Daugiau nei 5 milijardai eurų – tiek 2024-aisiais pasaulyje skirta baudų už Bendrojo duomenų apsaugos reglamento (BDAR) pažeidimus. Tarp prasižengusiųjų – tokie žinomi vardai kaip „Linkedin“, „Meta Platforms“, „Uber“ ir kiti. Galima būtų pamanyti, kad BDAR tapo plakimo baudomis rykšte, tačiau panagrinėjus kiekvieną atvejį paaiškėja, kad tai – pamokos, kurias išmokus įmanoma išvengti duomenų tvarkymo klaidų.
Teisinio pagrindo paieškos
2024 metais didžiausią baudą skyrė Airijos priežiūros institucija profesiniam socialiniam tinklui „Linkedin“. 310 mln. eurų bauda bendrovei skirta dėl to, kad „Linkedin“ niekaip nepavyko pagrįsti nurodytų duomenų tvarkymo sąlygų teisėtumo.
Bendrovė, tvarkydama naudotojų duomenis elgesio analizės ir tikslinės reklamos tikslu, kaip teisinius duomenų tvarkymo pagrindus identifikavo naudotojo sutikimą, sutarties vykdymą ir bendrovės teisėtą interesą. Vis dėlto „Linkedin“ nepavyko įtikinti priežiūros institucijos, kad bent vienas iš šių teisinių pagrindų yra tinkamas.
Ko galima pasimokyti iš „Linkedin“ klaidos? Pagrindinė pamoka būtų ta, kad neužtenka vien tik deklaratyviai nurodyti teisinį pagrindą – jis turi iš tikrųjų egzistuoti. Jei teisinis pagrindas yra sutikimas – jis turi būti duotas laisva valia, konkretus ir išreikštas informuoto asmens. Jei teisinis pagrindas yra sutarties vykdymas, jis būtų galiojantis tik tuo atveju, jei netvarkant duomenų nebūtų galima įvykdyti sutarties, ir panašiai. Tad verslai, prieš pradėdami tvarkyti asmens duomenis, privalo įvertinti, ar galės pagrįsti teisinį pagrindą, kuriuo remiantis tvarko asmens duomenis.
Duomenų perdavimas už ES ribų
Nyderlandų priežiūros institucija 290 mln. eurų baudą skyrė transporto įmonei „Uber“. Bauda skirta dėl netinkamo „Uber“ vairuotojų duomenų perdavimo į JAV. Bendrovė siuntė ne tik vairuotojų paskyros duomenis ar taksi licencijos numerius, bet ir buvimo vietos duomenis, nuotraukas, mokėjimo duomenis, asmens tapatybės dokumentus, o tam tikrais atvejais net duomenis apie vairuotojų sveikatą ir nusikalstamas veikas.
Kokia pagrindinė „Uber“ klaida? Tai, kad bendrovė nesekė teisinio reguliavimo. ESTT jau 2020 m. pripažino, kad perduodant duomenis į JAV, taikomas privatumo skydas nėra tinkama apsaugos priemonė. Vėliau teismas patikslino, kad perduodant duomenis į JAV net standartinės sutarčių sąlygos ne visada gali užtikrinti pakankamą apsaugą. Tokiais atvejais bendrovės privalo taikyti papildomas apsaugos priemones.
„Uber“ pamoka: bendrovės privalo ne tik reguliariai peržiūrėti vykdomas duomenų tvarkymo operacijas, bet ir sekti teisinį reguliavimą. Teisiniam reguliavimui pasikeitus, verslai turi iš naujo įvertinti, ar jų duomenų tvarkymas atitinka BDAR reikalavimus.
Šykštus moka du kartus
Dar viena bauda „rekordininkė“ skirta „Meta Platforms“. Airijos priežiūros institucija bendrovę nubaudė 91 mln. eurų bauda už tai, kad bendrovė pažeidė vientisumo ir konfidencialumo principą. Šis principas reiškia, jog duomenys turi būti tvarkomi taikant tokias technines ar organizacines priemones, kad būtų užtikrintas tinkamas asmens duomenų saugumas. Nagrinėjamu atveju priežiūros institucija nustatė, kad „Meta Platforms“ naudotojų slaptažodžius vidinėje platformoje saugojo nenaudodama jokių šifravimo priemonių, „atvirame“ tekste.
Prie baudos dydžio prisidėjo ir faktas, kad „Meta Platforms“ neinformavo priežiūros institucijos apie duomenų apsaugos pažeidimą, t. y. kad duomenys buvo saugomi „atvirame“ tekste. Priežiūros institucija pabrėžė, kad tuo atveju, kai duomenų valdytojas sužino apie duomenų apsaugos pažeidimą, jis nepagrįstai nedelsdamas turi informuoti priežiūros instituciją apie pažeidimą ir taip sumažinti bet kokią galimą žalą.
