Pirmoji BDAR bauda Lietuvoje ir reglamento taikymo principai

By /

Nuo 2018 m. gegužės 25 d. visoje Europos Sąjungoje pradėtas taikyti Bendrasis duomenų apsaugos reglamentas (BDAR), arba GDPR (angl. General Data Protection Regulation), iš esmės pakeitęs asmens duomenų apsaugos reguliavimą. Šis reglamentas aktualus kiekvienai bendrovei ar įstaigai, renkančiai, naudojančiai ar saugančiai informaciją apie klientus, darbuotojus, tarnautojus, piliečius, reklamos adresatus, interneto puslapio lankytojus, interesantus, pacientus, studentus ir kitus fizinius asmenis. Naujasis reglamentas taip pat svarbus įstaigoms, naudojančioms vaizdo kameras.

BDAR logo, grafinis BDAR pagrindinių principų atvaizdavimas

Pirmoji BDAR bauda Lietuvoje: „MisterTango“ atvejis

Praėjus metams nuo BDAR taikymo pradžios, 2019 m. gegužės 17 d. Valstybinė duomenų apsaugos inspekcija (VDAI) paskyrė pirmąją baudą Lietuvoje. Elektroninių pinigų įstaigos „MisterTango“ pažeidimai buvo įvertinti 61,5 tūkst. EUR bauda.

Nustatyti pažeidimai:

  • Asmens duomenų kiekio mažinimo principo pažeidimas: „MisterTango“ rinko perteklinius mokėtojų duomenis. Tai apėmė neperžiūrėtų elektroninių sąskaitų pateikimo datas, siuntėjų pavadinimus bei sumas; neperskaitytų pranešimų pateikimo datas, temas ir dalį pranešimo teksto; turimų paskolų paskirtis, pobūdžius, sumas; pensijų fondų pavadinimus, sukauptus vienetus, jų vertę, sukauptas sumas; kredito tipus (pvz., būsto), mokėtinus likučius, kitų mokėjimų sumas bei datas, išduotų mokėjimo kortelių numerius ir jose esančias sumas.
  • Duomenų saugojimo terminų pažeidimas: Įmonė duomenis saugojo ilgiau, negu pati nustatė ir nurodė esant reikalinga. Dalis duomenų buvo saugota 216 dienų, vietoje nustatytų 10 minučių.
  • Duomenų saugumo pažeidimas: Ne mažiau kaip 2 dienas internete buvo prieinamas tinklalapis su „MisterTango“ apdorotų mokėjimų sąrašu, kuriame buvo matomi įvairių bankų įstaigų klientų atlikti mokėjimai per „MisterTango“ mokėjimo inicijavimo paslaugų sistemą su tų klientų asmens duomenimis. Internete taip pat buvo prieinama daugiau kaip 9 000 momentinių ekrano vaizdų su 12 skirtingų bankų, esančių skirtingose valstybėse, klientų mokėjimo sesijų detalių puslapiais.
  • Nepakankamas IT infrastruktūros valdymas: Įmonėje saugos užtikrinimą ir valdymą bei visos įmonės IT infrastruktūros (techninės ir programinės) valdymą, diegimą ir priežiūrą vykdė vienas darbuotojas. Dėl to nebuvo užtikrintas tinkamas neautorizuotų ar netyčinių modifikacijų galimybių minimizavimas ir tinkamos asmens duomenų apsaugos politikos įgyvendinimas.

„Cobalt“ asocijuota teisininkė Renata Vasiliauskienė, sako, kad sprendžiant iš VDAI pranešimo, „MisterTango“ padarė tris BDAR pažeidimus. Renata Vasiliauskienė pabrėžia, kad VDAI nuostatas aiškina gana griežtai. Pavyzdžiui, inspekcijos nuomone, duomenų saugos pažeidimas, kuomet dvi dienas internete neautorizuotiems asmenims buvo sudaryta galimybė prieiti prie asmens duomenų, laikytinas tokiu duomenų saugumo pažeidimu, apie kurį privaloma pranešti priežiūros institucijai. Pasak Renatos Vasiliauskienės, beveik visų VDAI tyrimų metu nustatoma, kad yra tvarkomi pertekliniai asmens duomenys, t.y. jų renkama daugiau negu reikia nustatytam tikslui pasiekti. Akivaizdu, kad verslas aplaidžiai žiūri į šį reikalavimą ir „neišsišluoja“ savo asmens duomenų ūkio. Pasak jos, šiek tiek neramina VDAI reakcija dėl trečiojo nustatyto pažeidimo, t.y. juk, pasak įmonės atstovų, nors ir buvo atsiradusi saugumo spraga, ja pasinaudota nebuvo ir teoriškai nukentėti galėjo tik kelios dešimtys žmonių.

