Generalinė prokuratūra penktadienį 15min patvirtino atliekanti tyrimą dėl iš Registrų centro galimai neteisėtai „nusiurbtų“ 600 tūkst. nekilnojamojo turto registro įrašų, netrukus apie tyrimą pranešta ir viešai.
15min šaltinių teigimu, nutekėjimas veda į Migracijos departamento darbuotojų paskyras, į kurias, kaip įtariama, buvo įsilaužta, o darbuotojai apie tai nieko nežinojo. Kad nusikaltėliai pasinaudojo Migracijos departamento darbuotojų duomenimis užsiminė ir krašto apsaugos ministras Robertas Kaunas.
„Jeigu staiga, berods, Migracijos departamentas pradėjo siųsti daugybę užklausų, nenatūralių užklausų procesų, tai turėtų kilti klausimas Registrų centrui, o kas čia vyksta ir kodėl tai vyksta. Tų klausimų nekilo“, – apie Registrų centro atsakomybę antradienį kalbėjo R.Kaunas.
Nuo pirmadienio vakaro gyventojai Registrų centre gali pasitikrinti, ar jų duomenys buvo nutekinti. Kaip aiškėja, tarp nukentėjusių – politikai, žurnalistai, komunikacijos specialistai, valstybės tarnautojai, nuomonės formuotojai ir daugybė kitų profesijų atstovų.
Gyventojai socialiniuose tinkluose dalijasi, kad jų duomenys buvo nutekinti skirtingu metu – nuo sausio, vasario iki balandžio.
„Mano nekilnojamo turto registro įrašas suformuotas ir nutenkintas sausio 9 dieną. Aš apie tai sužinau gegužės pabaigoje. Stačiai nuostabu“, – feisbuke rašė komunikacijos specialistė Dovilė Filmanavičiūtė.
Pasitaikė ir atvejų, kai duomenys apie vieną to pačio asmens valdomą NT buvo nusiurbti vasarį, o apie kitą – balandį.
-
Duomenų nutekinimo skandale – žvilgsniai į Migracijos departamentą: aiškėja, kodėl tai pavyko
-
Registrų centro svetainė neatlaikė: gyventojai masiškai tikrina, ar nutekinti jų duomenys
-
NKSC: kibernetinių grėsmių lygis pernai buvo vidutinis, bet daugiau nei pusė sistemų pažeidžiamos
-
Įsilaužėliams pavogus gyventojų duomenis, Robertas Kaunas kritikuoja Registrų centro darbą
Pirmasis pranešimas – ne iš Registrų centro
Valstybinės duomenų apsaugos inspekcijos (VDAI) atstovai 15min informavo, kad įvykus asmens duomenų saugumo pažeidimui (ADSP) ir nustačius, kad dėl įvykusio pažeidimo kyla pavojus fizinių asmenų teisėms ir laisvėms, privaloma apie tai pranešti VDAI ne vėliau kaip per 72 valandas.
Inspekcija 15min teigė, kad gavo dviejų institucijų pranešimus apie aplinkybes, susijusias su asmens duomenų saugos pažeidimu, – įstaigos prie Vidaus reikalų ministerijos ir Registrų centro.
Nors VDAI nesutiko įvardyti įstaigos pavadinimo, argumentuodama teisėsaugos atliekamu tyrimu, ta įstaiga, tikėtina, yra Migracijos departamentas, kurio darbuotojų paskyromis galimai ir pasinaudota vagiant Registrų centro duomenis.
Pasak VDAI, iš minėtos įstaigos balandžio 3 d. gauta tik pirminė informacija. Iš Registrų centro pirminės informacijos sulaukta po 10 dienų – balandžio 13 d.
Tuo metu apie asmens duomenų saugos pažeidimą Registrų centras pateikė pranešimą VDAI tik gegužės 7 d.
„Gegužės 15 d. VDAI direktoriaus įsakymais pradėti šių institucijų tikrinimai Inspekcijos iniciatyva. Paprašyta pateikti papildomos informacijos, aktualios vertinant asmens duomenų saugos pažeidimą“, – 15min informavo VDAI.
Nukentėjusius privalo informuoti
Pagal Bendrąjį duomenų apsaugos reglamentą, atsakinga institucija ar įmonė apie nutekėjusius asmens duomenis privalo informuoti nukentėjusius gyventojus, tačiau tai padaryti gali skirtingais būdais.
BDAR 34 str. 1 dalyje nustatyta, kad duomenų valdytojas nepagrįstai nedelsdamas turėtų pranešti duomenų subjektui apie asmens duomenų saugumo pažeidimą, kai dėl to asmens duomenų saugumo pažeidimo gali kilti didelis pavojus fizinio asmens teisėms ir laisvėms, kad jis galėtų imtis reikiamų priemonių užkirsti tam kelią.
Tiesa, įstatyme numatytos sąlygos, kada nukentėjusio asmens nebūtina informuoti asmeniškai. Pavyzdžiui, atskirai kiekvienas duomenų subjektas gali būti neinformuojamas, jeigu toks informacijos pateikimas pareikalautų neproporcingai daug pastangų.
„Tokiu atveju turi būti apie tai viešai paskelbiama arba taikoma panaši priemonė, kuria duomenų subjektai būtų informuojami taip pat efektyviai“, – teigiama VDAI komentare.
Valdžios institucijai ar įstaigai, pažeidusiai duomenų valdytojo ir tvarkytojo prievoles ir nesuvaldžiusiai asmens duomenų saugumo pažeidimo, inspekcija turi teisę skirti administracinę baudą iki 1 procento valdžios institucijos ar įstaigos einamųjų metų biudžeto ir kitų praėjusiais metais gautų bendrųjų metinių pajamų dydžio, bet ne didesnę negu šešiasdešimt tūkstančių eurų.
