R. Stravinskaitė. Kodėl Lietuvoje duomenų apsauga nuošalėje?

Lietuva išlieka viena iš tų retų valstybių, kuriose duomenų apsaugų reikalavimų pažeidimai praktiškai nieko nekainuoja. Valstybinė duomenų apsaugos inspekcija (VDAI) vengia skirti baudas, o jeigu jau skiria, baudos dydis dažnam pažeidėjui kelia ne baimę, o juoką. Teismų priteisiama žala, blogiausiu atveju, siekia kelis šimtus eurų. Kas tai lemia ir kur tai veda?

Bendrasis duomenų apsaugos reglamentas (BDAR) reikalauja, kad visos administracinės baudos už duomenų apsaugos taisyklių pažeidimą būtų „veiksmingos, proporcingos ir atgrasomos“. Kaimyninėje Lenkijoje taip ir yra – už duomenų apsaugos pažeidimus skiriamos milijoninės baudos.

Pagal viešai skelbiamą informaciją, Lenkijoje yra skirta 650.000 Eur bauda elektroninei parduotuvei, kai buvo nutenkinti klientų asmens duomenys, 1.080.000 Eur buvo skirta kitai bendrovei, kai pastaroji neįgyvendino atitinkamų techninių ir organizacinių priemonių asmens duomenų saugumui užtikrinti. Tokių pavyzdžių galima pririnkti ir daugiau.

Lietuvoje iki šiol didžiausia skirta bauda – 110.302 Eur už tai, kad buvo atskleisti ir viešai paskelbti 110.302 bendrovės valdomos platformos „CityBee“ vartotojų duomenys. Atkreipėte dėmesį į sutampančius skaičius? Taip ir yra – po vieną eurą už nukentėjusį klientą. Maža to, sudėjus visas Lietuvoje paskirtas baudas už asmens duomenų apsaugos reikalavimų pažeidimus, pamatysime, kad bendra visų baudų suma kažin ar viršys 250.000 Eur.

Lenkijoje žmonės vykdo rimtesnius nusižengimus? Ar jų institucijos griežtesnės?

Vienas iš pagrindinių BDAR tikslų buvo pasiekti didesnį suderinimo lygį visoje Europos Sąjungoje, visų pirma, skiriant baudas. BDAR nustatytą administracinių baudų sistemą ES teisės aktų leidėjas sukūrė tam, kad Bendrijos teritorijoje būtų pasiekti nuoseklūs rezultatai.

Be to, BDAR pabrėžiama, kad siekiant nuoseklaus Reglamento taikymo priežiūros institucijoms būtina suteikti lygiaverčius įgaliojimus stebėti ir užtikrinti asmens duomenų apsaugos taisyklių laikymąsi ir jos turi galėti taikyti lygiavertes sankcijas už pažeidimus.

Europos Sąjungos Teisingumo Teismo (ESTT) vertinimu, sankcijų sistema, leidžianti skirti baudą skatina organizacijas laikytis BDAR reikalavimų. Dėl atgrasomojo poveikio administracinės baudos prisideda prie fizinių asmenų duomenų apsaugos stiprinimo.

Ar baudoms turi įtakos ir kitos sąlygos?

BDAR numatyta dviejų pakopų sankcijų sistema, priklausomai nuo to, koks asmens duomenų apsaugos pažeidimas buvo padarytas. Pirmosios pakopos sistema taikoma tais atvejais, kai verslas pažeidžia jam taikomas bendrąsias ir tam tikras specialiąsias pareigas, o antrosios pakopos sistema skirta sunkesniems pažeidimams, pvz., pagrindinių duomenų tvarkymo principų, duomenų subjektų teisių ir taisyklių pažeidimams.

Abiejų pakopų atveju kompetentingos nacionalinės institucijos (Lietuvoje tai Valstybinė duomenų apsaugos inspekcija), nustačiusios, kad buvo pažeista konkreti BDAR nuostata, turi atlikti du vertinimus. Pirma, jos turi nustatyti, ar reikėtų skirti baudą ir, antra, tai nustačiusios, turi numatyti tokios baudos dydį. Šie vertinimai turi būti atliekami atsižvelgiant į įvairius veiksnius, išvardytus BDAR.

