Duomenų apsauga: remontuojant įrenginius duomenys trinami
Įsi­ga­lio­jus nau­jam duo­me­nų ap­sau­gos reg­la­men­tui, dau­ge­lis įmo­nių, tei­kian­čių įren­gi­nių re­mon­to pa­slau­gas, ne­prii­ma re­mon­tuo­ti įren­gi­nių, ku­riuo­se yra as­me­ni­nių duo­me­nų – ne­svar­bu, ar šie yra jau­trūs, ar klien­tas ne­si­bai­mi­na jų pra­ras­ti. Duo­me­nys įren­gi­niuo­se prieš re­mon­tą tri­na­mi. Tad prieš ženg­da­mas į tai­syk­lą gy­ven­to­jas tu­rė­tų pa­si­rū­pin­ti duo­me­nų iš­sau­go­ji­mu laik­me­no­je – ki­taip ga­li su­si­dur­ti su pa­pil­do­mo­mis iš­lai­do­mis.

Nuo gegužės 25 dienos visoje Europos Sąjungoje (ES) įsigaliojęs Bendrasis duomenų apsaugos reglamentas numato didesnę įrenginių priežiūrą atliekančių centrų atsakomybę už asmeninių duomenų saugumą – duomenų nutekėjimo atveju gali būti taikomos didelės baudos.

Atliekant tokį remontą, kaip ekrano keitimas, duomenų trinti nereikia, nes patikrinti, ar ekranas veikia, galima ir neprieinant prie duomenų.

Už netinkamą asmens duomenų tvarkymą galimos įvairios sankcijos: draudimas tvarkyti duomenis, nurodymas, papeikimas, įspėjimas, taip pat administracinės baudos. Jos gali siekti iki 2–4 proc. ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, arba iki 10–20 mln. eurų.

Tiesa, Valstybinė duomenų apsaugos inspekcija (VDAI) baudų kol kas nėra paskyrusi.

Baudų gali ir nepakelti

Mobiliųjų telefonų remontą atliekančio techninio centro MTTC privačių klientų padalinio vadovė Inga Asipavičienė paaiškino, kad servisų centrai turi teisę priimti įrenginius su juose esančia informacija, tačiau nuo gegužės yra taikoma gerokai didesnė atsakomybė už informacijos nutekėjimą.

„Gresiančios baudos yra išties didelės. Todėl visi serviso centrai, dirbantys su dideliu asmens duomenų kiekiu, susiduria su didele asmens duomenų nutekėjimo rizika. Siekdami išvengti šios rizikos, daugelis serviso centrų išvalo duomenis iš įrenginių. Pavyzdžiui, jeigu kurjeris sumaišytų siuntas ir įrenginys su esamais duomenimis būtų atiduotas kitam klientui, asmeniniai duomenys nutekėtų. Į mūsų serviso centrą įrenginiai atkeliauja ne tik iš Lietuvos, bet ir visos Europos, taigi rizika, kad kas nors gali būti sumaišyta, per didelė. Visiems persiunčiamiems įrenginiams pirmiausia perrašome programinę įrangą. Naujausios programinės įrangos įrašymas pašalina įrenginio programinius sutrikimus bei ištrina esamus asmeninius duomenis. Įrenginys lieka švarus. Klientą apie tai iš anksto įspėjame. Ir tik perrašę programinę įrangą atliekame tolesnius veiksmus“, – aiškino pašnekovė.

Anksčiau tokią praktiką bendrovė taikydavo tik garantinės priežiūros atvejais, nes to reikalaudavo gamintojai. Dabar ji taikoma visiems įrenginiams, kuriems reikalingas persiuntimas.

Tais atvejais, kai remontą gali atlikti MTTC salone dirbantis technikas (persiuntimas nereikalingas), programinė įranga neperrašinėjama. Tuomet nuo duomenų nutekėjimo, kaip sakė įmonės atstovė, apsaugo darbuotojų pasirašyta asmeninės atsakomybės sutartis – ji užtikrina, kad darbuotojas neperrašinės bei neperžiūrinės asmeninės klientų informacijos.

