Verslo pozicija

2022.01.10 12:35

Raminta Stravinskaitė. BDAR baudos 2021: ko galime pasimokyti?

Raminta Stravinskaitė, advokatų kontoros „Motieka ir Audzevičius“ BDAR ekspertė2022.01.10 12:35

2021-ieji ne vieną organizaciją visoje Europos Sąjungoje privers (jei dar neprivertė) susimąstyti, ar ji tinkamai tvarko asmens duomenis. Praėjusiais metais už Bendrojo duomenų apsaugos reglamento (BDAR) pažeidimus skirtų baudų skaičius šoktelėjo į viršų kone dvigubai: jau liepos mėnesį skirtų baudų suma perkopė 1 milijardo eurų ribą, o metų pabaigoje siekė 1 296 888 578 eurų. Galima drąsiai teigti, kad 2021-ieji BDAR kontekste yra tikrai išskirtiniai, nes paskirtų baudų skaičius ir dydis per visą BDAR laikotarpį dar niekada nebuvo toks didelis.

Didžiausių 2021 m. baudų už BDAR pažeidimus TOP 5 ES mastu:

1. Amazon Europe – 746 mln. eurų. Tai yra didžiausia bauda per visą BDAR gyvavimo laikotarpį. Pradėjus tyrimą dėl „Amazon“ duomenų tvarkymo buvo nustatyti pažeidimai, susiję su reklamų personalizavimu. Kadangi vietos įstatymai įpareigoja laikytis profesinės paslapties, kol bus baigtas apeliacinis procesas, nebuvo atskleista daug tyrimo detalių, bet akivaizdu, jog pažeidimas nustatytas dėl to, kad buvo naudojama personalizuota reklama, neturint duomenų subjektų sutikimų. O BDAR aiškiai nurodyta: norint, kad sutikimas būtų galiojantis, jis turi atitikti tam tikrus reikalavimus – duotas laisva valia, konkretus, pagrįstas informacija ir nedviprasmiškas.

Vis dėlto daugiau detalių galėsime sužinoti tik po apeliacino proceso, kurio baigtis gali turėti įtakos baudos dydžiui. Tokia išvada peršasi, kadangi BDAR galiojimo metu jau yra pasitaikę atvejų, kai paskirta bauda buvo sumažinta. Pavyzdžiui, 2019 m. bendrovei „British Airways“, kuri paviešino maždaug 430 tūkst. klientų asmens duomenis, buvo paskirta 204,6 mln. eurų bauda. Vėliau suma buvo sumažinta iki vos 22 mln. eurų. Tiesa, svarbu paminėti, kad pastaruoju atveju bauda sumažinta dėl sudėtingos ekonominės situacijos, kilusios dėl COVID-19 viruso pandemijos. Dėl tos pačios priežasties nuo 110,3 mln. eurų iki 20,45 mln. eurų buvo sumažinta ir bauda viešbučių tinklui „Marriott International“, kuris nesugebėjo užtikrinti savo klientų duomenų saugumo, dėl ko buvo pavogti 30 milijonų klientų asmens duomenys.

Ar „Amazon“ taip pat pavyks apeliaciniu skundu pasiekti tokių rezultatų, atsakyti sunku. Abiem aukščiau minėtais atvejais bauda buvo sumažinta ne dėl pažeidimo pobūdžio, o dėl ekonominės situacijos, tačiau praktiškai tokia galimybė egzistuoja.