Baudos dydį gali lemti daugelis veiksnių. Pavyzdžiui, nusikaltimo sunkumas (daugelis teisinių sistemų nustato skirtingas baudų ribas atsižvelgiant į nusikaltimo sunkumą), ankstesni pažeidimai (ankstesni pažeidimai gali padidinti baudos dydį), ankstesni teismų sprendimai, priežastys ir aplinkybės, galimybė atleisti nuo baudos (kai kuriose teisės sistemose yra galimybė atleisti nuo baudos arba sumažinti baudą remiantis įvairiais veiksniais, pavyzdžiui, gera elgesio istorija, bendradarbiavimu su teisėsauga ir kt.), ar pažeidimas padarytas tyčia ar dėl aplaidumo.

Ar kaltės laipsnis lemia baudos dydį?

BDAR nenurodyta, ar bauda gali būti skirta tik tuo atveju, jeigu yra įrodyta kaltė. BDAR numato tik tiek, kad priežiūros institucija turi „deramai“ atsižvelgti kiekvienu konkrečiu atveju, ar pažeidimas padarytas tyčia, ar dėl aplaidumo. Šie veiksniai turi sunkinti ar švelninti atsakomybę, taigi, jie yra labai svarbūs, nustatant baudos dydį.

Tuo tarpu ESTT vertinimu, administracinė bauda duomenų valdytojui gali būti skirta tik esant jo kaltei, t.y. tyčiai ar aplaidumui, padarius BDAR pažeidimus. Vadinasi, neleidžiama skirti baudos už BDAR pažeidimą, jeigu neįrodyta, kad duomenų valdytojas šį pažeidimą padarė tyčia ar dėl aplaidumo.

Ir čia svarbu pažymėti, kad duomenų valdytojas gali būti nubaustas už elgesį, patenkantį į BDAR taikymo sritį, net jei jis nežinojo ar negalėjo nežinoti apie savo veiksmų neteisėtumą, nesvarbu, ar jis suvokė, kad pažeidžia BDAR nuostatas. Kitaip tariant, rėmai teisiniam vertinimui ir bausmės skyrimui yra gana aiškūs.

Tai kas vis dėlto lemia skirtingus baudų dydžius Europos Sąjungoje?

VDAI ir panašios institucijos kitose šalyse gali skirti skirtingo dydžio baudas už duomenų apsaugos pažeidimus dėl įvairių priežasčių, tačiau kyla klausimas, ar visada tos priežastys yra objektyvios. Ir, dar svarbiau, ar institucijos turi pakankamai resursų ir įrankių toms priežastims nustatyti.

BDAR yra Europos Sąjungos teisės aktas, taikomas visose valstybėse narėse. Taip, BDAR leidžia tam tikras galimybes valstybėms narėms nustatyti specifinius reikalavimus arba nukrypti nuo tam tikrų jo nuostatų nacionaliniu lygiu, tačiau šie nukrypimai turi būti pagrįsti konkrečiomis sąlygomis ir įtraukti į išimčių sąrašą, kuriuos pripažintų Europos Komisija. Vis dėlto, baudos dydis turi būti grindžiamas konkrečiu vertinimu, atliktu kiekvienu atveju, laikantis BDAR nustatytų parametrų.

Mano vertinimu, mūsų priežiūros institucija arba turi kitokį požiūrį į duomenų apsaugos pažeidimus, arba stokoja resursų stebėti, aptikti ir bausti už tokius pažeidimus. Pirmuoju atveju reikėtų atviros diskusijos su rinka, antruoju – valstybės įsitraukimo. Nes akivaizdu, kad sistema neveikia taip, kaip turėtų.

Komentaro autorė – Raminta Stravinskaitė, „Motieka ir Audzevičius“ duomenų apsaugos ekspertė

8 Komentarai