Asmens duomenų apsauga, teisinės sankcijos ir reguliavimo pokyčiai

By /

Pastaruoju metu Lietuvoje baudos už duomenų apsaugos pažeidimus porą kartų išaugo, tačiau, nepaisant to, jos išlieka vienos mažiausių Europoje. Asmens duomenų teisinės apsaugos įstatymo pažeidimas nuo šiol kainuos nuo 300 iki 1150 eurų. Pakartotinis neatsakingas požiūris į duomenų apsaugą gali baigtis bauda nuo 1100 iki 3000 eurų. Iki šiol duomenų apsaugos pažeidimai užtraukdavo baudą nuo 144 iki 289 eurų, o pakartotinio pažeidimo atveju buvo skiriamos baudos nuo 289 iki 579 eurų. Padidėjusios baudos rodo augančią duomenų apsaugos svarbą Lietuvoje.

Infografika apie Lietuvos duomenų apsaugos baudas (senas ir naujas)

Europos praktika ir milžiniškos baudos

Groteskiškas pavyzdys, rodantis skirtumus, įvyko 2010 m., kai grožio salone Lietuvoje buvo rastos kameros, filmuojančios darbuotojų persirengimo kambarį ir kosmetologinį kabinetą. Daugumoje Europos valstybių tokia veikla pasibaigtų žymiai liūdniau. Pavyzdžiui, Jungtinėje Karalystėje netinkamas požiūris į duomenų apsaugą gali baigtis pusės milijono svarų bauda. Vokietijoje ir Prancūzijoje grubūs privatumo ir duomenų apsaugos pažeidimai užtraukia baudas iki 300 tūkst. eurų. Europinėje praktikoje milžiniškas baudas užtraukia rimti pažeidimai. Pavyzdžiui, 2009 m. Vokietijoje prekybos tinklui buvo paskirta 1,46 mln. eurų bauda už daugybę duomenų apsaugos pažeidimų.

Bendrojo duomenų apsaugos reglamento (BDAR) įtaka

Verslo ir valstybės institucijų požiūrį į duomenų apsaugos pažeidimus pakeis ES bendrasis duomenų apsaugos reglamentas. Naujasis teisės aktas įsigaliojo 2018 m. gegužės 25 d. Viena didžiausių reglamento naujovių - gerokai didesnės baudos. Lengvesni pažeidimai gali nulemti baudas iki 10 mln. eurų arba 2 proc. metinės pasaulinės įmonės apyvartos, o sunkesni pažeidimai kainuos iki 20 mln. eurų arba 4 proc. metinės pasaulinės įmonės apyvartos.

Kastuvas. Trumpas animacinis filmas

Asmens duomenys ir jų tvarkymas yra pagrindinė bet kurios organizacijos veiklos dalis, nesvarbu, ar ji yra didelė, ar maža. Duomenų apsauga užtikrinama pagal ES pagrindinių teisių chartiją, o nuo 2018 m. gegužės mėn. pradėjus taikyti Bendrąjį duomenų apsaugos reglamentą (BDAR), Europos ekonominės erdvės (EEE) organizacijos turi užtikrinti, kad asmens duomenys būtų tinkamai apsaugoti laikantis šiame reglamente nustatytų procedūrų. Netinkamas asmens duomenų tvarkymas gali pakenkti organizacijos reputacijai ir sumažinti asmenų pasitikėjimą, kuris įgyjamas per ilgus metus. Taikant griežtas duomenų apsaugos ir saugumo priemones apsaugomi ne tik asmenų ar klientų asmens duomenys, bet ir organizacijos duomenys. Vienas iš pagrindinių reformos siekių yra grąžinti asmenims visišką jų asmens duomenų kontrolę, kas šiame skaitmeniniame amžiuje yra itin aktualu siekiant užtikrinti žmonių privatumą.

Svarbiausi asmens duomenų tvarkymo dokumentai įmonėje

Nepriklausomai nuo veiklos srities, paprastai visos įmonės tvarko asmens duomenis. Tačiau duomenų tvarkymo procesai jose neretai nėra sureguliuoti ir aprašyti. Situacija, kai įmonėje nėra nustatyta vieninga duomenų tvarkymo sistema, neparengti asmens duomenų tvarkymo dokumentai, nepaskirti už duomenų tvarkymą atsakingi asmenys kelia grėsmę asmens duomenų saugumui. BDAR šiuo atžvilgeliu numato itin griežtas sankcijas - administracines baudas, kurios gali siekti net iki 4% įmonės metinės apyvartos. Taigi, kuriems asmens duomenų tvarkymo dokumentams reikėtų pirmiausiai skirti dėmesį, siekiant apsaugoti įmonėje tvarkomus asmens duomenis?

Asmens duomenų auditas (inventorizacija)

Yra organizacijų, kuriose atitiktis pagal BDAR pradedama iš karto nuo asmens duomenų tvarkymo dokumentų rengimo, tačiau tai nėra teisinga. Asmens duomenų tvarkymo dokumentai negali būti rengiami iš karto. Prieš rengiant dokumentus pirmiausia turi būti atliekamas tvarkomų asmens duomenų auditas (inventorizacija). Būtina įvertinti, kokie asmens duomenys, kokiais tikslais ir kokiu pagrindu įmonėje yra renkami, kaip jie gaunami, kokie asmenys įmonėje yra atsakingi už jų tvarkymą. Taip pat, ar duomenis tvarko pati įmonė, ar pasitelkiami kiti asmenys/įmonės pagal paslaugų sutartis (duomenų tvarkytojai), ar duomenys perduodami į trečiąsias šalis. Kitaip tariant, reikalingas verslo proceso, projekto ar organizacijos lygmens tvarkomų duomenų identifikavimas (asmens duomenų auditas, inventorizacija, dar vadinamas - duomenų apsaugos auditas). Šios inventorizacijos rezultatams užfiksuoti gali padėti tvarkomų asmens duomenų elementų sąrašo sudarymas, parodysiantis, kokie asmens duomenys, kokiu tikslu ir pagrindu yra renkami įmonėje. Įvertinus paminėtus aspektus, taps aiškūs įmonėje atliekami asmens duomenų tvarkymo procesai, kurių žinojimas leis nustatyti reikiamus paruošti dokumentus.

Schema: Asmens duomenų audito proceso etapai

Asmens duomenų tvarkymo dokumentai ir taisyklės

BDAR nustato, kad viena iš priemonių užtikrinti tinkamas technines ir organizacines priemones asmens duomenų apsaugai yra asmens duomenų saugojimo politika. Duomenų valdytojo pareigą parengti ir įgyvendinti tokią politiką numato ir nacionalinė teisė. Tačiau neretai įmonėse asmens duomenų tvarkymo procesai nereguliuojami arba yra sureguliuoti tik formaliai. Patvirtinamos asmens duomenų tvarkymo taisyklės - šablonas, kuris gana dažnai yra tam tikrų nuostatų, nebūtinai atitinkančių įmonės faktinę situaciją, rinkinys su įmonės logotipu. Atkreiptinas dėmesys, kad vargu ar tokios šabloninės taisyklės atitiks įmonėje vykdomus procesus, todėl duomenų valdytojo pareiga užtikrinti asmens duomenų apsaugą negalės būti laikoma įvykdyta.

Taip pat reikalinga atkreipti dėmesį į tai, kad naujasis reguliavimas suteikia duomenų subjektams naujų teisių, tokių kaip teisė būti pamirštam ir teisė į duomenų perkeliamumą, kurių įgyvendinimui bus reikalingos ne tik techninės priemonės bei IT sistemų sprendimai, bet ir atitinkamos su jų įgyvendinimu susijusios procedūros. Su šių teisių įgyvendinimu susijusius aspektus įmonėje galėtų detalizuoti duomenų subjekto teisių įgyvendinimo taisyklės. Jose būtų pateikiami atsakymų į duomenų subjektų paklausimus terminai ir tvarka, įmonės vidinės procedūros duomenų subjekto teisių įgyvendinimui bei už jas atsakingi asmenys. Neskyrus dėmesio šiems aspektams aprašyti, įmonėje išliktų neaiški duomenų subjekto teisių įgyvendinimo tvarka bei jos vykdymui paskirti asmenys. Tai gali lemti riziką, jog duomenų subjekto teisės nebus tinkamai įgyvendintos, o tai savo ruožtu gali lemti administracinės baudos skyrimą duomenų valdytojui. Taip pat patartina įmonėje patvirtinti ir paskelbti (pavyzdžiui, interneto svetainėje) duomenų subjekto prašymo įgyvendinti savo teises formą. Ši forma palengvins duomenų subjektui kreipimąsi į įmonę ir savo teisių įgyvendinimą, o įmonei savo ruožtu padės nustatyti kurią teisę besikreipiantis asmuo siekia įgyvendinti.

Dar vienas svarbus aspektas duomenų subjekto teisių įgyvendinimo ir įmonės dokumentacijos kontekste - asmens duomenų subjektų sutikimai ir jų valdymo tvarkos aprašas. Duomenų subjekto sutikimas yra viena iš asmens duomenų tvarkymo teisėtumo sąlygų. BDAR jam kelia atitinkamus reikalavimus: sutikimas turi būti aiškiai atskirtas nuo kitų klausimų, pateiktas suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba. Juo duomenų subjektas informuojamas apie asmens duomenų tvarkymo tikslus ir principus, todėl rekomenduotina skirti dėmesį įmonės sutikimo formos parengimui. BDAR numato, kad kai duomenys tvarkomi gavus duomenų subjekto sutikimą, duomenų valdytojas turėtų galėti įrodyti, kad duomenų subjektas sutiko su duomenų tvarkymo operacija, todėl sutikimų gavimo, jų atšaukimo tvarką galėtų detalizuoti sutikimų valdymo tvarkos aprašas. Netinkamas sutikimas arba negalėjimas įrodyti jo gavimo neužtikrins duomenų tvarkymo teisėtumo, ir asmens duomenų tvarkymo dokumentai be jo bus nepakankami.

Taip pat svarbu pažymėti, kad BDAR numato pareigą duomenų valdytojams asmens duomenų pažeidimo atveju pranešti priežiūros institucijai bei, esant tikimybei, kad gali kilti didelis pavojus duomenų subjekto teisėms ir laisvėms, pranešti ir pačiam duomenų subjektui. Todėl pranešimo formos priežiūros institucijoms ir duomenų subjektams padėtų efektyviau įgyvendinti šią pareigą, juolab kad apie pažeidimą priežiūros institucijai reikalinga pranešti per 72 valandas. Taip pat BDAR numato pareigą duomenų valdytojui dokumentuoti visus duomenų saugumo pažeidimus, įskaitant su asmens duomenų saugumo pažeidimu susijusius faktus, jo poveikį ir taisomuosius veiksmus, kurių buvo imtasi. Šiai pareigai įgyvendinti tikslinga, kad įmonėje būtų patvirtintas ir pažeidimo atveju būtų pildomas duomenų saugumo pažeidimų registras.

Dokumentacijos įgyvendinimas ir peržiūra

Įmonėms, siekiančioms veiksmingo savo, kaip duomenų valdytojo, pareigų įgyvendinimo, nepakanka, jog būtų parengti asmens duomenų tvarkymo dokumentai. Būtina ir tinkamai juos įgyvendinti. Svarbu, kad iš parengtų dokumentų būtų aiškus BDAR atsakomybių pasiskirstymas, kas leistų nustatyti, kokie asmenys ir už kokią BDAR sritį įmonėje atsako. Prie veiksmingo parengtos dokumentacijos įgyvendinimo taip pat prisideda ir reguliari parengtų dokumentų peržiūra. Ji užtikrina, kad atliekamos duomenų tvarkymo procedūros atitinka aprašytąsias. Asmens duomenų tvarkymo dokumentai padeda užtikrinti teisėtumą. BDAR numato pareigą įmonėms, tvarkančioms asmens duomenis, imtis tinkamų techninių ir organizacinių priemonių duomenų subjektų teisių įgyvendinimo užtikrinimui bei duomenų apsaugai. Įmonės, siekdamos įvykdyti šią pareigą, turi atkreipti ypatingą dėmesį į vykdomus duomenų tvarkymo procesus ir jų aprašymą. Kruopščiai ir atsakingai atliktas asmens duomenų auditas, tinkamai parengti asmens duomenų tvarkymo dokumentai ne tik leis nustatyti už duomenų tvarkymą atsakingus asmenis, bet ir prisidės prie asmens duomenų tvarkymo teisėtumo užtikrinimo.

