirkinys moterį gerokai papiktino – nors įsigytas „Lenovo“ įrenginys atrodė kaip naujas, įjungusi jį Renata suprato gavusi prieigą prie ankstesnio savininko paliktų duomenų – asmeninių susirašinėjimų „Messenger“, „Viber“, „WhatsApp“ programėlėse, socialinių tinklų paskyrų, informacijos elektroniniame pašte, kontaktų.
„Turiu nuotraukas, yra likusių dokumentų. Žinau to žmogaus vardą, pavardę, slaptažodžius, telefono numerį, asmens kodą“, – kalbėdama su15min vardijo Renata.
Moteris pasakojo dėl šios situacijos iškart susisiekusi su elektronine parduotuve – ši Renatą informavo, kad kito žmogaus informacija galimai liko „dėl įvykusios techninės klaidos“ ir paragino pirkėją atnešti kompiuterį, kad būtų galima atlikti detalesnį patikrinimą. Parduotuvė taip pat pasiūlė moteriai grąžinti už planšetę sumokėtus pinigus arba pakeisti prekę kita.
Tiesa, situaciją pavyko išspręsti neiškart – Renata su parduotuve apsikeitė ne vienu elektroniniu laišku, kuriuose aptarė detales dėl galimos nuolaidos planšetiniam kompiuteriui.
Žinau to žmogaus vardą, pavardę, slaptažodžius, telefono numerį, asmens kodą.
Visgi, neradus abiem pusėms tinkamo sprendimo, pirmadienį, sausio 23 dieną, Renata grąžino panaudotą kompiuterį parduotuvei ir vietoje jo gavo naują įrenginį. Tačiau, nors nuostolio ir nepatyrė, moteris liko papiktinta įmonės požiūriu į asmens duomenų apsaugą.
„Pirkdama naują prekę, gavau dėvėtą. Net jei duomenys ir būtų ištrinti, daiktas vis tiek būtų dėvėtas. O ateityje, jei mano duomenys būtų neištrinti... Niekada gyvenime daugiau nenoriu su tokia įmone turėti reikalų“, – kalbėjo Renata.
„Dėl to ir kreipiausi į jus, kad apsaugočiau kitus, kad kažkas sureaguotų, nes visi šneka apie BDAR, bet, pasižiūrėjus iš kitos pusės, jis niekam neįdomus arba tai visiškai neveikia“, – pridūrė skaitytoja.
Pati Renata sakė su žmogumi, kurio duomenis rado, nesusisiekusi. „Nenorėjau nei sau nemalonumų, nei žmogaus nervinti, be to – tai ne mano pareiga. Nenorėjau daryti to, ką turi padaryti pardavėjas“, – tvirtino ji.
„Darbuotojui nekilo įtarimo, kad prekė naudota“
Tą pačią dieną, kai grąžino kompiuterį, Renata dar kartą patikrino kompiuteryje buvusias paskyras ir įsitikino, kad jų slaptažodžiai vis dar nepakeisti.
Ar tai reiškia, kad visą šį laiką žmogus, kurio duomenys liko planšetėje, apie situaciją nebuvo informuotas? Ir apskritai – kaip Renatai atiteko panaudota prekė?
„Big Box“ internetinę parduotuvę valdančios įmonės „Electronic trade“ direktorius Edgaras Pilius15min komentavo, jog pirmą kartą planšetė buvo parduota 2021 m. gruodžio 12 d., bet klientas ją grąžino, nes prekė neatitiko pageidaujamų techninių parametrų. Jis negalėjo pasakyti, kiek tiksliai laiko šis klientas naudojosi įrenginiu, kurį vėliau įsigijo Renata.
E.Piliaus teigimu, grąžindamas prekę klientas patikino, kad įrenginys nebuvo naudotas. Vis dėlto vadovas atkreipė dėmesį, kad įmonė lanksčiai žiūri į prekių grąžinimą ir priima elektroniką net ir tais atvejais, kai klientas jau būna ja pasinaudojęs.
„Jei daiktas būna nenaudotas, o kartais ir panaudotas, mes iš kliento ją priimame. Norime, kad jis visgi įsigytų daiktą, kuris patiktų, tai mes tuos daiktus dažnai priimame dėl įvairių priežasčių – gal kitokį įsivaizdavo, gal negražus, gal per lėtas, gal kažkas nepatinka. Klientas turi visišką teisę mums daiktus grąžinti“, – įmonės politiką apibūdino vadovas.
