L. Andziulytė. Ryškiausios BDAR baudos 2021: ar pasimokysime iš svetimų klaidų?

Publikuota: 2022-01-23
Atnaujinta 2022-01-23 11:59
Nuotr. iš asmeninio albumo
svg svg
Nuotr. iš asmeninio albumo
ECOVIS ProventusLaw advokatė ir partnerė

Prieš beveik 4 metus įsigaliojusio Bendrojo duomenų apsaugos reglamento (BDAR) taikymas verslui tebėra iššūkis, bet priežiūros institucijų inicijuojami tyrimai ir augančios baudos rodo, kad „pereinamasis laikotarpis“ jau baigėsi. Net 5 iš 10-ies didžiausių baudų už BDAR pažeidimus pasaulyje buvo skirtos būtent pernai, o ir Lietuvoje praėjusiais metais buvo skirta pirmoji šešiaženklė bauda. Tad ko galime pasimokyti iš svetimų klaidų?

BDAR baudos 2021 m. pasaulyje viršijo 1 mlrd. Eur – tai net 6 kartus daugiau nei užpernai. Ir jei dar 2019 m. rinkos buvo nustebintos pirmosios daugiamilijoninės „Google“ skirtos baudos (50 mln. Eur), praėjusiais metais baudų kartelė pakilo iki dar nematytų aukštumų. Už BDAR pažeidimus pernai „Amazon Europe“ buvo paskirta 746 mln. Eur bauda, o„WhatsApp Ireland“ - 225 mln. Eur.

Siūlome panagrinėti keletą įdomiausių praėjusių metų bylų, už kurias ES asmens duomenų apsaugos priežiūros institucijos skyrė ženklias baudas. Šie atvejai ir jų pamokos gali būti aktualios daugeliui organizacijų ir Lietuvoje,

 

Nemokami naujienlaiškiai į savo el. pašto dėžutę:













Svarbiausios dienos naujienos trumpai:



 

1. „Amazon“ – 746 mln. Eur bauda dėl netinkamo asmens duomenų tvarkymo vykdant tiesioginę rinkodarą

„Amazon“ atvejis neturi precedento: tai didžiausia iki šiol skirta BDAR bauda ir daugiau nei du kartus didesnė nei bet kurios kitos BDAR baudos kartu sudėjus.

Liuksemburge buvo tiriama, ar bendrovė, vykdydama tiesioginę rinkodarą, užtikrino tinkamą vartotojų sutikimo gavimą ir ar tokie asmens duomenys nebuvo neteisėtai perduodami tretiesiems asmenims. „Amazon“ bandė grįsti savo poziciją, teikdama nuorodas į bendrovės teisėtą interesą ir sutarties vykdymą su klientais, tačiau Liuksemburgo priežiūros institucijos šie argumentai neįtikino.

 Kas iš to?

Reklaminius pranešimus organizacijos gali siųsti tik turėdamos asmens sutikimą. Lietuvoje daugelis verslų jau susigyveno su šia taisykle, tačiau vis dar mažai dėmesio skiriama sutikimo turiniui tinkamai suformuluoti bei tinkamai administruoti sistemas, kai toks sutikimas yra atšaukiamas.

Primintina, kad sutikimas turi būti atskirai duodamas dėl kiekvienos komunikavimo priemonės, t.y. jei norima siųsti pranešimus ir el. paštu ir SMS žinutėmis, turi būti gauti du atskiri sutikimai. Galiausiai, vartotojams privalo būti suteikta aiški ir nemokama galimybė atšaukti sutikimą, o atšaukimo sulaukęs verslas privalo reaguoti nedelsiant.

 

2. „WhatsApp Ireland“ – 225 mln. Eur bauda dėl netinkamo informavimo apie tvarkomus asmens duomenis

Kaip žinoma, vartotojui instaliavus „WhatsApp“ programėlę, ji vykdo telefone esančių kontaktų patikrinimą, nustatydama, ar šie telefono numeriai yra „WhatsApp“ vartotojai, ir tuomet juos perkelia į vartotojo „WhatsApp“ kontaktų sąrašą. Airijos institucijos nustatė, kad „WhatsApp“ atlikdama tokio pobūdžio patikrinimą importuoja visus telefone esančius kontaktus (t.y. ne tik „WhatsApp“ vartotojus) į savo sistemą, vėliau naudoja algoritmus, neva nuasmenindama ne „WhatsApp“ vartotojų telefono numerius. Tačiau faktiškai buvo nustatyta, kad pagal tai vis tiek galima identifikuoti asmenį. Priežiūros institucija nusprendė, kad „WhatsApp“ netinkamai vykdė pareigą informuoti ne „WhatsApp“ vartotojus apie jų asmens duomenis.

