Pirmosios GDPR baudos ir jų priežastys

Pastaraisiais metais daugelis svetainių, kurias aplankėte, tikriausiai iššoko su pranešimu apie slapukus ir privatumą. Galbūt gavote el. laišką iš seniai užmirštos internetinės parduotuvės, prašančios jūsų sutikimo toliau siųsti naujienlaiškius. Visa tai - BDAR (Bendrojo duomenų apsaugos reglamento) dėka.

BDAR (General Data Protection Regulation) - tai Europos Sąjungos priimtas įstatymas, kuris įsigaliojo 2018 metų gegužę. Jo esmė paprasta: jūsų asmeniniai duomenys priklauso jums, o ne įmonėms, kurios juos renka. Prieš BDAR atsiradimą, įmonės rinkdavo duomenis, kaip tik norėdavo, dalindavosi jais su trečiosiomis šalimis, o vartotojai net nežinojo, kas konkrečiai apie juos žinoma ir kur ta informacija keliauja. Dabar situacija pasikeitė, bent jau teoriškai.

BDAR logo arba simbolis

Kas yra asmens duomenys?

Galvojant apie asmens duomenis, dažniausiai į galvą ateina vardas, pavardė, asmens kodas. Tačiau, pagal BDAR, asmens duomenys - tai bet kokia informacija, kuri gali būti susieta su konkrečiu asmeniu. Tai apima el. pašto adresą, IP adresą, nuotraukas, naršymo įpročius, paspaudimų istoriją ir laiką, praleistą prie konkretaus produkto internetinėje parduotuvėje, jei galima nustatyti, kad tai būtent jūs.

Ypatingų kategorijų duomenys

Yra ir ypatingų kategorijų asmens duomenys, kurie saugomi dar griežčiau. Tai informacija apie jūsų sveikatą, seksualinę orientaciją, religinius įsitikinimus, politines pažiūras, genetinius ar biometrinius duomenis. Pavyzdžiui, biometrinis duomuo yra Face ID naudojimas telefone. Jei dalinatės nuomone apie politiką socialiniuose tinkluose, tai gali būti susieta su jūsų politinėmis pažiūromis.

Net jūsų buvimo vieta yra asmens duomenys. Programėlės, kurios seka jūsų buvimo vietą (žemėlapiai, maisto pristatymo programos, net kai kurios žaidimų programėlės), apdoroja jūsų asmens duomenis ir, pagal BDAR, privalo pasakyti, ką su jais daro.

Kodėl asmens duomenų apsauga svarbi?

Asmens duomenys yra labai vertingi. Jie gali būti panaudoti prieš jus, net jei nieko blogo nedarote, pavyzdžiui, kai žmonės negauna darbo, nes darbdavys „pagooglino“ ir rado kažką nepatinkančio.

Be to, duomenų nutekėjimai tampa vis dažnesni. Jei jūsų slaptažodis, el. paštas ar kiti duomenys patenka į neteisėtas rankas, galite sulaukti visko - nuo reklaminių laiškų iki tapatybės vagystės. BDAR sukurtas tam, kad turėtumėte kontrolę: žinotumėte, kas renka jūsų duomenis, kodėl ir kaip ilgai juos saugo, ir svarbiausia - kad galėtumėte pasakyti „ne“.

Infografika apie asmens duomenų tipus

Vartotojų teisės pagal BDAR

BDAR suteikia realias teises, kuriomis galite pasinaudoti, reikalaujant informacijos iš įmonių, turinčių jūsų duomenis:

  • Teisė žinoti (prieigos teisė): Galite pareikalauti, kad bet kuri organizacija pasakytų, kokius jūsų duomenis ji turi. Pavyzdžiui, galite paprašyti „Instagram“ atsiųsti visą informaciją apie jus. Įmonė privalo tai padaryti per mėnesį, dažniausiai nemokamai.
  • Teisė ištaisyti: Jei pastebite, kad kažkur įrašyta neteisinga informacija apie jus, galite reikalauti ją ištaisyti.
  • Teisė būti pamirštam: Galite paprašyti, kad jūsų duomenys būtų ištrinti. Yra išimčių (pvz., jei įmonė privalo saugoti duomenis dėl teisinių priežasčių), tačiau daugeliu atvejų jie privalo jus „pamiršti“.
  • Teisė į duomenų perkeliamumą: Nori pereiti iš vienos paslaugos į kitą? Galite paprašyti, kad jūsų duomenys būtų perduoti tiesiogiai naujam paslaugų teikėjui, pavyzdžiui, perkeliant „Spotify“ grojaraščius į „Apple Music“.
  • Teisė nesutikti: Jei įmonė naudoja jūsų duomenis tiesioginės rinkodaros tikslais arba automatiniams sprendimams priimti, galite nesutikti. Įmonė privalo tai sustabdyti.
Piktogramos vaizduojančios vartotojų teises pagal GDPR