Advokatų kontoros „AAA Law“ teisininkė Kristina Rišytė-Augustinaitienė, atkreipia dėmesį ir į tai, jog skirdama baudą VDAI papildomai akcentavo, kad bendrovėje „MisterTango“ saugos užtikrinimą ir valdymą bei visos įmonės IT infrastruktūros valdymą vykdė vienas darbuotojas. Pasak teisininkės, tai yra signalas, kad bendrovių veikloje itin svarbu laikytis asmens duomenų tvarkymo „higienos“, t. y. saugojimo ir valdymo reikalavimų. Iš pirmosios VDAI Lietuvoje skirtos baudos verta pasimokyti kiekvienam. Viena esminių pamokų - neužtenka vien pasitvirtinti vidinius bendrovės dokumentus dėl asmens duomenų tvarkymo. „MisterTango“ atvejis parodo, kad verslas suklumpa ties tinkamų techninių bei organizacinių priemonių taikymu savo veikloje, renkasi verčiau nuslėpti duomenų saugumo pažeidimą, nei apie jį informuoti Inspekciją ir neinvestuoja į žmogiškuosius išteklius bei darbuotojų kompetenciją dirbant su duomenų saugumu.

Inspekcijos sprendimas kol kas nėra įsiteisėjęs ir greičiausiai bus skundžiamas teismui, todėl galutinio sprendimo dar reikės palaukti. Tačiau, koks jis bebūtų, viena yra akivaizdu - ignoruoti BDAR ir duomenų apsaugos politikos šiuo metu labai neapsimoka. Inspekcijos atliekamų tyrimų apimtys tik didės, o skiriamų baudų dydis gali suduoti reikšmingą smūgį bet kokiam verslui.

BDAR baudos kitose šalyse: „Google“ atvejis Prancūzijoje

Prancūzijos duomenų apsaugos institucija (CNIL) kompanijai „Google“ skyrė 50 mln. eurų baudą už kelis pažeidimus: skaidrumo ir informavimo įsipareigojimų pažeidimą bei reikalavimų turėti teisėtą pagrindą reklamos personalizavimui nevykdymą. CNIL gavo skundus iš dviejų asociacijų - None Of Your Business („NOYB“) ir La Quadrature du Net („LQDN“).

Pažeidimai:

  • Skaidrumo ir informavimo įsipareigojimų pažeidimas: Duomenų tvarkymo tikslai, saugojimo laikotarpiai ar reklamos personalizavimui naudojamos asmens duomenų kategorijos bei kita esminė informacija yra pernelyg išmėtyta per kelis dokumentus ir sunkiai atsekama, būtina spustelti mygtukus bei nuorodas, kad gautum papildomą informaciją. Naudotojui norint sužinoti, kaip reklamos personalizavimui tvarkomi jo duomenys, reikia daugiau nei 5 žingsnių.
  • Teisėto pagrindo reklamos personalizavimui trūkumas: „Android“ nustatymai sukurti taip, kad telefono konfigūracijos metu „Google“ realiai verčia naudotoją prisijungti arba prisiregistruoti prie „Google“ paskyros. Bendrovė informuoja, kad kliento patirtis bus blogesnė, jei jis neturės „Google“ paskyros. „Google“ siūlant savo pasirinkimus, nėra paaiškinama jų reikšmė. Tai yra, kai „Google“ klausia vartotojo, ar šis nori individualizuotos reklamos, naudotojui nepaaiškinama, kad kalba eina ne apie „Android“ telefoną, bet apie aibę skirtingų paslaugų, apimančių „Google“ žemėlapius, „YouTube“ ir t. t. Be to, kuriant „Google“ paskyrą neprašoma konkretaus ir nedviprasmiško sutikimo - galimybė atsisakyti personalizuotos reklamos yra paslėpta po nuoroda „Daugiau parinkčių“.

