Įmonių BDAR pažeidimai: bausti negalima pasigailėti – kur dėsime kablelį?
)
)
Bendrasis duomenų apsaugos reglamentas (BDAR) neretai asocijuojasi su milijoninėmis baudomis, kurias įvairių ES valstybių narių priežiūros institucijos skiria įmonėms už šio teisės akto reikalavimų pažeidimus. Ne išimtis yra ir Lietuvoje priežiūrą vykdanti Valstybinė duomenų apsaugos inspekcija (VDAI), kuri pernai skyrė rekordinę beveik 2,4 mln. eurų baudą lietuviškam vienaragiui „Vinted“.
Taigi, įžengus į 2025 metus, verslininkai dažnai užduoda klausimą: ko galima tikėtis iš priežiūros institucijų šiemet?
Už ką baudžia daugiausia?
Remiantis „OneTrust“ skelbiamais duomenimis, per 2024 metus ES valstybių narių priežiūros institucijos paskyrė 315 baudų, bendrai šios baudos sudarė 1,19 mlrd. eurų.
Daugiausia baudų buvo skirta už:
asmens duomenų tvarkymo pagrindų pažeidimus (72 baudos, 368,2 mln. eurų);
asmens duomenų apsaugos principų pažeidimus (80 baudų 325,5 mln. eurų);
asmens duomenų saugumo pažeidimus (80 baudų 121,5 mln. eurų);
duomenų subjektų teisių pažeidimus ar netinkamą įgyvendinimą (35 baudos 5,8 mln. eurų).
Didžiausią 310 mln. eurų baudą gavo bendrovė „LinkedIn“, kuri netinkamai rėmėsi duomenų tvarkymo pagrindais, taip pat nesuteikė pakankamos informacijos duomenų subjektams pagal BDAR bei pažeidė sąžiningumo principą.
Svarbu paminėti, kad baudų skyrimo procesas neretai užtrunka, ypač kai yra paveiktas didelis duomenų subjektų skaičius įvairiose ES valstybėse. Taigi, 2024 metais paskirtos baudos paprastai yra už pažeidimus padarytus ankstesniais laikotarpiais. Pavyzdžiui, 2024 m. gruodį „Netflix“ gavo 4,75 mln. eurų baudą už privatumo politikos trūkumus, kurie buvo nustatyti dar 2019 metais, baudos skyrimo metu „Netflix“ privatumo politika jau buvo atnaujinta.
Analizuojant laiko intervalą nuo BDAR įsigaliojimo (2018 metai gegužės 25 d.) iki 2024 metų pabaigos, yra pastebima, kad aukščiau paminėtų 4 pažeidimų tipų (asmens duomenų tvarkymo pagrindų, principų, saugumo ir duomenų subjektų teisių pažeidimai) procentinė dalis nuo visų baudų skirtų už BDAR pažeidimus iš esmės išlieka nepakitusi.
Todėl galima daryti išvadą, kad aptariami BDAR pažeidimų tipai yra laikytini pažeidimais, už kuriuos ES priežiūros institucijos paskyrė daugiausia baudų ir nėra prielaidų, sąlygojančių apie kokius nors pokyčius 2025 metais.
Kokia situacija yra Lietuvoje?
VDAI savo interneto svetainėje skelbia apie reikšmingesnius sprendimus. Praeiti metai pasižymėjo ne tik rekordinio dydžio bauda, kuri buvo skirta dėvėtų drabužių prekybos ir mainų interneto platformą valdančiai bendrovei, bet ir sankcijomis kitiems ūkio subjektams už įvairius BDAR pažeidimus.
Pavyzdžiui, net du duomenų valdytojai gavo po 2 000 eurų baudą už teisėtumo principo pažeidimą vykdant vaizdo stebėjimą neturint tam teisinio pagrindo. Taip pat, VDAI duomenų apsaugos principų pažeidimą konstatavo ir situacijoje, kai advokato padėjėjas rinko informaciją iš nekilnojamojo turto registro, kuri nebuvo būtina teisinių paslaugų teikimui.
