Bendrasis duomenų apsaugos reglamentas (BDAR) buvo įvestas siekiant apsaugoti asmens duomenis ir užtikrinti jų saugumą.
Prieš beveik 4 metus įsigaliojusio Bendrojo duomenų apsaugos reglamento (BDAR) taikymas verslui tebėra iššūkis, bet priežiūros institucijų inicijuojami tyrimai ir augančios baudos rodo, kad „pereinamasis laikotarpis“ jau baigėsi.
Asmens duomenys tapo viena svarbiausių kiekvieno žmogaus nuosavybių. Nuo el. pašto iki sveikatos įrašų - visa tai gali būti saugoma, tvarkoma, perduodama ar net nutekinta. Todėl asmens duomenų apsauga tapo ne tik teisės aktais reglamentuotas, bet ir praktiškai svarbus kiekvienos organizacijos prioritetas.
BDAR įsigaliojo 2018 m. ir nuo tada tapo pagrindiniu dokumentu, reglamentuojančiu, kaip organizacijos privalo elgtis tvarkant asmens duomenis.
Pagal BDAR, kiekvienas duomenų subjektas (t. y. žmogus, kurio duomenys tvarkomi) turi teisę žinoti, kaip jo asmens duomenys yra renkami, naudojami, saugomi, kam perduodami.
BDAR pažeidimų pasekmės
Jei jūsų verslas nesilaiko šių reikalavimų, gali kilti rimtų pasekmių.
Finansinės pasekmės
- Už mažesnius pažeidimus baudos gali siekti 10 milijonų eurų arba 2% metinių pajamų.
- Administracinės baudos, atsižvelgiant į kiekvieno konkretaus atvejo aplinkybes, skiriamos kartu su 58 straipsnio 2 dalies a-h punktuose ir j punkte nurodytomis priemonėmis arba vietoj jų.
- Bet kuriuo atveju skiriamos baudos turi būti veiksmingos, proporcingos ir atgrasomos.
BDAR baudos 2021 m. pasaulyje viršijo 1 mlrd. Eur - tai net 6 kartus daugiau nei užpernai.
Už BDAR pažeidimus pernai „Amazon Europe“ buvo paskirta 746 mln. Eur bauda.
ECOVIS ProventusLaw siūlo panagrinėti keletą įdomiausių praėjusių metų bylų, už kurias ES asmens duomenų apsaugos priežiūros institucijos skyrė ženklias baudas.
1. „Amazon“ - 746 mln. Eur
Liuksemburge buvo tiriama, ar bendrovė, vykdydama tiesioginę rinkodarą, užtikrino tinkamą vartotojų sutikimo gavimą ir ar tokie asmens duomenys nebuvo neteisėtai perduodami tretiesiems asmenims. Reklaminius pranešimus organizacijos gali siųsti tik turėdamos asmens sutikimą. Primintina, kad sutikimas turi būti atskirai duodamas dėl kiekvienos komunikavimo priemonės, t.y. jei norima siųsti pranešimus ir el. paštu ir SMS žinutėmis, turi būti gauti du atskiri sutikimai.
2. „H&M“ - 35 mln. Eur bauda už neteisėtą darbuotojų duomenų rinkimą, ir „Notebooksbilliger.de“ - 10,4 mln. Eur
Kita sritis, kurioje pernai buvo nustatyti esminiai BDAR pažeidimai, yra darbuotojų stebėsena bei neteisėtas duomenų rinkimas apie darbuotojus. Šioje srityje reikšmingos baudos buvo paskirtos drabužių parduotuvių tinklui „H&M“ ir elektronikos mažmenininkui „Notebooksbilliger.de“. Buvo nustatyta, kad „H&M“ nuo 2014 m. rinko ir kaupė daug duomenų apie darbuotojų privatų gyvenimą, o šiuos duomenis saugojo įmonės vidiniame tinkle. Duomenys apie darbuotojų privatų gyvenimą buvo renkami darbuotojų susitikimų su vadovais metu, taip pat neoficialiuose pokalbiuose, buvo prašoma papasakoti apie šeimos problemas, religinius įsitikinimus, pan.
Panašus pažeidimas buvo užfiksuotas ir el. mažmenininko „Notebooksbilliger.de“ atveju. Bendrovė bent dvejus metus vykdė savo darbuotojų stebėjimą vaizdo kameromis, įrengtomis darbuotojų bendrose patalpose, darbo vietoje, sandėlyje ir prekybos vietose. Daugeliu atvejų įrašai buvo saugomi 60 dienų.
Asmens duomenų apsauga turi būti užtikrinama ne tik santykiuose su klientu, bet ir su darbuotoju. Tai, kad darbuotojas susietas su bendrove darbo santykiais, dar nereiškia, kad bet koks jo asmens duomenų tvarkymas, įskaitant ir stebėjimą, yra pateisinamas. Prieš pradėdamas darbuotojų stebėseną, darbdavys turi įvertinti, kokių tikslų siekiama šia stebėsena ir ar šių tikslų negalima pasiekti kitomis priemonėmis. Taip pat būtina įvertinti renkamų duomenų apie darbuotoją mastą, pobūdį, turėti pasitvirtinusias su tuo susijusias tvarkas. Paprastai kalbant, galima rinkti nebent tą informaciją, kuri reikalinga konkrečiam įmonės tikslui pasiekti arba kai duomenų tvarkymas yra būtinas pagal teisės aktus.
3. Nyderlandų duomenų apsaugos priežiūros institucija skyrė 475 000 Eur baudą „Booking.com“
Baudą „Booking.com“ skyrė dėl pavėluoto pranešimo priežiūros institucijai apie įvykusį asmens duomenų saugumo pažeidimą. Incidentas įvyko dar 2018 m. gruodžio mėnesį, kai įsilaužėliai atakavo 40 darbuotojų paskyras skirtinguose viešbučiuose, esančiuose Jungtiniuose Arabų Emyratuose, ir tokiu būdu neteisėtai gavo apie 4 100 asmenų duomenis.
4. „Meta“ - 1,2 mlrd. Eur bauda 2023 m.
„Meta“ 2023 m. buvo nubausta 1,2 mlrd. eurų už duomenų perdavimą į JAV be tinkamos apsaugos. O 2024-ųjų rugsėjį, jai skirta dar €91 mln.
Taip pat, 2019 m. elektroninių mokėjimų įmonė „MisterTango“ gavo €61 500 baudą už BDAR pažeidimus - peradresavo per daug duomenų, neturėjo tinkamų saugumo priemonių ir nepateikė pranešimo apie įvykusį nutekėjimą.
Už neteisėtą duomenų atskleidimą apie įvaikinto vaiko biologinius tėvus Vilniaus miesto savivaldybė gavo €15 000 baudą - neapsaugojo tėvų duomenų ir neteisingai juos valdė.
Tai rodo, kad BDAR nėra tuščia deklaracija.
Teisinės ir reputacinės pasekmės
- Teisinės išlaidos gali būti didelės, o taip pat galimi teisminiai procesai dėl duomenų apsaugos pažeidimų.
- Tai gali turėti ilgalaikių pasekmių jūsų verslui, nes žmonės nori dirbti tik su tais, kurie laikosi teisės aktų ir rūpinasi jų duomenų saugumu.
- Be to, verslas susiduria ne tik su teisine atsakomybe, bet patiria ir milžinišką reputacinę žalą.
Duomenų nutekėjimai gali ne tik pažeisti klientų teises, bet ir sugriauti įmonės įvaizdį, o kartais net sukelti teisinius ginčus ar finansinių nuostolių.
Administracinės priežiūros ir audito pasekmės
- Inspektoriai gali įpareigoti atlikti auditus ir teikti nuolatinę priežiūrą.
Jei valstybės narės teisės sistemoje nenumatoma administracinių baudų, šis straipsnis gali būti taikomas taip, kad baudą inicijuotų kompetentinga priežiūros institucija, o ją skirtų kompetentingi nacionaliniai teismai, kartu užtikrinant, kad tos teisių gynimo priemonės būtų veiksmingos ir turėtų priežiūros institucijų skiriamoms administracinėms baudoms lygiavertį poveikį.
Kaip išvengti BDAR pažeidimų ir baudų?
Aukščiau aptarta praktika parodė, kad įmonės turi aiškiai ir išsamiai informuoti savo klientus apie tvarkomus asmens duomenis, tikslus parengiant privatumo pranešimus pagal savo verslo modelį, o ne skelbiant šabloninius pranešimus.
Taip pat, reklaminiai pranešimai turi būti siunčiami tik esant aiškiam susitikimui - praktika rodo, kad tokios priedangos kaip „teisėtas interesas“ ar „sutarties vykdymas“ yra akivaizdžiai netinkamos.
Akivaidu ir tai, kad duomenų rinkimas apie darbuotojus ar klientus „dėl viso pikto“ yra neteisėtas - duomenis rinkti leidžiama tik tiek, kiek tikrai reikia ir konkrečiam tikslui.
Mokymų svarba
- Apmokykite savo komandą: Užtikrinkite, kad visi darbuotojai būtų susipažinę su BDAR reikalavimais ir jų atsakomybe.
Viena iš efektyviausių prevencinių priemonių - nuolatiniai kibernetinio saugumo mokymai darbuotojams. Net jei įmonė naudoja saugią techninę įrangą, žmogiškasis faktorius išlieka dažniausia silpnaja vieta. Mokymų metu darbuotojai supažindinami su socialinės inžinerijos grėsmėmis, slaptažodžių saugumu, el. laiškų atpažinimu ir kita svarbia informacija.
Kiti svarbūs aspektai
- Įmonės turi turėti iš anksto parengtą planą, kaip reaguoti, kada ir kokias institucijas, subjektus informuoti asmens duomenų pažeidimų atveju.
- Įvykus pažeidimui, svarbu dokumentuoti procesą, iš karto imtis veiksmų galimoms pažeidimų pasekmėms sumažinti, ir informuoti apie tai asmens duomenų priežiūros instituciją nedelsiant, per 72 valandas, nuo sužinojimo apie šį pažeidimą.
- Asmuo, norintis ginti savo teises, pirmiausia turėtų kreiptis į organizaciją, kuri tvarkė jo duomenis, o jei atsakymas netenkina - pateikti skundą Inspekcijai.
Nors daugelis į duomenų apsaugą vis dar žiūri kaip į biurokratinę prievolę, iš tiesų tai - reputacijos, pasitikėjimo ir net verslo tęstinumo klausimas.
Todėl atsakingas požiūris į asmens duomenų apsaugą, BDAR laikymasis, aiškios vidinės procedūros ir reguliarūs mokymai tampa neišvengiama kiekvienos šiuolaikinės organizacijos kasdienybės dalimi.
