Nuo 2015 m. liepos 1 d. baudos už administracinius nusižengimus (administracinius teisės pažeidimus) yra sumokamos atskiru mokėjimo nurodymu už kiekvieną pažeidimą. Įgyvendinant 2012 m. kovo 14 d. Europos Parlamento ir Tarybos reglamento Nr. 260/2012 nuostatas, pereinant prie SEPA bendros mokėjimų eurais erdvės, keičiasi elektroninių mokėjimų taisyklės, praktika ir mokėjimų nurodymų formatai. SEPA mokėjimo nurodymo formoje, struktūrizuotame mokėjimo paskirties lauke turi būti nurodomas įmokos kodas, o laisvo teksto mokėjimo paskirties laukas nepildomas.
Informacijos apie paskirtas administracines baudas tikrinimas
Informaciją apie Jums paskirtų administracinių baudų prievoles galite pasitikrinti prisijungę prie Mano VMI sistemos. Pradžios lange, skiltyje „Mokesčiai ir baudos“, rasite aktualią informaciją apie paskirtas administracines baudas ir nesumokėtas sumas, nusižengimų padarymo datas, baudų sumas, sumokėjimo terminus bei nusižengimų identifikacinius kodus (ROIK). Detalią konkrečios baudos prievolės informaciją galite peržiūrėti paspaudę ant norimos peržiūrėti baudos prievolės eilutės.
Informaciją apie administracinių baudų prievoles, paskirtas nuo 2015 m. liepos 1 d., galite peržiūrėti Mano VMI sistemoje užsisakę administracinių baudų ataskaitą skiltyje „Ataskaitos“. Informacija apie paskirtas baudas pateikiama pagal Administracinių nusižengimų registro duomenis, kur atitinkamos institucijos pareigūnai, paskyrę baudas, registruoja pažeidimus.
Informaciją, susijusią su pažeidimo, už kurį skirta bauda, aplinkybėmis (už kokį pažeidimą paskirta bauda, kurioje vietoje padarytas pažeidimas, kokia institucija paskyrė baudą ir kt.), galite patikrinti prisijungę prie Informatikos ir ryšių departamento paslaugų portalo adresu epaslaugos.ird.lt, skiltyje „Administraciniai nusižengimai“ −> „Administracinėn atsakomybėn traukiamiems asmenims“, arba tiesiogiai kreiptis į instituciją, paskyrusią baudą už AN.
Baudų skyrimas ir taikymas
Administracinės baudos, atsižvelgiant į kiekvieno konkretaus atvejo aplinkybes, skiriamos kartu su 58 straipsnio 2 dalies a-h punktuose ir j punkte nurodytomis priemonėmis arba vietoj jų. Jei valstybės narės teisės sistemoje nenumatoma administracinių baudų, šis straipsnis gali būti taikomas taip, kad baudą inicijuotų kompetentinga priežiūros institucija, o ją skirtų kompetentingi nacionaliniai teismai, kartu užtikrinant, kad tos teisių gynimo priemonės būtų veiksmingos ir turėtų priežiūros institucijų skiriamoms administracinėms baudoms lygiavertį poveikį. Bet kuriuo atveju skiriamos baudos turi būti veiksmingos, proporcingos ir atgrasomos.
Nuo 2022 m. vasario 1 d. asmenys, užpildę Elektroninių paslaugų portale esančias formas, gali pranešti apie fizinius ar juridinius asmenis, kurie nusižengimo metu valdė jiems priklausančias transporto priemones, teikti paaiškinimus ir skundus administracinių nusižengimų bylose.
Bendrojo duomenų apsaugos reglamento (BDAR) pažeidimai ir baudos
Prieš beveik 4 metus įsigaliojusio Bendrojo duomenų apsaugos reglamento (BDAR) taikymas verslui tebėra iššūkis, tačiau priežiūros institucijų inicijuojami tyrimai ir augančios baudos rodo, kad „pereinamasis laikotarpis“ jau baigėsi. Net 5 iš 10-ies didžiausių baudų už BDAR pažeidimus pasaulyje buvo skirtos pernai, o ir Lietuvoje praėjusiais metais buvo skirta pirmoji šešiaženklė bauda. BDAR baudos 2021 m. pasaulyje viršijo 1 mlrd. Eur, o tai net 6 kartus daugiau nei užpernai. Jei dar 2019 m. rinkos buvo nustebintos pirmosios daugiamilijoninės „Google“ skirtos baudos (50 mln. Eur), praėjusiais metais baudų kartelė pakilo iki dar nematytų aukštumų.
