Julija Kirkilienė
Jei kas nors sakytų, kad savivaldybės įmonės netaupo mokesčių mokėtojų pinigų, būtų neteisus. Viena įmonė labiausiai taupo popierių: ant 2013 metais panaudotų raštų 2022 m. spausdina įvairius pranešimus ir juos siunčia savo klientams. Įmonės klientai, gaudami raštą ar pranešimą apie mokesčius už paslaugas, kartu gavo ir nereikalingos informacijos apie 2013 m. skolininkus bei antstolių patvarkymus, kaip tos skolos išieškomos. Kai kurie žmonės papildomos informacijos apie įstaigos skolininkus ir skolų išieškojimus gauti nenorėjo, todėl su gautais raštais užsuko į redakciją ir į policiją. Nors raštuose matomas akivaizdus asmens duomenų nutekinimas, policijos pareigūnė, budėjusi priėmime, dokumentais nesusidomėjo. Net pranešus, kad komisariato viršininkas nori tuos dokumentus pamatyti, ji atsakiusi, kad viršininko nėra.
Duomenis nutekinusios įstaigos vadovas taip pat ne iš karto dokumentais susidomėjo. Aiškinosi, kad seni dokumentai naudojami buvo vidaus reikmėms ir kad per klaidą ant antstolių raštų apie antstolių veiksmus gyventojams, su vardais, pavardėmis ir asmens kodais, atspausdinti buvo nauji pranešimai gyventojams apie mokesčius už įstaigos teikiamas paslaugas. Žodžiu, nei policijos pareigūnei, nei įstaigos vadovui ne iš karto buvo įdomu, kad turint tokius duomenis galima pasiimti greitųjų paskolų, asmens kodą panaudoti kaip slaptažodį prie įvairių prisijungimų ir pan. Tik dokumentų gavėjui buvo svarbu, kad dėl asmens nutekinimo kalčiausiu gali likti jis pats, nepranešęs apie šiurkščius asmens duomenų apsaugos pažeidimus.
Pagal saugaus asmens duomenų ir informacijos tvarkymo reikalavimus, visos organizacijos turi užtikrinti, kad duomenys būtų tvarkomi saugiai, laikantis duomenų apsaugos reikalavimų, kuriuos kelia Bendrasis duomenų apsaugos reglamentas (BDAR), kad būtų išvengta materialinės ar reputacijos žalos. Žmogus, pastebėjęs asmens duomenų saugumo pažeidimą, turi nedelsiant informuoti atsakingą asmenį apie pastebėtą pažeidimą. Atsakingas asmuo, sužinojęs apie galimą asmens duomenų saugumo pažeidimą, turėtų kaip įmanoma greičiau sustabdyti vykdomą pažeidimą imantis atitinkamų techninių priemonių bei atlikti pirminį tyrimą, išsiaiškinti ir nustatyti, kokios galimos pasekmės asmenims, t. y. įvertinti riziką.
Po kurio laiko įmonės vadovas, supratęs apie įvykusį asmens duomenų saugumo pažeidimą, perspėjo redakciją tų duomenų neatskleisti. Redakcija, žinoma, ir be direktoriaus perspėjimo tiek supranta. O policijos viršininkas, paprašius pakomentuoti įvykį, pažadėjo pas gyventoją nuvažiuoti ir pasirūpinti, kad informacija su duomenimis toliau neplistų.
Moralas: taupyti ne visada verta – kartais taupymas gali brangiai kainuoti. Straipsnį rašome neatskleisdami duomenų. Tokie duomenų apsaugos pažeidimai galėtų įvykti bet kurioje organizacijoje, todėl kiekvienam, sužinojusiam informaciją, dar kartą reikėtų pasitikrinti, kaip įmonėje laikomasi Duomenų apsaugos įstatymo.