Šiuo atveju, jo teigimu, grąžintos prekės išorinė išvaizda „buvo idealios būklės“, tad įmonės darbuotojui nekilo įtarimo, kad ji gali būti naudota.
„Dėl to darbuotojas nepatikrino įrenginio atminties bei per klaidą prekę grąžino į bendrą sandėlį tarp naujų prekių. Normaliu atveju ši prekė turėtų įgauti „grąžintos“ prekės statusą ir prieš parduodant pirkėjas turėtų būti apie tai informuotas. (…) Labai apgailestaujame, tačiau šiuo atveju įvyko žmogiška klaida”, – tvirtino E.Pilius.
Įmonės vadovas pridūrė, kad „kompanija yra sparčiai auganti, bet neišvengiamai susiduriama su procesų netobulumu“, o, siekiant išvengti tokių situacijų ateityje, procesai bus kontroliuojami griežčiau.
Žmogus, kurio duomenys per neapsižiūrėjimą liko planšetėje, anot E.Piliaus, iškart buvo informuotas apie situaciją, jo buvo paprašyta pasikeisti slaptažodžius. Tiesa, pastarasis, jo teigimu, vis dar nepripažįsta, kad įrenginiu naudojosi.
Normaliu atveju ši prekė turėtų įgauti „grąžintos“ prekės statusą ir prieš parduodant pirkėjas turėtų būti apie tai informuotas.
„Jis dėl kažkokių priežasčių nepripažįsta, kad buvo įjungęs planšetę. Na, buvo tai buvo, faktas toks yra, bet jis to nepripažįsta. Ar jis pasikeis tuos slaptažodžius, ar ne, mes jau nebepriversime jo to padaryti“, – aiškino įmonės vadovas.
Inspekcija kreipsis į parduotuvę
Bendrasis duomenų apsaugos reglamentas (BDAR) numato, kad apie asmens duomenų apsaugos saugumo pažeidimus privaloma per 72 valandas pranešti Valstybinei duomenų apsaugos inspekcijai (VDAI). Vis dėlto E.Pilius, komentuodamas šį klausimą, teigė, kad pasitarus su partneriais, prižiūrinčiais įmonės duomenų ūkį, nutarta, kad šiuo atveju tai nėra tikslinga.
Tokį sprendimą jis motyvavo jau minėtais argumentais, kad žmogus, kurio duomenys liko planšetiniame kompiuteryje, apie situaciją buvo informuotas ir toliau laikėsi pozicijos, kad planšete nesinaudojo.
„Mes gerbiame mūsų institucijų darbą ir nenorime bereikalingai apkrauti mažos reikšmės atvejais. Manome, kad ši situacija negalėtų sukelti kažkokių pasekmių tiek vienam, tiek kitam mūsų pirkėjui“, – vieną iš priežasčių, kodėl apie incidentą neinformavo atsakingos institucijos, nurodė įmonės vadovas.
Tačiau panašu, kad parduotuvė sulauks inspekcijos dėmesio.
„Siekdama išsiaiškinti visas aplinkybes, susijusias su šia situacija, inspekcija kreipsis į el. parduotuvę. Inspekcija kartu įvertins, ar el. parduotuvė turėjo pareigą pranešti apie šį atvejį inspekcijai“, – komentare 15min nurodė inspekcija.
Ji nurodė, kad tais atvejais, kai duomenų saugumas nėra tinkamai užtikrinamas, pavyzdžiui, asmens duomenys prarandami, be leidimo atskleidžiami, priklausomai nuo konkrečių aplinkybių, tokie atvejai būtų laikomi asmens duomenų saugumo pažeidimu.
Jei duomenų valdytojas nustato, kad asmens duomenų saugumo pažeidimas įvyko ir yra rizika fizinių asmenų teisėms ir laisvėms, jis per 72 valandas nuo tada, kai sužino apie asmens duomenų saugumo pažeidimą, turi informuoti VDAI ir pateikti visą būtiną informaciją, susijusią su pažeidimu, jo priežastimis, tyrimu, taikytomis priemonėmis ir panašiai.
Inspekcija už BDAR pažeidimus, tarp jų ir nepranešimą apie asmens duomenų saugumo pažeidimą, gali įspėti, pareikšti papeikimą, teikti nurodymus, apriboti arba uždrausti duomenų tvarkymą, skirti administracinę baudą, kuri, priklausomai nuo pažeidimo, gali siekti iki 2 ar 4 proc. ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, arba iki 10 mln. ar 20 mln. eurų.
