Duomenų apsaugos teisės aktai Lietuvoje ir Europos Sąjungoje nuolat griežtinami, siekiant užtikrinti asmens duomenų saugumą ir privatumą. Tai lemia ne tik didesnes baudas už pažeidimus, bet ir platesnes duomenų subjektų teises, įskaitant galimybę reikalauti moralinės žalos atlyginimo.
Lietuvos Respublikos teisės aktai ir baudos už duomenų apsaugos pažeidimus
Nuo sausio 1 d. baudos už duomenų apsaugos pažeidimus Lietuvoje pora kartų išaugo, tačiau, nepaisant to, jos išlieka vienos mažiausių Europoje. Asmens duomenų teisinės apsaugos įstatymo pažeidimas nuo šiol kainuos nuo 300 iki 1150 eurų.
Pakartotinis neatsakingas požiūris į duomenų apsaugą gali baigtis bauda nuo 1100 iki 3000 eurų. Iki šiol duomenų apsaugos pažeidimai užtraukdavo baudą nuo 144 iki 289 eurų, o pakartotinio pažeidimo atveju buvo skiriamos baudos nuo 289 iki 579 eurų. Padidėjusios baudos rodo augančią duomenų apsaugos svarbą Lietuvoje.
Groteskiškas pavyzdys, rodantis ankstesnį požiūrį į duomenų apsaugą, yra 2010 m. atvejis, kai grožio salone Lietuvoje buvo rastos kameros, filmuojančios darbuotojų persirengimo kambarį ir kosmetologinį kabinetą. Daugumoje Europos valstybių tokia veikla pasibaigtų žymiai liūdniau, pavyzdžiui, Jungtinėje Karalystėje netinkamas požiūris į duomenų apsaugą gali baigtis pusės milijono svarų bauda, o Vokietijoje ir Prancūzijoje grubūs privatumo ir duomenų apsaugos pažeidimai užtraukia baudas iki 300 tūkst. eurų.
ES bendrasis duomenų apsaugos reglamentas (BDAR) ir jo įtaka
Asmens duomenų apsaugos BDAR mokymai Online
Verslo ir valstybės institucijų požiūrį į duomenų apsaugos pažeidimus iš esmės pakeitė 2018 m. gegužės 25 d. įsigaliojęs ES bendrasis duomenų apsaugos reglamentas (BDAR). Viena didžiausių reglamento naujovių - gerokai išaugusios baudos už pažeidimus.
Lengvesni pažeidimai gali nulemti baudas iki 10 mln. eurų arba 2 proc. metinės pasaulinės įmonės apyvartos, o sunkesni pažeidimai kainuos iki 20 mln. eurų arba 4 proc. metinės pasaulinės įmonės apyvartos. Šis sankcijų mechanizmas gali būti taikomas ne tik Europos Sąjungoje įsisteigusioms įmonėms.
Ankstesnėje Europinėje praktikoje, pavyzdžiui, 2009 m. Vokietijoje prekybos tinklui buvo paskirta 1,46 mln. eurų bauda už daugybę duomenų apsaugos pažeidimų.
BDAR nesilaikymas gali sukelti rimtas finansines, teisines ir reputacijos pasekmes. Be finansinių baudų, galimos didelės teisinės išlaidos ir teisminiai procesai dėl duomenų apsaugos pažeidimų. Tai gali turėti ilgalaikių pasekmių verslui, nes vartotojai nori bendradarbiauti tik su tais, kurie laikosi teisės aktų ir rūpinasi jų duomenų saugumu. Inspektoriai taip pat gali įpareigoti atlikti auditus ir teikti nuolatinę priežiūrą. Todėl svarbu apmokyti savo komandą ir užtikrinti, kad visi darbuotojai būtų susipažinę su BDAR reikalavimais ir jų atsakomybe.
Tiesioginė rinkodara ir asmens duomenų apsauga
Asmens duomenų apsaugos įstatyme (ADTAĮ) numatyta, kad asmens duomenys elektroninių ryšių srityje tvarkomi vadovaujantis ir Elektroninių ryšių įstatymu (ERĮ).
