2019. 01. 28.

Metai, kai galioja Bendrasis duomenų apsaugos reglamentas: baudos už pažeidimus

Pasibaigus metams, kuriais pradėtas taikyti ES Bendrojo duomenų apsaugos reglamentas (toliau – BDAR), tikslinga pažiūrėti į praėjusius metus norint įvertinti, kaip iki šiol pasireiškė vienas iš dažniausiai akcentuojamų BDAR elementų – reikšmingai išaugusios baudos. Kol kas praktika išlieka labai ribota, nes didelė dalis priežiūros institucijų deklaravo siekį šviesti, o ne bausti už neatitikimus, tačiau atskiri atvejai leidžia susidaryti tam tikrą įspūdi dėl to, kas laukia ateityje.

Duomenų saugumo pažeidimas

Vokietijos Badeno-Viurtembergo žemės priežiūros institucija (vok. Die Dienststelle des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg, toliau – LfDI) paskyrė 20 000 Eurų baudą pokalbių svetainės ir programėlės Knuddels valdytojui 20 000 Eur baudą dėl įvykusios duomenų vagystės, per kurią nutekinti ir vėliau paviešinti net 330 000 unikalių vartotojų prisijungimo duomenys, įskaitant el. pašto adresus ir slaptažodžius, o taip pat vardus (apie 3280 atvejų) ir/ar gyvenamąsias vietas (apie 2400 atvejų). Informacijos buvo paviešinta dar daugiau – atskleista apie 808 000 el. pašto adresų ir apie 1 872 000 vartotojų vardų ir slaptažodžių, bet, galbūt iš dalies dėl ilgamečio (jau 19 metų trunkančio) Knuddels veikimo, faktinis nustatytų unikalių nukentėjusių asmenų skaičius buvo mažesnis.

Šiuo atveju buvo akivaizdžiai neužtikrintos tinkamos techninės saugumo priemonės, vartotojų slaptažodžius saugant ne vien šifruotus, o ir kaip paprastą tekstą, kas įsilaužėliams suteikė laisvą prieigą prie pasisavintų duomenų. Bendrovė nedelsdama apie įvykusį duomenų saugumo pažeidimą pranešė LfDI, pateikė išsamią informaciją tiek apie pažeidimo aplinkybes, tiek ir apie vykdomą asmens duomenų tvarkymą bei jo trūkumus. Per kelias savaites nuo pažeidimo nustatymo bendrovė įgyvendino priemones, pagerinusias IT saugumą ir su LfDI pagalba ėmėsi tolesnių saugumo gerinimo veiksmų. Skaidrumas ir pavyzdiniu pavadintas bendradarbiavimas su LfDI atitinkamai nulėmė palyginti nedidelės (atsižvelgiant į pažeidimo mastą ir rimtumą) baudos skyrimą.

Ši situacija pademonstruoja, kodėl taip svarbu paaiškėjus duomenų saugumo pažeidimui laiku ir efektyviai į jį sureaguoti. Nors tai ne visais atvejais garantuoja, kad pavyks išvengti galimos baudos ar situacijos paviešinimo, tačiau pažeidimo pasekmės nepranešus gali būti nepalyginamai skaudesnės. 

Neteisėtas vaizdo stebėjimas

Austrijos priežiūros institucija (vok. Datenschutzbehörde, toliau – DSB) kiek netikėtai savo pirmąją baudą skyrė ne kokiai didelei korporacijai, o verslininkui, įrengusiam vaizdo stebėjimo kamerą priešais savo lažybų punktą. Pažeidimas apėmė du aspektus – kameros stebėjimo laukas apėmė nemažą šaligatvio plotą priešais bendrovės patalpas, o tai DSB pripažino viešos vietos stebėsena dideliu mastu, neturinčia teisinio pagrindo ir atitinkamai neteisėta pagal BDAR, o taip pat nustatyta, kad kamera nebuvo tinkamai pažymėta, dėl ko nebuvo įgyvendintas skaidrumo reikalavimas. DSB pažeidėjui skyrė 4800 eurų baudą remdamasi proporcingumo principu, atsižvelgdama, be kitą ko, į nedidelę bendrovės metinę apyvartą.

Be šios, didžiausios (bet laikomos gana nedidele), baudos DSB paskyrė dar tris mažesnes baudas dėl neteisėto vaizdo stebėjimo: 1800 Eur baudą kebabų kiosko savininkui, 400 Eur baudą restoranui ir 300 Eur baudą asmeniui, neteisėtai naudojusiam automobilinį vaizdo registratorių.

