BDAR baudų dydis ir pasekmės

By /

Nuo 2018 m. gegužės 25 d. pradėtas taikyti Bendrasis duomenų apsaugos reglamentas (BDAR) (angl. GDPR, General Data Protection Regulation), priimtas 2016 m. balandžio 27 d., yra aktualus visoms įmonėms, turinčioms klientų duomenų bazę ir taikančioms tiesioginę rinkodarą, bei subjektams, tvarkantiems ar valdantiems ES piliečių duomenis. Šis reglamentas pakeitė nuo 1995 m. galiojusį įstatymų paketą ir ES gaires.

Reglamente numatytas baudų dydis priverčia suklusti esamus ir būsimus duomenų valdytojus ir pažvelgti į asmens duomenų apsaugą labai atsakingai. Duomenų valdytojui ir duomenų tvarkytojui, pažeidusiam Reglamento nuostatas, gali būti skiriamos administracinės baudos, kurios kiekvienu konkrečiu atveju turi būti veiksmingos, proporcingos ir atgrasomos.

Kas yra asmens duomenys pagal BDAR?

Asmens duomenys - bet kokia informacija, susijusi su fiziniu asmeniu, kurio asmenybė nustatyta, arba fiziniu asmeniu, kurio asmenybę galima nustatyti. Svarbu atkreipti dėmesį, kad informacijos apsauga galioja fiziniam asmeniui, o juridiniams asmenims visos BDAR taisyklės ir įstatymas negalioja. Vis dėlto, net juridinio asmens darbuotojo el. pašto adresas, kuriame yra vardas ir pavardė, jau yra apsaugomas BDAR.

El. komercijos savininkams turėtų būti aktualios ir tokios smulkmenos, kaip batų dydis ar suknelės dydis, kurios, susietos su konkrečiu asmeniu ir jo tapatybe, jau yra laikomos jo privačia informacija, kuri yra saugoma ir reglamentuojama. Tas pats galioja IP adresui, vardui, pavardei, adreso informacijai ir kt. Kitas įdomus pavyzdys: telefono numerio ir vardo bei pavardės saugojimas telefone ruošiant, tarkime, pasiūlymą. Iš principo tai taip pat yra duomenys, kurie yra reglamentuojami. Jei neketinate tęsti darbo su klientu (pateikus pasiūlymą, bet jo nelaimėjus), tuos duomenis turėtumėte ištrinti.

Asmens duomenų tvarkymas reiškia „bet kurią operaciją ar operacijų rinkinį, automatiniais arba neautomatiniais būdais atliekamus su asmens duomenimis, kaip, pavyzdžiui, rinkimas, užrašymas, rūšiavimas, saugojimas, adaptavimas ar keitimas, atgaminimas, paieška, naudojimas, atskleidimas perduodant, platinant ar kitu būdu juos padarant prieinamus, išdėstymas reikiama tvarka ar sujungimas derinant, blokavimas, trynimas ar naikinimas.“

Konkrečiu el. komercijos atveju duomenų valdytojas būtų el. parduotuvės savininkas, o tvarkytojas - paslaugą atliekanti įmonė, kuri surenka asmenų adresus ir vėliau juos saugo, apdoroja ir kitaip naudoja paslaugai atlikti.

BDAR baudų dydžiai ir pažeidimų tipai

Priklausomai nuo Reglamento pažeidimo pobūdžio, bauda gali siekti nuo 2 iki 4 proc. metinės pasaulinės apyvartos arba fiksuotą pinigų sumą. Pažeidimai skirstomi į lengvesnius ir sunkesnius:

  • lengvus pažeidimus skiriamos administracinės baudos iki 10 000 000 Eur arba, įmonės atveju, iki 2 proc. metinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė.
  • sunkesnius pažeidimus skiriamos dvigubos baudos: iki 20 000 000 Eur arba iki 4 proc. metinės apyvartos.

