Praėjus mažiau nei dvejiems metams po to, kai „Twitter“ pažeidė BDAR asmens duomenų privatumo taisykles, JAV Federalinė prekybos komisija (FPK) paskelbė, kad įmonė buvo nubausta dar kartą. FPK teigimu, „Twitter“ naudojant el. pašto adresus ir telefono numerius reklamos tikslais buvo paveikti daugiau kaip 140 mln. naudotojų.
Pažeidimas
FPK, kuri yra atsakinga už vartotojų apsaugą nuo apgaulingos verslo praktikos ir duomenų apsaugos taisyklių vykdymą Jungtinėse Valstijose, kartu su Teisingumo departamentu apkaltino „Twitter“, kad įmonė tvarko asmens duomenis kitais tikslais nei tie, kurie buvo atskleisti duomenų subjektams.
Šią savaitę pateiktuose teismo dokumentuose nurodoma, kad 2013-2019 m. daugiau nei 140 mln. naudotojų pasidalijo savo telefono numeriais ir el. pašto adresais su „Twitter“, remdamiesi „apgaulingais pareiškimais“, kad šie duomenys bus naudojami naudotojų paskyrų saugumui užtikrinti – atkurti slaptažodžius, atrakinti paskyras ir įjungti dviejų veiksnių autentifikavimą. Tačiau FPK teigė, kad „Twitter“ rinko naudotojų duomenis prisidengdama, kad juos naudos saugumo tikslais, tačiau iš tiesų juos naudojo ir tam, kad galėtų teikti reklamas konkretiems naudotojams.
Sprendimas
FPK skunde teigiama, kad „Twitter“, naudodama duomenų subjektu asmens duomenis kitais tikslais, nei tie, kurie buvo atskleisti, pažeidė 2011 m. FPK įsakymą, draudžiantį įmonei klaidinti duomenų subjektus dėl savo privatumo ir saugumo praktikos.
Šalys pasiekė susitarimą, pagal kurį „Twitter“ turėjo sumokėti 150 mln. dolerių (145 mln. eurų) baudą už padarytus pažeidimus.
Be šios baudos, „Twitter“ privalo pagerinti savo duomenų apsaugos praktiką, visų pirma:
- nutraukti naudotojų telefono numerių ir el. pašto adresų tvarkymą,
- informuoti duomenų subjektus apie netinkamą jų asmens duomenų naudojimą,
- suteikti naudotojams daugiafaktorinį autentifikavimą, kuriam nėra reikalingas anksčiau minėtų duomenų tvarkymas,
- įgyvendinti sustiprintą privatumo ir informacijos saugumo programą,
- pranešti FPK apie duomenų saugumo pažeidimus,
- apriboti darbuotojų prieigą prie naudotojų asmens duomenų.
Ko reikėtų iš to pasimokyti?
Atsižvelgdamos į „Twitter“ pažeidimus, organizacijos turėtų prisiminti pagrindinius duomenų tvarkymo principus, ypač:
– „Teisėtumas, sąžiningumas ir skaidrumas“ – asmens duomenys turėtų būti tvarkomi teisėtu pagrindu, neklaidinant duomenų subjektų ir atvirai bei sąžiningai informuojant juos apie asmens duomenų naudojimą.
– „Tikslo apribojimas“ – asmens duomenys turėtų būti renkami tik aiškiais, konkrečiais ir teisėtais tikslais.
Taip pat svarbu pažymėti, kad organizacijos, tvarkydamos asmens duomenis tiesioginės rinkodaros tikslais, privalo gauti aiškų duomenų subjektų sutikimą. Šis sutikimas turi būti duotas laisva valia, konkretus, informuotas ir nedviprasmiškas. Organizacijos taip pat turi suteikti aiškią, prieinamą ir lengvai įgyvendinamą galimybę bet kada atšaukti sutikimą.
Parengė ECOVIS ProventusLaw duomenų apsaugos ekspertė Brigida Bacienė ir ECOVIS ProventusLaw jaunesnioji teisininkė Gabija Bacevičiūtė
Naujienlaiškio prenumerata
Susisiekti