Valstybinės duomenų apsaugos inspekcijos asmens duomenų apsaugos priežiūros Lietuvoje apžvalgoje pateikiama informacija, kad per pastaruosius 3 metus inspekcijos gaunamų skundų skaičius auga: 2017 m. buvo gauta 480 skundų, 2018 m. – 859, 2019 m. – 880. 2020 m. statistika dar nėra pateikiama, tačiau Europos Sąjungos (ES) mastu apytikslė visų šiais metais iki šiol paskirtų BDAR baudų suma yra šiek tiek didesnė nei 220 milijonų eurų, o tai nėra stulbinantis skaičius.
Didžiausių 2020 m. baudų už BDAR pažeidimus TOP 5 ES mastu
Pirma vieta: Google Inc – 50 milijonų eurų. Bauda skirta dėl skaidrumo trūkumo, neadekvataus informacijos pateikimo ir tinkamo sutikimo dėl reklamų personalizavimo stokos. „Google“ nepakankamai gerai informavo vartotojus apie tai, kaip kompanija renka duomenis, naudojamus reklamų personalizavimui. Tyrimo, pradėto dar pernai, metu nustatyta, kad informacija apie asmens duomenų tvarkymą „Google“ vartotojams nėra lengvai prieinama – ji „išmėtyta“ keliuose dokumentuose. Tai reiškia, kad vartotojas, norintis išsamiai susipažinti su šia tvarka, turėjo atlikti 5 ar daugiau veiksmų.
Be to, „Google“ vartotojams nurodomi duomenų tvarkymo tikslai buvo neaiškūs, apibendrinti pernelyg abstrakčiai ir suformuluoti taip, jog vartotojas gali suprasti, kad jo duomenys reklamos personalizavimo tikslais tvarkomi ne jo sutikimo pagrindu, o „Google“ teisėto intereso pagrindu. Vartotojui nebuvo sudaroma galimybė savarankiškai pasirinkti, ar jis sutinka su reklamų personalizavimu.
Antra vieta: H&M Hennes and Mauritz – 35,2 milijonai eurų. Nustatyta, kad bendrovės vadovai grupės paslaugų centre Niurnberge per daug kišosi į savo darbuotojų privatų gyvenimą, rinkdami įvairią informaciją, pradedant gana nereikšmingomis detalėmis ir baigiant informacija apie šeimos problemas ar religinius įsitikinimus. Be to, skaitmeniniu būdu buvo fiksuojama ir saugoma išsami informacija apie ligos simptomus ir diagnozes. Darbuotojai nebuvo informuoti apie tokį jų asmens duomenų tvarkymą, buvo pažeisti teisėtumo, sąžiningumo bei skaidrumo, tikslo apribojimo ir duomenų kiekio mažinimo principai. Be to, darbdavys neturėjo jokio teisinio pagrindo šiuos asmens duomenis tvarkyti.
Trečia vieta: TIM – Telecom provider – 27,8 milijonai eurų. Bauda buvo paskirta už agresyvią tiesioginės rinkodaros strategiją, dėl kurios nukentėjo keli milijonai žmonių. Jie buvo atakuojami reklaminiais skambučiais ir nepageidaujama komunikacija, kai kurie iš jų buvo asmenys, nepageidaujantys tiesioginės rinkodaros pasiūlymų.
TIM ne vienintelė gavusi baudą už tiesioginės rinkodaros pažeidimus. Italijos duomenų apsaugos tarnyba telekomunikacijų bendrovei „Wind“ skyrė 16 729 600 eurų baudą dėl neteisėtos tiesioginės rinkodaros veiklos: „Wind“ siuntė tiesioginės rinkodaros pranešimus, neturėdama asmens duomenų subjektų sutikimų ir nesuteikdama teisės asmenims atsisakyti šių pranešimų, nurodydama netikslius kontaktinius duomenis. Maža to, reguliavimo institucija taip pat nustatė, kad „Wind“ mobilioji programėlė privertė vartotojus sutikti su tiesiogine rinkodara ir vietovės stebėjimu, o bendrovės verslo partneriai vykdė neteisėtą duomenų rinkimo veiklą.