Įmonių pareigos ir atsakomybė

BDAR nustato griežtus reikalavimus, kaip organizacijos turi elgtis su jūsų duomenimis. Jos privalo turėti teisėtą pagrindą duomenims rinkti. Dažniausiai tai yra jūsų sutikimas, sutarties vykdymas, teisinis įpareigojimas arba teisėtas interesas.

Duomenų saugumo priemonės ir pranešimai

Įmonės privalo įdiegti tinkamas saugumo priemones, tokias kaip šifravimas, prieigos kontrolė ir reguliarūs saugumo patikrinimai. Jei įvyksta duomenų nutekėjimas, jos privalo pranešti priežiūros institucijai per 72 valandas ir, jei yra didelė rizika jums, pranešti ir jums.

Svarbus principas yra duomenų minimizavimas. Įmonės turėtų rinkti tik tuos duomenis, kurie tikrai reikalingi. Duomenys taip pat negali būti saugomi amžinai; kai jų nebereikia tam tikslui, kuriam buvo surinkti, jie turėtų būti ištrinti.

Baudos už BDAR pažeidimus

BDAR numato griežtas baudas, kurios gali siekti iki 20 milijonų eurų arba 4% metinių pasaulinių įmonės pajamų - kas yra daugiau. Tai nėra tušti grasinimai.

Trump administration gives mixed messages as U.S. awaits response from Iran on deal to end war

Pirmosios ženklios BDAR baudos Europoje

Bendrajam duomenų apsaugos reglamentui vos sukakus vieneriems metams (2019 m. vasarį), Europos duomenų apsaugos valdyba (EDPB), institucija, prižiūrinti, kaip laikomasi reglamento, paskelbė BDAR išvadų ataskaitą. Nors pirmosios baudos dažnai buvo mažesnės, bendra baudų suma pasirodė gana įspūdinga - beveik 56 milijonai eurų. Ataskaitoje EDAB pateikė ir kitą informaciją apie IT įmonių ir jų klientų santykius.

Nuo reglamento įsigaliojimo Europos reguliuotojai iškėlė apie 206 tūkst. bylų dėl asmens duomenų saugumo pažeidimų. Beveik pusė jų (94 622) buvo pagrįsti privačių asmenų skundais. Pagrindinės skundų temos buvo asmens duomenų subjekto ir vartotojų teisių pažeidimai, taip pat asmens duomenų nutekinimas. Dar 64 864 bylos buvo pradėtos po pranešimų apie duomenų nutekėjimą iš už incidentą atsakingų įmonių.

„Google“ bauda Prancūzijoje

Didžiąją dalį iš minėtos 56 mln. eurų sumos teko sumokėti „Google“. 2019 metų sausį Prancūzijos reguliavimo institucija CNIL IT milžinei skyrė 50 mln. eurų baudą už netinkamą sutikimo gavimą. Procesas šioje byloje tęsėsi nuo pirmosios BDAR dienos - skundą prieš korporaciją pateikė Austrijos duomenų apsaugos aktyvistas Maxas Schremsas. Aktyvisto nepasitenkinimo priežastis buvo nepakankamai tiksli sutikimo dėl asmens duomenų tvarkymo formuluotė, su kuria vartotojai sutikdavo kurdami paskyrą iš „Android“ įrenginių.

„Google“ logo ir Prancūzijos vėliavos elementai, simbolizuojantys baudą

Kiti ankstyvieji pažeidimai

Iki „Google“ bylos baudos už BDAR nesilaikymą buvo gerokai mažesnės. 2018 m. rugsėjį viena Portugalijos ligoninė sumokėjo 400 tūkst. eurų už pažeidžiamumą jos medicinos įrašų saugojimo sistemoje, o 20 tūkst. eurų - vokiška pokalbių programa, kurios klientų prisijungimai ir slaptažodžiai buvo saugomi nešifruota forma.

