Naudoti automobiliai, E. Ovčarenko/BNS nuotr.
Naudoti automobiliai / E. Ovčarenko / BNS nuotr.

Kaunietis pardavė automobilį ir liko be žado: kitą dieną pirkėjas matė jo draudimo polisus

Ilgametis draudimo platformos „Edrauda“ vartotojas teigia susidūręs su situacija, kuri, jo vertinimu, kelia klausimų dėl klientų asmens duomenų apsaugos – pardavus automobilį, naujasis pirkėjas gavo prieigą prie jautrių įmonės ir fizinių asmenų transporto priemonių draudimo duomenų.
„Kas vyksta Kaune“ skaitytojas pasakoja, jog elektronine draudimo platforma „Edrauda“ naudojasi apie dešimt metų. Per šį laiką platformoje buvo sukaupta daug informacijos – asmeniniai draudimai, šeimos narių polisai, įmonės transporto priemonių draudimo sutartys, lojalumo taškai ir kita istorija.
Problemos prasidėjo prieš maždaug mėnesį, pardavus įmonei priklausiusį automobilį. Pasak skaitytojo, pirkėjas iš kito miesto įsigijo automobilį iš skaitytojui priklausančios įmonės – įvykus sandoriui, skaitytojas pasiūlė draudimą įsigyti draudimo platformoje „Edrauda“, mat tuo metu neveikė „Regitros“ portalas.
Tačiau kitą dieną jis sulaukė netikėto skambučio iš automobilio pirkėjo.
„Jis sako: žinok, kažkas negerai. Pasidariau draudimą ir matau visus tavo polisus“, – prisimena vyras.
Netrukus pirkėjas atsiuntė ekrano kopijas. Jose, pasak pašnekovo, buvo matomi ne tik su parduotu automobiliu susiję duomenys, bet ir visa jo draudimo istorija.
„Matosi polisai, vardai, įvairūs duomenys. Tuo metu prisijungiu prie savo paskyros ir matau nulį – nieko nebelikę. Negaliu nei nutraukti draudimo, nei jo sustabdyti, nei atlikti kitų veiksmų“, – teigia jis.
Anot jo, vėliau situacija buvo ištaisyta rankiniu būdu, tačiau aiškaus paaiškinimo, kaip tai įvyko, iš bendrovės negauta.
„Jo vardas buvo jo, el. paštas buvo jo, bet visi polisai, įmonės duomenys ir sukaupta istorija – mano. Tai nėra vieno automobilio informacija. Kalbame apie dešimt metų kauptus duomenis“, – sako pašnekovas.
Jis taip pat teigia anksčiau sistemoje pastebėjęs nepažįstamų vardų, tačiau anksčiau pamatyta informacija nesukėlė įtarimų. Kaunietis pasakoja, jog į portalą kreipėsi po anksčiau „Kas vyksta Kaune“ paskelbto straipsnio apie saugumo spragas E.sveikatos sistemoje.
„Prieš kelerius metus, parduodant automobilius, buvau matęs nepažįstamus, tarp jų ir ukrainietiškus, vardus. Tada nesureikšminau, tačiau dabar kyla klausimas, ar tai nebuvo tos pačios problemos požymiai“, – svarsto jis.
Duomenų apsaugos inspekcija – galėjo būti nutekinti duomenys
„Kas vyksta Kaune“ kreipėsi į Valstybinę duomenų apsaugos inspekciją (VDAI) ir glaustai nupasakojo skaitytojo istoriją. VDAI Teisės skyriaus patarėjos Ingos Mauricienės teigimu, skaitytojo atveju galima įtarti neteisėtą asmens duomenų tvarkymą.
„Pagal Bendrojo duomenų apsaugos reglamento (BDAR) 4 straipsnio 12 dalį, asmens duomenų apsaugos pažeidimas (ADSP) apima bet kokį netyčinį ar neteisėtą asmens duomenų praradimą, sunaikinimą, pakeitimą, atskleidimą ar be leidimo gautą prieigą. Aptariamu atveju Jūsų pateikta situacija, manytina, yra susijusi su sutartiniais santykiais, kylančiais tarp draudiko ir draudėjo, kai parduodant transporto priemonę turi būti išsprendžiamas klausimas tarp naujojo ir ankstesnio savininko dėl automobilio privalomojo civilinės atsakomybės draudimo pagal Lietuvos Respublikos transporto priemonių valdytojų civilinės atsakomybės privalomojo draudimo įstatymą ar kitus galiojančius teisės aktus. Tuo atveju, jeigu galimai tinkamai nebuvo įvykdytos draudimo sutarties procedūros parduodant / perkant transporto priemonę, tokia situacija taip pat gali lemti ir galimai neteisėtą asmens duomenų tvarkymą“, – teigė I. Mauricienė.