Pagrindinės asmens duomenų subjekto teisės pagal BDAR

Vienas iš pagrindinių reformos siekių yra grąžinti asmenims visišką jų asmens duomenų kontrolę. Ši teisė leidžia visiems ES piliečiams gauti suprantamos formos pranešimus apie asmens duomenis, kurie tvarkomi, ir informaciją dėl tvarkymo iš duomenų valdytojo. Tai reiškia, jog Jums kreipiantis, pavyzdžiui, į Jūsų mobilaus ryšio operatorių, pastarasis privalės pateikti Jums informaciją kokiais tikslais ir kokius Jūsų asmens duomenis tvarko, taip pat visą kitą susijusią informaciją.

  • Teisė į duomenų tikslinimą ir atnaujinimą. Tai aktualu dviem atvejais:
    1. Kada Jūsų pateikti duomenys yra netikslūs, Jūs galėsite reikalauti juos ištaisyti ir patikslinti.
    2. Kada tam tikri Jūsų asmens duomenys pasikeitė, pavyzdžiui namų adresas ar telefono numeris, visi ES piliečiai, pateikę prašymą, galės reikalauti atnaujinti ar pakeisti savo asmens duomenis.
  • Teisė į duomenų perkeliamumą. Ši visiškai nauja teisė suteiks asmenims galimybę laisvai perkelti savo asmens duomenis iš vieno paslaugos teikėjo kitam. Šios teisės praktiniu pavyzdžiu laikytina Jungtinėje Karalystėje veikiančios MIDATA procedūros. Vartotojai gali parsisiųsti savo banko ar kitų mokėjimų ir finansinių operacijų istoriją paprastu ir visuotinai priimtinu skaitmeniniu formatu, bei įkelti šią informaciją kitam paslaugos teikėjui ir matyti, kokios palūkanų ar kitų paslaugų kainos su šiais vartotojo duomenimis galima gauti pas kitą paslaugos teikėją. Asmenys savo asmens duomenis galės laisvai perkėlinėti iš vienos skaitmeninės aplinkos į kitą ir taip rasti geriausias siūlomas paslaugos sąlygas.
  • Teisė būti pamirštam (ištrinti duomenis). Visi ES piliečiai turės teisę reikalauti, kad duomenų valdytojas nepagrįstai nedelsdamas ištrintų su juo susijusius asmens duomenis, jeigu nebus jokio teisėto pagrindo tuos duomenis toliau tvarkyti. Praktikoje pasitaiko atvejų, kuomet pateikiame savo asmens duomenis siekdami gauti tam tikrų paslaugų ar prekių, tačiau nutraukus visą bendravimą įmonės dažnai vis vien pasilieka Jūsų asmens duomenis. Nuo 2018 m. gegužės 25 d. ši situacija pasikeitė.
  • Teisė nesutikti su profiliavimu ir tiesiogine rinkodara. Ši teisė iš dalies apima jau anksčiau minėtą teisę nebūti profiliuojamam, tačiau pagrindinė paskirtis yra skirta tiesioginei rinkodarai. Profiliavimas turėtų būti suprantamas kaip vien tik automatizuotomis priemonėmis renkami ir tvarkomi asmens duomenys siekiant nustatyti asmens elgseną ir pritaikyti jam konkrečius sprendimus. Bene geriausias profiliavimo pavyzdys yra vadinamieji sausainiukai (angl. cookies), kurie yra renkami Jums lankantis interneto svetainėse, o vėliau pagal jų surinktą informaciją asmenims pritaikomi sprendimai, tarkime, pritaikoma konkreti reklama pagal ankstesnes Jūsų paieškas internete. Naujajame reglamente yra nustatomos išimtys, kada visgi profiliavimas galimas. Dažnai sulaukiame įkyrių skambučių, siūlančių įvairias paslaugas, prekes ar kitokio pobūdžio komercinius sandorius. Pagal naują reglamentą visos įmonės privalės nustoti skambinti Jums ir siūlyti savo prekes nuo to momento, kai Jūs nurodysite, jog nesutinkate su savo asmens duomenų tvarkymu (šiuo atveju Jūsų telefono numeris taip pat yra Jūsų asmens duomenys).

