Valstybinė duomenų apsaugos inspekcija (VDAI) skyrė 15 tūkst. eurų administracinę baudą Vilniaus miesto savivaldybės administracijai už Bendrojo duomenų apsaugos reglamento (BDAR) pažeidimus.
Vilniaus miesto savivaldybės administracijos pažeidimas
VDAI, atlikusi tyrimą, nustatė, kad pareiškėjas, pildydamas prašymą dėl įvaikinto vaiko ugdymo savivaldybės administracijos Centralizuotoje prašymų pateikimo ir gyventojų informacinėje sistemoje (IS), nurodė savo duomenis. Tačiau, pagal savivaldybės administracijos sutartį su VĮ Registrų centru, pagal kurią automatiškai duomenys IS buvo atnaujinami vieną kartą per mėnesį, IS duomenims atsinaujinus, pareiškėjo kontaktiniai asmens duomenys buvo atnaujinti ir pakeisti į Lietuvos Respublikos gyventojų registre (tGyventojų registras) esančius vaiko vieno iš biologinių tėvų kontaktinius duomenis (el. pašto adresą).
VDAI sprendime, kuriuo savivaldybės administracijai skyrė baudą, nurodė, kad konkrečiu atveju tokie asmens kontaktiniai duomenys kaip elektroninio pašto adresas, nepriklausomai nuo to, ar jie yra nurodyti Gyventojų registre, asmens bet kada gali būti keičiami ir tik pats duomenų subjektas turėtų juos keisti, o ne duomenų valdytojas savavališkai duomenis atnaujinti, remiantis VĮ Registrų centre esančia informacija. Juo labiau, šiuo atveju nebuvo pagrindo daryti išvados, kad iš Gyventojų registro atnaujinus duomenis buvo gauti būtent pareiškėjo kontaktiniai duomenys, kadangi duomenys buvo atnaujinami net ne pagal pareiškėjo duomenis, nurodytus VĮ Registrų centre, o pagal vaiko duomenis, nors sutarties dėl ugdymo šalis yra ne vaikas, o pareiškėjas.
Tai, kad savivaldybės administracija pažeidimą padarė pakartotinai, liudija analogiškas pažeidimas (netinkamo organizacinių ir techninių priemonių įgyvendinimo, neužtikrinant asmens duomenų tikslumo principo tvarkant įvaikinto vaiko asmens duomenis Savivaldybės administracijos IS), už kurį savivaldybės administracijai 2019 m. jau buvo skirta bauda.
Duomenų apsaugos pažeidimų baudų evoliucija Lietuvoje
Nuo 2019 m. sausio 1 d. pora kartų išaugo baudos už duomenų apsaugos pažeidimus. Nepaisant to, Lietuvoje jos išlieka vienos mažiausių Europoje.
Ankstesnės ir dabartinės baudos už Asmens duomenų teisinės apsaugos įstatymo pažeidimus:
- Iki šiol duomenų apsaugos pažeidimai užtraukdavo baudą nuo 144 iki 289 eurų.
- Pakartotinio pažeidimo atveju buvo skiriamos baudos nuo 289 iki 579 eurų.
- Nuo 2019 m. sausio 1 d. Asmens duomenų teisinės apsaugos įstatymo pažeidimas kainuoja nuo 300 iki 1150 eurų.
- Pakartotinis neatsakingas požiūris į duomenų apsaugą gali baigtis bauda nuo 1100 iki 3000 eurų.
Padidėjusios baudos rodo augančią duomenų apsaugos svarbą Lietuvoje.
Baudų mastai Europoje ir pasaulyje
Lietuvos baudos gerokai atsilieka nuo Europos šalių praktikų. Groteskiškas pavyzdys - 2010 m. grožio salone Lietuvoje buvo rastos kameros, filmuojančios darbuotojų persirengimo kambarį ir kosmetologinį kabinetą. Daugumoje Europos valstybių tokia veikla pasibaigtų žymiai liūdniau.
Pavyzdžiai iš kitų šalių:
- Jungtinėje Karalystėje netinkamas požiūris į duomenų apsaugą gali baigtis pusės milijono svarų bauda.
- Vokietijoje ir Prancūzijoje grubūs privatumo ir duomenų apsaugos pažeidimai užtraukia baudas iki 300 tūkst. eurų.
ES Bendrasis duomenų apsaugos reglamentas (BDAR) ir jo poveikis baudoms
Verslo ir valstybės institucijų požiūrį į duomenų apsaugos pažeidimus pakeitė ES Bendrasis duomenų apsaugos reglamentas (BDAR), įsigaliojęs 2018 m. gegužės 25 d. Viena didžiausių reglamento naujovių - žymiai didesnės baudos už pažeidimus.