Taip pat buvo nustatyta, kad „WhatsApp“ netinkamai ir neskaidriai informuoja vartotojus apie jų asmens duomenų perdavimą „Facebook“, naudojo aptakias formuluotes, o informaciją buvo išbarsčiusi per skirtingus dokumentus.

 Kas iš to?

Lietuvoje vis dar pastebima tendencija, kad privatumo pranešimai yra kopijuojami nuo kitų įmonių, klaidingai mąstant, kad jie yra tinkami visoms organizacijoms. Vis dėlto privatumo politika ir kiti privatumo pranešimai turi būti adaptuoti kiekvienai įmonei individualiai, atsižvelgiant į organizacijų pobūdį, duomenų subjektus ir būtent tos organizacijos asmens duomenų gyvavimo ciklą. Vis daugiau priežiūros institucijų reikalauja kuo detaliau privatumo politikoje nurodyti, kam yra perduodami asmens duomenys, iš kur jie gaunami ir kiek saugomi. Visa ši informacija turi būti pateikta paprasta kalba ir lengvai prieinama.

 

3.  „H&M“ ?  35 mln. Eur bauda už neteisėtą darbuotojų duomenų rinkimą, ir „Notebooksbilliger.de“ 10,4 mln. Eur bauda už neteisėtą darbuotojų stebėseną

 Kita sritis, kurioje pernai buvo nustatyti esminiai BDAR pažeidimai, yra darbuotojų stebėsena bei neteisėtas duomenų rinkimas apie darbuotojus. Šioje srityje reikšmingos baudos buvo paskirtos drabužių parduotuvių tinklui „H&M“ ir  elektronikos mažmenininkui „Notebooksbilliger.de“. Abi kompanijas nubaudė Vokietijos priežiūros institucija.

Buvo nustatyta, kad „H&M“ nuo 2014 m. rinko ir kaupė daug duomenų apie darbuotojų privatų gyvenimą, o šiuos duomenis saugojo įmonės vidiniame tinkle. Duomenys apie darbuotojų privatų gyvenimą buvo renkami darbuotojų susitikimų su vadovais metu, taip pat neoficialiuose pokalbiuose, buvo prašoma papasakoti apie šeimos problemas, religinius įsitikinimus, pan. Informacija apie darbuotojo asmeninį gyvenimą buvo naudojama siekiant sukurti konkretaus darbuotojo profilį, skirtą padėti įmonei darbo santykiuose su tokiu asmeniu.

Panašus pažeidimas buvo užfiksuotas ir el. komercijos bendrovėje „Notebooksbilliger.de“, gavusiai baudą už reikalavimų neatitinkantį darbuotojų vaizdo stebėjimą.

Bendrovė bent dvejus metus vykdė savo darbuotojų stebėjimą vaizdo kameromis, įrengtomis darbuotojų bendrose patalpose, darbo vietoje, sandėlyje ir prekybos vietose. Daugeliu atvejų įrašai buvo saugomi 60 dienų. Nors bendrovė aiškino, kad tokiu vaizdo stebėjimu buvo siekiama užkirsti kelią vagystėms ir kitoms nusikalstamoms veikoms bei sekti prekių judėjimą sandėliuose, priežiūros institucijos laikėsi pozicijos, kad vaizdo stebėjimas siekiant atskleisti nusikalstamas veikas yra teisėtas tik tuo atveju, jei yra pagrįstų įtarimų dėl konkrečių asmenų, o toks stebėjimas turi būti ribotas laike.

 Kas iš to?

Asmens duomenų apsauga turi būti užtikrinama ne tik santykiuose su klientu, bet ir su darbuotoju. Tai, kad darbuotojas susietas su bendrove darbo santykiais, dar nereiškia, kad bet koks jo asmens duomenų tvarkymas, įskaitant ir stebėjimą, yra pateisinamas. LR Darbo kodeksas numato, kad turi būti gerbiamas darbuotojo asmeninis gyvenimas.

Prieš pradėdamas darbuotojų stebėseną, darbdavys turi įvertinti, kokių tikslų siekiama šia stebėsena ir ar šių tikslų negalima pasiekti kitomis priemonėmis. Taip pat būtina įvertinti renkamų duomenų apie darbuotoją mastą, pobūdį, turėti pasitvirtinusias su tuo susijusias tvarkas. Paprastai kalbant, galima rinkti nebent tą informaciją, kuri reikalinga konkrečiam įmonės tikslui pasiekti arba kai duomenų tvarkymas yra būtinas pagal teisės aktus. Kai duomenys tampa nereikalingi minėtiems tikslams, juos būtina nedelsiant ištrinti.

