13°
2026-05-27 16:01

Teisininkė: ar Registrų centras privalėjo pranešti apie duomenų nutekėjimą?

Raminta Girtavičiūtė, „Motieka ir Audzevičius“ duomenų apsaugos vyresnioji teisininkė
Praėjusią savaitę pasklido žinia, kad iš Registrų centro Nekilnojamojo turto registro ir Juridinių asmenų registro nutekėjo daugiau nei 600 tūkstančių įrašų. Kaip paaiškėjo, jau nuo sausio mėnesio vyko šimto tūkstančių gyventojų duomenų nutekėjimas. Incidento metu buvo nutekinti ne tik tokie duomenys kaip nekilnojamojo turto unikalus numeris, adresas, turto duomenys ar duomenys apie turtines teises, bet ir asmens kodas, vardas, pavardė.
Šaltinis:
15min
Raminta Girtavičiūtė
Raminta Girtavičiūtė / Bendrovės nuotr.
Pranešti klaidą
Temos: 2 Registrų centro duomenų nutekėjimas Registrų centras
Komentarai

Teigiama, jog pati įstaiga apie pažeidimą sužinojo tik balandžio mėnesį, tuo tarpu duomenų subjektai buvo informuoti dar vėliau – gegužės mėnesio pabaigoje. Natūralu, kad visuomenė ne tik nustebo, bet ir pasipiktino, kodėl buvo taip ilgai delsiama informuoti apie duomenų saugos pažeidimus.

Kokias su informavimu susijusias pareigas numato BDAR ir kaip jos buvo įgyvendintos šiuo atveju?

Kokią bendrą pareigą numato BDAR?

Bendrajame duomenų apsaugos reglamente nustatyta, kad asmenims apie pažeidimą turėtų būti pranešama „nepagrįstai nedelsiant“, t. y. kuo skubiau. Tokio pranešimo tikslas – informuoti asmenis kokių veiksmų jie turėtų imtis, kad apsisaugotų. Šiuo atveju duomenų subjektai buvo informuoti tik praėjus daugiau nei mėnesiui, kas akivaizdu, nėra nepagrįstai nedelsiant. Taigi, kokias išimtis numato BDAR?

Taip pat skaitykite

Teisėms ir laisvėms nekyla didelis pavojus

Visų pirma, duomenų subjektai apskritai gali būti neinformuoti, kai dėl pažeidimo jų teisėms ir laisvėms nekyla didelis pavojus. Tačiau ar šiuo atveju tai galėtų būti pagrindas?

Nors daugelyje pranešimų yra pabrėžiama, kad tokie duomenys kaip kontaktiniai duomenys (telefono numeris ar el. pašto adresas), slaptažodžiai ar mokėjimo duomenys nebuvo nutekinti, į duomenų apsaugos pažeidimą nereikėtų numoti ranka.

Visų pirma, buvo nutekinti asmens kodai. Nors jie nėra laikomi specialių kategorijų asmens duomenimis, asmens kodai yra unikalūs kiekvieno asmens identifikatoriai, kurių nepakeisi kaip slaptažodžio. Atitinkamai, jiems yra taikomi griežtesni saugumo reikalavimai.

Kas nutinka, jei visi nutekinti duomenys „apjungiami“?

Vertinant duomenų nutekėjimą, svarbu vertinti, ne tik kokie padariniai gali grėsti nutekinus konkrečius duomenis, pvz., adresą, bet ir kas gali nutikti, jei tuos duomenys sujungsite su kitais, jau anksčiau nutekintais duomenimis.

Jau buvo incidentų, kurių metu buvo atskleisti tokie duomenys kaip vardas, pavardė, kontaktiniai duomenys ir panašiai. Visa tai sujungus į visumą, galima daryti prielaidą, kad kažkas gali turėti, pavyzdžiui, jūsų vardą, pavardę, asmens kodą, el. pašto adresą bei gyvenamosios vietos duomenis. Nežinant, kad Registrų centro duomenys yra nutekėję ir gavus el. laišką, kuriame nurodyti ne tik vardas ir pavardė, bet ir asmens kodas ir gyvenamosios vietos adresas, ženkliai išauga sėkmingų sukčiavimo atvejų tikimybė.

Pažymėtina, kad pastarojo incidento atveju dar nėra žinoma nei apie sukčiavimo atvejus, nei apie bandymus duomenis parduoti ar paskleisti viešai. Kyla klausimas, ar pažeidimas buvo padarytas kibernetinių sukčių. Nutekėjo ir politikų, valstybės pareigūnų asmens kodai, adresai, priklausantis nekilnojamas turtas ir kiti duomenys, tad natūrali mintis, kad gal pažeidimas galėjo būti susijęs ir su pasikėsinimu į nacionalinį saugumą.

Šiuo atveju yra akivaizdu, kad duomenų subjektas nebuvo informuotas tikrai ne dėl to, kad jo teisėms ir laisvėms nekilo pavojus.

