Valstybinė duomenų apsaugos inspekcija (VDAI) šiandien paskelbė, jog už BDAR pažeidimą yra paskirta 61 000 eurų bauda. Po atlikto tyrimo nustačius, jog buvo pažeisti trys BDAR straipsniai, nubausta UAB „MisterTango“.
VDAI viešame pranešime teigiama, kad UAB „MisterTango“ pažeidė BDAR reikalavimus trimis aspektais: (i) buvo vykdomas perteklinis asmens duomenų tvarkymas, (ii) dėl saugumo spragos buvo paviešinti dalies klientų asmens duomenys ir (iii) įmonė nepranešė apie duomenų saugumo incidentą VDAI.
Skiriant įmonei 61 500 eurų administracinę baudą taip pat atsižvelgta ir į įmonės metinę pasaulinę apyvartą. Šis Inspekcijos sprendimas yra neįsiteisėjęs ir gali būti skundžiamas teismui.
Įdomu yra tai, kad pažeidimai nustatyti šioje įmonėje yra dažniausiai tokie patys, kaip ir kitais atvejais, kai inspekcija tikrina atitiktį BDAR. Didelės dalies atliekamų VDAI tyrimų metu nustatoma, kad yra tvarkomi pertekliniai asmens duomenys, t. y. renkama daugiau duomenų negu reikia nustatytam tikslui pasiekti.
Be to, asmens duomenys tvarkomi per ilgai, kartais netgi neribotą laikotarpį. UAB „MisterTango“ atveju taip pat buvo konstatuota, kad duomenys saugomi ilgiau negu jų reikia ir ilgiau, negu deklaruojama pačios įmonės privatumo taisyklėse.
„Tyrimo metu nustatyta, kad ne mažiau kaip 2 dienas (2018 m. liepos 9–10 d.) internete buvo prieinamas tinklalapis su UAB „MisterTango“ apdorotų mokėjimų sąrašu. Jame buvo matomi įvairių bankų įstaigų klientų atlikti mokėjimai per UAB „MisterTango“ mokėjimo iniciavimo paslaugų sistemą su tų klientų asmens duomenimis.
Taip pat daugiau kaip 9 000 MEV su 12 skirtingų bankų, esančių skirtingose valstybėse, klientų mokėjimo sesijų detalių puslapiais.“
Nededant pakankamai pastangų ir lėšų saugumui šioje erdvėje užtikrinti, duomenų saugos incidentų tik daugės. Tačiau dažnu atveju, atliekant IT saugumo patikrinimus, nustatoma, kad elektroninės erdvės keliami iššūkiai yra nepakankamai įvertinami ir duomenys nėra saugūs, todėl tai yra tik laiko ir sėkmės klausimas, ar įmonės IT sistema atlaikys išorines kibernetines grėsmes.
Ką dar atskleidžia šis VDAI sprendimas ir baudos dydis yra tai, kad VDAI BDAR nuostatas yra linkusi aiškinti gana griežtai. Pavyzdžiui, VDAI nuomone duomenų saugos pažeidimas, kai 2 dienas internete neautorizuotiems asmenims buvo sudaryta galimybė prieiti prie asmens duomenų, laikytinas tokiu duomenų saugumo pažeidimu, apie kurį privaloma pranešti priežiūros institucijai.
UAB „MisterTango“ to nepadarius, konstatuotas BDAR 33 straipsnio pažeidimas. Vargu ar daugelis duomenų saugos specialistų būtų taip „siaurai“ interpretavę šią nuostatą ir, panašu, kad pati įmonė taip pat nesutinka su šiuo sprendimu ir ginčys jį teisme.
Tačiau esminė nuostata, kurią turėtų išgirsti įmonių vadovai iš VDAI viešojo pranešimo apie baudos skyrimą yra visai ne baudos dydis, o tai, jog ši bauda turėtų būti reikšmingas signalas ir kitoms įmonėms, tik deklaratyviai įgyvendinančioms šio teisės akto nuostatas.
Kosmetinis arba deklaratyvus asmens duomenų tvarkymas yra pagrindinė daugelio įmonių, kurios pernai pavasarį suskubo rengtis BDAR įgyvendinimui, problema. Nepakanka turėti privatumo politiką ar kitą panašų dokumentą ir net nežinoti, kas jame parašyta. Šią VDAI išsakytą mintį reikėtų vertinti labai rimtai, ji rodo, kad institucijos žiūri į realiai vykdomą, o ne privatumo politikose gražiai ir protingai aprašytą duomenų tvarkymą.
Apibendrinant pirmųjų BDAR metų „rezultatus“, galima pasakyti, kad šiuo metu tai yra didžiausia bauda Baltijos valstybėse, paskirta už BDAR pažeidimą. Palyginimui Latvijoje didžiausias iki šiol baudos dydis tesiekė 2000 eurų. Paskirta 61500 eurų bauda yra tikrai didelis šuolis asmens duomenų tvarkymo pažeidimų atveju.
Priminsime, kad prieš keletą metų plačiai nuskambėjęs UAB „Grožio chirurgija“ aplaidumas tvarkant asmens duomenis buvo „įvertintas“ 750 eurų bauda (pastaba: tuo metu galiojęs įstatymas numatė, jog maksimali bauda gali būti 1150 eurų).