Duomenų saugumo pažeidimas
Vokietijos Badeno-Viurtembergo žemės priežiūros institucija (toliau – LfDI) paskyrė 20 tūkst. eurų baudą pokalbių svetainės ir programėlės „Knuddels“ valdytojui dėl įvykusios duomenų vagystės, per kurią nutekinti ir vėliau paviešinti net 330 tūkst. unikalių vartotojų prisijungimo duomenys, įskaitant el. pašto adresus ir slaptažodžius, o taip pat vardus (apie 3 280 atvejų) ir/ar gyvenamąsias vietas (apie 2 400 atvejų). Informacijos buvo paviešinta dar daugiau – atskleista apie 808 tūkst. el. pašto adresų ir apie 1 mln. 872 tūkst. vartotojų vardų ir slaptažodžių, bet, galbūt iš dalies dėl ilgamečio (jau 19 metų trunkančio) „Knuddel“ veikimo, faktinis nustatytų unikalių nukentėjusių asmenų skaičius buvo mažesnis.
Šiuo atveju buvo akivaizdžiai neužtikrintos tinkamos techninės saugumo priemonės, vartotojų slaptažodžius saugant ne vien šifruotus, o ir kaip paprastą tekstą, kas įsilaužėliams suteikė laisvą prieigą prie pasisavintų duomenų. Bendrovė nedelsdama apie įvykusį duomenų saugumo pažeidimą pranešė LfDI, pateikė išsamią informaciją tiek apie pažeidimo aplinkybes, tiek ir apie vykdomą asmens duomenų tvarkymą bei jo trūkumus.
Per kelias savaites nuo pažeidimo nustatymo bendrovė įgyvendino priemones, pagerinusias IT saugumą ir su LfDI pagalba ėmėsi tolesnių saugumo gerinimo veiksmų. Skaidrumas ir pavyzdiniu pavadintas bendradarbiavimas su LfDI atitinkamai nulėmė palyginti nedidelės (atsižvelgiant į pažeidimo mastą ir rimtumą) baudos skyrimą.
Ši situacija pademonstruoja, kodėl taip svarbu paaiškėjus duomenų saugumo pažeidimui laiku ir efektyviai į jį sureaguoti. Nors tai ne visais atvejais garantuoja, kad pavyks išvengti galimos baudos ar situacijos paviešinimo, tačiau pažeidimo pasekmės nepranešus gali būti nepalyginamai skaudesnės.
Neteisėtas vaizdo stebėjimas
Austrijos priežiūros institucija (toliau – DSB) kiek netikėtai savo pirmąją baudą skyrė ne kokiai didelei korporacijai, o verslininkui, įrengusiam vaizdo stebėjimo kamerą priešais savo lažybų punktą. Pažeidimas apėmė du aspektus – kameros stebėjimo laukas apėmė nemažą šaligatvio plotą priešais bendrovės patalpas, o tai DSB pripažino viešos vietos stebėsena dideliu mastu, neturinčia teisinio pagrindo ir atitinkamai neteisėta pagal BDAR, o taip pat nustatyta, kad kamera nebuvo tinkamai pažymėta, dėl ko nebuvo įgyvendintas skaidrumo reikalavimas. DSB pažeidėjui skyrė 4800 eurų baudą remdamasi proporcingumo principu, atsižvelgdama, be kitą ko, į nedidelę bendrovės metinę apyvartą.
Be šios, didžiausios (bet laikomos gana nedidele), baudos DSB paskyrė dar tris mažesnes baudas dėl neteisėto vaizdo stebėjimo: 1800 Eur baudą kebabų kiosko savininkui, 400 Eur baudą restoranui ir 300 Eur baudą asmeniui, neteisėtai naudojusiam automobilinį vaizdo registratorių.
