Bendrasis duomenų apsaugos reglamentas (BDAR) neretai asocijuojasi su milijoninėmis baudomis, kurias įvairių ES valstybių narių priežiūros institucijos skiria įmonėms už šio teisės akto reikalavimų pažeidimus. Ne išimtis yra ir Lietuvoje priežiūrą vykdanti Valstybinė duomenų apsaugos inspekcija (VDAI), kuri pernai skyrė rekordinę beveik 2,4 mln. eurų baudą lietuviškam vienaragiui „Vinted“. Taigi, įžengus į 2025 metus, verslininkai dažnai užduoda klausimą: ko galima tikėtis iš priežiūros institucijų šiemet? Už ką baudžia daugiausia?
Remiantis „OneTrust“ skelbiamais duomenimis, per 2024 metus ES valstybių narių priežiūros institucijos paskyrė 315 baudų, bendrai šios baudos sudarė 1,19 mlrd. eurų. Daugiausia baudų buvo skirta už:
- Asmens duomenų tvarkymo pagrindų pažeidimus (72 baudos, 368,2 mln. eurų)
- Asmens duomenų apsaugos principų pažeidimus (80 baudų 325,5 mln. eurų)
- Asmens duomenų saugumo pažeidimus (80 baudų 121,5 mln. eurų)
- Duomenų subjektų teisių pažeidimus ar netinkamą įgyvendinimą (35 baudos 5,8 mln. eurų)
Didžiausią 310 mln. Taigi, 2024 metais paskirtos baudos paprastai yra už pažeidimus padarytus ankstesniais laikotarpiais. Pavyzdžiui, 2024 m. gruodį „Netflix“ gavo 4,75 mln. eurų baudą už privatumo politikos trūkumus, kurie buvo nustatyti dar 2019 metais, baudos skyrimo metu „Netflix“ privatumo politika jau buvo atnaujinta. Analizuojant laiko intervalą nuo BDAR įsigaliojimo (2018 metai gegužės 25 d.) iki 2024 metų pabaigos, yra pastebima, kad aukščiau paminėtų 4 pažeidimų tipų procentinė dalis nuo visų baudų skirtų už BDAR pažeidimus iš esmės išlieka nepakitusi. Todėl galima daryti išvadą, kad aptariami BDAR pažeidimų tipai yra laikytini pažeidimais, už kuriuos ES priežiūros institucijos paskyrė daugiausia baudų ir nėra prielaidų, sąlygojančių apie kokius nors pokyčius 2025 metais.
Kokia situacija yra Lietuvoje? VDAI savo interneto svetainėje skelbia apie reikšmingesnius sprendimus. Praeiti metai pasižymėjo ne tik rekordinio dydžio bauda, kuri buvo skirta dėvėtų drabužių prekybos ir mainų interneto platformą valdančiai bendrovei, bet ir sankcijomis kitiems ūkio subjektams už įvairius BDAR pažeidimus.
Pavyzdžiui, net du duomenų valdytojai gavo po 2 000 eurų baudą už teisėtumo principo pažeidimą vykdant vaizdo stebėjimą neturint tam teisinio pagrindo. Taip pat, VDAI duomenų apsaugos principų pažeidimą konstatavo ir situacijoje, kai advokato padėjėjas rinko informaciją iš nekilnojamojo turto registro, kuri nebuvo būtina teisinių paslaugų teikimui. Nemažai ekonominių sankcijų ūkio subjektams buvo pritaikyta už duomenų subjektų teisių netinkamą įgyvendinimą, pavyzdžiui, teisės susipažinti su asmens duomenis pažeidimą, taip pat asmens duomenų gavimo šaltinio neatskleidimą. Atsižvelgiant į tai, VDAI nenukrypsta nuo ES bendrojo kurso asmens duomenų apsaugos priežiūros srityje.
Nuo sausio 1 d. pora kartų išaugo baudos už duomenų apsaugos pažeidimus. Nepaisant to, Lietuvoje jos išlieka vienos mažiausių Europoje. Asmens duomenų teisinės apsaugos įstatymo pažeidimas nuo šiol kainuos nuo 300 iki 1150 eurų. Pakartotinis neatsakingas požiūris į duomenų apsaugą gali baigtis bauda nuo 1100 iki 3000 eurų. Iki šiol duomenų apsaugos pažeidimai užtraukdavo baudą nuo 144 iki 289 eurų. Pakartotinio pažeidimo atveju buvo skiriamos baudos nuo 289 iki 579 eurų. Padidėjusios baudos rodo augančią duomenų apsaugos svarbą Lietuvoje.
