Užimtumo tarnybos specialistai klientus nuolat konsultuoja apie liepos 25 d. įvykusį incidentą, kai klientai per klaidą gavo laišką su pertekliniais kitų klientų duomenimis. Čia rasite atsakymus į dažniausiai užduodamus klausimus ir prevencines rekomendacijas, kaip elgtis šiuo atveju.
Kaip ir kodėl buvo nutekinti Užimtumo tarnybos klientų duomenys?
Liepos 25 d., apie 17:25, Vilniaus regiono karjeros planavimo skyriaus specialistė elektroniniu laišku siųsdama laišką-kvietimą klientams registruotis į mokymus nepatikrino, ar panaikinti pertekliniai dokumentai. Dėl šios klaidos asmenys gavo el. laiškus su prisegtu dokumentu, kuriame buvo apie 29 tūkst. kitų klientų duomenys.
Visų laiškų gavėjų tapatybė yra žinoma, su jais susisiekta asmeniškai.
Prieš mėnesį įdiegtas saugumo filtras, neleidžiantis už organizacijos ribų išsiųsti duomenų, kuriuose figūruoja jautri informacija (pvz., asmens kodai), nesuveikė. Ši klaida jau ištaisyta.
Kaip sužinoti, ar mano duomenys galėjo būti atskleisti?
Visi klientai, kurių duomenys buvo atskleisti, gavo individualiai jiems siųstus laiškus su informacija apie įvykusį incidentą. Prie laiško buvo pridėtos ir rekomendacijos, kaip elgtis šioje situacijoje.
Kodėl negavau informacijos, kad mano asmens duomenys buvo atskleisti?
Klientų, negavusių el. laiškais siųstos informacijos iš Užimtumo tarnybos, duomenys nebuvo atskleisti tretiesiems asmenims.
Kokie duomenys buvo pertekliniame faile?
Vardas, pavardė, asmens kodas, kontaktinė informacija: el. pašto adresas, telefono numeris, adresas, taip pat registracijos Užimtumo tarnyboje informacija.
Pirminė informacija apie nutekintą buvusį darbo užmokestį nepasitvirtino. Nurodytas „atlyginimas“ yra tik pagalbinė priemonė, leidžianti specialistui vertinti, kokią laisvą darbo vietą siūlyti, kad ji atitiktų tinkamo darbo apibrėžime nustatytas sąlygas.
Tarp duomenų nebuvo banko sąskaitų numerių.
Ar mano duomenimis gali pasinaudoti sukčiai?
Tikimybė – nedidelė, nes yra žinomi visi asmenys, kurie gavo perteklinius duomenis. Už neteisėtą disponavimą jais jiems gresia teisinė atsakomybė.
Tačiau svarbu žinoti, kad šiuo ir visais kitais atvejais nerekomenduojame naudoti to paties slaptažodžio įvairiuose kanaluose. Dviguba autentifikacija dar labiau sumažina riziką, jei tik turite galimybę ja pasinaudoti.
Šiuo atveju rekomenduojame atidžiau stebėti užklausas iš informacinių sistemų (pvz. naujų paslaugų, kurių neužsakinėjote, užsakymas). Netvirtinkite tapatybės, įvedant Jums suteiktą PIN kodą ar slaptažodį, jeigu patys neinicijavote prisijungimo ar kitos operacijos.
Nerimaujantiems, kad jų vardu sukčiai gali imti greituosius kreditus, galima užsisakyti paslaugą: STOP vartojimo kreditams | Lietuvos bankas (lb.lt). Taip kredito bendrovės negalės suteikti finansinių paslaugų Jūsų vardu. Pastaraisiais metais dar labiau sugriežtinus paskolų išdavimo sąlygas, tokios machinacijos yra beveik neįmanomos, nes tik asmens kodo, vardo ir pavardės nepakanka.
Jeigu sulauksite nepageidaujamų trumpųjų žinučių ar skambučių iš nežinomo numerio, neatskleiskite asmens duomenų ir neatidarinėkite nuorodų ir/ar dokumentų bei nevykdykite nurodymų skubiai atlikti kokius nors veiksmus. Prisiminkite, kad visada galite siuntėjo autentiškumą patikrinti oficialiais šių organizacijų komunikaciniais kanalais.
Kokių priemonių imatės, kad tokie atvejai nepasikartotų?
Užimtumo tarnyba nuolat tobulina klientų aptarnavimo ir informacines sistemas, IT infrastruktūrą bei jų saugą.
Saugumo priemonių buvo imtasi dar iki šio įvykio, kurio priežastys dabar yra analizuojamos. Gavus išsamias išvadas dėl jo aplinkybių ir priežasčių bus priimti papildomi sprendimai, kurių techninių detalių Tarnyba šiuo metu neviešina saugumo sumetimais. Atkreipiame dėmesį, kad Užimtumo tarnyboje vyksta reguliarūs personalo mokymai – taip pat ir kibernetinio saugumo srityje. Po šio įvykio darbuotojai bus dar intensyviau apmokomi šių bei kitų įgūdžių, kurie padės išvengti panašių žmogiškų klaidų dirbant su asmens duomenimis.
Dėl asmenų, gavusių asmens duomenų saugumo pažeidimą sukėlusį laišką (toliau – ADSP laiškas) tapatybės atskleidimo
Pagal Bendrąjį duomenų apsaugos reglamentą duomenų subjektai turi teisę susipažinti su duomenų gavėjais arba gavėjų kategorijomis – šiuo atveju gavėjų kategorija yra Užimtumo tarnyboje registruoti fiziniai asmenys. Tačiau ši teisė negali daryti neigiamo poveikio kitų teisėms ir laisvėms.
Užimtumo tarnyba vertina, kad ADSP laišką gavę asmenys taip pat yra nukentėję nuo to pačio duomenų saugumo pažeidimo. Jų tapatybės atskleidimas neigiamai paveiktų jų teises ir laisves, todėl jų tapatybės nebus atskleidžiamos.
Kaip Užimtumo tarnyba kompensuos patirtą žalą?
Atsižvelgiant į neturtinės žalos kompensavimą reguliuojančius teisės aktus, formuojamą teismų praktiką, į tai, kad klausimus dėl neturtinės žalos priteisimo sprendžia teismas, į tai, kad prašoma atlyginti neturtinės žalos (kompensacijos) suma turi būti pagrįsta objektyviais įrodymais, o ne tik deklaratyvaus pobūdžio teiginiais, į tai, kad Valstybinės duomenų apsaugos inspekcijos tyrimas dėl asmens duomenų saugumo pažeidimo dar nėra baigtas, Užimtumo tarnyba neturi teisinio pagrindo tenkinti nukentėjusių asmenų reikalavimų dėl neturtinės žalos atlyginimo ar kompensacijos išmokėjimo.