Svarbiausia pamoka: nereikėtų bandyti sutaupyti techninių ir organizacinių saugumo priemonių sąskaita. Neužtikrinus tinkamų saugumo priemonių, smarkiai išauga duomenų apsaugos pažeidimų, dėl kurių gali tekti sumokėti milijonines baudas, tikimybė. Be to, tinkamai neapsaugoję duomenų galite padaryti klientams turtinės ir neturtinės žalos, kurią turėsite atlyginti.
Netiesioginiai pažeidimai
79 mln. eurų bauda skirta Italijos įmonei „Enel Energia“, nes ši nepakankamai kontroliavo bendroves, kurios siuntė tiesioginės rinkodaros pranešimus „Enel Energia“ vardu. Tyrimo metu Italijos priežiūros institucija nustatė, kad keturios Italijos bendrovės, kurios neturėjo jokios bendradarbiavimo sutarties ar „Enel Energia“ leidimo, reklamavo bendrovės elektros energijos ir dujų tiekimo paslaugas. Dėl šios neteisėtos telerinkodaros keturios bendrovės sudarė 978 elektros energijos ir dujų tiekimo sutartis bendrovės naudai.
Priežiūros institucija konstatavo, jog įmonė neįdėjo pakankamai pastangų, kad užkirstų kelią neteisėtam tiesioginės rinkodaros pranešimų siuntimui. Sprendime buvo pabrėžta, kad „Enel Energia“ turėjo labiau kontroliuoti pasitelktus duomenų tvarkytojus ir užtikrinti tinkamas saugumo priemones, pvz., prieigos prie informacinės sistemos kontrolę.
Tai reiškia, kad įmonės negali aklai pasikliauti pasitelktais paslaugų teikėjais. Net sudariusios duomenų tvarkymo sutartį, bendrovės vis tiek turi prižiūrėti paslaugų teikėjų veiklą ir žiūrėti, kad ji nepažeistų teisės aktų reikalavimų.
Darbuotojų stebėsena: yra ribos
Prancūzijos priežiūros institucija skyrė 32 mln. eurų baudą „Amazon France Logistique“ už BDAR reikalavimų neatitinkančią darbuotojų stebėseną. Tyrimo metu buvo nustatyta, kad „Amazon“ kiekvienam sandėlio darbuotojui suteikdavo skaitytuvą, kuris realiuoju laiku fiksuodavo tam tikrų jam pavestų užduočių atlikimą (pvz., daikto išėmimą iš lentynų, sudėjimą ar supakavimą ir pan.). Darbuotojui panaudojus skaitytuvą, būdavo fiksuojami duomenys apie kiekvieno darbuotojo darbo kokybę, produktyvumą ir neveiklumo laikotarpius.
Priežiūros institucija pabrėžė, kad, nors bendrovė ir gali sekti darbuotojų produktyvumą darbo metu, „Amazon“ tai atliko pažeisdama duomenų apsaugos principus. Buvo nustatyta, kad bendrovė pažeidė duomenų kiekio mažinimo principą (skaitytuvais buvo renkama tokia informacija kaip per greitas prekės nuskaitymas, ilgesnis nei 10 minučių laikas, kai skaitytuvas nėra naudojamas ir pan.) Priežiūros institucija taip pat nustatė, kad bendrovė nesilaikė skaidrumo pareigos ir tinkamai neinformavo darbuotojų apie duomenų tvarkymą.
Svarbu prisiminti, kad nors darbdaviai ir turi teisę vykdyti darbuotojų stebėseną bei kontrolę darbo vietoje, toks duomenų tvarkymas turi kuo mažiau suvaržyti darbuotojų teisę į privatumą. Verslai turėtų rinkti kuo mažiau duomenų ir tik tiek, kiek tai yra būtina, norint pasiekti teisėtus tikslus.
Svarbiausia pamoka: sekti teisinius niuansus
Per 2024 metus pastebėjome, kad įmonės vis geriau suvokia duomenų apsaugos svarbą ir išmano BDAR subtilybes. Tokią išvadą galime daryti, nes vis dažniau baudos yra skiriamos ne dėl akivaizdžių duomenų apsaugos pažeidimų, bet dėl pažeidimų, kurie kyla iš BDAR nuostatų aiškinimo.
Tikėtina, kad dar kurį laiką teks palaukti, kol susiformuos stabili BDAR taikymo ir aiškinimo praktika, tad itin svarbu, kad verslai sektų teisinio aiškinimo naujoves ir pasirūpintų, kad dokumentacija reguliariai būtų atnaujinama
