Remiantis viešai paskelbtais duomenimis, iš Registrų centro neteisėtai nukopijuota daugiau nei 600 tūkst. įrašų iš Nekilnojamojo turto registro: vardai, pavardės, asmens kodai, registro įrašo numeriai, nekilnojamojo turto unikalūs numeriai, turto adresai, kiti nekilnojamojo turto duomenys, duomenys apie turimas daiktines teises ir informacija apie jų įregistravimo pagrindą (dokumento pavadinimas, data ir numeris) bei kiti registro išraše nurodyti duomenys. Dėl šito Valstybinė duomenų apsaugos inspekcija ir Nacionalinis kibernetinio saugumo centras jau pradėjo tyrimus, o Generalinė prokuratūra – ikiteisminį tyrimą dėl neteisėto prisijungimo prie informacinių sistemų.
Šis incidentas – ne tik kibernetinis įvykis, bet ir didelis privatumo pažeidimas. Teisiškai tai kvalifikuotina kaip asmens duomenų saugumo pažeidimas pagal Bendrąjį duomenų apsaugos reglamentą (BDAR). Registrų centras, kaip duomenų valdytojas, turėjo pareigą užtikrinti šių duomenų saugumą. Tai, kad prisijungta per kito teisėto naudotojo paskyrą, nereiškia, jog Registrų centras atleidžiamas nuo šių pareigų. Jis privalėjo turėti apsaugos sistemas, kurios tokius neįprastus veiksmus aptiktų ir sustabdytų laiku.
Nekilnojamojo turto registro duomenys – tai tikslus žmogaus turtinio gyvenimo žemėlapis: kas jam priklauso, kada įgijo, ar turi paskolą. Tokia informacija yra itin vertinga sukčiams, kurie, turėdami šiuos duomenis, dar įtikinamiau gali apsimesti valstybės institucijomis ar bankais ir išvilioti pinigus ar informaciją.
Kokios galimos grėsmės?
Jei sukčiai turi tokią informaciją, kyla ši grėsmė:
• Tiksliniai skambučiai – sukčiai gali apsimesti valstybės institucijų, bankų, notarų darbuotojais ir kreiptis į jus vardu bei pavarde, minėdami jūsų adresą bei kitus konkrečius duomenis apie jūsų turtą ir taip sukurdami patikimą ir sunkiai atpažįstamą apgaulę.
• Phishing atakos – galite gauti el. laiškus ar SMS, kuriuose nuorodos atrodo oficialios, o kreipinys asmeniškas ir tikras.
• Šantažas – nusikaltėliai gali šantažuoti ir manipuliuoti tais, kurių turtinė situacija yra sudėtinga (įkeistas turtas, vyksta bylos).
Svarbu suprasti: pagrindinis pavojus ne tai, kad duomenys nutekėjo, o tai, kaip jie gali būti panaudoti prieš jus.
Ar galite tikėtis žalos atlyginimo?
Taip, bet pirma verta sulaukti institucijų vykdomų tyrimų pabaigos. Institucijos nustatys pažeidimo mąstą ir kaltus asmenis. Turint šią informaciją žalą prisiteisti bus žymiai lengviau.
Asmens duomenų pažeidimo atveju BDAR 82 straipsnis suteikia Jums teisę reikalauti tiek turtinės, tiek neturtinės žalos atlyginimo iš duomenų valdytojo. Tai galite padaryti per 3 metus nuo momento, kai sužinojote apie pažeidimą.
Turtinė žala, tai Jūsų prarasti pinigai, papildomos išlaidos saugumo priemonėms, prarastos verslo galimybės dėl nutekėjusios informacijos apie įmonę ir pan.
Neturtinė žala, tai dvasiniai išgyvenimai, baimė, nerimas dėl saugumo, privatumo pažeidimas, psichologinis diskomfortas, išreikšti pinigais. Europos Sąjungos teismų praktika patvirtina, kad neturtinė žala dėl asmens duomenų pažeidimų yra realiai priteisiama, net kai tiesioginių finansinių nuostolių nėra. Lietuvos teismai šią praktiką vis aktyviau taiko.
Žalos įrodinėjimas bus iššūkis, bet tai nėra neįmanoma. Jei po šio incidento gausite įtartiną skambutį, apgaulės el. laišką ar prarasite pinigus dėl to, kad kažkas žinojo per daug apie jūsų turtą, tai gali būti tiesioginė priežasties ir pasekmės grandinė, kurią galima naudoti teisme.
Ar jau yra tokių atvejų Europoje?
Austrijoje, Vokietijoje ir kitose ES valstybėse teismai jau yra priteisę žalą asmenims dėl duomenų nutekėjimo iš valstybinių institucijų. Žinomiausi Europoje precedentai – bylos dėl „British Airways“ ir „Marriott“ duomenų pažeidimų, kuriose reguliatoriai skyrė dešimtis milijonų eurų baudų, o individualūs ieškovai laimėjo kompensacijas.
Lietuvoje iš valstybinių įmonių priteistos žalos praktikos dar nėra, tačiau iš privačių įmonių teismai priteisia ir turtinę, ir neturtinę žalą. Šis Registrų centro incidentas dėl savo masto gali tapti precedentiniu atveju šalies praktikoje.
Kaip įrodyti žalą?
Reikia įrodyti tris dalykus: kad pažeidimas įvyko (šiuo atveju tai patvirtins institucijos), kad jūs konkrečiai buvote paveikti (tai galėsite patikrinti Registrų centro savitarnoje), ir kad dėl to patyrėte žalą.
Praktiniai patarimai:
• Išsaugokite visus įtartinus el. laiškus, SMS, skambučių žurnalus;
• Jei buvote apgauti, iškart kreipkitės į policiją ir bankus, išsaugokite visus dokumentus;
• Fiksuokite psichologinius nepatogumus – kreipimasis į specialistus gali patvirtinti neturtinę žalą;
• Juridiniams asmenims: dokumentuokite nuostolius, jei nutekinta informacija buvo panaudota prieš įmonės interesus.
Patarimai, kaip elgtis dėl susiklosčiusios situacijos
Privatiems asmenims:
- patikrinkite: prisijunkite prie Registrų centro savitarnos sistemos ir sužinokite, ar jūsų duomenys buvo nutekinti;
- būkite atsargūs sulaukę bet kokių skambučių ar laiškų, kuriuose minimas jūsų turtas, net jei pašnekovas žino konkrečius duomenis;
- neatskleiskite jokių papildomų duomenų telefonu ar el. paštu asmenims, kurie patys su jumis susisiekė;
- dokumentuokite įtartinus kontaktus, išsaugokite gautą informaciją ir praneškite policijai;
- kreipkitės į VDAI (www.ada.lt), jei manote, kad jūsų teisės pažeistos.
Juridiniams asmenims:
- patikrinkite, ar jūsų įmonės duomenys pateko į nutekėjusiųjų sąrašą;
- informuokite darbuotojus apie padidėjusią sukčiavimo riziką, ypač finansų ir IT srityse;
- peržiūrėkite savo kibernetinio saugumo priemones; incidentas rodo, kad valstybinė infrastruktūra buvo pažeidžiama per komercinių naudotojų paskyras;
- pasitarkite su teisininku dėl galimų ieškinių ir žalos dokumentavimo.
