Baudos už BDAR pažeidimus kasmet didėja – rekordininkė „Amazon“



Komentaro autorė - advokatų profesinės bendrijos COBALT vyresnioji teisininkė Renata Vasiliauskienė

Žymi frazė, jog duomenys yra mūsų laikų nafta, gali atrodyti neįtikinamai. Tačiau tik tol, kol išsamiau paanalizuojami sprendimai skirti baudas už Bendrojo duomenų apsaugos reglamento (BDAR) pažeidimus. Kai kurios sumos, kurias per pastaruosius keletą metų skyrė Europos Sąjungos (ES) valstybių priežiūros institucijos, už BDAR pažeidimus, išties įspūdingos.

Remiantis įvairių šaltinių duomenimis, per daugiau nei ketverius metus, kurie praėjo nuo BDAR taikymo pradžios, ES šalyse (įskaitant ir Jungtinę Karalystę) paskirta daugiau nei 1500 pinginių baudų. Didžiausia iš jų – 746 milijonai eurų, skirta Liuksemburgo priežiūros institucijos. Mažiausia – 28 eurai, skirta Vengrijoje. Bendra baudų suma visoje ES už BDAR pažeidimus jau viršija 2 milijardus eurų.

Pristatome garsiausiai nuskambėjusius verslo ir valstybės įstaigų BDAR pažeidimo atvejus.

Liuksemburgas: „Amazon“

Pernai Liuksemburgo duomenų apsaugos priežiūros institucija skyrė rekordinę 746 milijonų eurų baudą JAV bendrovės „Amazon“ Europos padaliniui už netinkamą asmens duomenų tvarkymą vykdant tiesioginę rinkodarą. Tai didžiausia iki šiol skirta bauda už BDAR pažeidimus.

Liuksemburgo duomenų prievaizdai nustatė, kad JAV milžinė, vykdydama tiesioginę rinkodarą, ne tik netinkamai gaudavo asmenų sutikimus, bet ir neteisėtai perleisdavo gautus asmens duomenis tretiesiems asmenims. „Amazon“ bandė gintis pasitelkdama teisėto bendrovės intereso ir sutarčių su klientais vykdymo nuostatas. Tačiau šie argumentai prievaizdų neįtikino. Iš šios istorijos galima pasimokyti vieno – reklamą, ypač tiesioginę, saugiausia yra teikti tik turint aiškius, aktyviai duomenų subjektų duotus sutikimus. Ir svarbiausia, nepamiršti išsaugoti įrodymų, kada ir kokiomis aplinkybėmis sutikimas buvo duotas.

Airija: „Meta“ verslai

Airijos duomenų apsaugos institucija šiemet pagerino savo pačios rekordą. Ji skyrė 405 milijonus eurų baudą socialiniam tinklui „Instagram“ už netinkamą elgesį su nepilnamečių asmens duomenimis.

Problemos esmė tame, kad bendrovės „Meta“ valdoma „Instagram“ platforma 13–17 metų paaugliams leido turėti verslo paskyras. Dėl to galėjo būti paviešinti jų telefono numeriai ir (arba) el. pašto adresai. Kadangi dirbant su nepilnamečių duomenims reikalingas didesnis atsargumas, atitinkamai reikia įdėti daugiau pastangų norint pagrįsti tokį duomenų rinkimą. Pavyzdžiui, atlikti išsamų poveikio duomenų apsaugai vertinimą, laikytis vadinamojo „privacy by default“ principo, kuris reiškia, kad standartiniai nustatymai turi užtikrinti kuo didesnį privatumą. Šios papildomos pareigos nebuvo tinkamai įgyvendintos, todėl, turint omenyje itin didelį paauglių tvarkomų duomenų kiekį „Instagram“ tinkle, Airijos priežiūros institucijos sprendimas suprantamas.

Trečioje vietoje pagal skirtų baudų dydį – ta pati Airijos duomenų apsaugos institucija, prieš keletą savaičių skyrusi 265 milijonų eurų baudą „Meta Platforms Ireland Limited“. Bauda paskirta už netinkamas saugumo priemones, kurios negeba užtikrinti adekvataus duomenų saugumo lygio.

Airija pagal skirtų baudų dydžius, galima sakyti, pirmauja. Pernai ji skyrė tuomet irgi rekordine buvusią 225 milijonų eurų baudą „Meta“ valdomai bendrovei „WhatsApp“, vystančiai populiarią pokalbių programėlę.

Tąkart tyrimo metu nustatyta, kad įdiegus „WhatsApp“, ši programėlė patikrina telefone esančius kontaktus, nustatydama, ar jame esantys telefono numeriai yra „WhatsApp“ vartotojai. Po to programėlė nukopijuodavo visus (ne tik „WhatsApp“ vartotojų) kontaktus iš telefono į „WhatsApp“ paskyrą. Vėliau įvairių algoritmų pagalba, turėjo būti nuasmeninami kontaktiniai duomenys. Tačiau Airijos prievaizdai nustatė, kad pagal likusią informaciją (telefono numerius) konkrečių asmenų identifikacija vis tiek buvo galima. Formaliai bendrovė buvo nubausta už BDAR skaidrumo principo nesilaikymą.