Groteskiškas pavyzdys - 2010 m. grožio salone Lietuvoje buvo rastos kameros, filmuojančios darbuotojų persirengimo kambarį ir kosmetologinį kabinetą. Daugumoje Europos valstybių tokia veikla pasibaigtų žymiai liūdniau. Pavyzdžiui, Jungtinėje Karalystėje netinkamas požiūris į duomenų apsaugą gali baigtis pusės milijono svarų bauda. Vokietijoje ir Prancūzijoje grubūs privatumo ir duomenų apsaugos pažeidimai užraukia baudas iki 300 tūkst.
Kas Europinėje praktikoje užtraukia milžiniškas baudas? 2016 m. didžiausią 350 tūkst. 2009 m. Vokietijoje prekybos tinklui buvo paskirta 1,46 mln. eurų bauda už daugybę duomenų apsaugos pažeidimų. Verslo ir valstybės institucijų požiūrį į duomenų apsaugos pažeidimus pakeis ES bendrasis duomenų apsaugos reglamentas. Naujasis teisės aktas įsigalios 2018 m. gegužės 25 d. Viena didžiausių reglamento naujovių - daugiau nei 30 tūkst. Lengvesni pažeidimai nulems baudas iki 10 mln. eurų arba 2 proc. metinės pasaulinės įmonės apyvartos. Sunkesni pažeidimai kainuos iki 20 mln. eurų arba 4 proc. metinės pasaulinės įmonės apyvartos.
Žymi frazė, jog duomenys yra mūsų laikų nafta, gali atrodyti neįtikinamai. Tačiau tik tol, kol išsamiau paanalizuojami sprendimai skirti baudas už Bendrojo duomenų apsaugos reglamento (BDAR) pažeidimus. Kai kurios sumos, kurias per pastaruosius keletą metų skyrė Europos Sąjungos (ES) valstybių priežiūros institucijos, už BDAR pažeidimus, išties įspūdingos. Remiantis įvairių šaltinių duomenimis, per daugiau nei ketverius metus, kurie praėjo nuo BDAR taikymo pradžios, ES šalyse (įskaitant ir Jungtinę Karalystę) paskirta daugiau nei 1500 pinginių baudų. Didžiausia iš jų - 746 milijonai eurų, skirta Liuksemburgo priežiūros institucijos. Mažiausia - 28 eurai, skirta Vengrijoje.
Pernai Liuksemburgo duomenų apsaugos priežiūros institucija skyrė rekordinę 746 milijonų eurų baudą JAV bendrovės „Amazon“ Europos padaliniui už netinkamą asmens duomenų tvarkymą vykdant tiesioginę rinkodarą. Liuksemburgo duomenų prievaizdai nustatė, kad JAV milžinė, vykdydama tiesioginę rinkodarą, ne tik netinkamai gaudavo asmenų sutikimus, bet ir neteisėtai perleisdavo gautus asmens duomenis tretiesiems asmenims. „Amazon“ bandė gintis pasitelkdama teisėto bendrovės intereso ir sutarčių su klientais vykdymo nuostatas. Tačiau šie argumentai prievaizdų neįtikino. Iš šios istorijos galima pasimokyti vieno - reklamą, ypač tiesioginę, saugiausia yra teikti tik turint aiškius, aktyviai duomenų subjektų duotus sutikimus.
Airijos duomenų apsaugos institucija šiemet pagerino savo pačios rekordą. Problemos esmė tame, kad bendrovės „Meta“ valdoma „Instagram“ platforma 13-17 metų paaugliams leido turėti verslo paskyras. Dėl to galėjo būti paviešinti jų telefono numeriai ir (arba) el. pašto adresai. Kadangi dirbant su nepilnamečių duomenims reikalingas didesnis atsargumas, atitinkamai reikia įdėti daugiau pastangų norint pagrįsti tokį duomenų rinkimą. Pavyzdžiui, atlikti išsamų poveikio duomenų apsaugai vertinimą, laikytis vadinamojo „privacy by default“ principo, kuris reiškia, kad standartiniai nustatymai turi užtikrinti kuo didesnį privatumą.