2. WhatsApp Ireland – 225 mln. eurų. Tai yra antroji didžiausia per visą istoriją bauda už BDAR pažeidimus. Airijos priežiūros institucija tyrimą dėl BDAR reikalavimų nesilaikymo pradėjo dar 2018 m. Buvo nustatyti šie pažeidimai: i) bendrovė nesugebėjo užtikrinti, kad duomenų subjektų duomenys būtų tvarkomi teisėtu, teisingu ir skaidriu būdu; (ii) bendrovei nepavyko pateikti informacijos apie tai, kaip duomenys yra renkami, glausta, skaidria, suprantama ir lengvai prieinama forma, naudojant aiškią ir paprastą kalbą; (iii) bendrovė duomenų subjektams, kai asmens duomenys yra gauti iš jų pačių, nepateikė informacijos, kur yra saugomi jų asmens duomenys, duomenų valdytojo ar kito asmens, į kurį naudotojai galėtų kreiptis, kontaktų, tikslų, nurodančių, kodėl duomenys yra renkami, bei informacijos, kas yra duomenų gavėjai; ir (iv) bendrovė taip pat neinformavo duomenų subjektų apie jų duomenų tvarkymą, kai duomenys gauti ne iš pačių duomenų subjektų, bei apie tai, iš kur duomenys buvo gauti.

Sprendžiant dėl šio pažeidimo pirmą kartą buvo pateiktas išaiškinimas, kad, kai yra nustatomi keli pažeidimai dėl tų pačių ar susijusių operacijų (pavyzdžiui, šiuo atveju privalomos informacijos pateikimas duomenų subjektui, kai yra tvarkomi jo duomenys gauti iš pačio duomenų subjekto ir gauti ne iš duomenų subjekto), baudos dydis turėtų būti apskaičiuojamas atsižvelgus į visus pažeidimus.

3. Notebooksbilliger.de – 10,4 mln. eurų. Bendrovei bauda buvo paskirta už tai, kad ji 2 metus, neturėdama jokio teisinio pagrindo, vykdė savo darbuotojų stebėjimą vaizdo kameromis ir daugeliu atveju įrašus saugodavo ilgiau negu 60 dienų. Nors bendrovė ir nurodė, kad vykdė vaizdo stebėjimą, siekdama užkirsti kelią nusikalstamoms veikoms bei sekti prekių srautus sandėliuose, tai buvo pripažinta, kaip nepakankamas pagrindas vykdyti vaizdo stebėjimą. Buvo nurodyta, kad vaizdo stebėjimas galimas tik tada, kai nepadeda jokios „švelnesnės“ priemonės. Bet net ir tokiu atveju vaizdo stebėjimas turėtų būti pagrįstas įtarimu konkrečiam asmeniui ar asmenims bei ribojamas tam tikru laikotarpiu, kurio metu stebėjimas gali būti vykdomas. Šiuo atveju bendrovė įrašinėjo savo darbuotojus ir netgi klientus, neįtardami konkrečios nusikalstamos veikos, bei šiuos įrašus dažnai saugojo net 60 dienų, kas yra ženkliai ilgiau negu būtina.

4. Vodafone España – 8,15 mln. eurų. Incidentas kilo dėl to, kad bendrovė, vykdydama rinkodaros kampanijas ir perduodama duomenis, pakartotinai pažeidė BDAR. Buvo nustatyta, kad bendrovė vykdė tiesioginę rinkodarą SMS žinutėmis, el. paštu ir telefono skambučiais net ir tuo atveju, kai klientai buvo atsisakę gauti tiesioginės rinkodaros pranešimus. Bendrovė nurodė, kad incidentas kilo dėl to, jog ji išbandė naują sistemą, kuri turėjo išrinkti, kokie naudotojai atsisakė tiesioginės rinkodaros pranešimų, ir jų jiems nebesiųsti. Vis dėlto buvo nustatyta, kad bendrovė neįgyvendino reikiamų techninių ir organizacinių priemonių. Be kita ko, buvo nustatyta, kad bendrovė klientų asmens duomenis perduodavo telekomunikacijų tiekėjui, esančiam Peru, tačiau sutartyje nebuvo numatytos jokios saugumo priemonės, kurios būtinos, perduodant asmens duomenis šalims, nepriklausančioms Europos ekonominei erdvei.

