Pirmoji ženkli bauda Lietuvoje

Kol kitose Europos valstybėse (Prancūzijoje, Ispanijoje, Vokietijoje, Lenkijoje, Kipre ir t. t.) jau buvo paskirtos nemažos ir reikšmingos baudos už BDAR reikalavimų nesilaikymą, Lietuvoje pirmosios "skausmingos" baudos teko palaukti beveik metus laiko nuo BDAR įsigaliojimo. 2019 m. gegužės 16 d. Valstybinė duomenų apsaugos inspekcija pranešė, kad už BDAR pažeidimus skyrė administracinę baudą, siekiančią 61 500 eurų. Skirdama tokią baudą, kuri siekia 1,5 procento nuo įmonės metinės apyvartos, Valstybinė duomenų apsaugos inspekcija (VDAI) pažymėjo, kad bauda buvo skirta atsižvelgus į gautą informaciją apie paviešintus bankų klientų asmens duomenis, taip pat už kompleksinius pažeidimus: dėl netinkamo duomenų tvarkymo, dėl asmens duomenų paviešinimo ir dėl pranešimo apie asmens duomenų saugumo pažeidimą nepateikimo. Inspekcija aiškiai akcentavo, jog itin svarbu pranešti apie pažeidimus duomenų apsaugos srityje bei netvarkyti per didelio kiekio asmens duomenų.

Lietuvos priežiūros institucija taip pat pabrėžė, jog tai bus reikšmingas signalas ir kitoms įmonėms, tik deklaratyviai įgyvendinančioms BDAR nuostatas. Tokio dydžio baudos skyrimas neabejotinai atkreips kitų įmonių ir/ar įstaigų dėmesį, taip pat tai patvirtina rimtus Valstybinės duomenų apsaugos inspekcijos ketinimus reglamento (BDAR) taikymo Lietuvoje priežiūros atžvilgiu.

Specialistai pastebi, kad jeigu įmonė būtų sureagavusi greičiau ir pati pranešusi VDAI apie galimą duomenų nutekėjimą būtų buve galima išvengti didelių baudų, o galbūt ir sumažinti duomenų praradimo apimtį.

Didesnis dėmesys dėl vaizdo duomenų tvarkymo

Pastebimos tendencijos, jog nemaža dalis skundų praktikoje yra gaunama dėl neteisėto vaizdo duomenų tvarkymo, t. y. dėl filmavimo. Valstybinė duomenų apsaugos inspekcija gaudama skundus šiuo klausimu dažniausiai patikrinimą atlieka apklausos būdu, t. y. pateikia duomenų valdytojui sąrašą klausimų bei nustato terminą atsakymams pateikti. Gavusi atsakymus bei atitinkamus dokumentus - juos vertina ir imasi tolimesnių veiksmų. Nors Valstybinė duomenų apsaugos inspekcija neskuba dalinti baudų, tačiau pastebimas vis dažnesni atvejai, kai už tam tikrus neatitikimus yra skiriami papeikimai bei nurodymai susitvarkyti tam tikrą dokumentinę dalį. Įvertinus gaunamų skundų kiekį, Inspekcija taip pat išleido atmintinę dėl vaizdo stebėjimo reikalavimų fiziniams asmenims ir kai vaizdo stebėjimas vykdomas daugiabučiuose.

Pradėtas naujas tyrimas. Ką tai rodo?

2019 m. gegužės 22 d. Valstybinė duomenų apsaugos inspekcija paskelbė jog pradėjo tyrimą dėl galimai neteisėto asmens duomenų rinkimo iš valstybės registrų. Tyrimas, beje, pradėtas reaguojant į žiniasklaidoje pasirodžiusią informaciją, savo iniciatyva. Priežiūros institucija aiškinasi situaciją dėl galimai neteisėto vieno iš žiniasklaidos atstovų informacijos ir asmens duomenų apie fizinius ir juridinius asmenis rinkimo iš valstybės registrų. Šie veiksmai rodo Valstybinės duomenų apsaugos inspekcijos aktyvesnius veiksmus asmens duomenų apsaugos srityje. Akivaizdu, kad pirmus metus Valstybinė duomenų apsaugos inspekcija leidusi "apšilti kojas" visiems duomenų valdytojams ir duomenų tvarkytojams, paskutiniu metu pradėjo aktyviai reaguoti į gaunamus skundus ir ne tik reaguoti, bet ir imtis atitinkamų poveikio priemonių, leisti įvairius išaiškinimus, savo iniciatyva pradėti tyrimus. Reikėtų nepamiršti ir tai, jog šiuo metu inspekcija atlieka tyrimą dėl biometrinių duomenų tvarkymo teisėtumo ir artimiausiu metu turėtų pateikti taip pat tam tikrus išaiškinimus šiuo klausimu.

Ar verta laukti?

Konsultantai pastebi, kad įmonėms kurios į BDAR dar nespėjo pažiūrėti rimtai, bet jau pateko į inspekcijos patikrinimų akiratį arba buvo apskųstos, terminai pateikti paaiškinimus, duomenų tvarkymo registrus ir susijusią dokumentaciją yra itin trumpi. O tai sąlygoja dideles kompanijos pastangas ir neįprastiems darbams skirtas darbo valandas, taip pat kelis kartus didesnes nei įprastai išlaidas teisininkams ir konsultantams.