Tiesioginės rinkodaros apibrėžimas ir sutikimo reikalavimai
Pagal ERĮ tiesioginės rinkodaros pranešimus leidžiama siųsti tik gavus išankstinį abonento ar registruoto elektroninių ryšių paslaugų naudotojo sutikimą. Asmens duomenų teisinės apsaugos įstatyme numatytas tiesioginės rinkodaros apibrėžimas - veikla, kurios tikslas paštu, telefonu arba kitokiu tiesioginiu būdu siūlyti asmenims prekes ar paslaugas ir (arba) teirautis jų nuomonės dėl siūlomų prekių ar paslaugų. Pranešimų, kuriuose siūloma pasinaudoti visuomenei skirtomis mokamomis ar nemokamomis paslaugomis, siuntimas laikomas tiesiogine rinkodara.
Valstybinės duomenų apsaugos inspekcijos nuomone, tiesioginės rinkodaros pasiūlymais nebūtų laikomi, pavyzdžiui, sveikinimai, elektroninių laiškų siuntimas, kurių turinys susijęs su sutarčių vykdymu, priminimas apie skolą ir kt.
Advokatų profesinės bendrijos „NEWTON LAW“ partnerės advokatės Astos Kederytės teigimu, pirmiausia, prieš siunčiant įvairius pranešimus esamiems ar potencialiems klientams, būtina įvertinti, ar pranešimas būtų laikomas tiesioginės rinkodaros pranešimu. Atliekant tokį vertinimą, turėtų būti atsižvelgiama, pavyzdžiui, ar asmeniui siunčiamame pranešime yra tiesioginių ar netiesioginių pasiūlymų, pavyzdžiui, įsigyti tam tikras prekes ir (ar) paslaugas su atitinkama nuolaida ar jas gauti nemokamai ar dar kitokių pasiūlymų. Be to, net jei dalis siunčiamo pranešimo yra skirta informuoti apie paslaugų įvykdymą, o kitoje dalyje yra teikiami pasiūlymai apie prekes ar paslaugas, toks pranešimas būtų laikomas tiesiogine rinkodara.
Elektroninių ryšių įstatymas numato, kad elektroninių ryšių paslaugas naudoti tiesioginės rinkodaros tikslu leidžiama tik gavus išankstinį abonento ar registruoto elektroninių ryšių paslaugų naudotojo sutikimą. Ši nuostata yra taikoma, kai tiesioginės rinkodaros pasiūlymai teikiami skambinant, siunčiant juos elektroniniu paštu ar telefonu trumposiomis žinutėmis (SMS). Taigi, norint vykdyti tiesioginę rinkodarą, privaloma gauti asmenų (tiek fizinių, tiek juridinių asmenų), kurių duomenys bus tvarkomi šiam tikslui, sutikimą. Tiesioginės rinkodaros pranešimas juridiniam asmeniui gali būti siunčiamas tik gavus juridinio asmens vadovo ar jo įgalioto asmens sutikimą. Nors bendrasis duomenų apsaugos reglamentas reglamentuoja fizinių asmenų duomenų tvarkymą, rekomenduojama taikyti tuos pačius kriterijus ir gaunant sutikimą dėl juridinio asmens duomenų tiesioginei rinkodarai vykdyti.
Sutikimo reikalavimai pagal BDAR
Bendrajame duomenų apsaugos reglamente yra įtvirtinti gan griežti asmens duomenų tvarkymo sutikimui gauti keliami reikalavimai:
- Sutikimas turi būti aiškus, nedviprasmiškas.
- Atskirai išreikštas kiekvienam tvarkymo tikslui.
- Taip pat lengvai atšaukiamas, kaip ir duodamas.
- Be iš anksto sužymėtų langelių.
Sutikimas turi būti išreiškiamas asmens laisva valia, t. y. asmeniui privalo būti suteikiama reali galimybė pasirinkti duoti ar neduoti sutikimą. Svarbu pažymėti, kad neveikimas nelaikomas sutikimu. Be to, subjektai, vykdantys tiesioginę rinkodarą, privalo galėti įrodyti, kad sutikimas buvo gautas.
Išimtis iš sutikimo taisyklės
Elektroninių ryšių įstatyme taip pat yra įtvirtinta išimtis: asmuo, kuris, teikdamas paslaugas ar parduodamas prekes bendrajame duomenų apsaugos reglamente nustatyta tvarka ir sąlygomis, gauna iš savo klientų elektroninio pašto kontaktinius duomenis, gali naudoti šiuos kontaktinius duomenis savo paties panašių prekių ar paslaugų rinkodarai, jeigu išpildomos šios sąlygos:
- Klientams yra suteikiama aiški, nemokama ir lengvai įgyvendinama galimybė nesutikti arba atsisakyti tokio kontaktinių duomenų naudojimo pirmiau nurodytais tikslais.
