L. Andziulytė. Ryškiausios BDAR baudos 2021: ar pasimokysime iš svetimų klaidų?

Prieš beveik 4 metus įsigaliojusio Bendrojo duomenų apsaugos reglamento (BDAR) taikymas verslui tebėra iššūkis, bet priežiūros institucijų inicijuojami tyrimai ir augančios baudos rodo, kad „pereinamasis laikotarpis“ jau baigėsi. Net 5 iš 10-ies didžiausių baudų už BDAR pažeidimus pasaulyje buvo skirtos būtent pernai, o ir Lietuvoje praėjusiais metais buvo skirta pirmoji šešiaženklė bauda. Tad ko galime pasimokyti iš svetimų klaidų?

BDAR baudos 2021 m. pasaulyje viršijo 1 mlrd. Eur – tai net 6 kartus daugiau nei užpernai. Ir jei dar 2019 m. rinkos buvo nustebintos pirmosios daugiamilijoninės „Google“ skirtos baudos (50 mln. Eur), praėjusiais metais baudų kartelė pakilo iki dar nematytų aukštumų. Už BDAR pažeidimus pernai „Amazon Europe“ buvo paskirta 746 mln. Eur bauda, o„WhatsApp Ireland“ – 225 mln. Eur.

ECOVIS ProventusLaw siūlo panagrinėti keletą įdomiausių praėjusių metų bylų, už kurias ES asmens duomenų apsaugos priežiūros institucijos skyrė ženklias baudas. Šie atvejai ir jų pamokos gali būti aktualios daugeliui organizacijų ir Lietuvoje.

1. „Amazon“ – 746 mln. Eur bauda dėl netinkamo asmens duomenų tvarkymo vykdant tiesioginę rinkodarą

„Amazon“ atvejis neturi precedento: tai didžiausia iki šiol skirta BDAR bauda ir daugiau nei du kartus didesnė nei bet kurios kitos BDAR baudos kartu sudėjus.

Liuksemburge buvo tiriama, ar bendrovė, vykdydama tiesioginę rinkodarą, užtikrino tinkamą vartotojų sutikimo gavimą ir ar tokie asmens duomenys nebuvo neteisėtai perduodami tretiesiems asmenims. „Amazon“ bandė grįsti savo poziciją, teikdama nuorodas į bendrovės teisėtą interesą ir sutarties vykdymą su klientais, tačiau Liuksemburgo priežiūros institucijos šie argumentai neįtikino.

Kas iš to?

Reklaminius pranešimus organizacijos gali siųsti tik turėdamos asmens sutikimą. Lietuvoje daugelis verslų jau susigyveno su šia taisykle, tačiau vis dar mažai dėmesio skiriama sutikimo turiniui tinkamai suformuluoti bei tinkamai administruoti sistemas, kai toks sutikimas yra atšaukiamas.

Primintina, kad sutikimas turi būti atskirai duodamas dėl kiekvienos komunikavimo priemonės, t.y. jei norima siųsti pranešimus ir el. paštu ir SMS žinutėmis, turi būti gauti du atskiri sutikimai. Galiausiai, vartotojams privalo būti suteikta aiški ir nemokama galimybė atšaukti sutikimą, o atšaukimo sulaukęs verslas privalo reaguoti nedelsiant.

2. „WhatsApp Ireland“ – 225 mln. Eur bauda dėl netinkamo informavimo apie tvarkomus asmens duomenis

Kaip žinoma, vartotojui instaliavus „WhatsApp“ programėlę, ji vykdo telefone esančių kontaktų patikrinimą, nustatydama, ar šie telefono numeriai yra „WhatsApp“ vartotojai, ir tuomet juos perkelia į vartotojo „WhatsApp“ kontaktų sąrašą. Airijos institucijos nustatė, kad „WhatsApp“ atlikdama tokio pobūdžio patikrinimą importuoja visus telefone esančius kontaktus (t.y. ne tik „WhatsApp“ vartotojus) į savo sistemą, vėliau naudoja algoritmus, neva nuasmenindama ne „WhatsApp“ vartotojų telefono numerius. Tačiau faktiškai buvo nustatyta, kad pagal tai vis tiek galima identifikuoti asmenį. Priežiūros institucija nusprendė, kad „WhatsApp“ netinkamai vykdė pareigą informuoti ne „WhatsApp“ vartotojus apie jų asmens duomenis.