Tiesa, Valstybinės duomenų apsaugos inspekcijos Teisės skyriaus vyriausioji specialistė Raminta Sinkevičiūtė-Šečkuvienė pabrėžė, kad klientas, prieš atiduodamas įrenginį remontuoti, ne visada gali persikopijuoti įrenginyje esančius asmens duomenis. Pavyzdžiui, jei įrenginys sugedęs ir neįsijungia. Tokiu atveju įrenginių priežiūrą atliekantys centrai turi užtikrinti, kad tvarkant asmens duomenis būtų laikomasi visų reglamente įtvirtintų pareigų. Viena iš jų – įgyvendinti organizacines ir technines asmens duomenų saugumo priemones. Pavyzdžiui, numatyti duomenų saugojimo terminus, sunaikinimo procedūrą ir pan. Taip pat asmenys turi būti informuojami apie jų duomenų tvarkymą, pavyzdžiui, kas tuos duomenis tvarkys, kokiu tikslu jie bus tvarkomi, kiek laiko jie bus saugomi ir pan.

Gali tekti susimokėti

I. Asipavičienė pripažino, kad taikoma programinės įrangos perrašymo praktika ir su tuo susijęs duomenų ištrynimas nėra patogu klientams, tačiau tai yra reikalinga. Siekiant sumažinti rūpesčius klientams, salonuose teikiama duomenų perkėlimo paslauga. Salonuose įdiegti įrenginiai, leidžiantys duomenis perkelti į laikmeną.

„Mes asmeninių klientų duomenų neįrašinėjame į savo kompiuterius, nes tai vėlgi reikštų riziką. Todėl klientas gali arba atsinešti savo USB laikmeną, arba ją įsigyti pas mus, ir į tą laikmeną galime saugiai perkelti duomenis iš telefono. Tokia paslauga kainuoja papildomai. Tiesa, ją galime suteikti tik tokiu atveju, jei įrenginio ekranas – veikiantis“, – aiškino pašnekovė.

Mokestį už duomenų perkėlimą į laikmeną taiko ne visos įmonės. Pavyzdžiui, bendrovės „Bitė Lietuva“ ekspertų grupės „Bitės Profai“ specialistė Agnė Adomaitytė užtikrino, kad daugelyje salonų dirbantys specialistai klientams nemokamai padeda perkelti duomenis į kitą mobiliojo ryšio įrenginį, nešiojamąją laikmeną (USB raktą), pakaitinį telefoną arba padeda duomenų išsaugojimui pasinaudoti debesijos (angl. cloud) sprendimais.

Bendrovė taip pat teigė, kad įrenginių remonto metu juose esantys duomenys visada ištrinami – ar tai būtų mobiliojo ryšio įrenginiai, ar kompiuteriai.

Labai panaši tvarka buvo taikoma ir anksčiau, iki reglamento įsigaliojimo, kadangi taisant įrenginį, pavyzdžiui, atnaujinant operacinę sistemą ar keičiant tam tikrus telefono komponentus, visuomet išlieka rizika prarasti duomenis.

Bendrovės skaičiavimu, kiekvieną mėnesį „Bitės Profai“ perkelia vidutiniškai 5 tūkst. klientų duomenis.

Prie duomenų neprieina

Mobiliųjų telefonų, kompiuterių techninį servisą teikiančios bendrovės „Telefix“ vadovas Andrius Griškevičius sakė, kad remontuodami mobiliuosius telefonus įmonės darbuotojai juose esančių duomenų netrina, nes prie jų prieiti paprasčiausiai negali – telefonai būna užrakinti apsaugos kodu. Taigi, darbuotojai bet kokiu atveju duomenų negalėtų nei peržiūrėti, nei nusikopijuoti. Atrakinti telefono, kaip aiškino pašnekovas, servisui ir nereikia – pakeisti detalę galima ir be to. Todėl naujasis reglamentas, anot jo, įmonės veiklai neturi esminės įtakos.

Jei yra rizika, kad remonto metu duomenys gali išsitrinti, įmonės darbuotojai perspėja klientą ir duomenis šis išsisaugo pats arba, jei telefone nėra svarbių duomenų, leidžia juos naikinti.

„Jeigu taisant įrenginį reikia prieiti prie tų duomenų, pavyzdžiui, kažkokia funkcija kelia įtarimą, tai pasižiūrime žmogui esant vietoje“, – aiškino A. Grikševičius.

Jo teigimu, reglamentas labiau palietė įmones, kurios remonto metu savo kompiuteriuose kaupdavo įrenginiuose esančią informaciją. „Jis didelį poveikį padarė tokioms taisykloms, kurios taikydavo politiką, pagal kurią būtinai ištrindavo įrenginio duomenis. Galima sakyti, kad tai tam tikras pasipinigavimas, nes jos automatiškai pasiūlydavo mokamą duomenų išsaugojimo paslaugą, nors atliekant tokį remontą, kaip ekrano keitimas, duomenų trinti nereikia, nes patikrinti, ar ekranas veikia, galima ir neprieinant prie duomenų“, – pasakojo pašnekovas.