Raminta Girtavičiūtė: nutekėjus Užimtumo tarnybos duomenims, liko neatsakytų klausimų
|Komentaro autorė Raminta Girtavičiūtė, „Motieka ir Audzevičius“ teisininkė
Užimtumo tarnyba nutekino beveik 29 tūkstančių klientų duomenis. Pažeidimo metu buvo atskleisti tokie duomenys kaip vardas, pavardė, asmens kodas, kontaktinė informacija: el. pašto adresas, telefono numeris, adresas, taip pat registracijos Užimtumo tarnyboje informacija. Šie duomenys buvo atskleisti 280 asmenų.
Kaip Užimtumo tarnyba nurodė, duomenys buvo atskleisti dėl žmogiškosios klaidos. Remiantis Valstybinės duomenų apsaugos inspekcijos (VDAI) parengtu 2024 m. asmens duomenų saugumo pažeidimų apibendrinimu, pažeidimai padaryti dėl žmogiškosios klaidos sudaro net 48 procentus ir yra dažniausia pažeidimų priežastis. Tad stebėtis nereikėtų.
Remiantis šiuo metu viešai prieinama informacija, Užimtumo tarnyba informavo Valstybinę duomenų apsaugos inspekciją apie duomenų saugumo pažeidimą. Nors BDAR numato, kad tai turi būti padaryta per 72 valandas, šiuo metu nėra žinoma, ar Užimtumo tarnyba laikėsi šių terminų. Tokia išvada daroma dėl to, jog Užimtumo tarnyba duomenų subjektus apie tai, kad jų duomenys buvo nutekinti, informavo tik praėjus 5 dienoms po pažeidimo. Nors BDAR nenumato konkretaus termino, kada duomenų subjektai turi būti informuoti apie pažeidimą, Reglamente yra pažymėta, kad tai turi būti padaryta nepagrįstai nedelsiant, jei dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus duomenų fizinių asmenų teisėms ir laisvėms.
Dėl kokių priežasčių Užimtumo tarnyba neskubėjo pranešti duomenų subjektams, atsakyti sunku. Reikia tik tikėtis, kad ne dėl to, jog viešojo administravimo įstaigai tokių duomenų kaip asmens kodas ar gyvenamosios vietos adresas nutekinimas neatrodo kaip potencialus pavojus asmens teisėms ir laisvėms.
Pažeidimą bus galima įvertinti detaliau, kai sulauksime VDAI nuomonės. Tuomet pamatysime, kaip rimtai tokius viešųjų juridinių asmenų padarytus pažeidimus vertina inspekcija ir kokį „nedelsiant“ terminą numatys Lietuvos priežiūros institucija.
Pranešimą paskelbė: Rūta Slušnytė, Fcomm, UAB