Apibendrinant galima pasidžiaugti, jog Europos Sąjunga viena iš pirmųjų pasaulyje imasi iniciatyvos užtikrinti visų asmenų teises saugant savo asmens duomenis šiame skaitmeniniame amžiuje.

Teisinio reguliavimo pokyčiai ir ateities tendencijos

Duomenų apsaugos reikalavimai ir atsakomybė už šių reikalavimų laikymąsi kiekvienais metais vis griežtėja - taikomas jau gerai žinomas Bendrasis duomenų apsaugos reglamentas (BDAR), visos Europos Sąjungos (ES) mastu priimami nauji sprendimai, teisės aktai, gairės. Dalis su duomenų apsauga susijusių pasikeitimų - jau artimiausiu metu. Didžiausias galimas pokytis šiemet Lietuvoje nuo pat BDAR įsigaliojimo 2018 metais - Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo pakeitimo projektas.

Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo pakeitimo projektas

Jei bus priimtas šis jau Seime užregistruotas įstatymo projektas, gerokai keisis sprendimų, priimtų atlikus tyrimą ar patikrinimą, išnagrinėjus skundą, viešinimo tvarka. Dabar galima tikėtis, kad sprendimą priėmusi Valstybinė duomenų apsaugos inspekcija ne visada apie sprendimą paskelbs viešai ir atskleis duomenų valdytojo tapatybę, o su nauja tvarka atsiras reikalavimas viešinti visus priimtus sprendimus, kuriuose nustatomi teisės aktų pažeidimai. Tai reiškia, kad net ir sąlyginai lengvesni pažeidimai, už kuriuos neskiriamos reikšmingos sankcijos, turės poveikį pažeidimus padariusių įmonių reputacijai.

Dar svarbesnis pakeitimas - duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymas darbo santykių kontekste. Dabar duomenis apie darbuotojų (ar kandidatų) teistumą darbdaviams tvarkyti draudžiama, išskyrus atvejus, kai teisės aktais nustatyta tiesioginė pareiga. Pavyzdžiui, Azartinių lošimų įstatyme numatyta, kad aptarnaujantis personalas negali būti teistas už tam tikrus turtinius ir finansinius nusikaltimus, tad potencialus darbdavys gali reikalauti pažymos apie teistumą. Asmens duomenų teisinės apsaugos įstatymo pakeitimo projekte numatyta ir daugiau reikšmingų pakeitimų - keičiamos skundų nagrinėjimo bei tyrimų ir (ar) patikrinimų atlikimo sąlygos ir procedūros, tikslinamas ryšys tarp įstatymo ir ES teisės aktų ir kt. Įstatymo pakeitimo tekstas keistas jau ne vieną kartą, o naujausia įstatymo pakeitimo projekto versija, registruota šių metų vasario 21 d., vėl susilaukė pastabų, todėl neaišku, kada (ir ar apskritai) bus priimti šie pakeitimai.