Kita Italijos duomenų apsaugos priežiūros tarnybos 12 250 000 eurų bauda buvo paskirta „Vodafone“ už neteisėtą milijonų vartotojų asmens duomenų tvarkymą tiesioginės rinkodaros tikslais. Priežiūros institucija gavo šimtus vartotojų skundų dėl nepageidaujamų „Vodafone“ ir (ar) bendrovės prekybos tinklo skambučių, kuomet buvo reklamuojamos telefono ir interneto ryšio paslaugas. Tai nebe pirmoji „Vodafone“ bauda šiais metais už tiesioginės rinkodaros pažeidimus: Ispanijos priežiūros institucija skyrė jai 75 tūkst. eurų baudą.
Taip pat už neteisėtą tiesioginės rinkodaros pranešimų siuntimą viešais duomenimis baudas skyrė ir Lenkijos priežiūros institucija (Vis Consulting Sp. z o.o – 20 tūkst. zlotų), Suomijos priežiūros institucija (Acc Consulting Varsinais-Suomi (Independent Consulting Oy) – 7 000 eurų), Ispanijos priežiūros institucija (nežinomas subjektas – 1 200 eurų)
Neapsieita ir be žmogiškosios klaidos. Belgijos priežiūros institucija skyrė 10 tūkst. eurų baudą duomenų valdytojui (tapatybė neatskleidžiama) dėl tiesioginės rinkodaros pranešimo siuntimo ne tam asmeniui, turinčiam tokį patį vardą ir el. pašto adresą (darbuotojo netyčinė klaida). Tai tik dar kartą įrodo, kaip svarbu yra investuoti į personalo mokymą asmens duomenų apsaugos srityje.
Ketvirta vieta: British Airways – 21,9 milijonai eurų. Bauda skirta dėl „British Airways“ nesugebėjimo apsaugoti klientų duomenų, kurie buvo pasisavinti per 2018 m. įvykdytą programišių ataką. Informacijos komisaro tarnyba (ICO) teigė, kad „British Airways“ turėjo nustatyti kibernetinio saugumo rizikas ir jas išspręsti, o tai būtų užkirtę kelią programišių atakai. Pernai ICO siūlė skirti „British Airways“ 183,4 milijonų svarų baudą, tačiau ji buvo gerokai sumažinta, nes šiuo metu dėl koronaviruso pandemijos aviacijos sektorius ir taip patiria itin didelių nuostolių. Belieka laukti, ar šiuo pavyzdžiu paseks kitos duomenų apsaugos institucijos.
Penkta vieta: Marriot International – 20,45 milijonų eurų. Bauda buvo skirta už patirtą kibernetinę ataką. ICO padarė išvadą, kad „Marriott“ įsigyjant viešbučių grupę „Starwood“ nebuvo atliktas išsamus teisinis patikrinimas ir nebuvo įgyvendintos tinkamos saugumo priemonės. Incidento metu iš „Starwood Hotels“, kuris priklauso „Marriott International“, duomenų bazės buvo pavogta daugiau nei 300 milijonų rezervacijų duomenų. Manoma, kad duomenys tapo prieinami įsilaužėliams dar 2014 m., pažeidus „Starwood“ viešbučių grupės sistemas, tačiau šis incidentas buvo pastebėtas tik 2018 m. Visą šį laiką įsilaužėliai turėjo neteisėtą prieigą prie „Starwood“ sistemose esančių duomenų (vardai, pašto adresai, telefono numeriai, elektroninio pašto adresai, paso numeriai, gimimo datos ir kiti duomenys).
Tyrimo metu ICO nustatė, kad „Marriott“ neatliko tinkamo patikrinimo (angl. due dilligence), kai įsigijo „Starwood“, ir taip pat nedėjo pakankamų pastangų, kad užtikrintų savo sistemų, kuriose tvarkomi asmens duomenys, saugumą. „Marriott“ įsigijo „Starwood“ viešbučių tinklą po įsilaužimo, t. y. 2015 m. (sandorio užbaigimas įvyko 2016 m.), tačiau perkant tinklą tai nebuvo identifikuota.
Tačiau tai dar ne viskas: pagal viešai skelbiamą informaciją patys viešbučio svečiai, kurių asmens duomenys buvo pavogti kibernetinės atakos metu, rengėsi pateikti ar jau pateikė grupinį ieškinį „Marriott International“ dėl žalos atlyginimo. Ieškinys bus teikiamas nuo visų svečių, kurie buvo apsistoję viename iš paveiktų viešbučių iki 2018 m. rugsėjo 10 d. Taigi reikėtų nepamiršti, kad verslas, pažeidęs BDAR reikalavimus, gali tikėtis ne tik Valstybinės duomenų apsaugos inspekcijos paskirtų poveikio priemonių, bet gali sulaukti duomenų subjektų ieškinių dėl žalos atlyginimo.