Informavimas nėra reikalingas dėl įgyvendintų techninių priemonių arba neproporcingų pastangų

BDAR 34 straipsnio 3 dalis numato tris išimtis, kada apie pažeidimą duomenų subjektams pranešti nebūtina:

  • Kai imamasi tinkamų apsaugos priemonių iki pažeidimo. Pavyzdžiui, duomenų valdytojas taikė priemones (pvz., šifravimą), dėl kurių duomenys neįgaliotiems asmenims yra nesuprantami. Šiuo atveju išimtis netaikoma, nes pažeidėjas galėjo susipažinti su visa Registrų centro išrašuose pateikta informacija.
  • Iškart po pažeidimo imtasi priemonių, užkertančių kelią dideliam pavojui subjektų teisėms. Pavyzdžiui, operatyviai nustatomas duomenis perėmęs asmuo ir imamasi veiksmų jo atžvilgiu. Ši išimtis taip pat negali būti taikoma, nes Registrų centras apie pažeidimą sužinojo tik po beveik 3 mėnesių.
  • Neproporcingai didelės pastangos. Tokiu atveju tiesioginis informavimas keičiamas viešu pranešimu ar kita panašia veiksminga priemone. Registrų centras sudarė galimybę naudotojams savitarnoje pasitikrinti dėl duomenų nutekėjimo, tačiau lieka neaišku, kodėl tai padaryta tik po daugiau nei mėnesio.

Reikalavimas veikti pagal teisėtus institucijų nurodymus

Registrų centras ir Vyriausybė delsimą informuoti duomenų subjektus grindžia Generalinės prokuratūros nurodymais bei vykstančiu ikiteisminiu tyrimu, todėl šiuo atveju svarbios BDAR konstatuojamosios dalys. BDAR 86 punkte numatyta, kad pranešimai subjektams turi būti teikiami kuo greičiau, tačiau laikantis valdžios, priežiūros ar teisėsaugos institucijų nurodymų.

88 punktas papildo, kad „reikėtų atsižvelgti į teisėtus teisėsaugos institucijų interesus, kai ankstyvas informacijos atskleidimas galėtų bereikalingai pakenkti asmens duomenų pažeidimo aplinkybių tyrimui“. Vertinant formaliai, vėlavimas informuoti duomenų subjektus gali būti pateisinamas.

Tačiau ši išimtis taikoma tik tada, kai atskleidimas pakenktų tyrimui. Lieka neaišku, ar visuomenės informavimas apie 600 tūkst. nutekintų įrašų (vardų, pavardžių, asmens kodų ir adresų) bei raginimas saugotis iš tiesų būtų buvęs bereikalingas, žalingas tyrimui ir ar objektyviai nebuvo įmanoma gyventojų informuoti anksčiau. Šie visuomenei svarbūs klausimai tikriausiai liks atviri, iki bus baigtas ikiteisminis tyrimas ir priimtas Valstybinės duomenų apsaugos inspekcijos (VDAI) sprendimas, atskleisiantis incidento priežastis bei pasekmes.

Ką daryti dabar?

Incidentas parodė, kad dar turime daug techninių ir organizacinių saugumo priemonių spragų. Tai galėtų būti priminimas ne tik Registrų centrui, bet ir kitoms įstaigoms, kad galbūt laikas atlikti BDAR ir IT auditą, identifikuoti spragas ir įdiegti papildomas saugumo priemones.

Žmonėms aktualu prisiminti šiuos patarimus:

  • Būti itin atsargiems dėl potencialių sukčiavimo atvejų. Sulaukus el. laiško, žinutės ar skambučio iš valstybinės institucijos, banko ar kitų įstaigų, jas vertinti itin atsargiai. Net jei laiške nurodytas jūsų vardas, pavardė ir adresas, pranešimu netikėkite aklai. Patikrinkite siuntėjo adresą ar susisiekite su įstaiga jų oficialiais kontaktiniais duomenimis ir gaukite patvirtinimą apie pranešimo siuntimą.
  • Atidžiai sekite prisijungimus į paskyras, atliekamus mokėjimus, o pastebėję įtartiną veiklą nedelsdami imkitės atitinkamų veiksmų – blokuokite banko korteles, pasikeiskite slaptažodžius, naudokite dviejų veiksmų autentifikaciją.
  • Dalinkitės informacija dėl įvykusio pažeidimo ir galimų sukčiavimo atvejų su kitais, ypač vyresnio amžiaus žmonėmis, ir, esant poreikiui, padėkite jiems įvertinti gautus laiškus ar žinutes.
  • Šiuos žingsnius kartokite ne tik praėjus savaitei po pažeidimo, bet ir praėjus mėnesiams ar net metams.

Kuo daugiau laiko prabėga, tuo labiau gali pasimiršti, kiek daug duomenų apie jus kažkas gali būti surinkęs. Po kurio laiko, kai nebebus viešai matoma tiek daug pranešimų apie įvykusį incidentą, yra dar svarbiau prisiminti, kad kažkas gali turėti visą bloką jūsų asmens duomenų ir bandyti tuo pasinaudoti.

Pranešti klaidą
Sėkmingai išsiųsta
Dėkojame už praneštą klaidą
Reklama
Jau ir kaimynai įsirengė!? LEA parama šilumos siurbliams išgraibstoma – ar dar galima suspėti pasinaudoti dotacijomis ir sutaupyti net iki 90proc.?
Dalyvauk ir laimėk: parodyk, kaip seni daiktai tampa naujais
TESTAS. Ar žinai, kaip atpažinti klastingą ligą?
Reklama
Estetinės medicinos rinka keičiasi: prevencija, regeneracija ir jaunesni klientai formuoja naujas tendencijas