Lietuvos kontekstas: VDAI ir „MisterTango“ atvejis

Lietuvoje Valstybinė duomenų apsaugos inspekcija (VDAI) yra institucija, kuri prižiūri BDAR laikymąsi. Ji gali skirti baudas, įspėjimus ir net sustabdyti duomenų tvarkymą.

2019 m. gegužės 17 d. VDAI svetainėje pasirodė oficiali informacija apie realų BDAR taikymą ir pirmosios Lietuvoje reikšmingos baudos paskyrimą. Renata Vasiliauskienė, „Cobalt“ asocijuota teisininkė, pažymėjo, kad „MisterTango“ padarė tris BDAR pažeidimus. VDAI nuomone, duomenų saugos pažeidimas, kuomet dvi dienas internete neautorizuotiems asmenims buvo sudaryta galimybė prieiti prie asmens duomenų, laikytinas tokiu duomenų saugumo pažeidimu, apie kurį privaloma pranešti priežiūros institucijai.

VDAI logo

Dažniausi pažeidimai ir pamokos verslui

Anot R. Vasiliauskienės, beveik visų VDAI tyrimų metu nustatoma, kad yra tvarkomi pertekliniai asmens duomenys, t.y., jų renkama daugiau, nei reikia nustatytam tikslui pasiekti. Tai akivaizdžiai rodo verslo aplaidumą ir „neiššluotą“ asmens duomenų ūkį.

Kristina Rišytė-Augustinaitienė, advokatų kontoros „AAA Law“ teisininkė, atkreipia dėmesį, kad skirdama baudą VDAI papildomai akcentavo, jog bendrovėje „MisterTango“ saugos užtikrinimą ir valdymą bei visos įmonės IT infrastruktūros valdymą vykdė vienas darbuotojas. Tai yra signalas, kad bendrovių veikloje itin svarbu laikytis asmens duomenų tvarkymo „higienos“, o neužtenka vien pasitvirtinti vidinius bendrovės dokumentus dėl asmens duomenų tvarkymo - būtina juos ir įgyvendinti.

Ekspertų vertinimas ir ateities perspektyvos

Reguliavimo institucijos mano, kad po šešerių metų BDAR įrodė savo veiksmingumą. Jis pakeitė žaidimo taisykles: įmonės tapo atsargesnės su duomenimis, atsirado daugiau skaidrumo ir kontrolės galimybių vartotojams. Tačiau viskas nėra tobula. Daugelis įmonių vis dar bando apeiti reikalavimus, pavyzdžiui, naudojant „slapukų sieneles“, kurios verčia sutikti su visais slapukais norint naudotis svetaine.

Trūkumai ir baudų didėjimas

Ekspertai atkreipia dėmesį į kai kuriuos trūkumus, ypač vieningos baudų dydžio nustatymo sistemos trūkumą. Teisininkų teigimu, visuotinai priimtų taisyklių trūkumas lemia daug apeliacijų, dėl ko duomenų apsaugos komisijos priverstos skirti mažiau laiko ES piliečių skundams. Siekdamos išspręsti šią problemą, JK, Norvegijos ir Nyderlandų reguliavimo institucijos jau kuria išieškojimo dydžio nustatymo taisykles, atsižvelgiančias į incidento trukmę, įmonės reagavimo greitį ir nukentėjusių asmenų skaičių.

Specialistai mano, kad IT įmonėms dar per anksti atsipalaiduoti. Tikėtina, kad baudos už BDAR nesilaikymą ateityje didės dėl dažnų duomenų nutekėjimų ir „minkštojo“ požiūrio pabaigos. Duomenų apsaugos eksperto Guy'aus Bunkerio teigimu, apie naujus BDAR pažeidimus sužinoma kone kasdien, todėl reguliuotojai greičiausiai elgsis griežčiau su nusižengusiomis įmonėmis.

