Bendrasis duomenų apsaugos reglamentas (BDAR) suteikia galimybę duomenų valdytojams skirti reikšmingas baudas. Nuo BDAR įsigaliojimo praėjo kiek daugiau nei dveji metai ir baudų dydžio nustatymo praktika dar nėra gausi. Nepaisant to, ir iš negausios praktikos matyti, kad baudos nebus simbolinės.

Baudos ir jų dydžio nustatymo besiformuojanti praktika

2019 m. Valstybinė duomenų apsaugos inspekcija (VDAI) paskyrė reikšmingą 61 500 EUR baudą UAB „MisterTango“ už BDAR reikalavimų pažeidimą netinkamai tvarkant asmens duomenis momentiniuose ekrano vaizduose (MEV), paviešinant asmens duomenis ir nepateikiant pranešimo apie asmens duomenų saugumo pažeidimą asmens duomenų apsaugos priežiūros institucijai, taip pat kitus asmens duomenų tvarkymo pažeidimus.

Šiomis dienomis Vilniaus miesto savivaldybės administracijai VDAI paskyrė 15 000 EUR dydžio baudą, kurią savivaldybės administracija dar gali apskųsti administraciniam teismui. Bauda skirta už netinkamai tvarkomus įvaikinto vaiko tėvų asmens duomenis.

VDAI nurodo, kad individualizavo Vilniaus miesto savivaldybės administracijai skiriamą baudą pagal keletą reikšmingų aplinkybių: (i) pažeidimas nėra atsitiktinis atvejis ir būtų nutikęs bet kuriam asmeniui tokiomis pačiomis aplinkybėmis dėl savivaldybės administracijos netinkamai taikomų techninių ir organizacinių priemonių tvarkant asmens duomenis; (ii) buvo atskleisti jautrūs duomenys; (iii) pažeidimas buvo padarytas dėl aplaidumo; (iv) pažeidimas buvo padarytas pakartotinai (pirmą kartą skirtas papeikimas).

Duomenų tikslumas, vientisumas ir konfidencialumas – itin svarbūs principai

VDAI skelbia, kad Vilniaus miesto savivaldybės administracija neįgyvendino tinkamų techninių ir organizacinių priemonių, taip pat neužtikrino tvarkomų asmens duomenų tikslumo tvarkant įvaikinto vaiko tėvų asmens duomenis.

BDAR įtvirtina du aktualius principus – tikslumo bei vientisumo ir konfidencialumo. BDAR įpareigoja užtikrinti, kad turimi asmens duomenys būtų tikslūs ir prireikus atnaujinami. Taip pat turi būti imamasi priemonių užtikrinti, kad asmens duomenys, kurie nėra tikslūs, atsižvelgiant į jų tvarkymo tikslus, būtų nedelsiant ištrinami arba ištaisomi. Nemažiau svarbi ir pareiga asmens duomenis tvarkyti tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo.

Planuojami patikrinimai

Nors VDAI gali atlikti bet kurio duomenų valdytojo patikrinimą, tačiau tam tikrų sektorių atstovai turėtų atkreipti dėmesį į VDAI patvirtintą 2020 metų prevencinių patikrinimo planą, kuris paskutinį kartą buvo peržiūrėtas ir pakeistas dar šį mėnesį. Pagrindiniai tikrinami asmenys – vaikų priežiūros įstaigos, valstybės institucijos ir internetinės parduotuvės.

Marger partneris Ramūnas Kontrauskas