Taip pat buvo nustatyta, kad „WhatsApp“ netinkamai ir neskaidriai informuoja vartotojus apie jų asmens duomenų perdavimą „Facebook“, naudojo aptakias formuluotes, o informaciją buvo išbarsčiusi per skirtingus dokumentus.

Kas iš to?

Lietuvoje vis dar pastebima tendencija, kad privatumo pranešimai yra kopijuojami nuo kitų įmonių, klaidingai mąstant, kad jie yra tinkami visoms organizacijoms. Vis dėlto privatumo politika ir kiti privatumo pranešimai turi būti adaptuoti kiekvienai įmonei individualiai, atsižvelgiant į organizacijų pobūdį, duomenų subjektus ir būtent tos organizacijos asmens duomenų gyvavimo ciklą. Vis daugiau priežiūros institucijų reikalauja kuo detaliau privatumo politikoje nurodyti, kam yra perduodami asmens duomenys, iš kur jie gaunami ir kiek saugomi. Visa ši informacija turi būti pateikta paprasta kalba ir lengvai prieinama.

3.  „H&M“ ?  35 mln. Eur bauda už neteisėtą darbuotojų duomenų rinkimą, ir „Notebooksbilliger.de“ 10,4 mln. Eur bauda už neteisėtą darbuotojų stebėseną

 Kita sritis, kurioje pernai buvo nustatyti esminiai BDAR pažeidimai, yra darbuotojų stebėsena bei neteisėtas duomenų rinkimas apie darbuotojus. Šioje srityje reikšmingos baudos buvo paskirtos drabužių parduotuvių tinklui „H&M“ ir  elektronikos mažmenininkui „Notebooksbilliger.de“. Abi kompanijas nubaudė Vokietijos priežiūros institucija.

Buvo nustatyta, kad „H&M“ nuo 2014 m. rinko ir kaupė daug duomenų apie darbuotojų privatų gyvenimą, o šiuos duomenis saugojo įmonės vidiniame tinkle. Duomenys apie darbuotojų privatų gyvenimą buvo renkami darbuotojų susitikimų su vadovais metu, taip pat neoficialiuose pokalbiuose, buvo prašoma papasakoti apie šeimos problemas, religinius įsitikinimus, pan. Informacija apie darbuotojo asmeninį gyvenimą buvo naudojama siekiant sukurti konkretaus darbuotojo profilį, skirtą padėti įmonei darbo santykiuose su tokiu asmeniu.

Panašus pažeidimas buvo užfiksuotas ir el. komercijos bendrovėje „Notebooksbilliger.de“, gavusiai baudą už reikalavimų neatitinkantį darbuotojų vaizdo stebėjimą.

Bendrovė bent dvejus metus vykdė savo darbuotojų stebėjimą vaizdo kameromis, įrengtomis darbuotojų bendrose patalpose, darbo vietoje, sandėlyje ir prekybos vietose. Daugeliu atvejų įrašai buvo saugomi 60 dienų. Nors bendrovė aiškino, kad tokiu vaizdo stebėjimu buvo siekiama užkirsti kelią vagystėms ir kitoms nusikalstamoms veikoms bei sekti prekių judėjimą sandėliuose, priežiūros institucijos laikėsi pozicijos, kad vaizdo stebėjimas siekiant atskleisti nusikalstamas veikas yra teisėtas tik tuo atveju, jei yra pagrįstų įtarimų dėl konkrečių asmenų, o toks stebėjimas turi būti ribotas laike.

Kas iš to?

Asmens duomenų apsauga turi būti užtikrinama ne tik santykiuose su klientu, bet ir su darbuotoju. Tai, kad darbuotojas susietas su bendrove darbo santykiais, dar nereiškia, kad bet koks jo asmens duomenų tvarkymas, įskaitant ir stebėjimą, yra pateisinamas. LR Darbo kodeksas numato, kad turi būti gerbiamas darbuotojo asmeninis gyvenimas.

