Teismo griežta pozicija dėl informacijos pateikimo duomenų subjektui detalumo ir saugumo priemonių taikymo

Lietuvos vyriausiasis administracinis teismas priėmė sprendimą „Secure Nordic Payments“ (buvęs pavadinimas UAB „MisterTango“) byloje dėl asmens duomenų pažeidimo, kuriu paliko Valstybinės duomenų apsaugos inspekcijos (toliau VDAI) sprendimą dėl 61 500 Eur  eurų baudos skyrimo.

Teismas sprendime konstatavo šiuos esminius duomenų tvarkymo klausimus:

  • Bendrovė neužtikrino tinkamo klientų informavimo apie jų asmens duomenų tvarkymą, t.y. bendrovė detaliai neatskleidė klientams visų duomenų, kuriuos ji renka apie klientą, įskaitant ir gautų iš kitų šaltinių, kaip antai mokėtojo vardas, pavardė, turimų banko (įskaitant mokėjimo kortelių) sąskaitų numeriai, jų valiuta, likučiai, rezervuotos sumos; paskutinių atliktų operacijų informacija (data, mokėtojo arba gavėjo pavadinimas, mokėjimo paskirtis, suma), neperžiūrėtų elektroninių sąskaitų pateikimo datos, siuntėjų pavadinimai bei sumos, neperskaitytų pranešimų pateikimo datos, temos ir dalis pranešimo teksto, turimų paskolų paskirtys, pobūdžiai, sumos, pensijų fondų pavadinimai, sukaupti vienetai, jų vertė, sukauptos sumos, paskutinio prisijungimo datos, turimų indėlių pobūdis (terminuotas, taupomasis ir pan.), valiutos, sumos, palūkanos, terminai, kredito tipai (pvz., būsto), mokėtini likučiai, kitų mokėjimų sumos bei datos, išduotų mokėjimo kortelių numeriai ir jose esančios sumos). Teismo vertinimu, nedetalūs asmens duomenų kategorijų įvardijimas nėra tinkamas, nes klientai nėra informuojami apie visų jų asmens duomenų tvarkymą.
  • Laikinas asmens duomenų fiksavimas laikytinas asmens duomenų tvarkymu ir tokiai veiklai pilna apimtimi taikomas BDAR, todėl nėra svarbu, kiek laiko tokius duomenis bendrovė turi ir ar juos saugo bei turi nuolatinę prieigą.
  • Finansinių duomenų, pvz., kredito kortelės duomenų, saugumo pažeidimai gali padaryti ne tik tiesioginės žalos, bet, naudojami kartu, taip pat gali padėti pavogti tapatybę.
  • Bendrovė, įvykus pažeidimui, nedokumentavo padaryto asmens duomenų saugumo pažeidimo, nevertino pasekmių, todėl nėra pagrindo teigti, kad apie pažeidimą neturėjo būti informuota VDAI.
  • Bendrovė neįgyvendino atitinkamų techninių ar organizacines priemonių, kurios užtikrintų pavojų atitinkančio lygio saugumą.

Šis Teismo sprendimas yra ženklas įmonėms dar kartą peržiūrėti savo procesus ir įsivertinti:

  • privatumo politikas, t. y. ar duomenų subjektai yra detaliai informuojami apie jų asmens duomenų tvarkymą, išvardijant visus įmonių tvarkomus, matomus, fiksuojamus asmens duomenis;
  • ar įmonėse yra tinkamai parengtas asmens duomenų „žemėlapis“, į kurį turi būti įtraukti visi asmens duomenų gavimo, rinkimo, fiksavimo procesai;
  • ar įmonėse yra tinkamai dokumentuotos tiek duomenų tvarkymo, tiek saugumo pažeidimo valdymo procedūros;
  • ar įmonės atlieka pasirinktų techninių ar organizacinių saugumo priemonių tinkamumo testus.

Visi šie klausimai tik dar kartą įrodo, kad asmens duomenų sritis yra gyvas procesas, reikalaujantis nuolatinės periodinės peržiūros ir profesionalaus įvertinimo.

Jei Jums kyla klausimų, prašome kreiptis į ECOVIS ProvetusLaw komandą.

Parengė ECOVIS ProventusLaw sertifikuota duomenų apsaugos ekspertė Brigida Bacienė.

 

 

Naujienlaiškio prenumerataSusisiekti