Šį kartą noriu pakalbėti ir prisiminti įvykį, kuomet 2024 m. vasarą Užimtumo tarnyba nutekino beveik 30 tūkstančių asmenų duomenis. Prisiminti šią istorija ir ja pasidalinti noriu ne šiaip sau, o dėl to, kad visgi Valstybinė Duomenų Apsaugos (VDAI) inspekcija atliko tyrimą dėl asmens duomenų nutekėjimo, Užimtumo Tarnybai skyrė baudą ir pateikė įdomių įžvalgų, kurios tikrai yra aktualios ne tik viešajam sektoriui, bet ir verslams. 

Taip, skaičiukai visada yra labai įdomūs, bet pradėsiu nuo įžvalgų, kurios pasirodė tikrai įdomios ir į kurias noriu atkreipti dėmesį. Bet jeigu ne visi prisimena šį įvykį, prisiminkime faktines aplinkybes kartu.

Kas įvyko?

Apie šį atvejį dalinausi socialiniuose tinkluose dar liepos mėnesį, kai VDAI pradėjo tyrimą, nes gavo Užimtumo tarnybos pranešimą apie asmens duomenų saugumo pažeidimą, kurio metu neteisėtai atskleisti 29 tūkst. duomenų subjektų asmens duomenys.

Pažeidimas padarytas dėl žmogiškosios klaidos, t. y. prie siunčiamo laiško buvo prisegtas Excel dokumentas su klientų asmens duomenimis, laiškas išsiųstas 292 Užimtumo tarnybos klientams.

Kaip šį įvykį vertina VDAI?

VDAI nustatė, kad Užimtumo tarnyboje įdiegtos techninės ir organizacinės duomenų apsaugos priemonės nepakankamos: 

·      nebuvo atliktas išsamesnis siunčiamų dokumentų tvarkymo keliamos rizikos vertinimas testuojant duomenų praradimo prevencijos priemones; 

·      taip pat, darbuotoja, išsiuntusi Excel dokumentą, nebuvo tinkamai informuota apie duomenų saugumo procedūras.

Be to, VDAI nustatė, kad Užimtumo tarnyba neužtikrino tvarkomų asmens duomenų konfidencialumo.

Kokio dydžio bauda paskirta?

Šį kartą, Užimtumo tarnybai buvo skirta 9000 Eur bauda. Jeigu kalbant žmonių kalba, tai tokio dydžio bauda už pakankamai didelio mąsto asmens duomenų nutekinimą yra juokingai maža. Bet reikia nepamiršti, kad viešasis sektorius, t.y. valstybinės institucijos niekada negauna tokio pat dydžio baudų kaip privatus sektorius, t.y. verslai. 

Jei tokio tipo BDAR pažeidimą būtų padariusi privati įmonę, realu galvoti, kad šį Užimtumo Tarnybai paskirta suma būtų padidinta bent jau vienu nuliu, o gal ir daugiau. Galite paskaityti, kaip Vinted gavo 2,4 mln. baudą ir apie rekordinę 1,2 mlrd baudą, kurią gavo Meta.

Ir taip, žmogiškoji klaida gali įvykti, visko pasitaiko, bet su šiuo pavyzdžiu noriu dar kartą priminti pasirūpinti tinkamomis techninėmis ir organizacinėmis saugumo priemonėmis asmens duomenų tvarkymo srityje bei skirti dėmesį siunčiamiems elektroniniams laiškams. Ir nepamiršti dažnai pamirštamo niuanso –  instruktuoti/apmokyti savo įmonės darbuotojus, kaip elgtis su asmens duomenis, užtikrinti konfidencialumo klausimus. Būtent dėl tokios informacijos ir mokymų stygiaus, darbuotojams ir gali atsitikti žmogiškoji klaida, kuri įmonei gali būti labai skausminga. 

Daugiau informacijos apie Užimtumo tarnybai skirtą baudą galite rasti čia.

Esu paruošusi ir straipsnį apie BDAR baudas ir kaip jų išvengti.

Jei norite būti užtikrinti, kad baudų išvengsite, kviečiu susipažinti su mano komandos teikiamomis paslaugomis duomenų apsaugos srityje: