BDAR veikia: per Europą ritasi pirmoji baudų banga

Prabėgus daugiau nei pusmečiui po to, kai 2018 m. pavasario pabaigoje įsigaliojo ES Bendrasis duomenų apsaugos reglamentas (BDAR), ES šalyse fiksuojamos pirmosios sankcijos už šio teisės akto pažeidimus. Asmens duomenų pažeidimai jau ne vienai įmonei Europoje atsirūgo šimtatūkstantinėmis baudomis.

Portugalija: bauda ligoninei

Viena pirmųjų baudų Europoje už asmens duomenų apsaugos pažeidimus buvo skirta Portugalijos ligoninei „Centro Hospitalar Barreiro Montijo“ – 2018 m. liepos viduryje ligoninei buvo skirta 400.000 Eur bauda dėl trijų reglamento pažeidimų.

Pasak šalies duomenų apsaugos tarnybos, ligoninėje per daug darbuotojų turėjo prieigą prie pacientų asmens duomenų, nebuvo laikomasi tinkamų techninių ir organizacinių priemonių asmens duomenims apsaugoti.

Vokietija: nubausta pokalbių svetainė

2018 m. lapkričio pabaigoje Badeno-Viurtembergo regiono duomenų apsaugos institucija paskelbė apie pirmąjį rimtą BDAR reglamento pažeidimą Vokietijoje. Pokalbių svetainei „Knuddels.de“ buvo skirta 20.000 Eur bauda dėl 32-ojo BDAR straipsnio pažeidimo.

Iki „Facebook“ atsiradimo Vokietijoje itin populiarus buvęs „Knuddels.de“ praėjusių metų rugsėjį patyrė masinį duomenų pažeidimą, kurio metu programišiai nutekino beveik 2 mln. vartotojų vardų ir slaptažodžių ir virš 800.000 el. pašto adresų, taip pat kitokio pobūdžio informacijos. Pasisavinti duomenys netrukus atsirado įvairiose dalinimosi svetainėse.

Duomenų pažeidimą tyrę ekspertai tikina, kad „Knuddels.de“ nesilaikė tinkamų saugumo priemonių, kad apsaugotų savo vartotojų informaciją. Kita vertus, pokalbių svetainės administratoriai, pastebėję duomenų nutekėjimą, iškart informavo savo vartotojus ir duomenų apsaugos tarnybą ir ėmėsi IT infrastruktūros stiprinimo. Tai buvo viena iš priežasčių, kodėl organizacijai buvo skirta mažesnė bauda, nei nurodo BDAR reglamentas.

Austrija: skandalas su paštu

Pirmoji su BDAR pažeidimu susijusi bauda Austrijoje buvo gana menka – už netinkamą stebėjimo kameros įrengimą prie parduotuvės verslininkui buvo skirta 4.800 Eur bauda. Pasak Austrijos duomenų apsaugos tarnybos, parduotuvės kamera filmavo per daug viešosios erdvės ir nebuvo tinkamai pažymėta, kad teritorija yra stebima.

Vis dėlto įdomesnis atvejis šiuo metu verda dėl Austrijos pašto, kuris, kaip paaiškėjo, politinėms partijoms pardavė virš 2,2 mln. austrų duomenų, tokių kaip jų vardai, namų adresai, amžius ir lytis, kad politikai galėtų organizuoti tikslines kampanijas prieš rinkimus. Austrijos paštas ginasi, kad tokia praktika, kai duomenys parduodami tiesioginės rinkodaros tikslais, yra nuo seno leidžiama šalies įstatymų. Austrijos duomenų apsaugos institucija jau įsitraukė į šio skandalo tyrimą.

Lietuva: baudų kol kas neskirta

Tuo tarpu Lietuvoje kol kas negirdėti, kad nors viena įmonė būtų rimčiau nubausta už BDAR pažeidimus. Raminta Sinkevičiūtė-Šečkuvienė, VDAI Teisės skyriaus patarėja, VŽ informavo, kad kol kas baudų už BDAR pažeidimus mūsų šalyje nėra skirta.

„Viena iš priežasčių – ta, kad buvome pasižadėję I pusmetį po reglamento įsigaliojimo baudų už BDAR atneštų naujų reikalavimų pažeidimą neskirti, suprasdami, koks įtemptas įmonėms buvo pasirengimo įgyvendinti BDAR reikalavimus laikas“, – pasakoja ji.

Pašnekovė mini, kad nuo gegužės 25 d., kai pradėtas taikyti BDAR, skundų dėl asmens duomenų pažeidimų teikimas itin suaktyvėjo. Per pusmetį nuo BDAR įsigaliojimo skundų gauta dukart daugiau nei per tą patį laikotarpį prieš metus.

2016 m. VDAI iš viso yra gavusi 444 skundus, 2017 m. – 480, per nepilnus 2018-uosius – jau 770, o per pastarąjį pusmetį jų sulaukta 443. Per 2018 m. pirmus 3 ketvirčius gauti 644 asmenų skundai, kai 2017 m. per tą patį laikotarpį užregistruota tik 311.

Remiantis inspekcijos veiklos statistika, daugiausia lietuviai skundžiasi dėl tiesioginės rinkodaros, vaizdo duomenų, duomenų tvarkymo internete, skolininkų duomenų, valstybės registrų, asmens kodo ir kitos informacijos.

Nors kol kas mūsų VDAI nėra skyrusi baudų pagal BDAR, tačiau iš savo iniciatyva atliktų 19 tikrinimų po gegužės 25 d., kai pradėtas taikyti BDAR, 18 atvejų VDAI pateikė organizacijoms nurodymus dėl netinkamo asmens duomenų tvarkymo. Pavyzdžiui, iš 12 patikrintų Lietuvos Respublikoje registruotų ir vykdančių veiklą bendrovių, veikiančių maisto, namų apyvokos prekių parduotuvių ir vaistinių sektoriuje, dėl asmens duomenų tvarkymo tiesioginės rinkodaros ir lojalumo programos tikslais visose rasta pažeidimų.

Šaltinis: „Verslo žinios“