DSB skirtos baudos gal ir yra sąlyginai nedidelės, bet susijusios su ir Lietuvoje praktikoje itin paplitusiu vaizdo stebėjimu, todėl turėtų paskatinti vaizdą stebinčius subjektus įsivertinti, ar jie tai tikrai vykdo laikydamiesi visų keliamų reikalavimų, atsakingai pasirinkdami vaizdo stebėjimo lauką ir pateikdami tinkamus pranešimus apie vaizdo stebėjimą (konsultaciją dėl tinkamo informavimo galima rasti čia).

Netinkamos techninės ir organizacinės saugumo priemonės

Portugalijos priežiūros institucija (port. Comissão Nacional de Proteção de Dados, toliau – CNPD) ligoninei (Centro Hospitalar Barreiro Montijo) paskyrė vieną didžiausių Europos Sąjungoje 400 000 Eur baudą. Tikslumo dėlei reikėtų pasakyti, kad šią sumą sudaro trys baudos už tris išskirtus (nors ir labai glaudžiai susijusius) pažeidimus.

Pirmuoju pažeidimu, už kurį skirta 150 000 Eur bauda, buvo neribotos galimybės prie asmens duomenų suteikimas pertekliniam vartotojų ratui. Esminiu pažeidimo elementu buvo tai, kad informacinėje sistemoje buvo 985 aktyvūs vartotojai, priskirti „gydytojų“ grupei, nors ligoninėje patikrinimo metu dirbo tik 296 gydytojai. Tokia situacija susiklostė tiek dėl klaidingo kitų darbuotojų priskyrimo šiai grupei, tiek ir dėl tolesnio gydytojų, kurie nebedirbo ligoninėje, paskyrų palaikymo. Tai pripažinta pagrindinių duomenų tvarkymo principų ir, konkrečiai, minimizavimo principo pažeidimu.

Antruoju pažeidimu, už kurį taip pat skirta 150 000 Eur bauda, buvo vientisumo ir konfidencialumo pažeidimas, kilęs dėl neįgyvendintų tinkamų techninių bei organizacinių priemonių, kurios apsaugotų nuo neteisėtos prieigos prie asmens duomenų. Esmine problema buvo neribotos prieigos prie asmens duomenų suteikimas visiems darbuotojams, nors šie, o ypač techninis personalas, turėtų įgyti prieigą prie duomenų tik konkrečiais ir apibrėžtais atvejais.

Trečiuoju pažeidimu, už kurį skirta 100 000 Eur bauda, buvo ligoninės negebėjimas užtikrinti tęstinio savo sistemų ir paslaugų konfidencialumo, vientisumo, pasiekiamumo bei atsparumo, o taip pat adekvačių techninių ir organizacinių priemonių neįgyvendinimas.

Tyrimas pradėtas dėl gydytojų sąjungai (Sindicato dos Médicos da Zona Sul) viešai iškėlus klausimą dėl galimai netinkamai suteiktų prieigos teisių. Iš pradžių gydytojai bandė atkreipti ligoninės vadovybės dėmesį, bet, šiai ignoruojant kreipimąsi ir nesiimant veiksmų, buvo priversti paviešinti susiklosčiusią situaciją ir kreiptis į suinteresuotas institucijas. Atsižvelgiant į visas aplinkybes galima spręsti, kad baudos dydžiui didelę reikšmę turėjo ne vien asmens duomenų jautrumas, bet ir tai, kad ligoninės vadovybė žinojo, kad toks informacinės sistemos naudojimas pažeidžia teisės aktus, tačiau vis vien nesiėmė veiksmų spręsti sistemos problemų nepaisydama suinteresuotų šalių įspėjimų. CNPD taip pat svarbia aplinkybe laikė tai, kad sužinojo apie pažeidimą ne iš ligoninės, o per žiniasklaidos priemones, kurių publikacijose pateiktą informaciją patvirtino CNPD atliktas tyrimas.

Įdomi aplinkybė, kad ši ligoninė yra valstybinis, o ne privatus subjektas. Lietuvos kontekste žinotina, kad nors Asmens duomenų teisinės apsaugos įstatyme maksimali bauda (atsižvelgiant ir į tokius rodiklius kaip einamųjų metų biudžetas ir kitų praėjusiais metais gautų bendrųjų metinių pajamų dydis), skiriama valdžios institucijai ar įstaigai negali viršyti 60 000 Eur, tačiau toms valdžios institucijoms ir įstaigoms, kurias vykdo ūkinę komercinę veiklą, šis apribojimas nėra taikomas. Šis atvejis turėtų paskatinti ir Lietuvos gydymo įstaigas atidžiau įsivertinti savo situaciją ir naudojamų sistemų atitiktį teisės reikalavimams, nors žinoma ir kitų sričių juridiniams asmenims reikėtų įsivertinti, ar prieigą prie asmens duomenų tikrai suteikia savo darbuotojams tik tokia apimtimi, kuri būtina jų darbo funkcijoms vykdyti.

