Artėjant BDAR gimtadieniui Lietuvoje paskirta pirmoji ženkli bauda
2019 - 05 - 20
Straipsnio autorius: Renata Vasiliauskienė
Netrukus minėsime Bendrojo duomenų apsaugos reglamento (BDAR) pirmąjį gimtadienį ir turėsime galimybę ne tik teoriškai pakalbėti apie tai, ar reglamentas pakeitė įmonių požiūrį į asmens duomenų tvarkymą, bet ir apie tai, kad Lietuvoje jau yra bent viena įmonė, kuriai skaudžiai kliuvo BDAR vėzdu.
Valstybinė duomenų apsaugos inspekcija (VDAI) šiandien paskelbė, jog už BDAR pažeidimą yra paskirta 61 000 eurų bauda. Po atlikto tyrimo nustačius, jog buvo pažeisti trys BDAR straipsniai, nubausta UAB MisterTango. VDAI viešame pranešime teigiama, kad UAB MisterTango pažeidė BDAR reikalavimus trimis aspektais: (i) buvo vykdomas perteklinis asmens duomenų tvarkymas, (ii) dėl saugumo spragos buvo paviešinti dalies klientų asmens duomenys ir (iii) įmonė nepranešė apie duomenų saugumo incidentą VDAI. Skiriant įmonei 61 500 eurų administracinę baudą taip pat atsižvelgta ir į įmonės metinę pasaulinę apyvartą. Šis Inspekcijos sprendimas yra neįsiteisėjęs ir gali būti skundžiamas teismui.
Įdomu yra tai, kad pažeidimai nustatyti šioje įmonėje yra dažniausiai tokie patys, kaip ir kitais atvejais, kai inspekcija tikrina atitiktį BDAR. Didelės dalies atliekamų VDAI tyrimų metu nustatoma, kad yra tvarkomi pertekliniai asmens duomenys, t.y. renkama daugiau duomenų negu reikia nustatytam tikslui pasiekti. Be to, asmens duomenys tvarkomi per ilgai, kartais netgi neribotą laikotarpį. UAB MisterTango atveju taip pat buvo konstatuota, kad duomenys saugomi ilgiau negu jų reikia ir ilgiau, negu deklaruojama pačios įmonės privatumo taisyklėse.
Kita sritis, kurioje taip pat yra gausu pažeidimų, yra duomenų saugumo užtikrinimas (prisiminkime UAB Grožio chirurgija atvejį). Didžioji dalis verslų generuoja pajamas elektroniniais kanalais ir yra priklausomi, arba kaip MisterTango atveju, visiškai priklausomi nuo IT sprendimų. “Tyrimo metu nustatyta, kad ne mažiau kaip 2 dienas (2018 m. liepos 9–10 d.) internete buvo prieinamas tinklalapis su UAB „MisterTango“ apdorotų mokėjimų sąrašu. Jame buvo matomi įvairių bankų įstaigų klientų atlikti mokėjimai per UAB „MisterTango“ mokėjimo iniciavimo paslaugų sistemą su tų klientų asmens duomenimis. Taip pat daugiau kaip 9 000 MEV su 12 skirtingų bankų, esančių skirtingose valstybėse, klientų mokėjimo sesijų detalių puslapiais.” Nededant pakankamai pastangų ir lėšų saugumui šioje erdvėje užtikrinti, duomenų saugos incidentų tik daugės. Tačiau dažnu atveju, atliekant IT saugumo patikrinimus, nustatoma, kad elektroninės erdvės keliami iššūkiai yra nepakankamai įvertinami ir duomenys nėra saugūs, todėl tai yra tik laiko ir sėkmės klausimas, ar įmonės IT sistema atlaikys išorines kibernetines grėsmes.
Ką dar atskleidžia šis VDAI sprendimas ir baudos dydis yra tai, kad VDAI BDAR nuostatas yra linkusi aiškinti gana griežtai. Pavyzdžiui, VDAI nuomone duomenų saugos pažeidimas, “kai 2 dienas internete neautorizuotiems asmenims buvo sudaryta galimybė prieiti prie asmens duomenų, laikytinas tokiu duomenų saugumo pažeidimu, apie kurį privaloma pranešti priežiūros institucijai.” UAB MisterTango to nepadarius, konstatuotas BDAR 33 straipsnio pažeidimas. Vargu, ar daugelis duomenų saugos specialistų būtų taip “siaurai” interpretavę šią nuostatą ir, panašu, kad pati įmonė taip pat nesutinka su šiuo sprendimu ir ginčys jį teisme.
Tačiau esminė nuostata, kurią turėtų išgirsti įmonių vadovai iš VDAI viešojo pranešimo apie baudos skyrimą yra visai ne baudos dydis, o tai, jog ši bauda “turėtų būti reikšmingas signalas ir kitoms įmonėms, tik deklaratyviai įgyvendinančioms šio teisės akto nuostatas.” Kosmetinis arba deklaratyvus asmens duomenų tvarkymas yra pagrindinė daugelio įmonių, kurios pernai pavasarį suskubo rengtis BDAR įgyvendinimui, problema. Nepakanka turėti privatumo politiką ar kitą panašų dokumentą ir net nežinoti, kas jame parašyta. Šią VDAI išsakytą mintį reikėtų vertinti labai rimtai, ji rodo, kad institucijos žiūri į realiai vykdomą, o ne privatumo politikose gražiai ir protingai aprašytą duomenų tvarkymą.
Apibendrinant pirmųjų BDAR metų “rezultatus”, galima pasakyti, kad šiuo metu tai yra didžiausia bauda Baltijos valstybėse, paskirta už BDAR pažeidimą. Palyginimui Latvijoje didžiausias iki šiol baudos dydis tesiekė 2000 eurų. Paskirta 61500 eurų bauda yra tikrai didelis šuolis asmens duomenų tvarkymo pažeidimų atveju. Priminsime, kad prieš keletą metų plačiai nuskambėjęs UAB Grožio chirurgija aplaidumas tvarkant asmens duomenis buvo “įvertintas” 750 eurų bauda (pastaba: tuo metu galiojęs įstatymas numatė, jog maksimali bauda gali būti 1150 eurų).
Ko būtina pasimokyti? Sakoma, kad žmonės iš kaimynų klaidų nesimoko, tačiau ši, UAB MisterTango paskirta, bauda turėtų būti kaip žadintuvo skambutis daugeliui Lietuvos įmonių ir įstaigų, kurios yra deklaratyviai susitvarkiusios savo asmens duomenų ūkį.
Renata Vasiliauskienė, advokatų kontoros „COBALT“ asocijuota teisininkė