BDAR nustatytos baudos:
- Lengvesni pažeidimai nulems baudas iki 10 mln. eurų arba 2 proc. metinės pasaulinės įmonės apyvartos.
- Sunkesni pažeidimai kainuos iki 20 mln. eurų arba 4 proc. metinės pasaulinės įmonės apyvartos.
Per daugiau nei 4 metus, kai BDAR įsigaliojo, atsiranda įmonių, kurios vis dar nesusitvarkė dokumentacijos. Tai rodo, kad baudos tikrai nevaikiškos.
Didžiausios BDAR baudos pasaulyje ir jų priežastys
Pateikiami keli didžiausių baudų pavyzdžiai, kurias skyrė Europos duomenų apsaugos institucijos:
Prancūzija: Google
Prancūzijos duomenų apsaugos institucija (CNIL) kompanijai „Google” skyrė 50 mln. eurų baudą. Duomenų tvarkymo tikslai, saugojimo laikotarpiai ar reklamos personalizavimui naudojamos asmens duomenų kategorijos bei kita esminė informacija buvo pernelyg išmėtyta per kelis dokumentus ir sunkiai atsekama. „Google” siūlant savo pasirinkimus, nebuvo paaiškinama jų reikšmė, pavyzdžiui, kalbant apie individualizuotą reklamą.
Vokietija: H&M Hennes and Mauritz
Vokietijoje H&M Hennes and Mauritz buvo skirta 35,2 milijonai eurų bauda. Nustatyta, kad bendrovės vadovai grupės paslaugų centre Niurnberge per daug kišosi į savo darbuotojų privatų gyvenimą, rinkdami įvairią informaciją, įskaitant šeimos problemas ar religinius įsitikinimus. Be to, skaitmeniniu būdu buvo fiksuojama ir saugoma išsami informacija apie ligos simptomus ir diagnozes. Darbuotojai nebuvo informuoti apie tokį jų asmens duomenų tvarkymą, buvo pažeisti teisėtumo, sąžiningumo bei skaidrumo, tikslo apribojimo ir duomenų kiekio mažinimo principai.
Vokietija: TIM - Telecom provider
Vokietijoje TIM - Telecom provider - sulaukė 27,8 milijonų eurų baudos už agresyvią tiesioginės rinkodaros strategiją, dėl kurios nukentėjo keli milijonai žmonių. Jie buvo atakuojami reklaminiais skambučiais ir nepageidaujama komunikacija.
Jungtinė Karalystė: International Airlines Group (IAG) ir British Airways
Oro linijas „British Airways“ valdančiai bendrovei „International Airlines Group“ (IAG) grėsė rekordinė 230 mln. USD bauda dėl kompanijos nesugebėjimo savo tinklalapyje apsaugoti 500 000 vartotojų duomenų. Visgi buvo paskirta 21,9 milijonai eurų bauda. Bauda skirta dėl „British Airways“ nesugebėjimo apsaugoti klientų duomenų, kurie buvo pasisavinti per 2018 m. įvykdytą programišių ataką. Informacijos komisaro tarnyba (ICO) teigė, kad „British Airways“ turėjo nustatyti kibernetinio saugumo rizikas ir jas išspręsti.
Jungtinė Karalystė: Marriott International
Marriot International sulaukė 20,45 milijonų eurų baudos už patirtą kibernetinę ataką. ICO padarė išvadą, kad „Marriott“ įsigyjant viešbučių grupę „Starwood“ nebuvo atliktas išsamus teisinis patikrinimas ir nebuvo įgyvendintos tinkamos saugumo priemonės. Incidento metu iš „Starwood Hotels“ duomenų bazės buvo pavogta daugiau nei 300 milijonų rezervacijų duomenų. Vėliau, 2020 m. kovo 31 d., „Marriott“ paskelbė dar vieną pranešimą apie incidentą, kurio metu gali būti atskleista maždaug 5,2 milijonų svečių kontaktinė informacija.
Austrija: Austrijos paštas
Įdomus atvejis dėl Austrijos pašto, kuris politinėms partijoms pardavė virš 2,2 mln. austrų duomenų, tokių kaip jų vardai, namų adresai, amžius ir lytis, kad politikai galėtų organizuoti tikslines kampanijas prieš rinkimus.
Lietuva: MisterTango
Už BDAR pažeidimus elektroninių pinigų įstaiga „MisterTango“ nubausta 61,5 tūkstančio eurų bauda. Bendrovė Lietuvoje tampa viena pirmųjų BDAR aukų. „MisterTango“ netinkamai tvarkė duomenis, jų rinko per daug, jie nutekėjo, o apie incidentus nebuvo pranešta. Bauda sudaro 1,5 proc. metinės pasaulinės įmonės apyvartos.
tags: #duomenu #apsauga #bauda