Institucijoms ir politikams toliau nesutariant, kas ir kada turėjo visuomenę informuoti apie didelio masto duomenų vagystę, Registrų centras (RC) ragina atskirti pareigą apie incidentą informuoti nukentėjusius gyventojus bei atsakomybę viešai pranešti apie galimus nusikaltimus.
„Svarbu atskirti du dalykus: visuomenės informavimą apie atliekamą ikiteisminį tyrimą dėl galimai nusikalstamos veikos (ne Registrų centro kompetencija) ir duomenų subjektų (gyventojų, kurių asmens duomenys dėl šio incidento buvo atskleisti) informavimą kaip tai numato Bendrasis duomenų apsaugos reglamentas (Registrų centro atsakomybė)“, – Eltai nurodė Registrų centras.
Pasak valstybės įmonės, ji privalo tinkamai informuoti asmenis, kurių duomenys buvo nutekinti, todėl tik sužinojusi apie incidentą ėmėsi kurti techninį sprendimą, kuris leistų informuoti tokį didelį kiekį gyventojų, tam esą taip pat reikėjo laiko.
Registrų centras taip pat nurodė visą chronologiją, kada įmonė sužinojo apie incidentą ir kada jai leista apie tai pranešti gyventojams, kurių duomenys pavogti.
Teigiama, kad apie incidentą įmonei tapo žinoma balandžio pradžioje, apie jį pirmiausia pranešta reikalingoms teisėsaugos ir priežiūros institucijoms, kurios ėmėsi nustatyti incidento mastą ir galimus kaltininkus.
Generalinė prokuratūra dėl šio incidento anksčiau teigė ikiteisminį tyrimą pradėjusi balandžio 15 d., kai tik gavo pranešimą, o viešai apie tyrimą informavo gegužės 22 d.
Teigia, kad prokuratūra nedraudė pranešti žmonėms apie jų duomenų vagystę
Vėliau Registrų centras taip pat patikslino, kad Generalinė prokuratūra nedraudė gyventojams pranešti apie jų duomenų vagystę.
„Šioje istorijoje svarbu atskirti visos visuomenės ir gyventojų, kurių duomenys buvo atskleisti, informavimą. Generalinė prokuratūra mums nedraudė įgyvendinti antrosios dalies ir po jų atsakymo (…) buvo ruošiamas techninis įrankis, kuriuo buvo informuoti gyventojai“, – Eltai aiškino valstybės įmonė.
RC teigimu, vykdant tyrimą visiems proceso dalyviams privalomai yra taikomi tam tikri viešos komunikacijos apribojimai.
„Visuomenės informavimas apie įvykusį incidentą, kaip apie nusikalstamą veiką, dėl kurios pradėtas ir atliekamas tyrimas, yra galimas tik prokuroro leidimu. Paprastai apie tai paskelbia pati prokuratūra, kai nusprendžia, kad toks informavimas nepakenks ikiteisminiam tyrimui“, – pažymėjo Registrų centras.
Jo teigimu, tai, kad šis incidentas pagal savo mastą ir aplinkybes yra laikytinas asmens duomenų saugumo pažeidimu, nustatyta gegužės 7 d., o iki tol išsiųsti raštai, paklausimai valstybės institucijoms, iš jų laukta atitinkamų atsakymų dėl incidento aplinkybių.
RC nurodė, kad iš karto, kai tik nustatytas pažeidimo faktas, apie tai informavo Valstybinę duomenų apsaugos inspekciją (VDAI) – tai padaryta minėtą gegužės 7 d.
Į tai atsakydama pati Duomenų inspekcija jau anksčiau teigė RC nurodžiusi iki gegužės 27 d. informuoti gyventojus, kurių asmens duomenys buvo atskleisti, apie šį saugumo pažeidimą.
„Duomenų subjektams apie įvykusį incidentą kaip apie asmens duomenų saugumo pažeidimą pranešama tada, kai įsitikinama, kad įvykusį incidentą galima būtų laikyti asmens duomenų saugumo pažeidimu, kadangi ne kiekvienas incidentas automatiškai laikomas ir asmens duomenų saugumo pažeidimu“, – tikino Registrų centras.
Įrankis, leidžiantis gyventojams pasitikrinti, ar jų duomenys buvo pavogti, RC paleistas gegužės 25 d., praėjusią savaitę.
Įtariama, jog laikotarpiu nuo sausio iš Registrų centro galėjo būti nutekinta daugiau nei 600 tūkst. nekilnojamojo turto registro išrašų, dėl to patirta žala siekia ne mažiau nei 111 tūkst. eurų.
Duomenų apsaugos inspekcijos teigimu, per vagystę paveiktų gyventojų skaičius yra kiek mažesnis – siekia apie 0,5 mln.
