Bendrasis duomenų apsaugos reglamentas (BDAR) ne visada asocijuojasi su milijoninėmis baudomis, kurias įvairių ES valstybių narių priežiūros institucijos skiria įmonėms už šio teisės akto reikalavimų pažeidimus.
Remiantis „OneTrust“ skelbiamais duomenimis, per 2024 metus ES valstybių narių priežiūros institucijos paskyrė 315 baudų, bendrai šios baudos sudarė 1,19 mlrd. eurų.
Dažniausiai taikomos baudos už BDAR pažeidimus
Daugiausia baudų buvo skirta už:
- Asmens duomenų tvarkymo pagrindų pažeidimus (72 baudos, 368,2 mln. eurų).
- Asmens duomenų apsaugos principų pažeidimus (80 baudų 325,5 mln. eurų).
- Asmens duomenų saugumo pažeidimus (80 baudų 121,5 mln. eurų).
- Duomenų subjektų teisių pažeidimus ar netinkamą įgyvendinimą (35 baudos 5,8 mln. eurų).
Taigi, 2024 metais paskirtos baudos paprastai yra už pažeidimus padarytus ankstesniais laikotarpiais. Pavyzdžiui, 2024 m. gruodį „Netflix“ gavo 4,75 mln. eurų baudą už privatumo politikos trūkumus, kurie buvo nustatyti dar 2019 metais, baudos skyrimo metu „Netflix“ privatumo politika jau buvo atnaujinta.
Analizuojant laikotarpį nuo BDAR įsigaliojimo (2018 m. gegužės 25 d.) iki 2024 metų pabaigos, pastebima, kad aukščiau paminėtų 4 pažeidimų tipų (asmens duomenų tvarkymo pagrindų, principų, saugumo ir duomenų subjektų teisių pažeidimai) procentinė dalis nuo visų baudų skirtų už BDAR pažeidimus iš esmės išlieka nepakitusi.
Todėl galima daryti išvadą, kad aptariami BDAR pažeidimų tipai yra laikytini pažeidimais, už kuriuos ES priežiūros institucijos paskyrė daugiausia baudų ir nėra prielaidų, sąlygojančių apie kokius nors pokyčius 2025 metais.
Situacija Lietuvoje
Valstybinė duomenų apsaugos inspekcija (VDAI) savo interneto svetainėje skelbia apie reikšmingesnius sprendimus. Praėję metai pasižymėjo ne tik rekordinio dydžio bauda, kuri buvo skirta dėvėtų drabužių prekybos ir mainų interneto platformą valdančiai bendrovei, bet ir sankcijomis kitiems ūkio subjektams už įvairius BDAR pažeidimus.
Pavyzdžiui, net du duomenų valdytojai gavo po 2 000 eurų baudą už teisėtumo principo pažeidimą vykdant vaizdo stebėjimą neturint tam teisinio pagrindo.
Taip pat, VDAI duomenų apsaugos principų pažeidimą konstatavo ir situacijoje, kai advokato padėjėjas rinko informaciją iš nekilnojamojo turto registro, kuri nebuvo būtina teisinių paslaugų teikimui.
Nemažai ekonominių sankcijų ūkio subjektams buvo pritaikyta už duomenų subjektų teisių netinkamą įgyvendinimą, pavyzdžiui, teisės susipažinti su asmens duomenis pažeidimą, taip pat asmens duomenų gavimo šaltinio neatskleidimą.
Atsižvelgiant į tai, VDAI nenukrypsta nuo ES bendrojo kurso asmens duomenų apsaugos priežiūros srityje.
Nuo sausio 1 d. pora kartų išaugo baudos už duomenų apsaugos pažeidimus. Nepaisant to, Lietuvoje jos išlieka vienos mažiausių Europoje. Asmens duomenų teisinės apsaugos įstatymo pažeidimas nuo šiol kainuos nuo 300 iki 1150 eurų. Pakartotinis neatsakingas požiūris į duomenų apsaugą gali baigtis bauda nuo 1100 iki 3000 eurų. Iki šiol duomenų apsaugos pažeidimai užtraukdavo baudą nuo 144 iki 289 eurų. Pakartotinio pažeidimo atveju buvo skiriamos baudos nuo 289 iki 579 eurų. Padidėjusios baudos rodo augančią duomenų apsaugos svarbą Lietuvoje.
Pagal viešai prieinamą informaciją, Lietuvos Valstybinė duomenų apsaugos inspekcija (VDAI), viso, nuo reglamento taikymo pradžios iki šiol, yra skyrusi aštuonias pinigines baudas (nepiniginių administracinių nuobaudų, be abejo, yra kur kas daugiau).