Prieš pradėdamas darbuotojų stebėseną, darbdavys turi įvertinti, kokių tikslų siekiama šia stebėsena ir ar šių tikslų negalima pasiekti kitomis priemonėmis. Taip pat būtina įvertinti renkamų duomenų apie darbuotoją mastą, pobūdį, turėti pasitvirtinusias su tuo susijusias tvarkas. Paprastai kalbant, galima rinkti nebent tą informaciją, kuri reikalinga konkrečiam įmonės tikslui pasiekti arba kai duomenų tvarkymas yra būtinas pagal teisės aktus. Kai duomenys tampa nereikalingi minėtiems tikslams, juos būtina nedelsiant ištrinti.

4. Booking.com – 475.000 Eur bauda dėl pavėluoto pranešimo priežiūros institucijai apie įvykusį asmens duomenų saugumo pažeidimą

Nyderlandų duomenų apsaugos priežiūros institucija skyrė 475.000 Eur baudą Booking.com dėl pavėluoto pranešimo priežiūros institucijai apie įvykusį asmens duomenų saugumo pažeidimą. Incidentas įvyko dar 2018 m. gruodžio mėnesį, kai įsilaužėliai atakavo 40 darbuotojų paskyras skirtinguose viešbučiuose, esančiuose Jungtiniuose Arabų Emyratuose, ir tokiu būdu neteisėtai gavo apie 4.100 asmenų duomenis. Booking.com apie incidentą pranešė duomenų apsaugos priežiūros institucija tik praėjus 22 dienoms nuo sužinojimo apie incidentą, nors pagal BDAR turėjo informuoti per 72 val.

Anot Nyderlandų duomenų apsaugos priežiūros institucijos, įmonei tenka didelė atsakomybė užtikrinant savo milijonų klientų duomenų saugumą, įskaitant ir vykdyti pareigą nedelsiant informuoti duomenų apsaugos priežiūros instituciją įvykus pažeidimui.

Kas iš to?

Įmonės turi turėti iš anksto parengtą planą, kaip reaguoti, kada ir kokias institucijas, subjektus informuoti asmens duomenų pažeidimų atveju. Rekomenduotina turėti pasirengus krizių valdymo planą, pažeidimų nustatymo, tyrimo bei vidaus pranešimų procedūras,  paskirti atsakingus asmenius, kad būtų laiku reaguojama ir valdoma situacija, užtikrinama  tiek vidinė, tiek išorinė komunikaciją apie duomenų saugumo pažeidimą.

Įvykus pažeidimui, svarbu dokumentuoti procesą, iš karto imtis veiksmų galimoms pažeidimų pasekmėms sumažinti, ir informuoti apie tai asmens duomenų priežiūros instituciją nedelsiant, per 72 valandas, nuo sužinojimo apie šį pažeidimą. Svarbu informuoti ir paveiktus duomenų subjektus (vartotojus, darbuotojus ir kt.), jei kyla didelis pavojus jų teisėms ir laisvėms.

Kompleksinės išvados

Aukščiau aptarta praktika parodė, kad įmonės turi aiškiai ir išsamiai informuoti savo klientus apie tvarkomus asmens duomenis, tikslus parengiant privatumo pranešimus pagal savo verslo modelį, o ne skelbiant šabloninius pranešimus. Taip pat, reklaminiai pranešimai turi būti siunčiami tik esant aiškiam susitikimui – praktika rodo, kad tokios priedangos kaip „teisėtas interesas“ ar „sutarties vykdymas“ yra akivaizdžiai netinkamos. Akivaizdu ir tai, kad duomenų rinkimas apie darbuotojus ar klientus „dėl viso pikto“ yra neteisėtas – duomenis rinkti leidžiama tik tiek, kiek tikrai reikia ir konkrečiam tikslui. Galiausiai, apie duomenų pažeidimus institucijoms būtina pranešti nedelsiant – priešingu atveju gali laukti didelės baudos.

Beje, nustačius, kad bendrovė tvarko klientų ar darbuotojų duomenis pažeisdama BDAR reikalavimus, verslas susiduria ne tik su teisine atsakomybe, bet patiria ir milžinišką reputacinę žalą. Todėl svarbu investuoti į sistemų saugumą, kad klientai jaustųsi saugiai dėl savo  duomenų saugumo bei į darbuotojų mokymus, kaip elgtis su klientų duomenimis ar jau įvykus duomenų saugumo pažeidimui.

Tekstas publikuotas vz.lt portale.

Naujienlaiškio prenumerataSusisiekti