Nemažai ekonominių sankcijų ūkio subjektams buvo pritaikyta už duomenų subjektų teisių netinkamą įgyvendinimą, pavyzdžiui, teisės susipažinti su asmens duomenis pažeidimą, taip pat asmens duomenų gavimo šaltinio neatskleidimą.
Atsižvelgiant į tai, VDAI nenukrypsta nuo ES bendrojo kurso asmens duomenų apsaugos priežiūros srityje.
Kokių veiksmų imtis įmonėms norinčioms išvengti BDAR pažeidimų?
Iš aukščiau nurodytų aplinkybių seka, kad įmonėms už BDAR pažeidimus kasmet yra skiriamos solidžios baudos. Taigi, aptariamos ekonominės sankcijos gali tapti papildomu įrankiu trūkstamų lėšų į valstybės biudžetą surinkimui, ypač dabar, kai yra siekiama padidinti Lietuvos gynybos biudžetą.
Be to, priežiūros institucijų skiriamos baudos yra tik viena medalio pusė, nes nuo BDAR pažeidimų nukentėję duomenų subjektai taip pat turi teisę reikalauti turtinės ir neturtinės žalos atlyginimo.
Štai pavyzdžiui, 2024 metais Lietuvos apeliacinis teismas patenkino „Vartotojų aljanso“ grupės ieškinį dėl neturtinės žalos atlyginimo „Citybee“ programėlės vartotojams, kurių asmens duomenys nutekėjo 2021 metais, ir priteisė iš UAB „Prime leasing“ 103 800 eurų, t. y. po 300 eurų kiekvienam iš 346 grupės ieškinio narių. Svarbu paminėti, kad iš viso atskleisti ir viešai paskelbti buvo net 110 302 „CityBee“ vartotojų duomenys. Taigi, neturtinė žala galėjo būti žymiai didesnė, jeigu prie grupinio ieškinio prisijungtų dar daugiau asmenų.
Aukščiau paminėtų neigiamų pasekmių galima išvengti, atlikus šiuos veiksmus:
Atlikti duomenų apsaugos atitikties vertinimą, kurio pagrindinis tikslas – patikrinti esamus dokumentus ir procesus, siekiant užtikrinti, kad įmonėje vykdomas asmens duomenų tvarkymas atitiktų BDAR reikalavimus.
Daugelis įmonių turi BDAR dokumentaciją, tačiau neretai šie dokumentai ir juose aprašyti procesai nėra realiai įgyvendinami ir atnaujinami, todėl neužtikrinama reali duomenų apsauga kasdieninėje veikloje.
Organizuoti mokymus, kurių metu vadovai ir kiti įmonių darbuotojai galėtų susipažinti su pagrindiniais BDAR reikalavimais, kad lengviau juos suprastų ir įgyvendintų.
Nors BDAR įsigaliojo jau daugiau nei prieš 6 metus, daugelis mažų ir vidutinių įmonių vadovų bei savininkų vis dar nėra pakankamai informuoti apie BDAR reikalavimus ir jų svarbą verslo veiklai.
Sukurti aiškią politiką ir procedūras, pagal kurias būtų galima lengvai ir greitai reaguoti į duomenų subjektų prašymus.
Paskirti duomenų apsaugos pareigūną ar kitą atsakingą asmenį, kuris leistų įmonės vadovybei duomenų apsaugos klausimus patikėti kompetentingam asmeniui ir koncentruotis į kitus aktualius verslo procesus.
Pagalbos dėl BDAR ir kitų teisinių klausimų galite kreiptis į „Fondia“ teisės ekspertus
Kviečiame pasinaudoti nemokamos pirminės konsultacijos galimybe ir pasitarti su „Fondia“ teisininku.
Pokalbį galite paskirti Jums patogiu laiku paspaudę šią nuorodą: rezervuoti nemokamą teisininko konsultaciją.