2021 metais VDAI skyrė 110 tūkstančių eurų baudą trumpalaikės automobilių nuomos platformą „CityBee“ valdančiai UAB „Prime Leasing“ už negebėjimą užtikrinti duomenų saugumo ir dėl to patirtą klientų duomenų nutekėjimą.
Lietuvoje už BDAR pažeidimus pinigine bauda nubausta ir keletas viešųjų įstaigų: Registrų centrui paskirta 15 tūkstančių eurų baudą už patirtą saugumo incidentą, kai liūties metu buvo užlieta dalis patalpų ir jame esanti įranga su asmens duomenimis.
Paminėjimo vertas ir „Vinted“ atvejis. Tiesa, pirmasis Lietuvos vienaragis baudą gavo ne namų rinkoje, o Lenkijoje. Naudotų drabužių mainų ir prekybos platformai „Vinted“ Lenkijos konkurencijos ir vartotojų teisių apsaugos priežiūros tarnyba skyrė 1,13 milijonų eurų baudą.
Palyginimui, Estija per tą patį laikotarpį skyrė šešias pinigines baudas. Didžiausia, siekianti 100 tūkstančių eurų, skirta elektroninei parduotuvei. Mažiausia - 48 eurai, paskirta policijos pareigūnui.
Peržvelgus šią tarptautinę ir Lietuvos statistiką, gali susidaryt klaidingas įspūdis, neva mūsų priežiūros institucija yra nuolaidžiaujanti. Ši išvada greičiausiai būtų neteisinga. Pirmiausia, BDAR baudų skyrimo ir apskaičiavimo metodika yra suvienodinta visose ES valstybėse narėse. Antra, toks didelis atotrūkis tarp Baltijos valstybių ir, pavyzdžiui, Airijos, lemia baudas gaunančių įmonių dydis. Mat jos apskaičiuojamos pagal konkrečios įmonės (arba, tam tikru atveju, visos grupės) ankstesnių finansinių metų apyvartą. Akivaizdu, kad Lietuvos įmonės pagal savo metines apyvartas, bent kol kas, negali varžytis su tokiomis milžinėmis kaip „Google“, „Amazon“ ar „Meta“.
Kas yra asmens duomenų saugumo pažeidimas?
Asmens duomenų saugumo pažeidimas (ADSP) apima bet kokį netyčinį ar neteisėtą asmens duomenų praradimą, sunaikinimą, pakeitimą, atskleidimą ar be leidimo gautą prieigą. Tai gali atsitikti dėl įvairių priežasčių: nuo netinkamų IT saugumo praktikų, žmogiškų klaidų iki kibernetinių atakų. Pavyzdžiui, įsilaužėlis užšifruoja duomenų bazes arba sukeičia skirtingų asmenų duomenis.
Taip pat ADSP gali būti, jei net ir netyčia suteikiate prieigą paslaugų teikėjui prie informacijos, kurios jis neturi teisės gauti. Pavyzdžiui, jei tiesioginės rinkodaros paslaugų teikėjui suteikiame prieigą prie klientų, kurie davę tiesioginės rinkodaros sutikimus el. paštų pasiūlymams siųsti, tačiau kartu paslaugų teikėjas netyčia gauna prieigą ir prie buhalterinių duomenų, įskaitant darbuotojų atlyginimus.
Valstybinės duomenų apsaugos inspekcijos (VDAI) skelbiama statistika už 2025 metus rodo, kad žmogiškosios klaidos sudaro apie 58 proc. visų ADSP.
Kylanti panika dėl pažeidimo ir kaip ją suvaldyti?
Kai įvyksta ADSP, dažnai kyla panika - kaip tai paveiks įmonės reputaciją, kas bus su klientais ir kokios gali būti finansinės pasekmės. Tačiau svarbu racionaliai įvertinti situaciją ir atsiminti, kad greita ir sisteminga reakcija gali sumažinti žalos mastą.
Karštasis krizės valdymo etapas susideda iš keturių pagrindinių žingsnių: vidinis pranešimas atsakingam asmeniui, užkardymas, analizė ir, kai reikia, pranešimai institucijoms ir su pažeidimu susijusiems asmenims.
Darbuotojai patys neturėtų spręsti, ar tai ADSP, vertinti jo pobūdžio - tą reikėtų labai aiškiai jiems paaiškinti mokymų metu. Kilus bet kokiam įtarimui, darbuotojai turėtų nedelsiant pranešti atsakingam asmeniui. Jei ima panika ir nežinoma, kam reikia pranešti, o vidinių taisyklių skaityti nėra kada, visada pasiteisina praktika pranešti IT departamentui ar žmogui, kuris rūpinasi IT dalimi.
Būna, kad vidinėse tvarkose būna nurodyta, kad darbuotojai, pastebėję ADSP, turi pranešti atsakingam asmeniui per 8 darbo valandas. Tai yra žalinga praktika, nes per tą laiką verslas gali sugriūti.
Atsakingas asmuo, gavęs informacijos apie ADSP, privalo nedelsiant pažeidimą užkardyti. Pavyzdžiui, jei tai nutekėjimas, atjungti duomenų bazę nuo tinklo, jei laiškas, išsiųstas netinkamam adresatui, pamėginti atšauti laišką (kai kurie funkcionalumai tai leidžia padaryti), o jei tai neįmanoma, išsiųsti prašymą nedelsiant gautą laišką ištrinti.
Užkardžius pažeidimą, reikėtų nedelsiant nustatyti pažeidimo tipą ir jo mastą. Ar tai buvo žmogiška klaida, ar kibernetinė ataka? Kiek žmonių ir duomenų palietė? Kokia galima žala? Kuo greičiau išsiaiškinsite situaciją, tuo lengviau bus ją suvaldyti.
Kada pranešti apie ADSP Valstybinei duomenų apsaugos inspekcijai?
Jei ADSP gali kelti pavojų fiziniams asmenims, apie ADSP reikia pranešti VDAI ne vėliau kaip per 72 valandas nuo sužinojimo momento, o jei kyla didelis pavojus, tuomet privaloma nepagrįstai nedelsiant pranešti ir patiems asmenims, kurių duomenys pažeisti.
Tai labai trumpas laiko tarpas, nes per tris dienas reikia susirinkti visą informaciją apie ADSP, įvertinti jo rūšį, nustatyti, kokie duomenys pažeisti. Iš praktikos galiu pasakyti, kad sunkiausia nustatyti ADSP priežastį, nes jų gali būti įvairių: nuo darbuotojo aplaidumo siunčiant laiškus iki prisegtuko iš darbuotojui atsiųsto laiško atidarymo. Tam kartais reikia pasitelkti net ekspertus, kad ateityje būtų panaikintos silpnosios duomenų saugumo vietos. Neišaiškinta ADSP priežastis, tai lyg namuose paliktos atviros durys.
Jei kalbėti apie baudas, pagal VDAI 2025 metų statistiką Lietuvoje buvo gauti 223 pranešimai apie ADSP. Per šiuos metus VDAI skyrė 5 baudas, kurių bendra suma siekia 27 529 eurus. Vidutiniškai viena bauda tenka 45 pranešimams apie pažeidimus, kas rodo, kad baudos skiriamos gana retai ir vien pranešimas paprastai automatiškai neužtraukia baudos, kaip dažnai baiminamasi.
Tačiau baudos nėra blogiausia, kas gali nutikti, nes gali grėsti ir civiliniai ieškiniai bei reputacinė žala ar net verslo paralyžius. Asmens duomenų saugumo pažeidimai yra rimtas iššūkis kiekvienai organizacijai, tačiau teisinga ir laiku atlikta reakcija gali sumažinti žalos mastą. Svarbu turėti iš anksto parengtą veiksmų planą, kuris apimtų ne tik krizės valdymą, bet savalaikį pranešimų teikimą.
Asmens kodo naudojimas ir jo ribojimai
Iki Bendrojo duomenų apsaugos reglamento įsigaliojimo nekilo klausimų, ar galima sutartyje nurodyti pirkėjo ar pardavėjo asmens kodą, ar galima asmens kodą nurodyti PVM sąskaitoje faktūroje.
BDAR specifiškai neišskiria asmens kodo tvarkymo sąlygų, išskyrus nuostatą, kuri leidžia valstybėms narėms pačioms tiksliau apibrėžti konkrečias asmens kodo naudojimo sąlygas. Lietuva įstatyme įtvirtino tik gana bendro pobūdžio asmens kodo naudojimo sąlygas.
Asmens duomenų teisinės pasaugos įstatyme numatyta, kad asmens kodas gali būti tvarkomas bet kuriuo iš BDAR 6 straipsnio 1 dalyje nurodytų asmens duomenų tvarkymo pagrindų - sutikimo, sutarties vykdymo, vykdant teisinę prievolę ir kt.
Nepaisant to, reikia atsižvelgti, kad asmens kodas yra itin svarbus kiekvieno asmens identifikacinis unikalus duomuo, pateikiantis daugiau informacijos nei tik gimimo data. Jo negalima pasikeisti, skirtingai nei telefono numerio ar el. pašto adreso. Todėl asmens kodo naudojimas turėtų būti pateisinamas tik išimtiniais atvejais ir tik tada, kai jo negalima pakeisti kitu identifikaciniu duomeniu.
Apskritai daugeliu atveju įmonės savo veikloje turėtų atsisakyti naudoti asmens kodą, pvz., išrašydamos sąskaitas faktūras. Pridėtinės vertės mokesčio įstatymo 80 str. aiškiai nurodyta, kokia informacija privalo būti nurodyta PVM sąskaitoje faktūroje, ir asmens kodo šiame sąraše nėra.
Daugeliu atveju sudarant sutartis su klientais fiziniais asmenimis kliento asmens kodas taip pat nėra reikalingas.
Asmens kodo tvarkymas būtų pateisinamas, jei jo reikia pildant pranešimus, ataskaitas, skirtas valstybės institucijoms. Pavyzdžiui, darbuotojų asmens kodo tvarkymas nėra perteklinis duomuo teikiant pranešimus „Sodrai“.
Taigi vieno aiškaus sąrašo, kada asmens kodą galima naudoti, o kada ne, nėra. Dažniausiai asmens kodo naudojimas pateisinamas, kai vykdomi teisės aktuose nurodyti reikalavimai ar pildomos privalomos valstybės institucijų formos. Svarbu prisiminti, kad laikantis taisyklės tvarkyti tik tuos asmens duomenis, kurių reikia konkrečiam tikslui pasiekti, perteklinio duomenų tvarkymo bus išvengta.
Žymi frazė, jog duomenys yra mūsų laikų nafta, gali atrodyti neįtikinamai. Tačiau tik tol, kol išsamiau paanalizuojami sprendimai skirti baudas už Bendrojo duomenų apsaugos reglamento (BDAR) pažeidimus. Kai kurios sumos, kurias per pastaruosius keletą metų skyrė Europos Sąjungos (ES) valstybių priežiūros institucijos, už BDAR pažeidimus, išties įspūdingos.
Remiantis įvairių šaltinių duomenimis, per daugiau nei ketverius metus, kurie praėjo nuo BDAR taikymo pradžios, ES šalyse (įskaitant ir Jungtinę Karalystę) paskirta daugiau nei 1500 pinginių baudų. Didžiausia iš jų - 746 milijonai eurų, skirta Liuksemburgo priežiūros institucijos. Mažiausia - 28 eurai, skirta Vengrijoje.
Pernai Liuksemburgo duomenų apsaugos priežiūros institucija skyrė rekordinę 746 milijonų eurų baudą JAV bendrovės „Amazon“ Europos padaliniui už netinkamą asmens duomenų tvarkymą vykdant tiesioginę rinkodarą. Liuksemburgo duomenų prievaizdai nustatė, kad JAV milžinė, vykdydama tiesioginę rinkodarą, ne tik netinkamai gaudavo asmenų sutikimus, bet ir neteisėtai perleisdavo gautus asmens duomenis tretiesiems asmenims. „Amazon“ bandė gintis pasitelkdama teisėto bendrovės intereso ir sutarčių su klientais vykdymo nuostatas. Tačiau šie argumentai prievaizdų neįtikino. Iš šios istorijos galima pasimokyti vieno - reklamą, ypač tiesioginę, saugiausia yra teikti tik turint aiškius, aktyviai duomenų subjektų duotus sutikimus.
Airijos duomenų apsaugos institucija šiemet pagerino savo pačios rekordą. Problemos esmė tame, kad bendrovės „Meta“ valdoma „Instagram“ platforma 13-17 metų paaugliams leido turėti verslo paskyras. Dėl to galėjo būti paviešinti jų telefono numeriai ir (arba) el. pašto adresai. Kadangi dirbant su nepilnamečių duomenims reikalingas didesnis atsargumas, atitinkamai reikia įdėti daugiau pastangų norint pagrįsti tokį duomenų rinkimą. Pavyzdžiui, atlikti išsamų poveikio duomenų apsaugai vertinimą, laikytis vadinamojo „privacy by default“ principo, kuris reiškia, kad standartiniai nustatymai turi užtikrinti kuo didesnį privatumą.