Tai pirmas kartas, kai CNIL taiko naujas GDPR nustatytas sankcijų ribas. Tokia suma ir baudos viešinimas pateisinami pažeidimų sunkumu, susijusiu su esminiais GDPR principais: skaidrumu, informavimu ir sutikimo davimu.

Dveji metai su BDAR. Dokumentai paruošti, o kaip sistemos?

Kas yra Bendrasis duomenų apsaugos reglamentas (BDAR)?

BDAR yra Europos Sąjungos teisės aktas, skirtas asmens duomenų apsaugai ir privatumui. Jis nustato griežtus reikalavimus, kaip įmonės ir organizacijos turi rinkti, tvarkyti, saugoti ir naudoti asmens duomenis.

Kada taikomas BDAR?

BDAR taikomas visoms įmonėms ir organizacijoms, kurios tvarko ES piliečių duomenis, nepriklausomai nuo to, ar jos yra įsisteigusios ES, ar ne. Už ES ribų įsisteigusios įmonės, kurios tvarko ES piliečių duomenis, turi paskirti atstovą Europos Sąjungoje.

Kas yra asmens duomenys?

Asmens duomenys - tai bet kokia informacija, susijusi su identifikuotu arba identifikuojamu fiziniu asmeniu (duomenų subjektu). Tai gali būti vardas, pavardė, adresas, el. pašto adresas, telefono numeris, IP adresas ir kita informacija, pagal kurią asmuo gali būti tiesiogiai arba netiesiogiai identifikuotas.

Kas tvarko asmens duomenis?

  • Duomenų valdytojas: asmuo, valstybės institucija, agentūra ar kita įstaiga, kuri viena ar kartu su kitais nustato asmens duomenų tvarkymo tikslus ir priemones.
  • Duomenų tvarkytojas: asmuo, valstybės institucija, agentūra ar kita įstaiga, kuri tvarko asmens duomenis duomenų valdytojo vardu.

Kada leidžiama tvarkyti duomenis?

Asmens duomenis leidžiama tvarkyti tik esant teisėtam pagrindui. Tokie pagrindai gali būti:

  • Asmens sutikimas: Sutikimas turi būti konkretus, nedviprasmiškas, laisvai duotas ir aiškus. BDAR taikomos griežtos sutikimu pagrįsto duomenų tvarkymo taisyklės. Pagrindinė paskirtis - užtikrinti, kad asmuo suprastų, dėl ko jis duoda sutikimą. Sutikimas gali būti duotas aiškiu patvirtinamuoju veiksmu, pavyzdžiui, pažymint žymimąjį langelį arba pasirašant formą. Asmens duomenys gali būti tvarkomi tik tais tikslais, dėl kurių buvo duotas sutikimas. Duomenų valdytojas turi suteikti asmeniui galimybę atšaukti savo sutikimą.
  • Sutarties vykdymas: Duomenų tvarkymas būtinas sutarčiai, kurios šalis yra duomenų subjektas, vykdyti arba siekiant imtis veiksmų duomenų subjekto prašymu prieš sudarant sutartį.
  • Teisinės prievolės vykdymas: Duomenų tvarkymas būtinas duomenų valdytojui taikomai teisinei prievolei įvykdyti.
  • Gyvybiškai svarbių interesų apsauga: Duomenų tvarkymas būtinas siekiant apsaugoti duomenų subjekto arba kito fizinio asmens gyvybiškai svarbius interesus.
  • Viešojo intereso užduoties vykdymas: Duomenų tvarkymas būtinas siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas.
  • Legitimūs interesai: Duomenų tvarkymas būtinas duomenų valdytojo arba trečiosios šalies teisėtiems interesams, išskyrus atvejus, kai duomenų subjekto interesai arba pagrindinės teisės ir laisvės, kurioms reikia asmens duomenų apsaugos, yra viršesni už tuos interesus.

