aA
Pasibaigus metams, kai pradėtas taikyti ES Bendrojo duomenų apsaugos reglamentas (toliau – BDAR), tikslinga pažiūrėti į praėjusius metus norint įvertinti, kaip iki šiol pasireiškė vienas iš dažniausiai akcentuojamų BDAR elementų – reikšmingai išaugusios baudos. Kol kas praktika išlieka labai ribota, nes didelė dalis priežiūros institucijų deklaravo siekį šviesti, o ne bausti už neatitikimus, tačiau atskiri atvejai leidžia susidaryti tam tikrą įspūdi dėl to, kas laukia ateityje.
© Shutterstock

Duomenų saugumo pažeidimas

Vokietijos Badeno-Viurtembergo žemės priežiūros institucija (toliau – LfDI) paskyrė 20 tūkst. eurų baudą pokalbių svetainės ir programėlės „Knuddels“ valdytojui dėl įvykusios duomenų vagystės, per kurią nutekinti ir vėliau paviešinti net 330 tūkst. unikalių vartotojų prisijungimo duomenys, įskaitant el. pašto adresus ir slaptažodžius, o taip pat vardus (apie 3 280 atvejų) ir/ar gyvenamąsias vietas (apie 2 400 atvejų). Informacijos buvo paviešinta dar daugiau – atskleista apie 808 tūkst. el. pašto adresų ir apie 1 mln. 872 tūkst. vartotojų vardų ir slaptažodžių, bet, galbūt iš dalies dėl ilgamečio (jau 19 metų trunkančio) „Knuddel“ veikimo, faktinis nustatytų unikalių nukentėjusių asmenų skaičius buvo mažesnis.

Šiuo atveju buvo akivaizdžiai neužtikrintos tinkamos techninės saugumo priemonės, vartotojų slaptažodžius saugant ne vien šifruotus, o ir kaip paprastą tekstą, kas įsilaužėliams suteikė laisvą prieigą prie pasisavintų duomenų. Bendrovė nedelsdama apie įvykusį duomenų saugumo pažeidimą pranešė LfDI, pateikė išsamią informaciją tiek apie pažeidimo aplinkybes, tiek ir apie vykdomą asmens duomenų tvarkymą bei jo trūkumus.

Per kelias savaites nuo pažeidimo nustatymo bendrovė įgyvendino priemones, pagerinusias IT saugumą ir su LfDI pagalba ėmėsi tolesnių saugumo gerinimo veiksmų. Skaidrumas ir pavyzdiniu pavadintas bendradarbiavimas su LfDI atitinkamai nulėmė palyginti nedidelės (atsižvelgiant į pažeidimo mastą ir rimtumą) baudos skyrimą.

Ši situacija pademonstruoja, kodėl taip svarbu paaiškėjus duomenų saugumo pažeidimui laiku ir efektyviai į jį sureaguoti. Nors tai ne visais atvejais garantuoja, kad pavyks išvengti galimos baudos ar situacijos paviešinimo, tačiau pažeidimo pasekmės nepranešus gali būti nepalyginamai skaudesnės.

Neteisėtas vaizdo stebėjimas

Austrijos priežiūros institucija (toliau – DSB) kiek netikėtai savo pirmąją baudą skyrė ne kokiai didelei korporacijai, o verslininkui, įrengusiam vaizdo stebėjimo kamerą priešais savo lažybų punktą. Pažeidimas apėmė du aspektus – kameros stebėjimo laukas apėmė nemažą šaligatvio plotą priešais bendrovės patalpas, o tai DSB pripažino viešos vietos stebėsena dideliu mastu, neturinčia teisinio pagrindo ir atitinkamai neteisėta pagal BDAR, o taip pat nustatyta, kad kamera nebuvo tinkamai pažymėta, dėl ko nebuvo įgyvendintas skaidrumo reikalavimas. DSB pažeidėjui skyrė 4800 eurų baudą remdamasi proporcingumo principu, atsižvelgdama, be kitą ko, į nedidelę bendrovės metinę apyvartą.

Be šios, didžiausios (bet laikomos gana nedidele), baudos DSB paskyrė dar tris mažesnes baudas dėl neteisėto vaizdo stebėjimo: 1800 Eur baudą kebabų kiosko savininkui, 400 Eur baudą restoranui ir 300 Eur baudą asmeniui, neteisėtai naudojusiam automobilinį vaizdo registratorių.

DSB skirtos baudos gal ir yra sąlyginai nedidelės, bet susijusios su ir Lietuvoje praktikoje itin paplitusiu vaizdo stebėjimu, todėl turėtų paskatinti vaizdą stebinčius subjektus įsivertinti, ar jie tai tikrai vykdo laikydamiesi visų keliamų reikalavimų, atsakingai pasirinkdami vaizdo stebėjimo lauką ir pateikdami tinkamus pranešimus apie vaizdo stebėjimą.

Netinkamos techninės ir organizacinės saugumo priemonės

Portugalijos priežiūros institucija (toliau – CNPD) ligoninei (Centro Hospitalar Barreiro Montijo) paskyrė vieną didžiausių Europos Sąjungoje 400 tūkst. Eur baudą. Tikslumo dėlei reikėtų pasakyti, kad šią sumą sudaro trys baudos už tris išskirtus (nors ir labai glaudžiai susijusius) pažeidimus.

Valentinas Knyva
Valentinas Knyva
© Advokatų kontoros archyvas

Pirmuoju pažeidimu, už kurį skirta 150 tūkst. Eur bauda, buvo neribotos galimybės prie asmens duomenų suteikimas pertekliniam vartotojų ratui. Esminiu pažeidimo elementu buvo tai, kad informacinėje sistemoje buvo 985 aktyvūs vartotojai, priskirti „gydytojų“ grupei, nors ligoninėje patikrinimo metu dirbo tik 296 gydytojai. Tokia situacija susiklostė tiek dėl klaidingo kitų darbuotojų priskyrimo šiai grupei, tiek ir dėl tolesnio gydytojų, kurie nebedirbo ligoninėje, paskyrų palaikymo. Tai pripažinta pagrindinių duomenų tvarkymo principų ir, konkrečiai, minimizavimo principo pažeidimu.

Antruoju pažeidimu, už kurį taip pat skirta 150 tūkst. Eur bauda, buvo vientisumo ir konfidencialumo pažeidimas, kilęs dėl neįgyvendintų tinkamų techninių bei organizacinių priemonių, kurios apsaugotų nuo neteisėtos prieigos prie asmens duomenų. Esmine problema buvo neribotos prieigos prie asmens duomenų suteikimas visiems darbuotojams, nors šie, o ypač techninis personalas, turėtų įgyti prieigą prie duomenų tik konkrečiais ir apibrėžtais atvejais.

Trečiuoju pažeidimu, už kurį skirta 100 tūkst. Eur bauda, buvo ligoninės negebėjimas užtikrinti tęstinio savo sistemų ir paslaugų konfidencialumo, vientisumo, pasiekiamumo bei atsparumo, o taip pat adekvačių techninių ir organizacinių priemonių neįgyvendinimas.

Tyrimas pradėtas dėl gydytojų sąjungai (Sindicato dos Médicos da Zona Sul) viešai iškėlus klausimą dėl galimai netinkamai suteiktų prieigos teisių. Iš pradžių gydytojai bandė atkreipti ligoninės vadovybės dėmesį, bet, šiai ignoruojant kreipimąsi ir nesiimant veiksmų, buvo priversti paviešinti susiklosčiusią situaciją ir kreiptis į suinteresuotas institucijas. Atsižvelgiant į visas aplinkybes galima spręsti, kad baudos dydžiui didelę reikšmę turėjo ne vien asmens duomenų jautrumas, bet ir tai, kad ligoninės vadovybė žinojo, kad toks informacinės sistemos naudojimas pažeidžia teisės aktus, tačiau vis vien nesiėmė veiksmų spręsti sistemos problemų nepaisydama suinteresuotų šalių įspėjimų. CNPD taip pat svarbia aplinkybe laikė tai, kad sužinojo apie pažeidimą ne iš ligoninės, o per žiniasklaidos priemones, kurių publikacijose pateiktą informaciją patvirtino CNPD atliktas tyrimas.

Įdomi aplinkybė, kad ši ligoninė yra valstybinis, o ne privatus subjektas. Lietuvos kontekste žinotina, kad nors Asmens duomenų teisinės apsaugos įstatyme maksimali bauda (atsižvelgiant ir į tokius rodiklius kaip einamųjų metų biudžetas ir kitų praėjusiais metais gautų bendrųjų metinių pajamų dydis), skiriama valdžios institucijai ar įstaigai negali viršyti 60 tūkst. Eur, tačiau toms valdžios institucijoms ir įstaigoms, kurias vykdo ūkinę komercinę veiklą, šis apribojimas nėra taikomas.

Šis atvejis turėtų paskatinti ir Lietuvos gydymo įstaigas atidžiau įsivertinti savo situaciją ir naudojamų sistemų atitiktį teisės reikalavimams, nors žinoma ir kitų sričių juridiniams asmenims reikėtų įsivertinti, ar prieigą prie asmens duomenų tikrai suteikia savo darbuotojams tik tokia apimtimi, kuri būtina jų darbo funkcijoms vykdyti.

Skaidrumas ir sutikimas reklamų personalizavimui

Naujausią, ir, kol kas, didžiausią Europos Sąjungoje net 50 milijonų eurų baudą Prancūzijos priežiūros institucija toliau – CNIL) skyrė Google LLC.

Tokią baudą CNIL skyrė pradėjusi tyrimą pagal už privatumą kovojančių asociacijų „La Quadrature du Net“ ir „None Of Your Business“ pateiktus grupinius skundus. Abiejuose skunduose asociacijos kritikavo „Google“ kaip neturinčią tinkamo teisinio pagrindo tvarkyti savo vartotojų asmens duomenis, ypač reklamų personalizavimo tikslais.

Atlikusi tyrimą, CNIL nustatė, kad „Google“ pateikiama informacija neatitinka skaidrumo reikalavimų. Vartotojams pateikiama informacija apie esminius aspektus, tokius kaip duomenų tvarkymo tikslai, jų saugojimo laikotarpiai ir asmens duomenų kategorijos, naudojamos reklamų personalizavimui, yra išmėtyta po skirtingus dokumentus. CNIL nustatė, kad norint pasiekti visą reikiamą informaciją prireikia keleto žingsnių, kai kuriais atvejais net iki 5 ar 6 veiksmų.

Duomenų apsauga
Duomenų apsauga
© Shutterstock

Taip pat nustatyta, kad net ir tokiu būdu surasta informacija ne visada yra aiški ir suprantama, ypač atsižvelgiant į platų ratą „Google“ teikiamų paslaugų, per daug neaiški ir bendro pobūdžio. Taip pat nepakankamai aiškiai patekta informacija apie tai, kad reklamų personalizavimo pagrindu yra sutikimas, o ne teisėtas bendrovės interesas. Galiausiai, tam tikriems asmens duomenims apskritai nebuvo nurodytas saugojimo terminas.

Kita CNIL nustatyta aplinkybe, nulėmusia baudos skyrimą, yra netinkamai gautas vartotojų sutikimas reklamų personalizavimui. Pirma, sutikimas laikomas nepakankamai informuotu, nes, kaip minėta, privaloma pateikti informacija yra paskleista skirtinguose dokumentuose ir nepakankamai aiški. Antra, sutikimas duodamas tokia forma, kuri verčia duoti vieną bendrą sutikimą visam „Google“ vykdomam asmens duomenų tvarkymui, nors pagal BDAR sutikimas laikomas pakankamai konkrečiu tik tada, kai jis atskirai duodamas konkretiems tikslams.

Baudos dydį CNIL nustatė įvertindama pažeidimo rimtumą, „Google“ nesilaikant esminių BDAR reikalavimų, neužtikrinus skaidrumo, tinkamo informavimo ir sutikimo gavimo. Taip pat atsižvelgta į itin didelius duomenų srautus, galimybę daryti įtaką privačiam gyvenimui ir tai, kad pažeidimai yra tęstiniai, o ne vienkartiniai ar riboti. CNIL taip pat atkreipė dėmesį į tai, kad „Google“ verslo modelis iš dalies grįstas reklamų personalizavimu, todėl įmonė turi itin atsakingai laikytis su tokia veikla susijusių reikalavimų.