Prancūzija: „Google“ ir „Meta“

Nuo Airijos nedaug atsilieka Prancūzijos asmens duomenų apsaugos institucija, kuri pernai skyrė solidžias baudas kompanijoms „Google“ ir „Meta“. Atitinkamai 150 ir 60 milijonų eurų už apsunkintą galimybę atsisakyti slapukų.

Prancūzijos institucijos teigimu, neteisinga, kad svetainėse google.fr, youtube.com ir facebook.com galima vienu mygtuko paspaudimu sutikti su visų slapukų naudojimu, o norint su tuo nesutikti, reikia atlikti keletą papildomų veiksmų.

Reikėtų patikslinti, kad šios baudos skirtos už Prancūzijos elektroninių ryšių naudojimo bei BDAR nuostatų, reglamentuojančių sutikimo gavimą, pažeidimus. Lietuvoje slapukų klausimai taip pat labai panašiai reglamentuojami Elektroninių ryšių įstatyme, o Valstybinė duomenų apsaugos inspekcija šiais metais keliolika įmonių yra įtraukusi į planinių patikrinimų sąrašą. Patikrinimų esmė – nustatyti, ar slapukų naudojimas svetainėse atitinka Elektroninių ryšių įstatymo ir BDAR reikalavimus. Esmė tokia: nebūtinų slapukų veikimui kol kas yra reikalingas aiškus ir aktyvus svetainės lankytojo sutikimas. Negebant užtikrinti tinkamo slapukų valdymo – pažeidimas garantuotas.

Beje, šis atvejis jau nebe pirmas, kai Prancūzijos asmens duomenų apsaugos institucija baudžia „Google“. 2020 metų pabaigoje ji skyrė „Google“ 100 milijonų eurų baudą taip pat už netinkamą sutikimo su slapukų naudojimu gavimą.

Baudos Lietuvoje kur kas kuklesnės

Išgirdus apie aukščiau minėtas milijonines baudas už BDAR pažeidimus dažnai gali susidaryti įspūdis, kad visiems ES veikiantiems verslams gresia tas pats. Tačiau Lietuvoje situacija kiek kitokia – pas mus baudos skaičiuojamos ne milijonais, o tūkstančiais eurų. Pagal viešai prieinamą informaciją, Lietuvos Valstybinė duomenų apsaugos inspekcija (VDAI), viso, nuo reglamento taikymo pradžios iki šiol, yra skyrusi aštuonias pinigines baudas (nepiniginių administracinių nuobaudų, be abejo, yra kur kas daugiau). Mažiausia paskirta bauda Lietuvoje yra 3000 eurų, didžiausia – 110 tūkstančių eurų.

2021 metais VDAI skyrė 110 tūkstančių eurų baudą trumpalaikės automobilių nuomos platformą „CityBee“ valdančiai UAB „Prime Leasing“ už negebėjimą užtikrinti duomenų saugumo ir dėl to patirtą klientų duomenų nutekėjimą. Tai iki šiol yra didžiausia piniginė nuobauda skirta šios Lietuvos priežiūros institucijos.

Anksčiau – 2019 metais – 61,500 eurų dydžio bauda už netinkamą duomenų tvarkymą paskirta fintech bendrovei „MisterTango“.

Lietuvoje už BDAR pažeidimus pinigine bauda nubausta ir keletas viešųjų įstaigų: Registrų centrui paskirta 15 tūkstančių eurų baudą už patirtą saugumo incidentą, kai liūties metu buvo užlieta dalis patalpų ir jame esanti įranga su asmens duomenimis. Baudas gavo ir Vilniaus miesto savivaldybės administracija bei NVSC, atitinkamai po 15 ir 12 tūkstančių eurų.

Paminėjimo vertas ir „Vinted“ atvejis. Tiesa, pirmasis Lietuvos vienaragis baudą gavo ne namų rinkoje, o Lenkijoje. Naudotų drabužių mainų ir prekybos platformai „Vinted“ Lenkijos konkurencijos ir vartotojų teisių apsaugos priežiūros tarnyba skyrė 1,13 milijonų eurų baudą. Ji skirta už tai, kad platformoje nebuvo paaiškinta, jog reikės pateikti asmens tapatybės kortelės kopiją, kad būtų atblokuotos lėšos, gautos iš pardavimų.

Palyginimui, Estija per tą patį laikotarpį skyrė šešias pinigines baudas. Didžiausia, siekianti 100 tūkstančių eurų, skirta elektroninei parduotuvei. Mažiausia – 48 eurai, paskirta policijos pareigūnui. Latvijoje atitinkamai viso skirtos 5 baudos: didžiausia – 150 tūkstančių eurų, mažiausia – 6250 eurų.