Trečioje vietoje pagal skirtų baudų dydį - ta pati Airijos duomenų apsaugos institucija, prieš keletą savaičių skyrusi 265 milijonų eurų baudą „Meta Platforms Ireland Limited“. Vėliau įvairių algoritmų pagalba, turėjo būti nuasmeninami kontaktiniai duomenys. Tačiau Airijos prievaizdai nustatė, kad pagal likusią informaciją (telefono numerius) konkrečių asmenų identifikacija vis tiek buvo galima.
Nuo Airijos nedaug atsilieka Prancūzijos asmens duomenų apsaugos institucija, kuri pernai skyrė solidžias baudas kompanijoms „Google“ ir „Meta“. Reikėtų patikslinti, kad šios baudos skirtos už Prancūzijos elektroninių ryšių naudojimo bei BDAR nuostatų, reglamentuojančių sutikimo gavimą, pažeidimus.
Lietuvoje slapukų klausimai taip pat labai panašiai reglamentuojami Elektroninių ryšių įstatyme, o Valstybinė duomenų apsaugos inspekcija šiais metais keliolika įmonių yra įtraukusi į planinių patikrinimų sąrašą. Patikrinimų esmė - nustatyti, ar slapukų naudojimas svetainėse atitinka Elektroninių ryšių įstatymo ir BDAR reikalavimus. Esmė tokia: nebūtinų slapukų veikimui kol kas yra reikalingas aiškus ir aktyvus svetainės lankytojo sutikimas. Beje, šis atvejis jau nebe pirmas, kai Prancūzijos asmens duomenų apsaugos institucija baudžia „Google“.
Išgirdus apie aukščiau minėtas milijonines baudas už BDAR pažeidimus dažnai gali susidaryti įspūdis, kad visiems ES veikiantiems verslams gresia tas pats. Tačiau Lietuvoje situacija kiek kitokia - pas mus baudos skaičiuojamos ne milijonais, o tūkstančiais eurų.
Nors sakoma, kad iš kaimyno klaidų nesimokoma, visgi, pravartu žinoti, ne tik paskirtų baudų dydžius, bet ir tai, už kokius pažeidimus jos skirtos.
Dažniausi pažeidimai ir jų pasekmės
- Skaidrumo principo nesilaikymas (BDAR 5, 13 ir 14 straipsnių pažeidimai). Praktikoje tai reiškia netinkamą duomenų subjektų informavimą. Kai privatumo politikų apskritai nėra arba jose pateikiama klaidinanti ar neišsami informacija apie vykdomą duomenų tvarkymą. Taip pat kai informacija pateikiama pernelyg sudėtinga teisine kalba; kai privatumo politika nėra lengvai pasiekiama arba yra pernelyg ilga ir sudėtinga.
- Vykdomas neteisėtas duomenų tvarkymas (apibrėžtas BDAR 6 ir 9 straipsniuose). Toks pažeidimas padaromas, kai duomenų valdytojas savo žinioje turi asmens duomenis, tačiau negali pagrįsti jų tvarkymo jokiu teisiniu pagrindu (sutikimu, būtinybe vykdyti teisinę prievolę, viršesniu teisėtu interesu ir pan.). Šis pažeidimas ypač dažnas renkant duomenis slapukų pagalba.
- Saugumo priemonių neužtikrinimas (BDAR 32 straipsnio pažeidimas). Visuotinai sutinkama, jog neįmanoma elektroninėje erdvėje užtikrinti šimtaprocentinio saugumo. Tačiau rizikos lygį atitinkančios saugumo priemonės turi būti taikomos kiekvienoje įmonėje. Praktika, deja, rodo, kad didelė dalis įmonių, nepakankamai investuoja į technologijas, apsaugančias nuo išorės ir vidaus grėsmių. Nepakankamai dėmesio skiriama ir darbuotojų kvalifikacijos kėlimui bei kibernetinės higienos mokymams. Negebama rasti priešnuodžių vadinamosioms „žmogiškoms klaidoms“. Neretai įmonės negeba apsaugoti savo tvarkomų duomenų.
Pabaigai norėčiau pasidalinti palyginimu iš patirties 2018 metų pradžioje. Tuo metu, kai dar tik artinosi BDAR įsigaliojimas, į šį teisės aktą buvo žiūrima kaip į didelį košmarą. Daug verslų tuomet piktinosi, kad ES valdininkai neteko proto ir tokiomis drakoniškomis baudomis ketina sužlugdyti jų įmones. Praėjus kiek daugiau nei 4 metams ir matant skaičius, peršasi išvada, kad baisusis BDAR nėra jau toks baisus: baudų dydžiai Lietuvoje atrodo adekvatūs, verslai dėl reglamento nesužlugo, sąmoningumo įmonėse atsirado daugiau.