Administracinės baudos kiekvienu konkrečiu atveju turi būti nustatytos kompetentingos priežiūros institucijos, atsižvelgiant į visas reikšmingas konkrečios situacijos aplinkybes ir deramai atsižvelgiant visų pirma į pažeidimo pobūdį, sunkumą, trukmę ir pasekmes, taip pat į priemones, kurių imtasi siekiant laikytis šiame reglamente nustatytų prievolių ir siekiant užkirsti kelią pažeidimo pasekmėms arba jas sumažinti. Jei administracinės baudos skiriamos įmonei, tais tikslais įmonė turėtų būti suprantama kaip įmonė, apibrėžta SESV 101 ir 102 straipsniuose. Jei administracinės baudos skiriamos asmenims, kurie nėra įmonė, svarstydama, koks būtų tinkamas baudos dydis, priežiūros institucija turėtų atsižvelgti į bendrą pajamų lygį valstybėje narėje ir į ekonominę to asmens padėtį.

Dažniausi BDAR pažeidimai, už kuriuos skiriamos baudos:

  • Skaidrumo principo nesilaikymas (BDAR 5, 13 ir 14 straipsnių pažeidimai): netinkamas duomenų subjektų informavimas, kai privatumo politikų apskritai nėra arba jose pateikiama klaidinanti ar neišsami informacija, arba informacija pateikiama pernelyg sudėtinga teisine kalba, nėra lengvai pasiekiama arba yra pernelyg ilga ir sudėtinga.
  • Neteisėtas duomenų tvarkymas (BDAR 6 ir 9 straipsnių pažeidimai): duomenų valdytojas turi asmens duomenis, tačiau negali pagrįsti jų tvarkymo jokiu teisiniu pagrindu (sutikimu, būtinybe vykdyti teisinę prievolę, viršesniu teisėtu interesu ir pan.). Šis pažeidimas ypač dažnas renkant duomenis slapukų pagalba.
  • Saugumo priemonių neužtikrinimas (BDAR 32 straipsnio pažeidimas): taikomos nepakankamos rizikos lygį atitinkančios saugumo priemonės, nepakankamai investuojama į technologijas, apsaugančias nuo išorės ir vidaus grėsmių, nepakankamai dėmesio skiriama darbuotojų kvalifikacijos kėlimui ir kibernetinės higienos mokymams.
Infografika: BDAR pažeidimų tipai ir atitinkami BDAR straipsniai

BDAR baudų statistika ES ir Lietuvoje

Žymi frazė, jog duomenys yra mūsų laikų nafta, gali atrodyti neįtikimai. Tačiau tik tol, kol išsamiau paanalizuojami sprendimai skirti baudas už BDAR pažeidimus. Kai kurios sumos, kurias per pastaruosius keletą metų skyrė Europos Sąjungos (ES) valstybių priežiūros institucijos, už BDAR pažeidimus, išties įspūdingos. Remiantis įvairių šaltinių duomenimis, per daugiau nei ketverius metus, kurie praėjo nuo BDAR taikymo pradžios, ES šalyse (įskaitant ir Jungtinę Karalystę) paskirta daugiau nei 1500 piniginių baudų.

Didžiausios baudos ES šalyse:

  • Liuksemburgas: didžiausia iš jų - 746 milijonai eurų, skirta Liuksemburgo priežiūros institucijos JAV bendrovės „Amazon“ Europos padaliniui už netinkamą asmens duomenų tvarkymą vykdant tiesioginę rinkodarą. Nustatyta, kad „Amazon“ ne tik netinkamai gaudavo asmenų sutikimus, bet ir neteisėtai perleisdavo gautus asmens duomenis tretiesiems asmenims.
  • Airija: Airijos duomenų apsaugos institucija skyrė 405 milijonų eurų baudą „Meta“ valdomai „Instagram“ platformai, kuri 13-17 metų paaugliams leido turėti verslo paskyras, dėl ko galėjo būti paviešinti jų telefono numeriai ir (arba) el. pašto adresai. Ta pati Airijos institucija skyrė ir 265 milijonų eurų baudą „Meta Platforms Ireland Limited“ dėl kontaktinių duomenų nuasmeninimo, kai pagal likusią informaciją (telefono numerius) konkrečių asmenų identifikacija vis tiek buvo galima.
  • Prancūzija: Prancūzijos asmens duomenų apsaugos institucija skyrė solidžias baudas kompanijoms „Google“ ir „Meta“ už Prancūzijos elektroninių ryšių naudojimo bei BDAR nuostatų, reglamentuojančių sutikimo gavimą, pažeidimus, susijusius su slapukų naudojimu.
  • Vengrija: mažiausia bauda - 28 eurai.
Diagrama: Didžiausios BDAR baudos Europoje