Diagrama, rodanti augantį duomenų nutekėjimų skaičių

Didelio masto nutekėjimų pavyzdžiai

2018 m. rugsėjį įvyko didelio masto duomenų nutekėjimas „British Airways“: dėl oro linijų mokėjimo sistemos pažeidžiamumo įsilaužėliai penkiolika dienų gavo prieigą prie klientų kredito kortelių duomenų. Apytiksliai 400 tūkst. asmenų nukentėjo nuo įsilaužimo. Airijos duomenų apsaugos komisija pradėjo dešimt bylų IT milžinei „Facebook“ (dabar „Meta“) dėl įvairių BDAR pažeidimų, iš kurių didžiausias įvyko 2018 m. rugsėjį - socialinių tinklų infrastruktūros pažeidžiamumas leido įsilaužėliams gauti automatinių prisijungimo žetonų. Pasak ZDNet, vien šis duomenų pažeidimas įmonei gali kainuoti milijardus dolerių.

Ateities reguliavimas

Europos Sąjunga jau ruošia naujus įstatymus - Skaitmeninių paslaugų aktą (Digital Services Act), Skaitmeninių rinkų aktą (Digital Markets Act), Dirbtinio intelekto aktą (AI Act). Visi jie susiję su tuo, kaip technologijos turėtų veikti vartotojų naudai. BDAR buvo tik pradžia. Ateityje tikriausiai matysime dar griežtesnę kontrolę, ypač kalbant apie didžiąsias technologijų įmones, ir galbūt naujų teisių, pavyzdžiui, teisę žinoti, kaip dirbtinis intelektas priėmė sprendimą, kuris jus paveikė.

Svarbiausia, kad mes, vartotojai, tampame vis labiau informuoti ir reiklūs. Vis daugiau žmonių supranta, kad jų duomenys yra vertingi ir nereikia jais dalintis su kiekvienu, kas paprašo. Tai galbūt didžiausias BDAR pasiekimas - ne konkrečios taisyklės, o kultūros pokytis. Mes pradedame vertinti savo privatumą ir reikalauti, kad jis būtų gerbiamas.

Praktiniai patarimai, kaip apsaugoti savo duomenis

Štai keletas patarimų, kaip praktiškai geriau apsaugoti savo duomenis:

  • Perskaitykite privatumo politiką. Nors ji ilga ir nuobodi, bent jau perskaitykite pagrindinius punktus: kokius duomenis renka, kaip juos naudoja ir ar dalijasi su trečiosiomis šalimis.
  • Būkite „šykštūs“ su sutikimais. Kai svetainė prašo sutikimo dėl slapukų, nespauskite tiesiog „Sutinku su visais“. Dažniausiai yra mygtukas „Tvarkyti nustatymus“ - ten galite atsisakyti rinkodaros ir analizės slapukų, palikdami tik būtinus.
  • Naudokite skirtingus slaptažodžius. Jei viena paslauga nutekins jūsų duomenis, bent jau kitos bus saugios. Slaptažodžių tvarkyklės (pvz., LastPass, 1Password, Bitwarden) labai palengvina gyvenimą.
  • Įjunkite dviejų faktorių autentifikaciją (2FA). Įjunkite ją visur, kur tik įmanoma.
  • Pašalinkite programas, kurių nebenaudojate. Jos gali rinkti jūsų duomenis.
  • Būkite atsargūs su viešu „Wi-Fi“. Kavinėse, oro uostuose šie tinklai dažnai nesaugūs. Jei naudojate, bent jau nenaudokite jų jautrioms operacijoms (pvz., internetinei bankininkystei). Arba naudokite VPN.
  • Paprašykite savo duomenų kopijos. Bent kartą pamėginkite pasinaudoti savo teise gauti duomenų kopiją iš kokios nors paslaugos. Tai ne tik įdomu pamatyti, ką apie jus žino, bet ir geras būdas suprasti, ar ta įmonė rimtai žiūri į BDAR.

Tad kitą kartą, kai kažkas prašys jūsų el. pašto, telefono ar kitų duomenų, sustokite ir pagalvokite: ar tikrai jiems to reikia? Ar aš žinau, ką jie su tuo darys? Ar jaučiuosi saugiai? Jei atsakymas bent į vieną klausimą yra „ne“, gal verta atsisakyti.

tags: #pirmoji #gdpr #bauda

Populiarūs įrašai: