Neteisėtai kaupė informaciją apie klientus
Austrijos reguliuojanti institucija nustatė, kad Austrijos paštas, kurio dalis priklauso valstybei, rinko duomenis ir sukūrė apie 2,2 mln. šalies gyventojų profilių. Į juos buvo įtraukta ir informacija apie numanomas asmenų politines pažiūras. Pašto klientų profilius taip pat sudarė duomenys apie tai, kaip dažnai jie gaudavo siuntinius ar kraustėsi iš vienos vietos į kitą.
Dar sausio mėnesį Austrijos duomenų apsaugos tarnyba informavo visuomenę, kad paštas susiejo šiuos duomenis su klientų vardais, adresais, amžiumi bei lytimi ir pardavinėjo jų profilius kitoms įmonėms bei politinėms partijoms, naudojančioms juos tiesioginės rinkodaros tikslais. Už tai paštui buvo skirta ketvirta pagal dydį Europoje bauda dėl BDAR pažeidimų. Pasak tarnybos, pašto elgesys buvo neteisėtas ir tyčinis, todėl skirta administracinė bauda yra proporcinga ir padedanti užkirsti kelią tokiems ar panašiems pažeidimams ateityje.
Politinės pažiūros – prie jautrių duomenų
Austrijos pašto atstovai patvirtino, kad remiantis renkamais duomenimis galėjo būti nustatomas palankumas tam tikrai partijai, bet šie duomenys neatskleidė „tikrų politinių pažiūrų, nuomonių ar balsavimo pasirinkimų“, o tik tikimybę. Tačiau Austrijos duomenų apsaugos tarnybos nuomone, šių „spėjimų“ sudarymas turi būti vertinamas kaip pažeidimas.
Politinės asmens pažiūros yra priskiriamos jautrių duomenų kategorijai, todėl pagal BDAR jiems taikomi itin griežti apsaugos reikalavimai. Pavyzdžiui, jų tvarkymui dažniausiai reikia asmens sutikimo. Faktas, kad duomenys buvo parduodami, taip pat išryškino neteisėtą šių veiksmų pobūdį. Kai kurios Austrijos partijos pripažino pasinaudojusios šiuo pašto sukauptu duomenų banku.
Gresia individualūs ieškiniai
Atvejui iškilus į viešumą paštas pažadėjo sustabdyti duomenų apie klientų politines pažiūras rinkimą ir pardavimą, tačiau duomenų apsaugos tarnybos sprendimą paštas ketina ginčyti.
Vien šia bauda Austrijos pašto problemos gali nesibaigti. Pretenzijas dėl BDAR pažeidimų jau spėjo pareikšti ir individualūs pašto klientai. Dar prieš tarnybai priimant sprendimą skirti baudą dėl pažeidimų buvo skirtos kelios 800 eurų kompensacijos individualiems asmenims, kurių duomenys buvo tvarkomi netinkamai. Taigi precedentų individualios žalos atlyginimui jau taip pat yra. Tiesa, kiekvienas individualus pareiškėjas turi įrodyti savo asmens duomenų pažeidimą, todėl prižiūrinčios tarnybos skirta bauda didelės įtakos atskiriems teisiniams procesams neturi.
Nuobaudos skirtos ir Lietuvoje
Šis atvejis yra pavyzdys, kad BDAR gali pažeisti ir dėl to didelių nemalonumų gali kilti ir organizacijoms, kurios priklauso valstybiniam sektoriui bei vykdo veiklą ne skaitmeninėje erdvėje (kitos didelės baudos dėl BDAR pažeidimų Europoje buvo skirtos būtent skaitmeninėje erdvėje veikiančioms bendrovėms). Ši bauda taip pat yra aiškus signalas, kad joks piktnaudžiavimas asmens duomenimis nėra toleruojamas.
Nuobaudos už BDAR pažeidimus tikrai nėra tik teorinė galimybė ar vien Vakarų valstybėse taikoma praktika. Lietuvoje Valstybinė duomenų apsaugos tarnyba kovodama su BDAR pažeidimais taip pat yra nusiteikusi imtis ryžtingų priemonių. Nuo BDAR įsigaliojimo pradžios reguliuojanti tarnyba mūsų šalyse iš viso skyrė 4 su reglamento pažeidimu susijusias baudas.
Bendra jų suma siekia 67,4 tūkst. eurų, o didžiąją jos dalį sudaro bauda, skirta vienai įmonei už asmens duomenų saugumo pažeidimus mokėjimo iniciavimo sistemoje. Suma, be abejo, nė iš tolo neprilygsta Austrijos paštui skirtai baudai, tačiau, atsižvelgiant į pažeidimų mastus, tai taip pat yra realių nuobaudų įrodymas.
Dėl to įmonės turėtų siekti užtikrinti savo veiklos atitikimą reglamentui ir skirti tam pakankamai resursų.