Situacija Lietuvoje ir Baltijos šalyse:

Lietuvoje situacija kiek kitokia - pas mus baudos skaičiuojamos ne milijonais, o tūkstančiais eurų. Pagal viešai prieinamą informaciją, Lietuvos Valstybinė duomenų apsaugos inspekcija (VDAI), viso, nuo reglamento taikymo pradžios iki šiol, yra skyrusi aštuonias pinigines baudas (nepiniginių administracinių nuobaudų, be abejo, yra kur kas daugiau).

  • „CityBee“: 2021 metais VDAI skyrė 110 tūkstančių eurų baudą trumpalaikės automobilių nuomos platformą „CityBee“ valdančiai UAB „Prime Leasing“ už negebėjimą užtikrinti duomenų saugumo ir dėl to patirtą klientų duomenų nutekėjimą.
  • Registrų centras: paskirta 15 tūkstančių eurų bauda už patirtą saugumo incidentą, kai liūties metu buvo užlieta dalis patalpų ir jame esanti įranga su asmens duomenimis.
  • „Vinted“: pirmasis Lietuvos vienaragis baudą gavo ne namų rinkoje, o Lenkijoje. Naudotų drabužių mainų ir prekybos platformai „Vinted“ Lenkijos konkurencijos ir vartotojų teisių apsaugos priežiūros tarnyba skyrė 1,13 milijonų eurų baudą.
  • Estija: per tą patį laikotarpį skyrė šešias pinigines baudas. Didžiausia, siekianti 100 tūkstančių eurų, skirta elektroninei parduotuvei. Mažiausia - 48 eurai, paskirta policijos pareigūnui.

Peržvelgus šią tarptautinę ir Lietuvos statistiką, gali susidaryti klaidingas įspūdis, neva mūsų priežiūros institucija yra nuolaidžiaujanti. Ši išvada greičiausiai būtų neteisinga. Pirmiausia, BDAR baudų skyrimo ir apskaičiavimo metodika yra suvienodinta visose ES valstybėse narėse. Antra, tokį didelį atotrūkį tarp Baltijos valstybių ir, pavyzdžiui, Airijos, lemia baudas gaunančių įmonių dydis. Mat jos apskaičiuojamos pagal konkrečios įmonės (arba, tam tikru atveju, visos grupės) ankstesnių finansinių metų apyvartą. Akivaizdu, kad Lietuvos įmonės pagal savo metines apyvartas, bent kol kas, negali varžytis su tokiomis milžinėmis kaip „Google“, „Amazon“ ar „Meta“.

Pavyzdžiai ir pamokos iš BDAR pažeidimų

Vaizdo stebėjimas viešosiose erdvėse

Trumpas situacijos aprašymas: bendrovė priešais savo patalpas įrengė vaizdo kamerą. Dalis vaizdo kameros stebėjimo lauko apėmė ir šaligatvį bei viešas automobilių stovėjimo aikšteles. Austrijos reguliatorius nustatė, kad toks vaizdo stebėjimas pažeidžia BDAR, pagal kurį neleidžiama stebėti didelės apimties viešųjų erdvių. Pagrindinė pamoka: nors Austrijos reguliatorius ne kartą skelbė, kad baudos bus skiriamos tik po oficialių įspėjimų ir tik toms įmonėms, kurios pažeidimus darys nebe pirmą kartą, ši bauda buvo išduota iškart be jokio perspėjimo.