Tinklo ir informacinių sistemų saugumo direktyva (TIS 2)

Daugiau su duomenų apsauga ir informacinių technologijų saugumu susijusių reikalavimų greičiausiai atsiras ir kitąmet. Reikšmingų pakeitimų kibernetinio saugumo srityje laukiama įsigaliojus antrajai Tinklo ir informacinių sistemų saugumo direktyvai (TIS 2), pakeisiančiai dabartinį reguliavimą, kuris nebeužtikrina tinkamo kibernetinio saugumo. TIS 2 direktyva bus taikoma nuo kitų metų spalio 18 dienos. Nors dar neaišku, kaip ši jau priimta direktyva bus perkelta į nacionalinę teisę, tačiau ruoštis reikėtų jau dabar, nes naujasis reguliavimas bus taikomas platesniam subjektų ratui.

Perkėlus direktyvą į nacionalinę teisę ir pradėjus ją taikyti, kibernetinio saugumo pareigos bus taikomos svarbiuose ūkio sektoriuose veikiančioms vidutinėms įmonėms ir įmonėms, kurios viršija tam tikras ES lygmeniu nustatytas su įmonės dydžiu susijusias ribas, pvz., 250 darbuotojų ribą. Taip pat, nepaisant įmonių dydžio, kibernetinio saugumo subjektais ir toliau laikomi viešųjų elektroninių ryšių tinklų ir (ar) paslaugų teikėjai, subjektai, teikiantys paslaugas, kurių sutrikimas gali turėti didelį poveikį visuomenės saugumui ar sveikatai, ir kiti. Be to, išplėtus kibernetinio saugumo subjektų ratą, atsiras nemažai naujų ar išplėstų pareigų:

  • TIS 2 apibrėžti esminiai ir svarbūs subjektai turės įdiegti rizikos analizės ir informacinių sistemų saugumo politikas;
  • rūpintis tiekimo grandinės saugumu (pvz., užsakydami paslaugas, turės vertinti paslaugų teikėjų saugumo lygį);
  • organizuoti kibernetinio saugumo mokymus ir t.t.

Įmonės, siekdamos užtikrinti atitiktį TIS 2 reikalavimams, tikėtina, susidurs su išaugusiomis informacinių technologijų paslaugų ir kitomis susijusiomis išlaidomis.

ePrivatumo reglamentas

Su nekantrumu laukiama ir naujojo Reglamento dėl privatumo ir elektroninių ryšių, vadinamojo ePrivatumo reglamento, kuris pakeis dabar galiojančią ePrivatumo direktyvą. Naujasis reguliavimas skirtas užtikrinti, kad ES teisės aktai neatsiliktų nuo spartaus informacinėmis technologijomis grindžiamų paslaugų plėtojimo. Veiklos sąlygas ES lygmeniu suvienodinsianti direktyva taip pat įves elektroninio pašto brukalų, tiesioginės rinkodaros bei nepageidaujamos komunikacijos draudimą, užtikrins efektyvesnę teisės aktų laikymosi priežiūrą, detalizuos privatumo sąlygas naudojant ryšių duomenis ir metaduomenis. ePrivatumo reglamentas atneš ir verslą lengvinančių pakeitimų - numatoma, jog telekomunikacijų operatoriai turės daugiau galimybių teikti papildomas paslaugas ir plėtoti savo verslą, o kitus verslus labiausiai turėtų džiuginti paprastesnės taisyklės dėl slapukų. Deja, ePrivatumo reglamentas dar nepriimtas ir artimiausiu metu šio teisės akto laukti nereikėtų. Teisės akto taikymas laukiamas 2025 m. ar net vėliau. Už privatumo taisyklių nesilaikymą numatytos milijoninės baudos.