 

4. Booking.com - 475.000 Eur bauda dėl pavėluoto pranešimo priežiūros institucijai apie įvykusį asmens duomenų saugumo pažeidimą

 Nyderlandų duomenų apsaugos priežiūros institucija skyrė 475.000 Eur baudą Booking.com dėl pavėluoto pranešimo priežiūros institucijai apie įvykusį asmens duomenų saugumo pažeidimą. Incidentas įvyko dar 2018 m. gruodžio mėnesį, kai įsilaužėliai atakavo 40 darbuotojų paskyras skirtinguose viešbučiuose, esančiuose Jungtiniuose Arabų Emyratuose, ir tokiu būdu neteisėtai gavo apie 4.100 asmenų duomenis. Booking.com apie incidentą pranešė duomenų apsaugos priežiūros institucija tik praėjus 22 dienoms nuo sužinojimo apie incidentą, nors pagal BDAR turėjo informuoti per 72 val.

Anot Nyderlandų duomenų apsaugos priežiūros institucijos, įmonei tenka didelė atsakomybė užtikrinant savo milijonų klientų duomenų saugumą, įskaitant ir vykdyti pareigą nedelsiant informuoti duomenų apsaugos priežiūros instituciją įvykus pažeidimui.

 Kas iš to?

Įmonės turi turėti iš anksto parengtą planą, kaip reaguoti, kada ir kokias institucijas, subjektus informuoti asmens duomenų pažeidimų atveju. Rekomenduotina turėti pasirengus krizių valdymo planą, pažeidimų nustatymo, tyrimo bei vidaus pranešimų procedūras,  paskirti atsakingus asmenius, kad būtų laiku reaguojama ir valdoma situacija, užtikrinama  tiek vidinė, tiek išorinė komunikaciją apie duomenų saugumo pažeidimą.

Įvykus pažeidimui, svarbu dokumentuoti procesą, iš karto imtis veiksmų galimoms pažeidimų pasekmėms sumažinti, ir informuoti apie tai asmens duomenų priežiūros instituciją nedelsiant, per 72 valandas, nuo sužinojimo apie šį pažeidimą. Svarbu informuoti ir paveiktus duomenų subjektus (vartotojus, darbuotojus ir kt.), jei kyla didelis pavojus jų teisėms ir laisvėms.

Kompleksinės išvados

Aukščiau aptarta praktika parodė, kad įmonės turi aiškiai ir išsamiai informuoti savo klientus apie tvarkomus asmens duomenis, tikslus parengiant privatumo pranešimus pagal savo verslo modelį, o ne skelbiant šabloninius pranešimus. Taip pat, reklaminiai pranešimai turi būti siunčiami tik esant aiškiam susitikimui – praktika rodo, kad tokios priedangos kaip „teisėtas interesas“ ar „sutarties vykdymas“ yra akivaizdžiai netinkamos. Akivaizdu ir tai, kad duomenų rinkimas apie darbuotojus ar klientus „dėl viso pikto“ yra neteisėtas – duomenis rinkti leidžiama tik tiek, kiek tikrai reikia ir konkrečiam tikslui. Galiausiai, apie duomenų pažeidimus institucijoms būtina pranešti nedelsiant – priešingu atveju gali laukti didelės baudos.

Beje, nustačius, kad bendrovė tvarko klientų ar darbuotojų duomenis pažeisdama BDAR reikalavimus, verslas susiduria ne tik su teisine atsakomybe, bet patiria ir milžinišką reputacinę žalą. Todėl svarbu investuoti į sistemų saugumą, kad klientai jaustųsi saugiai dėl savo  duomenų saugumo bei į darbuotojų mokymus, kaip elgtis su klientų duomenimis ar jau įvykus duomenų saugumo pažeidimui.

Komentaro autorė - Loreta Andziulytė, ECOVIS ProventusLaw advokatė ir partnerė 

Autoriaus nuomonė nebūtinai sutampa su redakcijos pozicija.

Pasirinkite jus dominančias įmones ir temas – asmeniniu naujienlaiškiu informuosime iškart, kai jos bus minimos „Verslo žiniose“, „Sodros“, Registrų centro ir kt. šaltiniuose.

Rašyti komentarą 0
Kai pasiūlytieji mainai sunkiai dera su morale

Nuo Rusijos agresijos prieš Ukrainą pradžios praėjus trims mėnesiams tarptautinė bendruomenė staiga...

Ar Europa turėtų nustoti mokėjusi už Putino karą?

Ar teisinga, kad Europos šalys toliau moka Rusijai po 1 mlrd. Eur (1,1 mlrd. USD) per dieną už energiją...

