Valstybinės duomenų apsaugos inspekcijos atsakymai į dažnai užduodamus klausimus dėl „CityBee“ atvejo
Valstybinė duomenų apsaugos inspekcija (toliau – Inspekcija)parengė atsakymus į dažnai užduodamus klausimus dėl „CityBee“ atvejo.
1. Ar mano asmens duomenys buvo atskleisti?
Informaciją, ar Jūsų asmens duomenys buvo atskleisti, paskelbus „CityBee“ duomenų bazės kopiją (toliau – duomenų bazė), gali ir turi Jums pateikti „CityBee“, kaip duomenų valdytojas.
Inspekcija ragina nesinaudoti jokiomis interneto svetainėmis, kuriose teigiama, kad jose galima pasitikrinti, ar Jūs esate tarp žmonių, kurių asmens duomenys buvo neteisėtai atskleisti. Tokių interneto svetainių valdytojas gali būti bet kas, todėl galimi atvejai, kai Jūs to nenorėdami, atiduosite savo asmens duomenis asmenims, kurie juos ruošiasi naudoti neteisėtai.
Inspekcija taip pat ragina nepirkti duomenų bazės kopijų, siekiant įsitikinti, ar Jūsų asmens duomenų joje nėra. Jei tokią duomenų bazę jau nusipirkote, pateikite ją Inspekcijai el. p. [email protected] (prašome el. laiško temoje naudoti raktinį žodį „CityBee“) ir jos neviešinkite beineplatinkitekitiems asmenims. Duomenų bazės su asmens duomenimis kopijos platinimas gali būti vertinamas kaip neteisėtas asmens duomenų tvarkymas.
2. Kokie mano asmens duomenys buvo paskelbtoje duomenų bazėje?
„CityBee“ Inspekcijai pateiktais pirminiais duomenimis, paskelbta duomenų bazė, kurioje buvo šie asmens duomenys: vardas, pavardė, el. pašto adresas, asmens kodas, gyvenamosios vietos adresas, telefono ryšio numeris, vairuotojo pažymėjimo numeris ir užšifruotas slaptažodis.
„CityBee“ Inspekcijai pateiktais pirminiais duomenimis, mokėjimo kortelių prisijungimo duomenys nebuvo saugomi. Paskelbtoje duomenų bazėje vairuotojo pažymėjimo kopijos taip pat nebuvo saugomos. Tyrimo metu nurodytų duomenų apimtis dar bus tikslinama.
3. Ar, kad būtų ištirtas šis atvejis, būtina kreiptis į Inspekciją?
Ne. Inspekcija yra pradėjusi tyrimą savo iniciatyva, todėl papildomai kreiptis į Inspekciją dėl šio atvejo nėra būtina. Inspekcija informaciją apie tyrimo rezultatus ir priimtą sprendimą paskelbs viešai interneto svetainėje. Asmenims, kurie jau yra kreipęsi į Inspekciją, atsakymai su šia informacija bus pateikti ir jų nurodytais kontaktais.
Atsižvelgiant į tai, kad Inspekcija yra pradėjusi tyrimą savo iniciatyva, todėl atskiri asmenų skundai vadovaujantis Bendrojo duomenų apsaugos reglamento 57 straipsnio 4 dalimi ir Lietuvos Respublikos viešojo administravimo įstatymo 3 straipsnio 3 punktu nebus nagrinėjami.
4. Kiek užtruks Inspekcijos pradėtas tyrimas?
Vadovaujantis teisės aktais, priežiūros institucijos atliekamas tyrimas gali trukti iki 4 mėnesių su galimybe, atsižvelgiant į tyrimo aplinkybes ir eigą, pratęsti dar 2 mėnesiams (pavyzdžiui, aplinkybių sudėtingumo, vėluojančio atsakymų pateikimo ir kt.).
Jeigu buvo pažeisti ir kitų ES valstybių narių gyventojų asmens duomenys, Lietuvos Respublikos teisės aktuose nustatyti terminai yra netaikomi ir tyrimas dėl veiksmų derinimo su kitomis susijusiomis asmens duomenų apsaugos priežiūros institucijomis gali tęstis ir ilgiau.
5. Ką man daryti, kad užtikrinčiau savo asmens duomenų saugumą?
Siūlome susipažinti su Inspekcijos parengtais patarimais. Pirmasis veiksmas, jei jo dar neatlikote – pasikeisti slaptažodžius kitų svetainių ar sistemų paskyrose, pvz., elektroninio pašto ar kt., ypač jei slaptažodis buvo toks pat kaip „CityBee“ paskyros arba buvo naudojamas kartu su tuo pačiu el. pašto adresu, kuriuo registravotės „CityBee“. Jei yra galimybė, rekomenduojame visose svetainėse ir sistemose aktyvuoti ir naudoti „dviejų žingsnių autentifikaciją“ (angl. Two-factor authentication).
Taip pat siūlome susipažinti su Lietuvos policijos parengtais patarimais ir Nacionalinio kibernetinio saugumo centro prie Krašto apsaugos ministerijos informacija kaip sudaryti slaptažodį.
6. Ar turiu teisę į kompensaciją ir kur dėl to turėčiau kreiptis?
Bendrasis duomenų apsaugos reglamentas suteikia teisę bet kuriam asmeniui, patyrusiam materialinę ar nematerialinę žalą, gauti iš duomenų valdytojo kompensaciją už patirtą žalą. Lietuvoje patirtos žalos atlyginimą reguliuoja Lietuvos Respublikos civilinis kodeksas.
Pabrėžiame, kad Inspekcija nesprendžia klausimų dėl žalos nukentėjusiems duomenų subjektams („CityBee“ klientams) atlyginimo, todėl į Inspekciją dėl žalos atlyginimo kreiptis nereikia. Šiuos klausimus civilinio proceso tvarka sprendžia teismai.