Trečioje vietoje pagal skirtų baudų dydį - ta pati Airijos duomenų apsaugos institucija, prieš keletą savaičių skyrusi 265 milijonų eurų baudą „Meta Platforms Ireland Limited“. Airija pagal skirtų baudų dydžius, galima sakyti, pirmauja. Vėliau įvairių algoritmų pagalba, turėjo būti nuasmeninami kontaktiniai duomenys. Tačiau Airijos prievaizdai nustatė, kad pagal likusią informaciją (telefono numerius) konkrečių asmenų identifikacija vis tiek buvo galima.
Nuo Airijos nedaug atsilieka Prancūzijos asmens duomenų apsaugos institucija, kuri pernai skyrė solidžias baudas kompanijoms „Google“ ir „Meta“. Reikėtų patikslinti, kad šios baudos skirtos už Prancūzijos elektroninių ryšių naudojimo bei BDAR nuostatų, reglamentuojančių sutikimo gavimą, pažeidimus. Lietuvoje slapukų klausimai taip pat labai panašiai reglamentuojami Elektroninių ryšių įstatyme, o Valstybinė duomenų apsaugos inspekcija šiais metais keliolika įmonių yra įtraukusi į planinių patikrinimų sąrašą. Patikrinimų esmė - nustatyti, ar slapukų naudojimas svetainėse atitinka Elektroninių ryšių įstatymo ir BDAR reikalavimus. Esmė tokia: nebūtinų slapukų veikimui kol kas yra reikalingas aiškus ir aktyvus svetainės lankytojo sutikimas. Beje, šis atvejis jau nebe pirmas, kai Prancūzijos asmens duomenų apsaugos institucija baudžia „Google“.
Išgirdus apie aukščiau minėtas milijonines baudas už BDAR pažeidimus dažnai gali susidaryti įspūdis, kad visiems ES veikiantiems verslams gresia tas pats. Tačiau Lietuvoje situacija kiek kitokia - pas mus baudos skaičiuojamos ne milijonais, o tūkstančiais eurų. Pagal viešai prieinamą informaciją, Lietuvos Valstybinė duomenų apsaugos inspekcija (VDAI), viso, nuo reglamento taikymo pradžios iki šiol, yra skyrusi aštuonias pinigines baudas (nepiniginių administracinių nuobaudų, be abejo, yra kur kas daugiau).
2021 metais VDAI skyrė 110 tūkstančių eurų baudą trumpalaikės automobilių nuomos platformą „CityBee“ valdančiai UAB „Prime Leasing“ už negebėjimą užtikrinti duomenų saugumo ir dėl to patirtą klientų duomenų nutekėjimą. Lietuvoje už BDAR pažeidimus pinigine bauda nubausta ir keletas viešųjų įstaigų: Registrų centrui paskirta 15 tūkstančių eurų baudą už patirtą saugumo incidentą, kai liūties metu buvo užlieta dalis patalpų ir jame esanti įranga su asmens duomenimis. Paminėjimo vertas ir „Vinted“ atvejis. Tiesa, pirmasis Lietuvos vienaragis baudą gavo ne namų rinkoje, o Lenkijoje. Naudotų drabužių mainų ir prekybos platformai „Vinted“ Lenkijos konkurencijos ir vartotojų teisių apsaugos priežiūros tarnyba skyrė 1,13 milijonų eurų baudą.
Palyginimui, Estija per tą patį laikotarpį skyrė šešias pinigines baudas. Didžiausia, siekianti 100 tūkstančių eurų, skirta elektroninei parduotuvei. Mažiausia - 48 eurai, paskirta policijos pareigūnui.
Peržvelgus šią tarptautinę ir Lietuvos statistiką, gali susidaryt klaidingas įspūdis, neva mūsų priežiūros institucija yra nuolaidžiaujanti. Ši išvada greičiausiai būtų neteisinga. Pirmiausia, BDAR baudų skyrimo ir apskaičiavimo metodika yra suvienodinta visose ES valstybėse narėse. Antra, tokį didelį atotrūkį tarp Baltijos valstybių ir, pavyzdžiui, Airijos, lemia baudas gaunančių įmonių dydis. Mat jos apskaičiuojamos pagal konkrečios įmonės (arba, tam tikru atveju, visos grupės) ankstesnių finansinių metų apyvartą. Akivaizdu, kad Lietuvos įmonės pagal savo metines apyvartas, bent kol kas, negali varžytis su tokiomis milžinėmis kaip „Google“, „Amazon“ ar „Meta“.
