Content

Latvijas IT drošības ziņu centrmezgls. Informācijas iesniegšana. Avota konfidencialitāti garantējam.

“BTA” cenšas izvairīties no soda par nolaidīgu personas datu glabāšanu

Kategorija: DVI + Incidenti + Juridiskie aspekti + Personas dati + Spriedumi

[7] No lietas materiāliem un tiesas sēdē sniegtajiem pušu paskaidrojumiem, tiesa konstatē, ka lietā nav strīda, ka 2010.gada 12.janvārī no pieteicējas interneta mājas lapā www.bta.lv/files jebkuram bija pieejama informācija par vairāk kā simts fiziskajām personām, t.sk., gan viņu personas dati, gan sensitīvie personas dati (tautība). Datu pieejamību pierāda Inspekcijas 2010.gada 12.janvārī noformētais akts un izdrukas no minētās interneta mājas lapas (lietas 36.-107.lapa), kā arī administratīvā pārkāpuma protokols.
Lietā nav strīda, ka nepastāvēja neviens no Fizisko personu datu aizsardzības likuma 7.pantā un 11.pantā minētajiem tiesiskajiem pamatiem, kas dotu tiesības pieteicējai veikt minēto personas datu apstrādi, glabājot datus jebkurai personai pieejamā veidā un nododot tos nepilnvarotām personām.
Lietā nav arī strīda, ka pieteicēja personas datus ieguva, izmantoja un uzglabāja, lai tiktu nodibinātas jaunas darba tiesiskās attiecības ar piemērotāko pretendentu, kas pieteicās uz vakanto amata vietu. Lietā nav strīda, ka, lai nodrošinātu minēto mērķi, nebija nepieciešams glabāt datus jebkurai personai pieejamā veidā un nodot tos nepilnvarotām personām.
Lietā ir strīds, vai pieteicēja ir lietojusi nepieciešamos tehniskos un organizatoriskos līdzekļus, lai aizsargātu personas datus un novērstu to nelikumīgu apstrādi, proti, vai pieteicēja ir vainīga tajā, ka tās interneta mājas lapā www.bta.lv/files bez tiesiska pamata personas dati bija pieejami jebkurai personai.
[8] Pieteicēja ir paskaidrojusi, ka pieteicējas mājas lapa internetā tika aprīkota ar aizsardzības līdzekļiem, kas atbilstoši Ministru kabineta 2001.gada 30.janvāra noteikumiem Nr.40 „Personas datu aizsardzības obligātās tehniskās un organizatoriskās prasības” nodrošina tiesību ierobežošanu iegūt informāciju. Proti, datu pieejamība tika ierobežota ar parolēm un speciālo programmatūru, un informāciju no minētās adreses internetā varēja iegūt tikai pieteicējas pilnvarotie darbinieki, kuri tika identificēti pēc lietotāja vārda un paroles. Taču sistēma tika uzlauzta, trešajām personām nesankcionēti piekļūstot un sabojājot visus aizsardzības līdzekļus.
Personu paskaidrojumi, ir atzīstami par pierādījumiem, ja tos apstiprina citi pārbaudīti un novērtēti pierādījumi. Tiesa konstatē, ka pieteicējas paskaidrojumu, ka datu pieejamība bija ierobežota ar atbilstošiem loģiskās aizsardzības līdzekļiem un ka pieteicējas mājas lapa tika uzlauzta, sabojājot aizsardzības līdzekļus, neapstiprina neviens viens cits pierādījums lietā. Ņemot vērā, ka pieteicēja ir attiecīgās mājas lapas īpašnieks, tikai pieteicējas rīcībā var būt šādi pierādījumi. Pieteicēja tādus nav iesniegusi ne iestādē, ne tiesā. Arī tiesas sēdē pieteicējas pārstāve paskaidroja, ka pieteicējai nav šādu pierādījumu.
Ņemot vērā minēto un to, ka personas dati 2010.gada 12.jūnijā bija pieejami jebkurai personai, tiesa atzīst, ka pieteicēja nebija lietojusi nepieciešamos tehniskos un organizatoriskos līdzekļus, lai aizsargātu personas datus un novērstu to nelikumīgu apstrādi.

Ja arī bija lietojusi, tad acīmredzot šie līdzekļi nav bijuši pietiekami, ja reiz sistēma tika uzlauzta. Nav saprotams, kāpēc tiesai uzlaušanas konstatēšana ir būtiska.

Turklāt tiesa atzīst par pamatotu Inspekcijas norādīto, ka tas, ka pieteicēja nav pieprasījusi fiziskai personai iesniegt pieteicējai sensitīvos datus, nav pamats, lai pieteicēja pēc šādu datu saņemšanas šos datus glabātu vai nodotu, nenodrošinot to atbilstošu aizsardzību.

Tad jau kāds var augšupielādēt savus sensitīvos datus Google publiskajos servisos un apvainot Google nelikumīgā sensitīvo datu apstrādē.

Tiesa atzīst, ka minētais Inspekcijas vērtējums ir pamatots un ka piemērotais naudas sods Ls 1200 apmērā, kas ir gandrīz minimālais tiesību normā paredzētais naudas soda apmērs, ir pamatots un samērīgs izdarītajam pārkāpumam.
[11] Ņemot vērā iepriekš konstatēto, tiesa atzīst, ka Lēmums par pieteicēja saukšanu pie atbildības ir tiesisks un pamatots un tādēļ tas atstājams negrozīts.

Avoti:
Tiesas.lv: http://www.tiesas.lv/files/AL/2012/06_2012/14_06_2012/AL_1406_raj_A-00435-12_5.pdf

2012-07-04  »  edgars

  1. Andron Mc
    9 July 2012 @ 01:11

    Ta kāds teu tur upload folderis, tā ir kaukāda sīka huiņa. Man bija paroles gandrīz visos Latvijas apdrošinātājos, varēju jebkurā brīdī uztaisīt aprošināšanu kam vien vajag un tā darbotos.
    Sīkumie tie visi ir. Visos tajos apdrošinātājos visiem adminiem ir POHUJ kam viņi paroles izdala.

  2. Anonymous
    9 July 2012 @ 11:56

    Tu labāk padalies ar infu kā tev beidzās epopeja ar mentu “uzbrukumu”.

  3. Anonymous
    28 October 2013 @ 22:59

    Apgabaltiesa spriedumu nemaina:
    http://www.tiesas.lv/Media/Default/Admin.tiesu%20spriedumi/Admin.apg.tiesas%20spriedumi/Maijs/24.05.2013/AL_2405_apg_AA43-1621-13_19.pdf

Re: “BTA” cenšas izvairīties no soda par nolaidīgu personas datu glabāšanu







Tags you can use (optional):
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>