Peržvelgus šią tarptautinę ir Lietuvos statistiką, gali susidaryt klaidingas įspūdis, neva mūsų priežiūros institucija yra nuolaidžiaujanti. Ši išvada greičiausiai būtų neteisinga. Pirmiausia, BDAR baudų skyrimo ir apskaičiavimo metodika yra suvienodinta visose ES valstybėse narėse. Antra, tokį didelį atotrūkį tarp Baltijos valstybių ir, pavyzdžiui, Airijos, lemia baudas gaunančių įmonių dydis. Mat jos apskaičiuojamos pagal konkrečios įmonės (arba visos grupės) ankstesnių finansinių metų apyvartą. Akivaizdu, kad Lietuvos įmonės pagal savo metines apyvartas, bent kol kas, negali varžytis su tokiomis milžinėmis kaip „Google“, „Amazon“ ar „Meta“. Dėl to Airija, kur šios kompanijos yra įsteigusios savo antrines įmones, bent kol kas yra „pasmerkta“ būti BDAR baudų skyrimo čempione.

Kokie pažeidimai dažniausi?

Nors sakoma, kad iš kaimyno klaidų nesimokoma, visgi, pravartu žinoti, ne tik paskirtų baudų dydžius, bet ir tai, už kokius pažeidimus jos skirtos. Analizuojant viešai prieinamus šaltinius galima daryti išvadą, kad dažniausiai piniginės baudos buvo skiriamos už tokius BDAR pažeidimus:

Skaidrumo principo nesilaikymas (BDAR 5, 13 ir 14 straipsnių pažeidimai). Praktikoje tai reiškia netinkamą duomenų subjektų informavimą. Kai privatumo politikų apskritai nėra arba jose pateikiama klaidinanti ar neišsami informacija apie vykdomą duomenų tvarkymą. Taip pat kai informacija pateikiama pernelyg sudėtinga teisine kalba; kai privatumo politika nėra lengvai pasiekiama arba yra pernelyg ilga ir sudėtinga (t.y. nesilaikoma dviejų žingsnių taisyklės).

Vykdomas neteisėtas duomenų tvarkymas (apibrėžtas BDAR 6 ir 9 straipsniuose). Toks pažeidimas padaromas, kai duomenų valdytojas savo žinioje turi asmens duomenis, tačiau negali pagrįsti jų tvarkymo jokiu teisiniu pagrindu (sutikimu, būtinybe vykdyti teisinę prievolę, viršesniu teisėtu interesu ir pan.). Šis pažeidimas ypač dažnas renkant duomenis slapukų pagalba. Taip pat darbo santykių srityje, kai be reikalo renkami darbuotojų sutikimai; marketingo srityje, kai be tinkamo sutikimo vykdomi „šalti skambučiai“ ar siunčiami naujienlaiškiai; vykdant vaizdo stebėjimą, kai stebima pernelyg plati teritorija ar slapta stebimi darbuotojai.

Saugumo priemonių neužtikrinimas (BDAR 32 straipsnio pažeidimas). Visuotinai sutinkama, jog neįmanoma elektroninėje erdvėje užtikrinti šimtaprocentinio saugumo. Tačiau rizikos lygį atitinkančios saugumo priemonės turi būti taikomos kiekvienoje įmonėje. Praktika, deja, rodo, kad didelė dalis įmonių, nepakankamai investuoja į technologijas, apsaugančias nuo išorės ir vidaus grėsmių. Nepakankamai dėmesio skiriama ir darbuotojų kvalifikacijos kėlimui bei kibernetinės higienos mokymams. Negebama rasti priešnuodžių vadinamosioms „žmogiškoms klaidoms“. Neretai įmonės negeba apsaugoti savo tvarkomų duomenų. O tai lemia incidentų gausą, kurie kaip taisyklė, virsta administracinėmis baudomis.

Pabaigai norėčiau pasidalinti palyginimu iš patirties 2018 metų pradžioje. Tuo metu, kai dar tik artinosi BDAR įsigaliojimas, į šį teisės aktą buvo žiūrima kaip į didelį košmarą. Daug verslų tuomet piktinosi, kad ES valdininkai neteko proto ir tokiomis drakoniškomis baudomis ketina sužlugdyti jų įmones. Praėjus kiek daugiau nei 4 metams ir matant skaičius, peršasi išvada, kad baisusis BDAR nėra jau toks baisus: baudų dydžiai Lietuvoje atrodo adekvatūs, verslai dėl reglamento nesužlugo, sąmoningumo įmonėse atsirado daugiau. O ar to naudą pajuto kiekvienas ES pilietis asmeniškai paliekame spręsti patiems.

2022-12-20