M. Petkevičienė. BDAR baudos: 2018-ųjų mitai ir šiandienos realybė

20 milijonų eurų. Tai greičiausiai buvo patys dažniausiai linksniuojami žodžiai, susiję su duomenų apsauga 2018 metais. Nors duomenų apsaugos teisinis režimas Europoje galioja jau daugiau nei 20 metų, iki šiol niekas kitas, kaip šis skaičius, neprivertė taip rimtai susirūpinti tinkama asmens duomenų apsauga.

Nors pirmasis Bendrojo duomenų apsaugos reglamento (BDAR) galiojimo pusmetis nebuvo rezultatyvus baudų skaičiaus prasme, jau galima stebėti tam tikras tendencijas ir daryti pirmąsias išvadas, kur link einama baudų skyrimo prasme Europoje. Žemiau trumpai aprašysime tris žinomus BDAR baudų skyrimo atvejus Europoje, bei ko iš kiekvieno iš jų galima pasimokyti.

Austrija

Baudos dydis: 4.800 eurų

Pažeidimo esmė: neteisėtas vaizdo stebėjimas

Trumpas situacijos aprašymas: bendrovė priešais savo patalpas įrengė vaizdo kamerą. Dalis vaizdo kameros stebėjimo lauko apėmė ir šaligatvį bei viešas automobilių stovėjimo aikšteles. Austrijos reguliatorius nustatė, kad toks vaizdo stebėjimas pažeidžia BDAR, pagal kurį neleidžiama stebėti didelės apimties viešųjų erdvių. Be to, vaizdo stebėjimas nebuvo tinkamai paženklintas, todėl nebuvo laikomasi pagrindinių taisyklių dėl informavimo apie asmens duomenų rinkimą.

Pagrindinė pamoka: nors Austrijos reguliatorius ne kartą skelbė, kad baudos bus skiriamos tik po oficialių įspėjimų ir tik toms įmonėms, kurios pažeidimus darys nebe pirmą kartą, ši bauda buvo išduota iškart be jokio perspėjimo. Tad nereikėtų tikėtis, kad reguliatorius duos įspėjimą ir pakankamai laiko pasitaisyti – jei pažeidimas bus akivaizdus, bauda gali būti skiriama nedelsiant.

Portugalija

Baudos dydis: 400.000 eurų

Pažeidimo esmė: neteisėta/neapsaugota prieiga prie asmens duomenų

Trumpas situacijos aprašymas: Portugalijos ligoninė buvo nubausta už tai, kad ligoninės darbuotojai, psichologai, dietologai ir kiti specialistai turėjo prieigą prie paciento duomenų sistemos per klaidingus profilius. Ligoninės sistemoje buvo 985 registruoti gydytojų profiliai, tuo tarpu, ligoninėje dirbo tik 296 gydytojai. Be to, gydytojai turėjo neribotą prieigą prie visų pacientų bylų, nepriklausomai nuo gydytojo specialybės. Reguliatorius nustatė, kad ligoninė nenustatė tinkamų techninių ir organizacinių priemonių pacientų duomenims apsaugoti. Ligoninė teigė, kad ji naudojasi sistema, kurią viešosioms ligoninėms teikia Portugalijos sveikatos ministerija. Tačiau reguliatorius nusprendė, kad ligoninės pareiga yra užtikrinti, kad IT sistema, kurią ji naudoja, atitiktų GDPR.

Pagrindinė pamoka: šiuo atveju, reguliatoriaus tyrimas buvo pradėtas ne gavus vartotojo skundą ar bendrovei pranešus apie duomenų saugumo pažeidimą, o reguliatoriui reaguojant į viešas publikacijas spaudoje. Tad nereikėtų tikėtis, kad institucijų dėmesį patrauks tik įsilaužimai į duomenų bazes ar rimtas pasekmes vartotojams sukėlęs duomenų nutekinimas – baudą galima gauti jau vien už tai, kad egzistuoja galimybė duomenis pavogti ar jais neteisėtai pasinaudoti, netinkamai valdant ar suteikiant prieigos teises prie asmens duomenų.

Vokietija

Baudos dydis: 20.000 eurų

Pažeidimo esmė: vartotojų el. pašto ir slaptažodžių laikymas neapsaugotu formatu

Trumpas situacijos aprašymas: socialinės žiniasklaidos įmonė pateikė Vokietijos reguliatoriui pranešimą apie tai, kad buvo įsilaužta į jos duomenų bazę. Įsilaužimo metu buvo pavogti ir paskelbti 330.000 vartotojų slaptažodžiai ir el. pašto adresai. Paaiškėjo, kad bendrovė nebuvo niekaip apsaugojusi savo vartotojų slaptažodžių ir el. pašto adresų, o saugojo juos paprastu tekstu, taip pažeisdama BDAR 32 straipsnį.

Pagrindinė pamoka: Vokietijos reguliatorius šį pažeidimą laikė reikšmingu (nutekintas didelis kiekis duomenų, jie visiškai neapsaugoti jokiomis techninėmis ar organizacinėmis priemonėmis), tačiau bauda buvo reikšmingai sumažinta, atsižvelgiant į labai stiprų bendrovės bendradarbiavimą ir norą įgyvendinti reguliatoriaus gaires ir rekomendacijas. Lietuvos Respublikos valstybinė duomenų apsaugos inspekcija taip pat yra ne kartą viešuosiuose savo pasisakymuose pabrėžusi, kad bendradarbiavimas ir pastangos, įdėtos į pažeidimo ištaisymą, bus vertinamos skiriant baudas. Taigi svarbu ne vien pažeidimas ir jo esmė, tačiau ir ko bendrovė imasi, siekdama pažeidimą ištaisyti ar sumažinti jo pasekmes jau jam įvykus.

Atitinkamai, nors gilias išvadas daryti dar anksti, tačiau jau ima ryškėti tendencija, kad Europos reguliatoriai nepuolė skirstyti 20 milijonų eurų baudų į kairę ir į dešinę. Nors pažeidimų užfiksuota kur kas daugiau nei trimis aukščiau aprašytais atvejais, baudų skyrimo klausimas institucijų yra svarstomas itin atidžiai, o sankcijų klausimas, panašu, išties yra galutinė priemonė kovoti su akivaizdžiu aplaidumu ir duomenų apsaugos taisyklių ignoravimu. Belieka tikėtis, kad šia praktika bus vadovaujamasi ir toliau, o praėjusių metų eigoje sklandę gandai, kad po 20 milijonų baudos talonėlį gaus kone kiekviena įmonė, padariusi nors menkiausią pažeidimą, ir liks tik gandais.

Nepaisant to, tai nereiškia, kad įmonės turėtų atsipalaiduoti ir nebedėti didelių pastangų į visišką atitiktį, manydama, kad tikimybė realizuotis 20 milijonų eurų baudos grėsmei nedidelė. Priešingai, aukščiau išdėstytos jau įvykusių pažeidimų pamokos tik patvirtina, kad pažeidimų gali būti įvairiausių, ir netgi nebūtina prarasti didelio kiekio vartotojų duomenų, kad sulauktum griežto reguliatoriaus vertinimo. Pakanka vien tik netinkamų techninių ir organizacinių priemonių taikymo ar nepakankamo informavimo apie asmens duomenų tvarkymą, o kartais – net ir publikacijos spaudoje, ir tai jau gali sukelti rimtus nemalonumus.

Miglė Petkevičienė yra advokatų kontoros Ellex Valiunas asocijuota partnerė, Bioteisės, duomenų apsaugos ir atitikties pogrupio vadovė