Kaip rašo „Forbes“, Europos Sąjungos (ES) valstybių narių asmens duomenų reguliavimo priežiūros institucijos 2022 m. organizacijoms skyrė rekordines baudas (2,92 mlrd. eurų) už Bendrojo duomenų apsaugos reglamento (BDAR) nesilaikymą. Tai net 168 proc. daugiau nei 2021-aisiais.
BDAR buvo priimtas 2016 m., tačiau ES įsigaliojo po dvejų metų, tokiu būdu suteikiant galimybę verslo subjektams tam pasiruošti. Deja, tai padėjo ne visiems. Nemaža dalis verslų ėmė galvoti apie dokumentus, kurių reikia BDAR įgyvendinimui, likus tik keliems mėnesiams iki BDAR įsigaliojimo. 2018 m. tarptautinės rinkos tyrimų organizacijos „International Data Corporation” atliktas tarptautinis tyrimas parodė, kad 55 proc. smulkaus ir vidutinio verslo organizacijų neturėjo plano, kaip, artėjant BDAR įsigaliojimui, jį įgyvendins. Galima manyti, kad Lietuvoje situacija buvo panaši. Todėl, norėdami turėti reikiamus dokumentus, verslo subjektai pirko rinkoje siūlytus asmens duomenų tvarkymui skirtus dokumentus, kurie didžiąja dalimi buvo šabloniški. Žinoma, tokią situaciją diktavo ir tai, kad 2018 m. dar buvo mažai priimta gairių ir išaiškinimų dėl BDAR taikymo.
BDAR taikymo klaidų įmanoma išvengti
BDAR buvo priimtas siekiant įtvirtinti vienodą ES piliečių asmens duomenų apsaugą visoje ES ir keisti verslo subjektų požiūrį į asmens duomenų tvarkymą. BDAR įpareigoja apsaugoti verslo subjektų darbuotojų (ir jų šeimos narių), akcininkų, valdybos narių ir kitų bendrovės organų, klientų bei kontrahentų asmens duomenis.
Patirtis rodo, kad vis dar yra verslų, kurie šiai dienai neturi arba neatnaujino dokumentų, susijusių su asmens duomenų tvarkymu, atsižvelgiant į naujus BDAR išaiškinimus ir verslo vykdomos veiklos aspektus. O tai yra didelė problema. Svarbu žinoti, kad dokumentai, skirti asmens duomenų tvarkymui, turi būti rengiami individualiai, juos pritaikant verslo subjekto konkrečiai veiklai. Valstybinė asmens duomenų apsaugos inspekcija (VDAI) atlieka kasmetinius patikrinimus, kurių metu yra siekiama įvertinti, ar verslo subjektai tinkamai tvarko asmens duomenis. Kai kurios bendrovės VDAI tikrinimų plane figūruoja ne pirmą kartą. Tai rodo, kad šie tikrinimai nėra tik formalumas – VDAI atlieka stebėseną, kaip yra šalinami nustatyti pažeidimai. 2019 m. VDAI skyrė 6 baudas, o štai 2022 m. – jau 26 už asmens duomenų tvarkymo pažeidimus. Taigi, verslas, net ir praėjus keletui metų po BDAR įsigaliojimo, neišvengia klaidų, susijusių su asmens duomenų tvarkymu.
Suklysti galima net ir elementariose gyvenimiškose situacijose. Kaip manote, ar galima bendrovės darbuotoją sveikinti su gimtadieniu? Rinkti informaciją apie darbuotojo šeiminę padėtį, vaikus? Darbuotojo pasveikinimas gimtadienio proga ar jo vaikų – su Šv. Kalėdomis gali atrodyti kaip gražus darbdavio gestas, tačiau tokios geros intencijos su BDAR reikalavimais gali būti suderinamos tik vienu atveju – jeigu yra gaunamas asmens (darbuotojo) sutikimas. Iš kitos pusės, jeigu asmens duomenys apie darbuotojo šeiminę padėtį, vaikus yra renkami tam, kad darbuotojas galėtų pasinaudoti socialinėmis garantijomis, sutikimas tokių asmens duomenų tvarkymui jau nėra reikalingas. Labai svarbu identifikuoti, kokių asmenų, kokie duomenys ir kokiu tikslu yra renkami, nes BDAR tam tikrų kategorijų asmens duomenis leidžia rinkti tik esant tam tikroms išimtinėms aplinkybėms ir visais atvejais yra draudžiamas perteklinių asmens duomenų tvarkymas. Vertinant asmens duomenų tvarkymo procesus, visuomet turi būti peržiūrimi asmens duomenų tvarkymo tikslai, esant poreikiui, pvz., atsiradus pasikeitimams bendrovės veikloje (pradedamos naudoti naujos rinkodaros priemonės, sudaroma valdyba, vykdoma el. prekyba ir kt.), – atnaujinami, taipogi peržiūrima tvarkomų asmens duomenų apimtis.
Išvengti BDAR taikymo klaidų galima, jeigu yra skiriama dėmesio šiai sričiai. Pakanka periodiškai atlikti asmens duomenų tvarkymą reglamentuojančių dokumentų auditą, mokyti darbuotojus asmens duomenų tvarkymo klausimais ir kt. Šios priemonės dažnai yra pamirštamos, ypač teisinis auditas. Teisinio audito metu yra įvertinama verslo subjekto dokumentų, skirtų asmens duomenų tvarkymui, atitiktis teisiniam reguliavimui, pateikiamos išvados apie nustatytus trūkumus, rizikas bei pasiūlymai, kaip juos ištaisyti.
Asmens duomenų tvarkymą reguliuojantys bendrovės dokumentai turi būti peržiūrimi periodiškai. Tai turėtų daryti duomenų apsaugos pareigūnas, kurio paskirtis – padėti bendrovei asmens duomenų tvarkymo klausimais. Kiekvienas verslo subjektas privalo įvertinti poreikį turėti tokį asmenį, kadangi BDAR numato atvejus, kada duomenų apsaugos pareigūnas bendrovėje yra būtinas. Jeigu toks asmuo nėra paskirtas, šias funkcijas gali atlikti išorės paslaugos teikėjai. Tokias paslaugas teikiančius asmenis galima pasitelkti net ir tais atvejais, kuomet bendrovė turi duomenų apsaugos pareigūną.
Netinkamo asmens duomenų tvarkymo pasekmės
Vis dar sutinkama nuomonė, kad VDAI atliekami patikrinimai nesukels verslui didesnių neigiamų pasekmių, nes bus apsiribota įspėjimo arba simboliškos baudos paskyrimu. Tokia nuomonė yra klaidinga.
Pagal BDAR, bauda už jo pažeidimą gali siekti iki 2–4 proc. ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, arba iki 10 mln. – 20 mln. Eur. Turime pavyzdžių, kuomet dėl to finansiškai nukentėjo Lietuvoje veikiančios bendrovės. 2021 m. „Prime Leasing“, valdančiai „CityBee“ platformą, už asmens duomenų saugumo pažeidimus buvo skirta 110 tūkst. eurų bauda. Tais pačiais metais sporto klubui UAB „VS FITNESS“ skirta 20 tūkst. eurų bauda už neteisėtą biometrinių asmens duomenų tvarkymą. Didžiausios baudos, kurios buvo skirtos ES mastu, yra milijoninės: „Amazon Europe“ skirta 746 mln. eurų bauda, „Meta Platforms Ireland Limited”, valdančiai socialinį tinklą „Facebook“, – 265 mln. eurų, „WhatsApp Ireland“ – 225 mln. eurų.
Netinkamas asmens duomenų tvarkymas gali užtraukti ne tik baudą. Retas žino, kad BDAR numato galimybę fiziniam asmeniui, kurio asmens duomenys buvo tvarkomi pažeidžiant teisės aktus, kreiptis dėl turtinės ir neturtinės žalos atlyginimo. Nuo atsakomybės verslo subjektas gali būti atleistas tik tuo atveju, jeigu įrodo, kad jis nėra atsakingas už įvykį, dėl kurio patirta žala. Lietuvoje jau buvo atvejų, kuomet tokio pobūdžio ginčai pasiekė teismus.
Tad, BDAR pažeidimas, baudos skyrimas ir žalos priteisimas galėtų pakenkti verslo subjekto reputacijai bei sukelti nemokumą.
(c) „Lawcorpus|Venslauskas“ teisininkė Ingrida Varanavičė
Dėl konsultacijų BDAR taikymo klausimais susisiekite i.varanavice@lawcorpus.lt , www.lawcorpus.lt .
Publikuota VZ.LT