Regis, „Vodafone“ nepasimokė iš savo klaidų. Dėl pažeidimų, susijusių su netinkamu tiesioginės rinkodaros vykdymu, bendrovei 2020 m. Italijos priežiūros institucija skyrė daugiau negu 12 mln. eurų baudą.

5. Caixabank Sa – 6 mln. eurų. Vienam didžiausių Ispanijos bankų 4 mln. eurų bauda buvo paskirta dėl to, kad jis nesugebėjo pakankamai pagrįsti klientų asmens duomenų tvarkymo teisinio pagrindo ir neturėjo galiojančių sutikimų tvarkyti asmens duomenis. Taip pat buvo nustatyta, kad bankas neturėjo teisės perduoti asmens duomenų savo grupės įmonėms.

Likę 2 mln. eurų buvo paskirti už tai, kad bankas duomenų subjektams nepateikė visos privalomos informacijos pagal BDAR. Be to, įvairiuose dokumentuose pateikė skirtingą informaciją, susijusią su duomenų subjektų teisėmis, jų įgyvendinimu, duomenų apsaugos pareigūnu ir jo kontaktais. Priežiūros institucija tai pat pastebėjo, kad privatumo politikoje nurodyti nekonkretūs duomenų saugojimo terminai ir tai irgi buvo pripažinta BDAR pažeidimu.

Kurios valstybės paskyrė daugiausia baudų?

Šiais metais pagal paskirtų baudų skaičių, kaip ir praeitais metais, vis dar pirmauja Ispanija. Čia skirtos 145 baudos, iš kurių net 2 papuolė į TOP 5. Apžvelgus Ispanijos priežiūros institucijos skirtų baudų specifiką, galima pastebėti, kad daugiausiai baudų ispanai sulaukia dėl to, jog pažeidžia su asmens duomenų tvarkymu susijusius principus (BDAR 5 straipsnis), tvarko asmens duomenis, neturėdami teisinio pagrindo (BDAR 6 straipsnis) ar nepateikia visos privalomos informacijos duomenų subjektui, kai tvarko iš jo gautus asmens duomenis (BDAR 13 straipsnis).

Žvelgiant į kitas Europos Sąjungos valstybes, galima pastebėti, kad baudų ženkliai padaugėjo Italijoje, kur šiais metais buvo skirtos net 53 baudos. Kitose šalyse baudų skirta šiek tiek mažiau: Norvegijoje – 25, Rumunijoje – 19, Liuksemburge – 15, Lenkijoje – 12, Graikijoje – 11, Danijoje – 8, Kipre, Prancūzijoje ir Švedijoje – 7, Vengrijoje ir Nyderlanduose – 6, Belgijoje ir Airijoje – 5, Austrijoje ir Vokietijoje – 4, Kroatijoje ir Suomijoje – 3, Islandijoje – 2, o kaimynėje Latvijoje skirta vos viena bauda.

Ar Lietuvoje buvo paskirta baudų?

Nuo 2020 m. iš viso skirtų baudų skaičius Europos Sąjungoje išaugo beveik dvigubai, tai reiškia, kad vien šiais metais buvo skirta beveik tiek baudų, kiek per visus 3,5 metų, kai įsigaliojo BDAR. Natūralu, kyla klausimas: o kokia situacija Lietuvoje?

O Lietuvoje taip pat šiais metais baudų padaugėjo – paskutiniais duomenimis, skirtos 5 baudos už BDAR pažeidimus. Didžiausia bauda šiais metais, kaip ir buvo galima tikėtis, skirta nuomos platformą „CityBee“ valdančiai UAB „Prime Leasing“. Valstybinė duomenų apsaugos inspekcija skyrė 110 tūkst. eurų administracinę baudą už viešai paskelbtą bendrovės klientų asmens duomenų rinkinį (atskleisti ir viešai paskelbti 110 302 „CityBee“ vartotojų duomenys). Bauda buvo skirta įvertinus, kad bendrovė neužtikrino tinkamo asmens duomenų saugumo valdymo ir kontrolės bei nevertino, nevaldė ir negalėjo valdyti rizikos, susijusios su duomenų bazės faile esančių asmens duomenų konfidencialumo praradimu (taikydama tinkamas organizacines ir technines saugumo priemones).