Nepaisant paskirtos vienos didžiausių baudų, panašu, kad šis viešbučių tinklas nepasimokė: 2020 m. kovo 31 d. „Marriott“ paskelbė dar vieną pranešimą apie incidentą, kurio metu gali būti atskleista maždaug 5,2 milijonų svečių kontaktinė informacija, pvz., vardai, pašto adresai, lojalumo sąskaitų numeriai ir kita asmeninė informacija. Šiuo metu vyksta tyrimas, detalesnė informacija paaiškės šiek tiek vėliau. Po šių incidentų „Marriott“ ne tik nukentėjo finansiškai, bet patyrė gerokai didesnę žalą – nepataisomai sugadintą viešbučio tinklo reputaciją.
Kurios ES valstybės paskyrė daugiausia baudų?
Absoliuti lyderė pagal skiriamų baudų skaičių – Ispanijos asmens duomenų priežiūros institucija. Paskutiniais duomenimis, Ispanijoje yra paskirtos 109 baudos. Didžiausių baudų sulaukė didieji mobiliojo ryšio tinklo operatoriai (Vodafone España, S.A.U., Orange Espagne S.A.U., Telefonica Moviles Espana, S.A.U., Xfera Moviles S.A., Lycamobile). Baudų dydis svyravo nuo 60 tūkst. iki 120 tūkst. eurų. Dažniausi pažeidimai buvo susiję su BDAR 5 ir 6 straipsnio reikalavimų nesilaikymu, t. y. bendrųjų principų pažeidimai ir (ar) asmens duomenų tvarkymas neturint teisinio pagrindo.
Kitos ES šalys baudė gerokai mažiau: Italija – 28, Rumunija – 20, Vengrija – 10, Norvegija – 9, Lenkija – 7, Danija – 6 baudos, Suomija – 5 baudos.
Ar Lietuvoje buvo paskirta baudų?
Lietuvoje buvo paskirta 15 tūkst. eurų bauda Vilniaus miesto savivaldybės administracijai už netinkamai tvarkomus įvaikinto vaiko tėvų asmens duomenis. Pagal Valstybinės duomenų apsaugos inspekcijos pateiktą informaciją pareiškėjas, pildydamas prašymą dėl įvaikinto vaiko ugdymo savivaldybės administracijos Centralizuotoje prašymų pateikimo ir gyventojų informacinėje sistemoje (IS), nurodė savo duomenis. IS duomenims automatiškai atsinaujinus pareiškėjo kontaktiniai asmens duomenys buvo pakeisti į Lietuvos Respublikos gyventojų registre esančius vieno iš vaiko biologinių tėvų kontaktinius duomenis. Taip buvo pažeisti asmens duomenų tikslumo ir vientisumo bei konfidencialumo principai.
Tai antroji pagal dydį Lietuvoje paskirta bauda (UAB „MisterTango“ 2019 m. buvo nubausta 61,5 tūkst. eurų).
Ar Lietuva paseks didžiųjų ES valstybių praktika ir bus skiriamos maksimalios baudos už BDAR pažeidimus?
Vienareikšmiškai į šį klausimą atsakyti negalime, kaip ir pasakyti, kokios baudos galime tikėtis už konkretų asmens duomenų apsaugos pažeidimą. Baudos dydis kiekvienu atveju yra nustatomas individualiai, įvertinus BDAR baudų skyrimo kriterijus. ES mastu už panašaus pobūdžio pažeidimus, kurie buvo nustatyti Lietuvoje, yra skiriamos ir ženkliai didesnės, ir ženkliai mažesnės baudos.
Mano vertinimu, tik pradėjus skirti griežtas baudas, organizacijos pradės dėti maksimalias pastangas, siekdamos užtikrinti tvarkomų asmens duomenų apsaugą. Priešingu atveju, investicijos į organizacijos atitiktį saugumo reikalavimams taip ir liks tolimos ateities perspektyva arba šabloninių dokumentų adaptavimu, neturint tam ekspertinių žinių. Žinoma, Valstybinė duomenų apsaugos inspekcija yra kiek kitokios nuomonės, sakydama, kad jos tikslas – ne bausti organizacijas, bet užtikrinti žmonių, kaip duomenų subjektų, teisių apsaugą.