Situacija Lietuvoje ir kas laukia šiemet

Kol kas Lietuvos priežiūros institucija, Valstybinė duomenų apsaugos inspekcija, liko ištikima savo planui iš pradžių kas orientuotis ne į baudas, o į švietimą ir pagalbą duomenų valdytojams siekiant atitikti pasikeitusius teisės aktus. Atitinkamai, Lietuvoje, kaip ir nemažai kitų ES valstybių, kol kas nėra pagal BDAR paskirtų baudų.

Aukščiau aprašyti baudų skyrimo atvejai atskleidžia tam tikras rizikas, į kurias reikėtų atkreipti dėmesį, bet tikrai negalima būtų teigti, kad jie pateikia aiškią ir harmonizuotą poziciją dėl baudų skyrimo bei jų dydžių, tendencijoms ir juo labiau bendrai priežiūros institucijų praktikai ES lygiu formuotis neabejotinai prireiks daugiau laiko. Visgi neabejotina, kad šiais metais Europos Sąjungos valstybėse pasitaikys dar daugiau baudų skyrimo atvejų, kurie leis palaipsniui judėti šia kryptimi.

Griežtai draudžiama DELFI paskelbtą informaciją panaudoti kitose interneto svetainėse, žiniasklaidos priemonėse ar kitur arba platinti mūsų medžiagą kuriuo nors pavidalu be sutikimo, o jei sutikimas gautas, būtina nurodyti DELFI kaip šaltinį.
Įvertink šį straipnį
Norėdami tobulėti, suteikiame jums galimybę įvertinti skaitomą DELFI turinį.
  • 1
  • 2
  • 3
  • 4
  • 5
(0 žmonių įvertino)
0
Parašykite savo nuomonę
arba diskutuokite anonimiškai čia
Skelbdami savo nuomonę, Jūs sutinkate su taisyklėmis
Rodyti diskusiją Rodyti diskusiją

Top naujienos

Pravieniškių mafija. Išskirtinė „kamorai“ vadovavusio Kauno „bachūro“ išpažintis (5)

Pravieniškių pataisos namuose įkalinti Kauno organizuotų nusikalstamų grupuočių nariai...

„Ogmios miestas“ turės dvynį: Vilniuje išdygs milžiniškas išparduotuvių centras (87)

Po kelerių metų Vilniuje, prie vakarinio aplinkkelio, turėtų iškilti dar vienas prekybos ir...

Vladimiras Laučius. Lietuva, nekenčianti Lietuvos: kuo virto runkelių ir elito kova (622)

Trečias nepriklausomybės dešimtmetis pasižymėjo savitu paradoksu: Lietuvoje mažėjo tikros...

Atgal į Didžiąją Britaniją besiveržianti ISIS nuotaka: nesigailiu papildyta (77)

2015-ųjų vasarį trys moksleivės iš Betnal Grino Londone Gatviko oro uoste įlipo į „ Turkish...

Jaunas mokytojas: ne kartą mokiniams sakiau, kad išvyksiu vaškuoti banglenčių į šiltus kraštus (7)

Daugiau nei prieš penkerius metus mokytojauti pradėjęs Alius Avičininkas svarsto, kad grįžti...

Lietuvė su siaubu prisimena gimdymą Airijoje: Cezario operaciją darė nespėjus suveikti vaistams (121)

Šiandien mitybos specialistė, verslininkė Indrė Trusovė su šypsena prisimena savo gyvenimą...

Naujausio tyrimo išvadose paskelbta – ar iš tiesų kavą gerti sveika? (8)

Taip, sveika . Tad negaiškite, įsipilkite į puodelį kvapnaus gėrimo, o po to dar kartą ir net...

Agnė Zinkevičiūtė: moterys dažnai net nesuvokia, kad tai jos atėmė iš vyro jėgą

„Jei staiga praradote gyvenimo džiaugsmą, rodos, ir darbe, ir namuose visi jus vargina, pykdo,...

Pasirašyti už kandidatus galima – tik reikia kantrybės: bando gerinti situaciją atnaujinta (163)

Gyventojams užplūdus elektroninį portalą rinkejopuslapis.lt, kuriame galima elektroniniu būdu...

Pirmą kartą legendinėje televizijos laidoje „Robinzonai“ pamatyta šalis šiandien tampa svajonių atostogų kryptimi

Didžioji dalis lietuvių egzotiškosios Malaizijos laukinius paplūdimius prieš beveik du...