- Šie duomenys yra renkami ir klientas iš pradžių neprieštaravo dėl tokio duomenų naudojimo, siunčiant kiekvieną žinutę.
Taigi, išpildžius aukščiau nurodytas sąlygas, tiesioginės rinkodaros pasiūlymai gali būti siunčiami esamiems klientams, neturint atskiro jų sutikimo. „COBALT“ vyresnioji teisininkė Renata Vasiliauskienė pabrėžia, kad yra atvejų, kai žmonės pamiršta, jog apsipirkdami ar įsigydami paslaugų nepaprieštaravo gauti tiesioginės rinkodaros pranešimus. Tačiau pasitaiko atvejų, kai įmonės taip užmaskuoja šį, taip vadinamąjį „opt-out“ sutikimą, kad pirkėjai jo paprasčiausiai nepastebi.
Baudos už tiesioginės rinkodaros pažeidimus
24 straipsnis (2019 06 13 įstatymu Nr. XIII-2218) nustato, kad už šio įstatymo 4, 5, 6, 7, 8, 9, 11, 13, 14, 15, 16, 17 ir 18 straipsniuose nustatytų reikalavimų nesilaikymą reklaminės veiklos subjektams gali būti skiriama bauda iki 3 procentų jų metinių pajamų praėjusiais finansiniais metais, bet ne daugiau kaip vienas šimtas tūkstančių eurų. Jeigu reklaminės veiklos subjektas veikia trumpiau kaip vienus metus, bauda skiriama iki 3 procentų jo pajamų einamaisiais finansiniais metais, bet ne didesnė kaip vienas šimtas tūkstančių eurų.
Reklaminės veiklos subjektams, pakartotinai per vienus metus padariusiems pažeidimą, už kurį buvo paskirta bauda ar įspėjimas už šio įstatymo 4, 5, 6, 7, 8, 9, 11, 13, 14, 15, 16, 17 ar 18 straipsniuose nustatytų reikalavimų pažeidimą, gali būti skiriama bauda iki 6 procentų jų metinių pajamų praėjusiais finansiniais metais, bet ne didesnė kaip du šimtai tūkstančių eurų, o jeigu reklaminės veiklos subjektas veikia trumpiau kaip vienus metus, - iki 6 procentų jo pajamų einamaisiais finansiniais metais, bet ne didesnė kaip du šimtai tūkstančių eurų.
Jeigu reklaminės veiklos subjektas nepateikia informacijos apie savo metines pajamas, jam skiriama bauda už šio įstatymo 4, 5, 6, 7, 8, 9, 11, 13, 14, 15, 16, 17 ar 18 straipsniuose nustatytų reikalavimų pažeidimą iki vieno šimto tūkstančių eurų, o jeigu pažeidimas padaromas pakartotinai per vienus metus nuo baudos ar įspėjimo už šio įstatymo 4, 5, 6, 7, 8, 9, 11, 13, 14, 15, 16, 17 ar 18 straipsniuose numatytą pažeidimą paskyrimo, - iki dviejų šimtų tūkstančių eurų.
Tais atvejais, kai pažeidimu nepadaroma esminės žalos šiuo įstatymu saugomiems interesams, atsižvelgiant į byloje nustatytų aplinkybių visumą, vadovaujantis teisingumo ir protingumo kriterijais, už šio įstatymo 4, 5, 6, 7, 8, 9, 11, 13, 14, 15, 16, 17 ir 18 straipsniuose nustatytų reikalavimų pažeidimus reklaminės veiklos subjektams gali būti taikomas įspėjimas, neskiriant baudos.
Už priežiūros institucijų reikalavimo pateikti informaciją ir dokumentus, o prireikus - ir reklamuojamų prekių ir reklamos pavyzdžius, reikalingus šiame įstatyme nustatytų reikalavimų pažeidimui tirti, nevykdymą ar netinkamą jo vykdymą reklaminės veiklos subjektams skiriama bauda iki trijų tūkstančių eurų.