Sporto klubui UAB „VS FITNESS“ taip pat teko susimokėti 20 tūkst. eurų. Bauda skirta už tai, kad klientai galėjo naudotis sporto klubo paslaugomis, tik nuskenavus jų piršto antspaudą. Klubas nepateikė jokių kitų identifikavimosi alternatyvų. Tai buvo pripažinta kaip biometrinių asmens duomenų tvarkymas, neturint savanoriško duomenų subjektų sutikimo, taip pat bendrovė neužtikrino kitų galiojančiam sutikimui keliamų reikalavimų. Buvo nustatyta, kad sporto klubas neturi veiklos įrašų ir neteisėtai tvarko savo darbuotojų pirštų antspaudus – jie tvarkomi, neturint jokio teisinio pagrindo ir neatlikus poveikio duomenų apsaugai vertinimo. Be to, buvo netinkamai įgyvendinama darbuotojų teisė būti informuotiems apie duomenų tvarkymą.

15 tūkst. eurų bauda skirta ir Registrų centrui, kuris pažeidė BDAR punktus, įpareigojančius užtikrinti nuolatinio duomenų tvarkymo sistemų ir paslaugų vientisumą, prieinamumą ir atsparumą bei sugebėti teisės aktų nustatytu terminu atkurti sąlygas ir galimybes naudotis asmens duomenimis fizinio ar techninio incidento atveju.

Baudos šiais metais sulaukė ir Nacionalinės visuomenės sveikatos centras (NVSC) bei UAB „IT sprendimai sėkmei“ dėl netinkamo asmens duomenų tvarkymo programėlėje „Karantinas“. Valstybinė duomenų apsaugos inspekcija, atlikusi tyrimą, nustatė, kad siekdamos tvarkyti asmens duomenis NVSC bei UAB „IT sprendimai sėkmei“ turėjo atlikti poveikio duomenų apsaugai vertinimą, nes buvo numatyta, kad naudojant naują technologiją bus tvarkomi daugybės duomenų subjektų asmens duomenys visoje Lietuvoje ir už jos ribų. Taip pat buvo konstatuota, kad buvo pažeisti BDAR įtvirtinti teisėtumo ir atskaitomybės principai. Teisėtumo principas buvo pažeistas dėl to, kad nei NVSC, nei UAB „IT sprendimai sėkmei“ nesugebėjo įrodyti programėle vykdomo asmens duomenų tvarkymo teisėtumo, o atskaitomybės – nes NVSC ir UAB „IT sprendimai sėkmei“ nepripažino, jog yra bendri duomenų valdytojai, ir neigė savo, kaip duomenų valdytojų, atsakomybę. Dėl šių pažeidimų NVSC buvo paskirta 12 tūkst., o UAB „IT sprendimai sėkmei“ – 3 tūkst. eurų bauda.

Iš vyraujančių tendencijų galime pastebėti, kad Lietuva vis dar nėra linkusi skirti maksimalių baudų už BDAR pažeidimus, bet į duomenų apsaugą žiūrima vis atsakingiau. Tokią išvadą galime daryti iš to, kad baudų skiriama daugiau.

Galime prognozuoti, kad ateinančiais metais Valstybinės duomenų apsaugos inspekcijos žvilgsnis bus dar atidesnis, o sprendimai griežtesni. Tad, jei dar nesate pasirūpinę jums patikėtų asmens duomenų saugumu, jau pats laikas tai padaryti.

Mums svarbus tikslumas ir sklandi tekstų kalba. Jei pastebėjote klaidų, praneškite portalas@lrt.lt