Duomenų tvarkymas turi būti apribotas iki minimumo, kuris yra būtinas nustatytam tikslui pasiekti. Nustatoma, kad tvarkomi pertekliniai asmens duomenys, t.y. jų renkama daugiau negu reikia nustatytam tikslui pasiekti. Taip pat draudžiama rinkti specialiųjų kategorijų duomenis (rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus, narystę profesinėse sąjungose, genetinius ar biometrinius duomenis, duomenis apie sveikatą ar lytinį gyvenimą, arba informaciją apie teistumą) išskyrus atvejus, kai tai leidžiama pagal ES ar nacionalinę teisę.

BDAR duomenų tvarkymo principai, schema

BDAR reikalavimai ir teisės

Duomenų apsaugos pareigūnas (DAP)

DAP yra atsakingas už duomenų apsaugos nuostatų laikymosi stebėseną įmonėje ir teikia konsultacijas darbuotojams. Kada turėtumėte paskirti duomenų apsaugos pareigūną?

  • Jūs tvarkote duomenis dideliu mastu.
  • Jūs tvarkote specialiųjų kategorijų asmens duomenis (pvz., apie genetiką arba sveikatą).
  • Jūs naudojate automatizuotą duomenų tvarkymą, kuris gali turėti didelį poveikį asmenų teisėms.
  • Jūsų pagrindinė veikla yra susijusi su asmens duomenų tvarkymu, kuriam dėl savo pobūdžio, masto ir (arba) tikslų reikia reguliaraus ir sistemingo didelio masto duomenų subjektų stebėjimo, arba specialiųjų kategorijų duomenų ir duomenų apie nuosprendžius dėl baudžiamųjų veikų ir pažeidimus tvarkymu dideliu mastu.

Jeigu jūsų įmonė tvarko duomenis ne dideliu mastu, DAP tikriausiai nereikalingas. DAP gali būti vidinis darbuotojas arba išorės rangovas, dirbantis pagal sutartį.

Duomenų subjekto teisės

BDAR užtikrina fizinių asmenų teises, susijusias su jų asmens duomenų tvarkymu:

  • Teisė būti informuotam: Asmenys turi teisę žinoti, kaip ir kodėl tvarkomi jų duomenys. Šią informaciją turėtumėte pateikti aiškia ir suprantama kalba.
  • Teisė susipažinti su duomenimis: Privalote užtikrinti, kad asmenys turėtų teisę nemokamai susipažinti su savo asmens duomenimis ir gauti tvarkomų asmens duomenų kopiją (prieinamu formatu) per 1 mėnesį nuo prašymo gavimo. Prašymai turėtų būti nagrinėjami nemokamai. Jeigu atsisakoma nagrinėti prašymą, būtina nurodyti atsisakymo priežastis ir apie asmens teisę paduoti skundą duomenų apsaugos institucijai.
  • Teisė į duomenų perkeliamumą: Asmuo turi teisę gauti su juo susijusius asmens duomenis, kuriuos jis pateikė duomenų valdytojui, ir turi teisę persiųsti tuos duomenis kitai įmonei. Duomenys turi būti pateikti bendrai naudojamu ir automatizuotai nuskaitomu formatu.
  • Teisė reikalauti ištaisyti duomenis: Jeigu asmens duomenys yra netikslūs, jis turi teisę reikalauti, kad jie būtų nedelsiant ištaisyti arba papildyti. Būtina pranešti apie pakeistus ar ištrintus duomenis visiems, su kuriais duomenimis buvo pasidalinta (išskyrus atvejus, kai manoma, kad tam prireiktų neproporcingų pastangų).
  • Teisė reikalauti ištrinti duomenis („teisė būti pamirštam“): Asmuo turi teisę reikalauti, kad jo asmens duomenys būtų ištrinti, jei jie nebėra reikalingi tiems tikslams, kuriems buvo surinkti, arba jei atšaukiamas sutikimas, arba duomenys tvarkomi neteisėtai.
  • Teisė apriboti duomenų tvarkymą: Asmuo turi teisę reikalauti, kad duomenų tvarkymas būtų apribotas tam tikrais atvejais, pavyzdžiui, kai duomenys yra netikslūs.
  • Teisė nesutikti su duomenų tvarkymu: Asmuo turi teisę nesutikti su savo asmens duomenų tvarkymu, jei tai daroma dėl teisėtų duomenų valdytojo interesų arba siekiant įvykdyti užduotį viešojo intereso labui. Bus nustatyta, ar jūsų teisėtas interesas yra viršesnis už jo interesą, ar ne.
  • Teisės, susijusios su automatizuotu duomenų tvarkymu: Asmuo turi teisę, kad jam nebūtų taikomas sprendimas, grindžiamas tik automatizuotu duomenų tvarkymu. Suteikti asmeniui galimybę ginčyti automatizuotą sprendimą ir reikalauti, kad įsikištų žmogus.