Reikšmingiausios BDAR pažeidimų bylos ir baudos
ECOVIS ProventusLaw siūlo panagrinėti keletą įdomiausių praėjusių metų bylų, už kurias ES asmens duomenų apsaugos priežiūros institucijos skyrė ženklias baudas:
1. „Amazon“ - 746 mln. Eur
Liuksemburge buvo tiriama, ar bendrovė, vykdydama tiesioginę rinkodarą, užtikrino tinkamą vartotojų sutikimo gavimą ir ar tokie asmens duomenys nebuvo neteisėtai perduodami tretiesiems asmenims. Reklaminius pranešimus organizacijos gali siųsti tik turėdamos asmens sutikimą. Primintina, kad sutikimas turi būti atskirai duodamas dėl kiekvienos komunikavimo priemonės, t. y. jei norima siųsti pranešimus ir el. paštu, ir SMS žinutėmis, turi būti gauti du atskiri sutikimai.
Lietuvoje vis dar pastebima tendencija, kad privatumo pranešimai yra kopijuojami nuo kitų įmonių, klaidingai mąstant, kad jie yra tinkami visoms organizacijoms. Vis dėlto privatumo politika ir kiti privatumo pranešimai turi būti adaptuoti kiekvienai įmonei individualiai, atsižvelgiant į organizacijų pobūdį, duomenų subjektus ir būtent tos organizacijos asmens duomenų gyvavimo ciklą. Vis daugiau priežiūros institucijų reikalauja kuo detaliau privatumo politikoje nurodyti, kam yra perduodami asmens duomenys, iš kur jie gaunami ir kiek saugomi.
2. „H&M“ - 35 mln. Eur ir „Notebooksbilliger.de“ - 10,4 mln. Eur
Kita sritis, kurioje pernai buvo nustatyti esminiai BDAR pažeidimai, yra darbuotojų stebėsena bei neteisėtas duomenų rinkimas apie darbuotojus. Šioje srityje reikšmingos baudos buvo paskirtos drabužių parduotuvių tinklui „H&M“ ir elektronikos mažmenininkui „Notebooksbilliger.de“. Buvo nustatyta, kad „H&M“ nuo 2014 m. rinko ir kaupė daug duomenų apie darbuotojų privatų gyvenimą, o šiuos duomenis saugojo įmonės vidiniame tinkle. Duomenys apie darbuotojų privatų gyvenimą buvo renkami darbuotojų susitikimų su vadovais metu, taip pat neoficialiuose pokalbiuose, buvo prašoma papasakoti apie šeimos problemas, religinius įsitikinimus ir pan.
Panašus pažeidimas buvo užfiksuotas ir el. Bendrovė bent dvejus metus vykdė savo darbuotojų stebėjimą vaizdo kameromis, įrengtomis darbuotojų bendrose patalpose, darbo vietoje, sandėlyje ir prekybos vietose. Daugeliu atvejų įrašai buvo saugomi 60 dienų. Asmens duomenų apsauga turi būti užtikrinama ne tik santykiuose su klientu, bet ir su darbuotoju. Tai, kad darbuotojas susietas su bendrove darbo santykiais, dar nereiškia, kad bet koks jo asmens duomenų tvarkymas, įskaitant ir stebėjimą, yra pateisinamas. Prieš pradėdamas darbuotojų stebėseną, darbdavys turi įvertinti, kokių tikslų siekiama šia stebėsena ir ar šių tikslų negalima pasiekti kitomis priemonėmis. Taip pat būtina įvertinti renkamų duomenų apie darbuotoją mastą, pobūdį, turėti pasitvirtinusias su tuo susijusias tvarkas. Paprastai kalbant, galima rinkti nebent tą informaciją, kuri reikalinga konkrečiam įmonės tikslui pasiekti arba kai duomenų tvarkymas yra būtinas pagal teisės aktus.
3. Booking.com - 475 000 Eur
Nyderlandų duomenų apsaugos priežiūros institucija skyrė 475 000 Eur baudą „Booking.com“ dėl pavėluoto pranešimo priežiūros institucijai apie įvykusį asmens duomenų saugumo pažeidimą. Incidentas įvyko dar 2018 m. gruodžio mėnesį, kai įsilaužėliai atakavo 40 darbuotojų paskyras skirtinguose viešbučiuose, esančiuose Jungtiniuose Arabų Emyratuose, ir tokiu būdu neteisėtai gavo apie 4 100 asmenų duomenis.