Augančios baudos ir pamokos verslui

Kad į duomenų apsaugos pažeidimus žiūrima vis rimčiau, rodo dabartinė situacija: per trejus metus nuo BDAR įsigaliojimo buvo skirta sąlyginai nedaug - 300 mln. eurų baudų. Tuo tarpu per pastaruosius du metus bendras baudų dydis drastiškai išaugo ir šiuo metu siekia beveik 3 mlrd. eurų. Daugiau nei 5 milijardai eurų - tiek 2024-aisiais pasaulyje skirta baudų už Bendrojo duomenų apsaugos reglamento (BDAR) pažeidimus. Už nepilnamečių privatumo pažeidimus, duomenų praradimus ir netinkamas procedūras reaguojant į pažeidimus Airijos duomenų apsaugos priežiūros institucija „Meta“ nubaudė šimtamilijoninėmis baudomis. Viena iš paskirtų baudų siekė net 405 mln. eurų, ir tai yra antra didžiausia už BDAR pažeidimus iki šiol skirta bauda. Matomos aiškios tendencijos, jog nors nuo BDAR įsigaliojimo reikšmingai nesikeičia baudų skyrimo tempas, tačiau dramatiškai auga jų dydis. Daugiausiai dėmesio verslui reikėtų atkreipti į bendrųjų duomenų apsaugos principų laikymąsi, tinkamo teisinio duomenų tvarkymo pagrindo nustatymą, tinkamų techninių ir organizacinių saugumo priemonių įdiegimą ir duomenų subjektų informavimą. Beveik visos baudos yra skiriamos būtent už šių pareigų nesilaikymą ir su šiais reikalavimais susijusius pažeidimus.

Pagrindinės pamokos iš didelių BDAR baudų:

  1. Didelė bauda (310 mln. eurų): neužtenka vien tik deklaratyviai nurodyti teisinį pagrindą - jis turi iš tikrųjų egzistuoti.
  2. Didelė bauda (290 mln. eurų): bendrovės privalo ne tik reguliariai peržiūrėti vykdomas duomenų tvarkymo operacijas, bet ir sekti teisinį reguliavimą.
  3. Didelė bauda (91 mln. eurų): nereikėtų bandyti sutaupyti techninių ir organizacinių saugumo priemonių sąskaita.
  4. Didelė bauda (79 mln. eurų): negalima aklai pasikliauti pasitelktais paslaugų teikėjais.
  5. Didelė bauda (32 mln. eurų): nors darbdaviai ir turi teisę vykdyti darbuotojų stebėseną bei kontrolę darbo vietoje, toks duomenų tvarkymas turi kuo mažiau suvaržyti darbuotojų teisę į privatumą.
Pasaulio žemėlapis su didžiausiomis BDAR baudomis skirtingose šalyse

Tiesa, Lietuvoje kol kas ramiau: pernai vienai informacinių technologijų bendrovei dėl nesugebėjimo užtikrinti nuolatinio duomenų tvarkymo sistemų ir paslaugų konfidencialumo bei vientisumo buvo skirta 35 tūkstančių eurų siekianti bauda. Tuo metu vienas Lietuvoje veikiantis sporto klubas dėl neteisėto klientų biometrinių duomenų tvarkymo sulaukė 6 tūkstančių eurų baudos. Nors Lietuvoje baudos sąlyginai nedidelės, padėtis gali drastiškai pasikeisti. Didesnes baudas Lietuvoje gali sąlygoti tendencijos visoje ES, įskaitant griežtėjantį požiūrį į privatumo apsaugą. Kita vertus, auga ir visuomenės informuotumas apie jų turimas privatumo teises bei asmenų pasirengimas šias teises ginti. Valstybinės duomenų apsaugos inspekcijos duomenimis, Lietuvoje 2021 m. skundus dėl duomenų apsaugos pažeidimų būtų teikę 19 procentų respondentų, o pernai - jau 24 procentai. Bendrovės, kurios vis dar neužtikrina tinkamos privatumo apsaugos, turėtų suskubti, nes europiniai pavyzdžiai ir besikeičiantis visuomenės požiūris gali auginti ne tik baudų kiekį, bet už atsainų duomenų tvarkymą skiriamų baudų dydį, o tai gali brangiai kainuoti.

tags: #duomenu #saugojimas #bauda

Populiarūs įrašai:

  • Skaitykite straipsnį apie darbinio veleno blokavimą
  • Išsamiau apie Andriaus Kaušpėdo patirtį teisėje ir versle
  • Automobilių dalys Nemėžyje su puikiu aptarnavimu
  • Sužinokite daugiau apie Peugeot varžtus
  • UAB „Motostaras“ pasiūla