Valdžios pozicija ir eksperto kritika
Valdžios institucijų aiškinimai, esą apie Registrų centro duomenų vagystę negalėjo būti pranešta anksčiau dėl vykstančio ikiteisminio tyrimo, susilaukė griežtos kritikos iš teisės specialistų. Vilniaus universiteto Teisės fakulteto partnerystės docentas Gintautas Bartkus atkreipė dėmesį į svarbiausią šio įvykio aspektą – informacijos neatskleidimą ir asmenų teisę būti informuotais apie galimą riziką.
„Pagrindinė problema, visgi, yra susijusi su informacijos neatskleidimu. Bendrasis duomenų apsaugos reglamentas šiuo atveju yra labai aiškus ( _ir nurodo – Lrytas_), kad apie bet kokį duomenų atskleidimą reikia nedelsiant pranešti. Ir logika yra labai aiški.
Duomenų vagystė – jos negalime lyginti su dviejų vištų pavogimu iš tvarto. Nes kai tos vištos pavagiamos, tai jų jau nebėra tvarte. Bet su duomenimis yra visai kitaip. Duomenys nuteka ir jie lieka ten, kur buvo, bet jais pradeda naudotis kiti arba gali naudotis įvairūs piktavaliai. Ir užtai yra labai svarbu informuoti asmenis apie tai, kad jų duomenys keliauja kažkur plačiose erdvėse. Ir būtina įspėti juos netgi apie tai, kokių priemonių jie turi imtis tam, kad būtų sumažintos galimos rizikos, galimas piktnaudžiavimas“, – sakė G. Bartkus.
Teisinis kontekstas ir pareigos pagal GDPR
Bendrojo duomenų apsaugos reglamento (GDPR) nuostatos numato, kad duomenų valdytojai privalo atskleisti saugumo pažeidimus ir, esant rizikai asmenų teisėms ir laisvėms, pranešti apie incidentą be nereikalingo delsimo. Tai reiškia ne tik formalų pranešimą institucijoms, bet ir aiškų informavimą nukentėjusių fizinių asmenų apie galimas pasekmes ir saugumo priemones, kurias jie turi imtis.
Advokatas atkreipia dėmesį, kad tyrimo slaptumas negali būti pateisinimas pilnam informacijos nutylėjimui, jei taip pažeidžiamas reglamento reikalavimas apsaugoti asmenis. Nepranešimas ilgainiui didina nepasitikėjimą institucijomis ir trukdo žmonėms laiku imtis prevencinių veiksmų.
Ką turėtų daryti piliečiai ir kokių priemonių imtis institucijos
Piliečiams rekomenduojama ne tik stebėti savo finansines sąskaitas ir prisijungimų veiklą, bet ir pasikeisti slaptažodžius, aktyvuoti dviejų veiksnių autentifikavimą, atidžiai patikrinti elektroninius laiškus dėl galimų sukčiavimo bandymų bei, esant reikšmingam rizikos poveikiui, kreiptis į duomenų apsaugos instituciją. Taip pat verta užblokuoti galimas kredito paraiškas arba sekti kredito istoriją.
Institucijoms, savo ruožtu, reikia užtikrinti skaidrų ir laiku pateiktą informaciją, atlikti nepriklausomą incidento priežasčių tyrimą ir viešai pateikti komunikacijos planą, kaip bus saugomi ir atkurti duomenys bei kokios prevencinės priemonės bus įdiegtos ateityje. Ne mažiau svarbu – atsakomybės nustatymas ir, jei reikia, administracinės ar baudžiamosios priemonės prieš atsakingus asmenis.
Išvados
Šis incidentas yra rimtas priminimas apie informacijos valdymo ir komunikacijos trūkumus kritinėse institucijose. Teisininkų vertinimai rodo, kad teisės aktai aiškiai reglamentuoja pareigas, o viešas interesas reikalauja skaidrumo. Kol kas svarbu, kad nukentėję asmenys gautų aiškią informaciją ir praktinius nurodymus, o institucijos imtųsi veiksmų atkurti pasitikėjimą ir užkirsti kelią panašioms situacijoms ateityje.
Martyna Baranauskaitė – autorė, rengianti skaitytojams aktualų ir įdomų turinį įvairiomis temomis. Jos straipsniuose daug dėmesio skiriama aiškumui, informatyvumui ir sklandžiam pateikimui, kad skaitytojai greitai rastų naudingą ir suprantamai pateiktą informaciją.