DSB skirtos baudos gal ir yra sąlyginai nedidelės, bet susijusios su ir Lietuvoje praktikoje itin paplitusiu vaizdo stebėjimu, todėl turėtų paskatinti vaizdą stebinčius subjektus įsivertinti, ar jie tai tikrai vykdo laikydamiesi visų keliamų reikalavimų, atsakingai pasirinkdami vaizdo stebėjimo lauką ir pateikdami tinkamus pranešimus apie vaizdo stebėjimą.
Netinkamos techninės ir organizacinės saugumo priemonės
Portugalijos priežiūros institucija (toliau – CNPD) ligoninei (Centro Hospitalar Barreiro Montijo) paskyrė vieną didžiausių Europos Sąjungoje 400 tūkst. Eur baudą. Tikslumo dėlei reikėtų pasakyti, kad šią sumą sudaro trys baudos už tris išskirtus (nors ir labai glaudžiai susijusius) pažeidimus.
Antruoju pažeidimu, už kurį taip pat skirta 150 tūkst. Eur bauda, buvo vientisumo ir konfidencialumo pažeidimas, kilęs dėl neįgyvendintų tinkamų techninių bei organizacinių priemonių, kurios apsaugotų nuo neteisėtos prieigos prie asmens duomenų. Esmine problema buvo neribotos prieigos prie asmens duomenų suteikimas visiems darbuotojams, nors šie, o ypač techninis personalas, turėtų įgyti prieigą prie duomenų tik konkrečiais ir apibrėžtais atvejais.
Trečiuoju pažeidimu, už kurį skirta 100 tūkst. Eur bauda, buvo ligoninės negebėjimas užtikrinti tęstinio savo sistemų ir paslaugų konfidencialumo, vientisumo, pasiekiamumo bei atsparumo, o taip pat adekvačių techninių ir organizacinių priemonių neįgyvendinimas.
Tyrimas pradėtas dėl gydytojų sąjungai (Sindicato dos Médicos da Zona Sul) viešai iškėlus klausimą dėl galimai netinkamai suteiktų prieigos teisių. Iš pradžių gydytojai bandė atkreipti ligoninės vadovybės dėmesį, bet, šiai ignoruojant kreipimąsi ir nesiimant veiksmų, buvo priversti paviešinti susiklosčiusią situaciją ir kreiptis į suinteresuotas institucijas. Atsižvelgiant į visas aplinkybes galima spręsti, kad baudos dydžiui didelę reikšmę turėjo ne vien asmens duomenų jautrumas, bet ir tai, kad ligoninės vadovybė žinojo, kad toks informacinės sistemos naudojimas pažeidžia teisės aktus, tačiau vis vien nesiėmė veiksmų spręsti sistemos problemų nepaisydama suinteresuotų šalių įspėjimų. CNPD taip pat svarbia aplinkybe laikė tai, kad sužinojo apie pažeidimą ne iš ligoninės, o per žiniasklaidos priemones, kurių publikacijose pateiktą informaciją patvirtino CNPD atliktas tyrimas.
Įdomi aplinkybė, kad ši ligoninė yra valstybinis, o ne privatus subjektas. Lietuvos kontekste žinotina, kad nors Asmens duomenų teisinės apsaugos įstatyme maksimali bauda (atsižvelgiant ir į tokius rodiklius kaip einamųjų metų biudžetas ir kitų praėjusiais metais gautų bendrųjų metinių pajamų dydis), skiriama valdžios institucijai ar įstaigai negali viršyti 60 tūkst. Eur, tačiau toms valdžios institucijoms ir įstaigoms, kurias vykdo ūkinę komercinę veiklą, šis apribojimas nėra taikomas.
Šis atvejis turėtų paskatinti ir Lietuvos gydymo įstaigas atidžiau įsivertinti savo situaciją ir naudojamų sistemų atitiktį teisės reikalavimams, nors žinoma ir kitų sričių juridiniams asmenims reikėtų įsivertinti, ar prieigą prie asmens duomenų tikrai suteikia savo darbuotojams tik tokia apimtimi, kuri būtina jų darbo funkcijoms vykdyti.