7. Ar turėčiau užblokuoti savo mokėjimo kortelę ir pakeisti ją į naują?
„CityBee“ Inspekcijai pateiktais pirminiais duomenimis, „CityBee“ mokėjimo kortelių prisijungimo duomenų nesaugo, todėl blokuoti mokėjimo kortelių ir pakeisti jas naujomis nėra būtina. Pagal gerąją praktiką, kuria vadovautis rekomenduojama nepaisant šio incidento, rekomenduojame atidžiau stebėti finansines operacijas, visuomet atidžiai vertinti elektroninio parašo, „Smart-ID“ ir pan. generuojamas užklausas, ar užklausos sutampa su Jums ekrane rodomu saugos kodu. Taip pat, jei nieko neperkate internetu, išjunkite šią mokėjimo kortelės funkciją.
Taip pat skaitykite Lietuvos bankų asociacijos informacija.
8. Ar turėčiau užblokuoti prieigą prie interneto banko?
To daryti nerekomenduojame. Prie interneto banko Jūs prisijungiate naudodami atitinkamas Jūsų tapatybės patvirtinimo priemones, tokias kaip M. parašas, PIN generatorius ir kt., be to, prisijungiant yra naudojama „dviejų žingsnių autentifikacija“, todėl blokuoti prieigą prie interneto banko nebūtų tikslinga.
9. Ar turėčiau pasikeisti asmens tapatybės kortelę ar pasą?
To daryti nerekomenduojame. Šių asmens tapatybę patvirtinančių dokumentų numerių nėra paskelbtoje duomenų bazėje.
10. Ar turėčiau pasikeisti vairuotojo pažymėjimą?
To daryti nerekomenduojame. Pakeitus vairuotojo pažymėjimą, pasikeistų tik jo numeris ir galiojimo data.
Informacija apie vairuotojo pažymėjimo keitimą taip pat skelbiama VĮ „Regitra“ „Facebook“ paskyroje.
11. Ar pasinaudojus paskelbtais duomenimis galima paimti greitąjį kreditą ar paskolą?
Dėl šio klausimo, siūlome susipažinti su Lietuvos banko informacija dėl duomenų paskelbimo ir Lietuvos bankų asociacijos informacija.
12. Kokios pasekmės ar rizikos man gali kilti dėl paskelbtų duomenų?
Tokius scenarijus numatyti ir įvardinti yra be galo sudėtinga. Inspekcija rekomenduoja būti budriems. Atsižvelgiant į tai, kad paskelbtoje duomenų bazėje yra telefono ryšio numeris ir el. pašto adresas, jeigu jais būtų pasinaudota, Jūs galite el. pašto adresu gauti daugiau brukalo ar sulaukti dažnesnių nepageidaujamų skambučių iš nepažįstamų numerių, taip pat ir užsienio. Galite gauti kenkėjiškų laiškų, socialinės inžinerijos pagalba gali būti bandoma perimti Jūsų paskyras ar išvilioti prisijungimo prie svetainių ar sistemų duomenis, todėl itin svarbu laikytis interneto „higienos“, nespausti jokių nuorodų, jei būtumėte nukreipiami į interneto svetainę, prie jos nesijungti naudojantis asmeninių paskyrų (pavyzdžiui, socialinių tinklų, el. pašto paslaugų ir pan.) prisijungimo duomenimis, nevesti jokios asmeninės informacijos ir neatsakinėti į tokius el. laiškus.
Atkreipiame dėmesį į Lietuvos bankų asociacijos (LBA) informaciją, kad „CityBee“ klientų asmens duomenų paskelbimas „[...]gali išprovokuoti sukčiavimo atvejų, siūlant pagalbą ar konsultacijas dėl duomenų apsaugos ir dangstantis kompetentingų organizacijų bei institucijų vardu. LBA prašo bankų klientų būti budriems ir kritiškai vertinti visus gaunamus skambučius bei žinutes. Bankai ir kitos finansų įstaigos ar teisėsaugos institucijos nei telefonu, nei el. paštu niekada neprašo atskleisti jokių prisijungimo prie asmeninės kliento sąskaitos duomenų. Plačiau Lietuvos bankų asociacijos informacija.
13. Kur man kreiptis dėl „CityBee“ paskyros ištrynimo?
Visais asmens duomenų tvarkymo klausimais turėtumėte kreiptis tiesiogiai į duomenų valdytoją – „CityBee“. Dėl „CityBee“ paskyros ištrynimo Jūs taip pat turėtume kreiptis tiesiogiai į „CityBee“.
14. Ar „CityBee“ turėtų patenkinti prašymus dėl paskyrų ištrynimo?
Prašymus dėl paskyrų ištrynimo „CityBee“ turėtų tenkinti. Atkreipiame dėmesį, kad paskyrų ištrynimo nereikėtų painioti su duomenų valdytojo tvarkomų asmens duomenų ištrynimu. Net ir ištrynus paskyrą asmens duomenys, susiję su paslaugų teikimu, turi būti saugomi teisės aktų nustatytą laikotarpį (pvz., sąskaitų duomenys) ar dėl kitų duomenų valdytojo teisėtų tikslų.
Atnaujinimo data: 2022-08-18
Taip pat skaitykite:
Valstybinė duomenų apsaugos inspekcija kviečia į atvirų durų dienas
Valstybinės duomenų apsaugos inspekcijos sveikinimas
Asmens duomenų apsauga: ką galvoja Lietuvos gyventojai?
Europos duomenų apsaugos valdyba priėmė nuomonę dėl dirbtinio intelekto (AI) modelių