Valsts datu aizsardzības inspekcija par neatbilstošu datu apstrādi, personas datu izpaušanu un savlaicīgu neziņošanu par datu noplūdi ir piemērojusi 61,500 eur lielu naudas sodu elektroniskās naudas aprites uzņēmumam MisterTango . Piemērojot naudas sodu, Inspekcija norāda, ka šis sods ir jāuzskata par “nozīmīgu signālu citiem uzņēmumiem”.
MisterTango datu noplūde notika 2018. gada jūlijā, kad tās klientu personīgā informācija kļuva pieejama tiešsaistē. Pēc Valsts datu aizsardzības inspekcijas aprēķiniem, tiešsaistē parādījās arī vairāk nekā 9000 banku darījumu ekrānšāviņu.
Lai arī uzņēmums apgalvo, ka datu noplūde radusies tehniskas kļūmes rezultātā, inspekcija pieļauj arī sistēmas uzlaušanas iespējamību .
Papildu datu noplūdei uzņēmums, kā to paredz GDPR, netika informējis uzraudzības iestādi par notikušo datu pārkāpumu (data breach) 72 stundu laikā..
Veicot pārbaudi uzņēmumā Valsts datu aizsardzības inspekcija konstatēja, ka uzņēmums iegūst un apkopo vairāk personas datu, nekā tas nepieciešams maksājumu veikšanai. Finanšu pakalpojumu starpnieku uzņēmums kopā ar katru maksājumu apkopo pārāk detalizētu finanšu informāciju. Inspekcija norāda,, ka MisterTango būtu jāapkopo tikai tādi dati, kas nepieciešami darījuma apstrādei, piemēram, konta numuri un maksājuma dati.
Inspekcija tāpat norāda uz to, ka viens un tas pats darbinieks bija atbildīgs gan par drošības, gan par uzņēmuma informācijas pārvaldību, kas nozīmē, ka uzņēmums interešu konflikta dēļ nevarēja īstenot pienācīgu datu aizsardzības politiku.
Incidenta izmeklētāji norāda, ka šai pirmajai lietai vajadzētu mudināt citus uzņēmumus "pievērst lielāku uzmanību datu drošības pārkāpumu pārvaldībai un sadarbībai ar uzraudzības iestādi izmeklēšanas laikā". Lai arī Lietuvas datu inspekcija par savu prioritāti uzskata konsultāciju sniegšanu uzņēmumiem un iestādēm, šoreiz viņi ir reaģējuši izteikti nopietni.
Iespējams, ka sods liekas pārāk nesamērīgs, bet daudzi eksperti norāda uz to, ka tā piemērošanu veicinājusi MisterTango vēlme noslēpt un neziņot par datu pārkāpumu. Tā kā Lietuvas Valsts datu aizsardzības inspekcija nav precizējusi, cik liels ir faktiskais kaitējums, datu ekspertu vidū nevalda vienprātība. Vieni sodu uzskata par "pārāk augstu", citi norāda uz noplūdušo datu saistību ar finanšu jomu, kas rada papildu riskus, kas arī ir bijis par pamatu tik lielam sodam.
MisterTango plāno pārsūdzēt inspekcijas lēmumu Lietuvas administratīvajā tiesā, lai vismaz daļēji samazinātu sodu, ja viņiem neatkarīgā instancē izdotos pierādīt, ka uzņēmums nekavējoties ir sācis risināt drošības incidentu un iznīcinājis visas iespējamās sekas. Uzņēmuma pārstāvji norāda, ka viņus uzraugošās Lietuvas bankas veiktā revīzija secinājusi, ka nav atklāti draudi MisterTango klientu paplašinātajiem finanšu datiem, un tādēļ tas nav bijis incidents, kas atbilst GDPR prasībai par klientu un uzraugošo institūciju informēšanu. Tikai 58 klientu e-pasti ir bijuši publiski pieejami, tomēr nav secināts, ka kāds to būtu izmantojis, tādēļ uzņēmums uzskata sodu par neadekvāti lielu un nesamērojamu ar nodarījumu.
Atzīmēsim, ka 2018. gadā MisterTango jau saņēma 30,400 eur soda rēķinu par naudas atmazgāšanas noteikumu neievērošanu.