Už šio straipsnio 2, 3 ir 4 dalyse nurodytus pažeidimus skiriamos baudos dydis neturi viršyti 3 procentų reklaminės veiklos subjekto metinių pajamų praėjusiais finansiniais metais. Bauda ar įspėjimas gali būti skiriami ne vėliau kaip per vienus metus nuo reklamos skleidimo paskutinės dienos, šio straipsnio 2 ir 3 dalyse nustatytais atvejais - nuo priežiūros institucijos sprendimo priėmimo dienos, o šio straipsnio 4 dalyje nustatytais atvejais - nuo pažeidimo nustatymo dienos.
Italijos įmonei I-Model s.r.l. buvo skirta 10 tūkst. eurų bauda už tai, kad ji ir toliau siuntė reklaminius pranešimus, nors duomenų subjektas reikalavo ištrinti jo asmens duomenis ir nustoti siųsti tiesioginės rinkodaros pranešimus.
Įspėjimo ir baudų skyrimo tvarka
Įspėjimas skiriamas ir baudos dydis nustatomas pagal Vyriausybės patvirtintą Įspėjimų ir baudų už Lietuvos Respublikos reklamos įstatymo pažeidimus skyrimo tvarkos aprašą, atsižvelgiant į pažeidimo pobūdį, pažeidimo trukmę, mastą ir atsakomybę lengvinančias bei sunkinančias aplinkybes.
Atsakomybę lengvinančios aplinkybės
Atsakomybę lengvinančiomis aplinkybėmis laikoma tai, kad reklaminės veiklos subjektas, padaręs šiame įstatyme nustatytų reikalavimų pažeidimą, savo noru užkirto kelią žalingiems pažeidimo padariniams, pripažino padaręs pažeidimą, padėjo priežiūros institucijoms tyrimo metu, atlygino nuostolius ar pašalino padarytą žalą. Atsakomybę lengvinančia aplinkybe gali būti pripažįstama ir tai, kad reklaminės veiklos subjektas yra prisiėmęs kodekse nustatytus įsipareigojimus, jų laikėsi iki šiame įstatyme nustatytų reikalavimų pažeidimo padarymo ir pateikė tai patvirtinantį reklamos savitvarkos institucijos dokumentą.
Moralinė žala už duomenų apsaugos pažeidimus
2023 m. gegužės 4 d. Europos Sąjungos Teisingumo Teismas (ESTT) priėmė prejudicinį sprendimą byloje dėl žalos atlyginimo duomenų subjektui už Bendrojo duomenų apsaugos reglamento (BDAR) pažeidimą, kuomet buvo renkami ir perduodami asmens duomenys. Šis sprendimas yra svarbus, nes paaiškina, kad bet kokia žala, kurią asmuo gali patirti dėl duomenų tvarkymo pažeidžiant BDAR, turėtų būti atlyginta duomenų valdytojo arba duomenų tvarkytojo.
Duomenų valdytojas arba duomenų tvarkytojas turėtų būti atleisti nuo atsakomybės, jeigu jie įrodo, kad jokiu būdu nėra atsakingi už žalą. Žalos sąvoka turėtų būti aiškinama plačiai, atsižvelgiant į Teisingumo Teismo praktiką, taip, kad būtų visapusiškai atspindėti šio reglamento tikslai. Tai nedaro poveikio jokiems reikalavimams dėl žalos atlyginimo, kurie pareiškiami dėl kitų taisyklių, nustatytų Sąjungos ar valstybės narės teisėje, pažeidimo.
Duomenų tvarkymas pažeidžiant šį reglamentą taip pat apima duomenų tvarkymą pažeidžiant deleguotuosius ir įgyvendinimo aktus, priimtus pagal šį reglamentą, ir šį reglamentą tikslinančias valstybėje narės teisėje nustatytas taisykles. Duomenų subjektai už patirtą žalą turėtų gauti visą ir veiksmingą kompensaciją. Kai duomenų valdytojai ar duomenų tvarkytojai yra susiję su tuo pačiu duomenų tvarkymo atveju, turėtų būti laikoma, kad kiekvienas duomenų valdytojas arba duomenų tvarkytojas yra atsakingas už visą žalą. Tačiau kai jie yra įtraukti į tą pačią teismo bylą laikantis valstybės narės teisės, kompensacija gali būti proporcingai padalyta pagal kiekvieno duomenų valdytojo arba duomenų tvarkytojo atsakomybę už žalą, padarytą tvarkant asmens duomenis, su sąlyga, kad užtikrinama visa ir veiksminga kompensacija žalą patyrusiam duomenų subjektui.
