Už netinkamai tvarkytus asmens duomenis Lietuvos įmonei skirta milžiniška bauda. Amber Lex teisininkai pataria, kaip nuo to apsisaugoti

Valstybinė duomenų apsaugos inspekcija (VDAI) pranešė, jog skyrė pirmąją 61 500 EUR baudą Lietuvoje veikiančiai įmonei už Bendrojo duomenų apsaugos reglamento 5, 32 ir 33 straipsnių pažeidimus. Tokia bauda Lietuvoje skirta praėjus beveik metams po Bendrojo duomenų apsaugos reglamento įsigaliojimo. Tiesa, baudos dėl reglamento pažeidimo skirtos ir kitose Europos valstybėse, kaip antai Portugalijoje, Prancūzijoje ir kt.

UAB „MisterTango“, teikianti mokėjimo paslaugas tiek Lietuvos, tiek ir užsienio gyventojams bei įmonėms, buvo skirta bauda už tai, jog įmonė:

Netinkamai tvarkė asmens duomenis, t. y. įmonė rinko daugiau mokėtojų asmens duomenų, negu pati nurodė esant būtina mokėtojo inicijuotam mokėjimui įvykdyti (pvz.: neperžiūrėtų elektroninių sąskaitų pateikimo datos, siuntėjų pavadinimai bei sumos ir kt.) bei duomenis saugojo ilgiau, negu pati nustatė (vietoje 10 min., kaip deklaravo, duomenis saugojo 216 dienų).

Paviešino asmens duomenis. Internete keletą dienų buvo prieinamas tinklalapis su UAB „MisterTango“ apdorotų mokėjimų sąrašu, kuriame buvo matomi įvairių bankų įstaigų klientų atlikti mokėjimai per UAB „MisterTango“ mokėjimo iniciavimo paslaugų sistemą su tų klientų asmens duomenimis. Tokiu būdu buvo paviešinti duomenys, kurie leido nustatyti asmenų tapatybę, taip pat apėmė banko paslaptį, buvo tvarkomi nesiimant saugumo priemonių (nešifruoti) bei asmens duomenų saugumo pažeidimo metu buvo tvarkomi neužtikrinant prieigos kontrolės prie šių duomenų.

Nepranešė VDAI apie saugumo pažeidimą. UAB „MisterTango“, nepranešė apie viešai ir neteisėtai 2 dienas prieinamus asmens duomenis, VDAI nors pagal Bendrąjį duomenų apsaugos reglamentą toks incidentas yra laikomas duomenų saugumo pažeidimu, apie kurį privalu pranešti ne vėliau kaip per 72 val.

Tiesa, VDAI sprendimas nėra įsiteisėjęs, tačiau praėjus metams po Bendrojo duomenų apsaugos reglamento įsigaliojimo pastebima tendencija, kad įmonės tik formaliai pasitvirtina savo vidinius, su asmens duomenų apsauga susijusius dokumentus, tačiau realiai jų nuostatų nesilaiko.

Amber Lex teisininkų nuomone, šis VDAI sprendimas turėtų paskatinti įmones, kurios iki šiol tik formaliai įgyvendino Bendrąjį duomenų apsaugos reglamentą, suklusti ir į reglamento reikalavimus žiūrėti atsakingiau. VDAI skirta bauda siunčia aiškią žinią, kad nebus toleruojami įmonių, kurios netinkamai tvarko asmens duomenis, veiksmai.

Advokato padėjėja Sonata Kajotaitė pažymi, kad VDAI taip pat atliko įmonių patikrinimus, kurio metu tikrino, ar įmonės tinkamai tvarko asmens duomenis tiesioginės rinkodaros tikslu. Šio patikrinimo metu dažniausiai nustatyti pažeidimai buvo: asmens duomenys rinkodaros tikslais nepagrįstai tvarkyti teisėto intereso pagrindu (turėjo būti gauti asmens sutikimai); buvo renkama perteklinė informacija apie savo klientus; asmenims pateikiama informacija nebuvo tiksli, skaidri ir teisinga; nebuvo suteikta aiški, nemokama ir lengvai įgyvendinama galimybė nesutikti arba atsisakyti duomenų naudojimo tiesioginės rinkodaros tikslais; nenustatyti konkretūs asmens duomenų saugojimo terminai.

Savo klientams patariame atsakingai peržiūrėti ir įvertinti, ar:

Tvarkomi tik tie asmens duomenys, kurie yra būtini nustatytiems tikslams pasiekti. Kaip rodo praktika, dažnai įmonės tvarko daugiau duomenų, nei būtina, todėl labai svarbu atlikti auditą ir atidžiai įvertinti, ar tvarkomi duomenys tikrai būtini;

Asmens duomenys saugomi pagrįstą laikotarpį ir, ar laikomasi vidaus dokumentuose nustatytų terminų, t. y. ar faktiškai duomenys nėra saugomi ilgiau nei nustatyta;
Parengti visi būtini vidiniai dokumentai, susiję su asmens duomenų apsauga;
Ar nereikia paskirti asmens duomenų apsaugos pareigūno;
Ar reklaminiai pranešimai siunčiami turint tam teisėtą pagrindą (tiesioginė rinkodara vykdoma turint asmenų sutikimus);
Ar asmenys yra tinkamai informuojami apie jų duomenų tvarkymą ir pan.

Taigi, VDAI patikrinimų rezultatai bei pradėtos skirti baudos signalizuoja, kad įmonės turėtų atsakingiau vertinti Bendrajame duomenų apsaugos reglamente įtvirtinus reikalavimus ir juos įgyvendinti ne tik teoriniu lygmeniu, bet praktiškai jų laikytis. Priešingu atveju, įmonėms gresia nemalonumai, susiję ne tik su finansiniais nuostoliais, bet ir žala įmonės reputacijai.

Primename, kad minimalūs dokumentai, turintys būti parengti ir praktiškai taikomi po BDAR įsigaliojimo, yra šie:

Asmens duomenų tvarkymo taisyklės;
Pranešimai apie asmens duomenų tvarkymą bei sutikimai tvarkyti duomenis;
Jeigu įmonė savo tinklalapyje tvarko asmens duomenis – privatumo politika;
Sutartis dėl asmens duomenų tvarkymo su duomenų tvarkytojais (pvz.: sutartis su IT priežiūrą vykdančia įmone ir pan.);
Asmens duomenų veiklos įrašai (ne visoms įmonėms);
Vaizdo stebėjimo politika (jeigu patalpose filmuojama) ir kt.

Turite klausimų ar norite gauti detalesnę informaciją? Kreipkitės į mus el. paštu sonata.kajotaite@amberlex.lt, tel. Nr. +370 601 07701 arba apsilankę mūsų internetinėje svetainėje www.amberlex.lt.

Nr. 19/4