Jeigu asmens duomenys perduodami už ES ribų, BDAR suteikiama apsauga turėtų „keliauti“ kartu su duomenimis. ES nepriklausančios šalies apsaugos priemones ES laiko tinkamomis, jei atitinka BDAR keliamas sąlygas.

Duomenų tvarkymas, susijęs su vaikais

Jeigu jūsų paslaugos skirtos vaikams, pavyzdžiui, socialinio tinklo paskyra arba atsisiunčiama paskyra, pirmiausia privalote gauti tėvų sutikimą, pavyzdžiui, tėvui (motinai) arba globėjui (-ai) nusiųsdami pranešimą. Tai taikoma, kai vaikas yra iki 13-16 metų (priklausomai nuo šalies).

Duomenų apsauga jau planuojant

Duomenų apsaugą turėtų atsižvelgti pradiniuose tokio planavimo etapuose, kad jau projekto kūrimo metu būtų įdiegtos atitinkamos techninės ir organizacinės priemonės, siekiant įgyvendinti duomenų apsaugos principus ir apsaugoti asmenų teises. Tokie veiksmai galėtų būti, pavyzdžiui, pseudonimų suteikimas arba duomenų tvarkymo apribojimai kaip standartizuotieji parametrai.

BDAR baudos ir pasekmės

BDAR pažeidimų baudos siekia iki 20 mln. EUR arba sudaro 4 proc. jūsų įmonės pasaulinės apyvartos (priklausomai nuo to, kuri suma yra didesnė). Šie skaičiai turėtų versti sunerimti verslo subjektus (įmones bei pagal verslo liudijimą ar individualią veiklą veikiančius asmenis), kadangi VDAI taikiniai yra būtent jie. Šiai dienai, žiūrint esamą statistiką, vis daugiau ir daugiau fizinių asmenų sąmoningai įskundžia įmones dėl šių padarytų duomenų apsaugos pažeidimų.

Duomenų apsaugos institucija taip pat gali nurodyti jums nustoti tvarkyti asmens duomenis.

12 pasiruošimo BDAR žingsnių

Valstybinė duomenų apsaugos inspekcija parengė 12 žingsnių rekomendacijas, kuriomis galite vadovautis, kad pasiruoštumėte nuo 2018 m. gegužės 25 d. taikyti Bendrąjį duomenų apsaugos reglamentą (ES) 2016/679. Šios rekomendacijos, pritaikius Lietuvai, buvo parengtos pagal Jungtinės Karalystės Informacijos komisionieriaus tarnybos (Information Commissioner‘s Office) parengtas gaires „Preparing for the General Data Protection Regulation (GDPR)“.

BDAR pasiruošimo kontrolinis sąrašas, infografika

tags: #pirmoji #gdpr #bauda

Populiarūs įrašai:

  • Turbokompresorių supirkimas
  • Keliaukite į Daniją su išsinuomotu automobiliu
  • kaip atnaujinti automobilio sėdynes
  • Toyota elektrinių krautuvų apžvalga
  • Techninė Opel Frontera benzininių variklių apžvalga