Skaidrumas ir sutikimas reklamų personalizavimui
Naujausią, ir, kol kas, didžiausią Europos Sąjungoje net 50 milijonų eurų baudą Prancūzijos priežiūros institucija toliau – CNIL) skyrė Google LLC.
Tokią baudą CNIL skyrė pradėjusi tyrimą pagal už privatumą kovojančių asociacijų „La Quadrature du Net“ ir „None Of Your Business“ pateiktus grupinius skundus. Abiejuose skunduose asociacijos kritikavo „Google“ kaip neturinčią tinkamo teisinio pagrindo tvarkyti savo vartotojų asmens duomenis, ypač reklamų personalizavimo tikslais.
Atlikusi tyrimą, CNIL nustatė, kad „Google“ pateikiama informacija neatitinka skaidrumo reikalavimų. Vartotojams pateikiama informacija apie esminius aspektus, tokius kaip duomenų tvarkymo tikslai, jų saugojimo laikotarpiai ir asmens duomenų kategorijos, naudojamos reklamų personalizavimui, yra išmėtyta po skirtingus dokumentus. CNIL nustatė, kad norint pasiekti visą reikiamą informaciją prireikia keleto žingsnių, kai kuriais atvejais net iki 5 ar 6 veiksmų.
Kita CNIL nustatyta aplinkybe, nulėmusia baudos skyrimą, yra netinkamai gautas vartotojų sutikimas reklamų personalizavimui. Pirma, sutikimas laikomas nepakankamai informuotu, nes, kaip minėta, privaloma pateikti informacija yra paskleista skirtinguose dokumentuose ir nepakankamai aiški. Antra, sutikimas duodamas tokia forma, kuri verčia duoti vieną bendrą sutikimą visam „Google“ vykdomam asmens duomenų tvarkymui, nors pagal BDAR sutikimas laikomas pakankamai konkrečiu tik tada, kai jis atskirai duodamas konkretiems tikslams.
Baudos dydį CNIL nustatė įvertindama pažeidimo rimtumą, „Google“ nesilaikant esminių BDAR reikalavimų, neužtikrinus skaidrumo, tinkamo informavimo ir sutikimo gavimo. Taip pat atsižvelgta į itin didelius duomenų srautus, galimybę daryti įtaką privačiam gyvenimui ir tai, kad pažeidimai yra tęstiniai, o ne vienkartiniai ar riboti. CNIL taip pat atkreipė dėmesį į tai, kad „Google“ verslo modelis iš dalies grįstas reklamų personalizavimu, todėl įmonė turi itin atsakingai laikytis su tokia veikla susijusių reikalavimų.
Situacija Lietuvoje ir kas laukia šiemet
Kol kas Lietuvos priežiūros institucija, Valstybinė duomenų apsaugos inspekcija, liko ištikima savo planui iš pradžių kas orientuotis ne į baudas, o į švietimą ir pagalbą duomenų valdytojams siekiant atitikti pasikeitusius teisės aktus. Atitinkamai, Lietuvoje, kaip ir nemažai kitų ES valstybių, kol kas nėra pagal BDAR paskirtų baudų.
Aukščiau aprašyti baudų skyrimo atvejai atskleidžia tam tikras rizikas, į kurias reikėtų atkreipti dėmesį, bet tikrai negalima būtų teigti, kad jie pateikia aiškią ir harmonizuotą poziciją dėl baudų skyrimo bei jų dydžių, tendencijoms ir juo labiau bendrai priežiūros institucijų praktikai ES lygiu formuotis neabejotinai prireiks daugiau laiko. Visgi neabejotina, kad šiais metais Europos Sąjungos valstybėse pasitaikys dar daugiau baudų skyrimo atvejų, kurie leis palaipsniui judėti šia kryptimi.