Pasak VDAI atstovės, šiuo atveju draudimo bendrovė turėtų pateikti paaiškinimą, kaip galėjo būti nutekinti duomenys, be to, dėl galimo duomenų apsaugos pažeidimo, draudimo bendrovė turi informuoti VDAI.
„Todėl šiuo atveju ankstesniam savininkui pirmiausia reikėtų kreiptis į draudimo bendrovę ir prašyti paaiškinti įvykusią situaciją dėl jo draudimo polisų prieinamumo. Be to, jeigu duomenų valdytojas sužino apie ADSP, kuris gali kelti pavojų fiziniams asmenims, apie ADSP reikia pranešti Valstybinei duomenų apsaugos inspekcijai ne vėliau kaip per 72 valandas nuo sužinojimo momento, o jei kyla didelis pavojus, tuomet privaloma nepagrįstai nedelsiant pranešti ir patiems fiziniams asmenims, kurių duomenys pažeisti“, – nurodė VDAI atstovė.
Valstybinė duomenų apsaugos inspekcija / A. Ufarto, BNS nuotr.
Valstybinė duomenų apsaugos inspekcija / A. Ufarto, BNS nuotr.
„Edrauda“ – sistema nesieja skirtingų klientų paskyrų
Paprašyta pakomentuoti situaciją, „Edrauda“ atsiuntė bendro pobūdžio komentarą, nekomentuodama konkrečios situacijos. Bendrovė nurodė, kad kiekvienas klientas turi individualią paskyrą, kuri susieta su konkrečiu fiziniu arba juridiniu asmeniu, o ne su transporto priemone.
Bendrovės teigimu, nei transporto priemonės draudimo sutarties sudarymas, nei jos savininko pasikeitimas nesukuria jokio ryšio tarp skirtingų klientų paskyrų.
„Paskyra yra asmeninė ir nėra kuriama transporto priemonei ar perduodama kartu su ja, todėl nei naujajam, nei ankstesniajam transporto priemonės savininkui netampa matomi ar prieinami kitam klientui priklausantys duomenys“, – teigiama bendrovės atsakyme.
Pasak „Edrauda“, prieš sudarant draudimo sutartį vartotojo pateikti duomenys tikrinami oficialiuose registruose, įskaitant AB „Regitra“, o sistema sukurta taip, kad draudimo sutartį dėl konkretaus objekto galėtų sudaryti tik jo savininkas.
Bendrovė pabrėžia, kad būtina atskirti teisėtai suteiktą prieigą nuo atvejų, kai asmuo galimai naudojasi jam nepriklausančiais duomenimis.
„Edrauda nesuteikia ir nesudaro sąlygų jokiam asmeniui be teisinio pagrindo naudotis kitų asmenų paskyromis, administruoti jiems nepriklausančių sutarčių ar gauti kitam asmeniui skirtos informacijos“, – rašoma komentare.
Bendrovės vertinimu, tokio pobūdžio situacija, kokia buvo aprašyta užklausoje, galėtų susiklostyti tik tuo atveju, jei prieiga būtų įgyta ar duomenys panaudoti neteisėtai.
„Teisėtai naudojantis sistema ir pateikiant teisėtai naudojamus, asmeniui priklausančius duomenis, nėra įmanoma gauti prieigos prie kito asmens informacijos“, – teigia „Edrauda“.
Bendrovė taip pat nurodė reguliariai atliekanti vidinius patikrinimus, susijusius su klientų pastebėjimais dėl sistemų veikimo, ir tvirtina nenustačiusi atvejų, kai dėl pačios sistemos veikimo naudotojui būtų buvusi atskleista kitam asmeniui priklausanti informacija.
Komentuodama galimą Bendrojo duomenų apsaugos reglamento (BDAR) taikymą, bendrovė pažymėjo, kad kiekviena situacija turi būti vertinama individualiai, atsižvelgiant į tai, ar buvo tvarkomi fizinių asmenų duomenys ir ar dėl to galėjo kilti rizika jų teisėms bei laisvėms.
Tuo metu incidentą aprašęs skaitytojas laikosi pozicijos, kad jo turimi ekrano vaizdai rodo priešingą situaciją – automobilio pirkėjas tam tikru momentu turėjo prieigą prie informacijos, kurios neturėjo matyti. Būtent todėl, jo nuomone, reikalingas išsamus paaiškinimas, kaip tai galėjo įvykti ir ar buvo atliktas oficialus aplinkybių tyrimas.
Kadangi portalui buvo atsiųstas bendro pobūdžio komentaras, lieka neaišku, ar dėl šios konkrečios situacijos „Edrauda“ atliko vidinį tyrimą ar kreipėsi į VDAI. „Kas vyksta Kaune“ skaitytojas teigia, jog, nesulaukęs draudimo bendrovės paaiškinimų, ketina kreiptis į duomenų priežiūrą atliekančias institucijas.

Rekomenduojami video

Populiariausi straipsniai

Loading