Neteisėta prieiga prie paciento duomenų

Trumpas situacijos aprašymas: Portugalijos ligoninė buvo nubausta už tai, kad ligoninės darbuotojai, psichologai, dietologai ir kiti specialistai turėjo prieigą prie paciento duomenų sistemos per klaidingus profilius. Ligoninės sistemoje buvo 985 registruoti gydytojų profiliai, tuo tarpu ligoninėje dirbo tik 296 gydytojai. Be to, gydytojai turėjo neribotą prieigą prie visų pacientų bylų, nepriklausomai nuo gydytojo specialybės. Reguliatorius nustatė, kad ligoninė nenustatė tinkamų techninių ir organizacinių priemonių pacientų duomenims apsaugoti. Ligoninė teigė, kad ji naudojasi sistema, kurią viešosioms ligoninėms teikia Portugalijos sveikatos ministerija. Pagrindinė pamoka: šiuo atveju reguliatoriaus tyrimas buvo pradėtas ne gavus vartotojo skundą ar bendrovei pranešus apie duomenų saugumo pažeidimą, o reguliatoriui reaguojant į viešas publikacijas spaudoje.

Duomenų saugumo pažeidimas ir bendradarbiavimas

Trumpas situacijos aprašymas: socialinės žiniasklaidos įmonė pateikė Vokietijos reguliatoriui pranešimą apie tai, kad buvo įsilaužta į jos duomenų bazę. Įsilaužimo metu buvo pavogti ir paskelbti 330.000 vartotojų slaptažodžiai ir el. pašto adresai. Paaiškėjo, kad bendrovė nebuvo niekaip apsaugojusi savo vartotojų slaptažodžių ir el. pašto adresų. Pagrindinė pamoka: Vokietijos reguliatorius šį pažeidimą laikė reikšmingu (nutekintas didelis kiekis duomenų, jie visiškai neapsaugoti jokiomis techninėmis ar organizacinėmis priemonėmis), tačiau bauda buvo reikšmingai sumažinta, atsižvelgiant į labai stiprų bendrovės bendradarbiavimą ir norą įgyvendinti reguliatoriaus gaires ir rekomendacijas. Lietuvos Respublikos valstybinė duomenų apsaugos inspekcija taip pat yra ne kartą viešuosiuose savo pasisakymuose pabrėžusi, kad bendradarbiavimas ir pastangos, įdėtos į pažeidimo ištaisymą, bus vertinamos skiriant baudas.

Atitinkamai, nors gilias išvadas daryti dar anksti, tačiau jau ima ryškėti tendencija, kad Europos reguliatoriai nepuolė skirstyti milijoninių baudų į kairę ir į dešinę. Nors pažeidimų užfiksuota kur kas daugiau nei trimis aukščiau aprašytais atvejais, baudų skyrimo klausimas institucijų yra svarstomas itin atidžiai, o sankcijų klausimas, panašu, išties yra galutinė priemonė kovoti su akivaizdžiu aplaidumu ir duomenų apsaugos taisyklių ignoravimu. Nepaisant to, tai nereiškia, kad įmonės turėtų atsipalaiduoti ir nebedėti didelių pastangų į visišką atitiktį, manydama, kad tikimybė realizuotis milijoninės baudos grėsmei nedidelė. Priešingai, aukščiau išdėstytos jau įvykusių pažeidimų pamokos tik patvirtina, kad pažeidimų gali būti įvairiausių, ir netgi nebūtina prarasti didelio kiekio vartotojų duomenų, kad sulauktum griežto reguliatoriaus vertinimo.