Minėtoje byloje Austrijos bendrovė „Österreichische Post“ nuo 2017 m. rinko informaciją apie Austrijos gyventojų politines pažiūras. Ieškovas, vienas iš duomenų subjektų, kurio asmens duomenis tvarkė Bendrovė, pareiškė ieškinį, nesutikdamas su jo asmens duomenų tvarkymu ir jausdamasis įžeistas dėl to, kad Bendrovė jį sieja su tam tikra politine partija. Nors jo asmens duomenys nebuvo perduoti tretiesiems asmenims, tai, kad Bendrovė saugojo duomenis apie jo tariamas politines pažiūras, sukėlė ieškovui didelį nepasitenkinimą. ESTT pridūrė, kad toks apribojimas prieštarautų ES teisėje įtvirtintai „žalos“ sąvokai. Tokio laipsnio, nuo kurio priklausytų galimybė gauti tokią kompensaciją, matavimas galėtų skirtis priklausomai nuo bylą nagrinėjančių teismų vertinimo.
Duomenų subjektų teisės ir jų įgyvendinimas
Asmuo gali kreiptis į tiesioginę rinkodarą siunčiantį subjektą dėl savo, kaip duomenų subjekto, teisių įgyvendinimo: teisės būti informuotam, teisės susipažinti su asmens duomenimis, teisės reikalauti ištaisyti duomenis, teisės reikalauti ištrinti duomenis, teisės apriboti duomenų tvarkymą, teisės į duomenų perkeliamumą. Duomenų subjektų paklausimai ar reikalavimai pasinaudoti bendrajame duomenų apsaugos reglamente numatytomis teisėmis neturėtų būti ignoruojami ar tik formaliai įvertinami, nes tai gali labai brangiai kainuoti.
Apibendrinant, advokatų profesinės bendrijos „NEWTON LAW“ advokatė A. Kederytė pažymi, kad tiesioginę rinkodarą vykdančioms įmonėms tenka pareiga užtikrinti ir galėti įrodyti, kad teisės aktuose numatyti reikalavimai yra pilnai įgyvendinti, o gavus asmenų prašymus dėl bendrajame duomenų apsaugos reglamente numatytų jų teisių, juos įvertinti ir imtis realių priemonių, kad jos būtų tinkamai įgyvendintos.
Vartotojų elgesys ir apsauga
Atlikto tyrimo rezultatai rodo, kad 44 proc. Lietuvos gyventojų teigia gaunantys reklaminių el. laiškų, o teisininkai teigia, jog dalis tokių laiškų vis dar siunčiami neteisėtai. Per paskutines 30 dienų dažniausiai į savo el. pašto dėžutes reklaminius laiškus gavo 18-25 bei 36-45 metų amžiaus vyrai, turintys aukštąjį išsilavinimą, gyvenantys didžiuosiuose miestuose.
Vartotojai, nenorintys gauti reklaminių laiškų, turėtų naudotis galimybe jų atsisakyti. Tai padarius naujienlaiškiai toliau paprastai nebesiunčiami. Jei tai nepadeda ir reklamos toliau plūsta į el. paštą, galima susisiekti su siuntėjo klientų aptarnavimo skyriumi ir raštu pranešti apie savo atsisakymą gauti tokius laiškus. Kai nepadeda ir šis būdas, galima kreiptis į vartotojų teises ginančias institucijas, pavyzdžiui, Vartotojų teisių apsaugos tarnybą arba Duomenų apsaugos inspekciją.
Daugiausiai problemų gali kilti tiems, kurie lankosi ir apsiperka internetinėse parduotuvėse, kurios nepriklauso Europos jurisdikcijai. Dažnai tokie siuntėjai piktnaudžiauja vartotojų duomenimis - siunčia nepageidaujamą reklamą ir nesuteikia galimybės jos atsisakyti. Tačiau kovoti su jais nėra efektyvių būdų. Vis dar be sutikimo gaunantiems reklaminius laiškus reikėtų panagrinėti jų turinį ir paieškoti galimybės reklamų atsisakyti. Naujienlaiškių ir kitokios tiesioginės rinkodaros siuntimas negali būti siurprizas.
tags: #duoemnu #apsaugos #istatymas #reklamos #siuntimas #bauda