Nuomonės
2022.05.19
Statybą stabdo ne verslas 25

Statybos bei kelių tiesimo įmonės beveik 80-yje viešųjų objektų pusdieniui metė darbus ir su plakatu...

VŽ požiūris
2022.05.19
A. Bogdanovičius. Vyriausybės veikla atveriant duomenis – tikėjimas iš troškimo 4

Tikėjimas iš troškimo (angl. wishful thinking) – terminas, naudojamas apibūdinti situaciją, kai...

Nuomonės
2022.05.18
Pagalbai – valstybės kišenė arba sugebėjimas prisitaikyti 2

Rusijos pradėtas karas Ukrainoje ir dėl jo Rusijai bei Baltarusijai paskelbtos sankcijos tapo paskutiniais...

VŽ požiūris
2022.05.18
A. Zujevas. Valstybinės sistemos gali tapti perkamiausia Lietuvos eksporto preke

Šiuo metu Lietuvos Finansų ir Ekonomikos ir inovacijos ministerijų dėka vyksta puiki iniciatyva – viešojo...

Nuomonės
2022.05.17
Siūlote algą vokelyje? Turbūt juokaujate 18

Kol darbuotojai nepradės atsisakyti dirbti įmonėse, kuriose atlyginimo dalis mokama neoficialiai, tol dalis...

Nuomonės
2022.05.17
E. Petrulis. Neutralioji palūkanų norma – kodėl ji mums turėtų rūpėti 1

Neutralioji palūkanų norma yra viena prieštaringiausių sąvokų finansų teorijoje, nes, skirtingai negu dauguma...

Nuomonės
2022.05.16
„Suprasti“ Rusiją 22

Viena žymiausių sovietologių, žurnalistė Francoise Thom savo naujausiame straipsnyje bando atsakyti į...

Nuomonės
2022.05.16
R. Skyrienė. Vyriausybės veiklos ataskaita: ar stiklinė pusiau tuščia?

Visi esame puikūs vairuotojai, kai vairuojame sėdėdami ant užpakalinės automobilio sėdynės. Tokios mintys...

Nuomonės
2022.05.14
R. Vilpišauskas. Ginčai dėl Europos ateities 1

Tuo metu, kai Europos ateitis sprendžiasi karo laukuose ir miestuose Ukrainoje, ES institucijose vyksta...

Nuomonės
2022.05.13
Pažiūrėkite į veidrodį 3

Panašu, kad Rusiją jau visai netrukus užklups naujas galvos skausmas – neutralumo politikos atsisakančios...

Nuomonės
2022.05.13
N. Mačiulis. Akcijų rinkos raudonuoja: kur ir kaip dabar investuoti 15

Šių metų pradžioje daugelis akcijų indeksų pasiekė rekordines aukštumas, tačiau pastaraisiais mėnesiais...

Nuomonės
2022.05.12
Gudručių laikams turi ateiti galas 54

Iki gegužės pabaigos – per ateinančias dvi su puse savaitės – didžioji dalis Lietuvos juridinių asmenų...

Nuomonės
2022.05.12
P. Neuding. Šiaurės šalių neutralumo pabaiga 2

Per visą Šaltąjį karą „nesijungti prie jokių aljansų taikos metu ir būti neutraliai per karą“ buvo ne tik...

Nuomonės
2022.05.11
R. Baravykas. Ar Lietuvos institucijos moka valdyti duomenis, kad jie kurtų vertę?

Pastaruoju metu visame pasaulyje duomenų tema tampa vis aktualesnė. Turbūt nieko nereikia įtikinėti, kad...

Nuomonės
2022.05.11
Ne tik pareiga, bet ir teisės 2

Šiandien, švenčiant Pagarbos mokesčių mokėtojams dieną, verta dar kartą priminti, kad mokesčius turime mokėti...

Nuomonės
2022.05.11
A. Skinulis. Kodėl naudotos elektromobilių baterijos nepatenka pas atliekų tvarkytojus?

Europa siekia, kad visos naudotos pramoninės ir elektra varomų transporto priemonių baterijos turėtų būti...

Nuomonės
2022.05.10
Kol neatburzgė griovėjai 2

Britiško kapitalo bendrovei „Intersurgical“, pasistačiusiai Pabradėje pirmąjį visiškai automatizuotą...

Nuomonės
2022.05.10
S. Sierakowskis. Moralinis Vokietijos pacifizmo bankrotas 1

Po užsitęsusio nėštumo Vokietija pagaliau pagimdė sprendimą siųsti į Ukrainą sunkiąją ginkluotę. Tačiau...

Nuomonės
2022.05.09

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Valdyti Sutinku