Įmonės turi turėti iš anksto parengtą planą, kaip reaguoti, kada ir kokias institucijas, subjektus informuoti asmens duomenų pažeidimų atveju. Įvykus pažeidimui, svarbu dokumentuoti procesą, iš karto imtis veiksmų galimoms pažeidimų pasekmėms sumažinti, ir informuoti apie tai asmens duomenų priežiūros instituciją nedelsiant, per 72 valandas, nuo sužinojimo apie šį pažeidimą.
Asmens duomenų apsaugos svarba ir prevencija
Aukščiau aptarta praktika parodė, kad įmonės turi aiškiai ir išsamiai informuoti savo klientus apie tvarkomus asmens duomenis, tikslus parengiant privatumo pranešimus pagal savo verslo modelį, o ne skelbiant šabloninius pranešimus. Taip pat, reklaminiai pranešimai turi būti siunčiami tik esant aiškiam susitarimui - praktika rodo, kad tokios priedangos kaip „teisėtas interesas“ ar „sutarties vykdymas“ yra akivaizdžiai netinkamos. Akivaizdu ir tai, kad duomenų rinkimas apie darbuotojus ar klientus „dėl viso pikto“ yra neteisėtas - duomenis rinkti leidžiama tik tiek, kiek tikrai reikia ir konkrečiam tikslui.
Beje, nustačius, kad bendrovė tvarko klientų ar darbuotojų duomenis pažeisdama BDAR reikalavimus, verslas susiduria ne tik su teisine atsakomybe, bet patiria ir milžinišką reputacinę žalą. Asmens duomenys tapo viena svarbiausių kiekvieno žmogaus nuosavybių. Nuo el. pašto iki sveikatos įrašų - visa tai gali būti saugoma, tvarkoma, perduodama ar net nutekinta. Todėl asmens duomenų apsauga tapo ne tik teisės aktais reglamentuotas, bet ir praktiškai svarbus kiekvienos organizacijos prioritetas.
BDAR įsigaliojo 2018 m. ir nuo tada tapo pagrindiniu dokumentu, reglamentuojančiu, kaip organizacijos privalo elgtis tvarkant asmens duomenis. Pagal BDAR, kiekvienas duomenų subjektas (t. y. žmogus, kurio duomenys tvarkomi) turi teisę žinoti, kaip jo asmens duomenys yra renkami, naudojami, saugomi, kam perduodami.
Duomenų nutekėjimai ir kiti duomenų saugumo pažeidimai gali įvykti net ir atsargiausiose organizacijose. Jei kilo įtarimų dėl asmens duomenų pažeidimo, svarbu žinoti, kur ir kokia tvarka kreiptis. Asmuo, norintis ginti savo teises, pirmiausia turėtų kreiptis į organizaciją, kuri tvarkė jo duomenis, o jei atsakymas netenkina - pateikti skundą Inspekcijai.
Viena iš efektyviausių prevencinių priemonių - nuolatiniai kibernetinio saugumo mokymai darbuotojams. Net jei įmonė naudoja saugią techninę įrangą, žmogiškasis faktorius išlieka dažniausia silpnaja vieta. Mokymų metu darbuotojai supažindinami su socialinės inžinerijos grėsmėmis, slaptažodžių saugumu, el. pašto saugumu.
Nors daugelis į duomenų apsaugą vis dar žiūri kaip į biurokratinę prievolę, iš tiesų tai - reputacijos, pasitikėjimo ir net verslo tęstinumo klausimas. Duomenų nutekėjimai gali ne tik pažeisti klientų teises, bet ir sugriauti įmonės įvaizdį, o kartais net sukelti teisinius ginčus ar finansinių nuostolių.
Pavyzdžiui, 2019 m. elektroninių mokėjimų įmonė „MisterTango“ gavo €61 500 baudą už BDAR pažeidimus - peradresavo per daug duomenų, neturėjo tinkamų saugumo priemonių ir nepateikė pranešimo apie įvykusį nutekėjimą. Už neteisėtą duomenų atskleidimą apie įvaikinto vaiko biologinius tėvus Vilniaus miesto savivaldybė gavo €15 000 baudą - neapsaugojo tėvų duomenų ir neteisingai juos valdė.
ES lygiu - baudos siekia ir milijonus: „Meta“ 2023 m. buvo nubausta 1,2 mlrd. eurų už duomenų perdavimą į JAV be tinkamos apsaugos. O 2024-ųjų rugsėjį, jai skirta dar €91 mln. Tai rodo, kad BDAR nėra tuščia deklaracija. Todėl atsakingas požiūris į asmens duomenų apsaugą, BDAR laikymasis, aiškios vidinės procedūros ir reguliarūs mokymai tampa neišvengiama kiekvienos šiuolaikinės organizacijos kasdienybės dalimi.