Kokių veiksmų imtis įmonėms norinčioms išvengti BDAR pažeidimų?
Iš aukščiau nurodytų aplinkybių seka, kad įmonėms už BDAR pažeidimus kasmet yra skiriamos solidžios baudos. Taigi, aptariamos ekonominės sankcijos gali tapti papildomu įrankiu trūkstamų lėšų į valstybės biudžetą surinkimui, ypač dabar, kai yra siekiama padidinti Lietuvos gynybos biudžetą. Be to, priežiūros institucijų skiriamos baudos yra tik viena medalio pusė, nes nuo BDAR pažeidimų nukentėję duomenų subjektai taip pat turi teisę reikalauti turtinės ir neturtinės žalos atlyginimo.
Štai pavyzdžiui, 2024 metais Lietuvos apeliacinis teismas patenkino „Vartotojų aljanso“ grupės ieškinį dėl neturtinės žalos atlyginimo „Citybee“ programėlės vartotojams, kurių asmens duomenys nutekėjo 2021 metais, ir priteisė iš UAB „Prime leasing“ 103 800 eurų, t. y. po 300 eurų kiekvienam iš 346 grupės ieškinio narių. Svarbu paminėti, kad iš viso atskleisti ir viešai paskelbti buvo net 110 302 „CityBee“ vartotojų duomenys.
Nors sakoma, kad iš kaimyno klaidų nesimokoma, visgi, pravartu žinoti, ne tik paskirtų baudų dydžius, bet ir tai, už kokius pažeidimus jos skirtos. Dažniausi pažeidimai, už kuriuos skiriamos baudos:
- Skaidrumo principo nesilaikymas (BDAR 5, 13 ir 14 straipsnių pažeidimai). Praktikoje tai reiškia netinkamą duomenų subjektų informavimą. Kai privatumo politikų apskritai nėra arba jose pateikiama klaidinanti ar neišsami informacija apie vykdomą duomenų tvarkymą. Taip pat kai informacija pateikiama pernelyg sudėtinga teisine kalba; kai privatumo politika nėra lengvai pasiekiama arba yra pernelyg ilga ir sudėtinga.
- Vykdomas neteisėtas duomenų tvarkymas (apibrėžtas BDAR 6 ir 9 straipsniuose). Toks pažeidimas padaromas, kai duomenų valdytojas savo žinioje turi asmens duomenis, tačiau negali pagrįsti jų tvarkymo jokiu teisiniu pagrindu (sutikimu, būtinybe vykdyti teisinę prievolę, viršesniu teisėtu interesu ir pan.). Šis pažeidimas ypač dažnas renkant duomenis slapukų pagalba.
- Saugumo priemonių neužtikrinimas (BDAR 32 straipsnio pažeidimas). Visuotinai sutinkama, jog neįmanoma elektroninėje erdvėje užtikrinti šimtaprocentinio saugumo. Tačiau rizikos lygį atitinkančios saugumo priemonės turi būti taikomos kiekvienoje įmonėje. Praktika, deja, rodo, kad didelė dalis įmonių, nepakankamai investuoja į technologijas, apsaugančias nuo išorės ir vidaus grėsmių. Nepakankamai dėmesio skiriama ir darbuotojų kvalifikacijos kėlimui bei kibernetinės higienos mokymams. Negebama rasti priešnuodžių vadinamosioms „žmogiškoms klaidoms“. Neretai įmonės negeba apsaugoti savo tvarkomų duomenų.
Pabaigai norėčiau pasidalinti palyginimu iš patirties 2018 metų pradžioje. Tuo metu, kai dar tik artinosi BDAR įsigaliojimas, į šį teisės aktą buvo žiūrima kaip į didelį košmarą. Daug verslų tuomet piktinosi, kad ES valdininkai neteko proto ir tokiomis drakoniškomis baudomis ketina sužlugdyti jų įmones. Praėjus kiek daugiau nei 4 metams ir matant skaičius, peršasi išvada, kad baisusis BDAR nėra jau toks baisus: baudų dydžiai Lietuvoje atrodo adekvatūs, verslai dėl reglamento nesužlugo, sąmoningumo įmonėse atsirado daugiau.