Skaidrumas ir sutikimas reklamų personalizavimui

Naujausią, ir, kol kas, didžiausią Europos Sąjungoje net 50 milijonų eurų baudą Prancūzijos priežiūros institucija (pranc. la Commission Nationale de l'Informatique et des Libertés, toliau – CNIL) skyrė Google LLC.  Tokią baudą CNIL skyrė pradėjusi tyrimą pagal už privatumą kovojančių asociacijų „La Quadrature du Net“ ir „None Of Your Business“ pateiktus grupinius skundus. Abiejuose skunduose asociacijos kritikavo „Google“ kaip neturinčią tinkamo teisinio pagrindo tvarkyti savo vartotojų asmens duomenis, ypač reklamų personalizavimo tikslais.

Atlikusi tyrimą, CNIL nustatė, kad „Google“ pateikiama informacija neatitinka skaidrumo reikalavimų. Vartotojams pateikiama informacija apie esminius aspektus, tokius kaip duomenų tvarkymo tikslai, jų saugojimo laikotarpiai ir asmens duomenų kategorijos, naudojamos reklamų personalizavimui, yra išmėtyta po skirtingus dokumentus. CNIL nustatė, kad norint pasiekti visą reikiamą informaciją prireikia keleto žingsnių, kai kuriais atvejais net iki 5 ar 6 veiksmų. Taip pat nustatyta, kad net ir tokiu būdu surasta informacija ne visada yra aiški ir suprantama, ypač atsižvelgiant į platų ratą „Google“ teikiamų paslaugų, per daug neaiški ir bendro pobūdžio. Taip pat nepakankamai aiškiai patekta informacija apie tai, kad reklamų personalizavimo pagrindu yra sutikimas, o ne teisėtas bendrovės interesas. Galiausiai, tam tikriems asmens duomenims apskritai nebuvo nurodytas saugojimo terminas.

Kita CNIL nustatyta aplinkybe, nulėmusia baudos skyrimą, yra netinkamai gautas vartotojų sutikimas reklamų personalizavimui. Pirma, sutikimas laikomas nepakankamai informuotu, nes, kaip minėta, privaloma pateikti informacija yra paskleista skirtinguose dokumentuose ir nepakankamai aiški. Antra, sutikimas duodamas tokia forma, kuri verčia duoti vieną bendrą sutikimą visam „Google“ vykdomam asmens duomenų tvarkymui, nors pagal BDAR sutikimas laikomas pakankamai konkrečiu tik tada, kai jis atskirai duodamas konkretiems tikslams. 

Baudos dydį CNIL nustatė įvertindama pažeidimo rimtumą, „Google“ nesilaikant esminių BDAR reikalavimų, neužtikrinus skaidrumo, tinkamo informavimo ir sutikimo gavimo. Taip pat atsižvelgta į itin didelius duomenų srautus, galimybę daryti įtaką privačiam gyvenimui ir tai, kad pažeidimai yra tęstiniai, o ne vienkartiniai ar riboti. CNIL taip pat atkreipė dėmesį į tai, kad „Google“ verslo modelis iš dalies grįstas reklamų personalizavimu, todėl įmonė turi itin atsakingai laikytis su tokia veikla susijusių reikalavimų.

Situacija Lietuvoje ir kas laukia šiemet

Kol kas Lietuvos priežiūros institucija, Valstybinė duomenų apsaugos inspekcija, liko ištikima savo planui iš pradžių kas orientuotis ne į baudas, o į švietimą ir pagalbą duomenų valdytojams siekiant atitikti pasikeitusius teisės aktus. Atitinkamai, Lietuvoje, kaip ir nemažai kitų ES valstybių, kol kas nėra pagal BDAR paskirtų baudų.

Aukščiau aprašyti baudų skyrimo atvejai atskleidžia tam tikras rizikas, į kurias reikėtų atkreipti dėmesį, bet tikrai negalima būtų teigti, kad jie pateikia aiškią ir harmonizuotą poziciją dėl baudų skyrimo bei jų dydžių, tendencijoms ir juo labiau bendrai priežiūros institucijų praktikai ES lygiu formuotis neabejotinai prireiks daugiau laiko. Visgi neabejotina, kad šiais metais Europos Sąjungos valstybėse pasitaikys dar daugiau baudų skyrimo atvejų, kurie leis palaipsniui judėti šia kryptimi.

 

Publikuota portale portale DELFI 2019-01-27 d. „Metai, kai galioja Bendrasis duomenų apsaugos reglamentas: baudos už pažeidimus“

 
 

Teisininkai

_e7q1924_valentinas_1500362139-2376bd065eacecbef85c6710e22e59f2.png
Valentinas Knyva
Vyresnysis teisininkas

+370 5 248 76 70
valentinas.knyva@ilaw.legal