BDAR nesilaikymo pasekmės

Bendrasis duomenų apsaugos reglamentas (BDAR) buvo įvestas siekiant apsaugoti asmens duomenis ir užtikrinti jų saugumą. Jei jūsų verslas nesilaiko šių reikalavimų, gali kilti rimtų pasekmių:

  1. Didelės finansinės baudos: Už mažesnius pažeidimus baudos gali siekti 10 milijonų eurų arba 2% metinių pajamų, o už sunkesnius - iki 20 milijonų eurų arba 4% metinių pajamų.
  2. Teisinės išlaidos ir procesai: Gali kilti didelės teisinės išlaidos, taip pat galimi teisminiai procesai dėl duomenų apsaugos pažeidimų.
  3. Reputacijos žala: Tai gali turėti ilgalaikių pasekmių jūsų verslui, nes žmonės nori dirbti tik su tais, kurie laikosi teisės aktų ir rūpinasi jų duomenų saugumu.
  4. Auditas ir priežiūra: Inspektoriai gali įpareigoti atlikti auditus ir teikti nuolatinę priežiūrą.

Apibendrinant, BDAR nesilaikymas gali sukelti rimtas finansines, teisines ir reputacijos pasekmes. Todėl įsitikinkite, kad asmenys, kurie jūsų įmonėje priima sprendimus, yra informuoti apie BDAR reikalavimus ir jų atsakomybę. Rekomenduojama apmokyti savo komandą ir užtikrinti, kad visi darbuotojai būtų susipažinę su BDAR reikalavimais ir jų atsakomybe.

Teminė nuotrauka: verslo komanda dirba su kompiuteriais, saugumo aspektai

BDAR principai ir įgyvendinimas

Įmonėms rekomenduojama turėti iš anksto numatytą duomenų saugumo pažeidimo procedūrą, kuria vadovaudamiesi galėtumėte įvertinti kylančios rizikos mastą ir dydį, nes nuo to priklauso, ar papildomai turėsite informuoti prižiūrinčias institucijas bei patį duomenų subjektą per 72 val. nuo pažeidimo atsiradimo.

Poveikio asmens duomenų apsaugai vertinimas (naujas vertinimas, reikalingas tik naujoms sistemoms ar procesams, negaliojantis esamiems patvirtintiems įmonių ar veiklos procesams) - tai procesas, skirtas apibūdinti, įvertinti būtinumą ir proporcingumą bei padėti valdyti rizikas, galinčias kilti dėl fizinių asmenų teisių ir laisvių tvarkant asmens duomenis. Tinkamai atliktas vertinimas gali padėti lengviau įrodyti savo tiesą įvykus incidentui ar atitiktį BDAR reikalavimams.

Kiti svarbūs BDAR principai:

  • Tikslo apribojimo principas: kiekvienam duomenų rinkiniui ar kiekvienam asmens duomenų tvarkymui reikalingas aiškus apibrėžtas tikslas.
  • Duomenų kiekio mažinimo principas: nebereikalingi ir nebenaudojami duomenys teoriškai turėtų būti iškart trinami ir nebesaugomi.
  • Sutikimas: rekomenduojama remtis tuomet, kai duomenų subjektas davė sutikimą, kad jo asmens duomenys būtų tvarkomi vienu arba keliais konkrečiais tikslais.

Rekomenduojame susikurti duomenų struktūrą, pavyzdžiui, Excel faile, kurioje jūs atsirinksite ir susirasite visą informaciją, kurią saugote apie savo vartotoją (vėliau tai galite išplėsti iki darbuotojų ir kt.). Iš esmės turite aprašyti ir kategorizuoti kiekvieną laukelį ar duomenis, saugomus apie vartotoją sistemoje, vėliau tuos sistemiškai sujungtus duomenis panaudoti tikslams išskirti. Juos turės patvirtinti (sutikti) jūsų el. parduotuvės lankytojas. Turėdami aiškius tikslus, kam naudosite lankytojų informaciją ir kokią informaciją saugosite, galėsite ruoštis pačiam BDAR integravimui į savo el. komerciją.

tags: #gdpr #baudos #dydis

Populiarūs įrašai:

  • Automobilių tendencijos pasaulyje
  • Vairuotojo pažymėjimas nuo 21 metų: viskas, ką reikia žinoti.
  • Išsamiau apie greičio apribojimus ir leistiną nuokrypį
  • „Prius“ hibridinio akumuliatoriaus patikros vadovas.
  • Išsamus gidas: Skoda Octavia durelių užrakinimas ir atrakinimas.