BDAR pažeidimai ir baudos – ar jos yra skiriamos ir kaip jų išvengti?

citybee-bdar-bauda

Iš karto užbėgdama įvykiams už akių atsakysių, kad TAIP. Ir baudos tikrai nevaikiškos, nes per daugiau nei 4 metus, kuomet BDAR – Bendrasis duomenų apsaugos reglamentas įsigaliojo (jau nekalbant, kad ir Reglamento integracijai buvo skirtas padoriai ilgas terminas), atsiranda įmonių, kurios vis dar nesusitvarkė dokumentacijos. Teisinga BDAR dokumentacija yra ypatingai svarbi e-komerciją vykdančioms įmonėms, kadangi vykdant pardavimus, rinkodaros strategijas, naujienlaiškių prenumeratas, padaryti lemtingą klaidą yra labai paprastą.

Bet, šį kartą apie tai, kokie yra vieni įsimintiniausių BDAR baudų skyrimo atvejų.

Prancūzijos duomenų apsaugos institucija (CNIL) kompanijai „Google” skyrė 50 mln. eurų baudą už kelis pažeidimus:

  • skaidrumo ir informavimo įsipareigojimų pažeidimą;
  • reikalavimų turėti teisėtą pagrindą reklamos personalizavimui nevykdymą.

Tyrimo metu CNIL analizavo „Google” kliento naršymo kelią ir dokumentus, prieinamus asmeniui kuriant „Google” paskyrą savo „Android“ mobiliojo telefono konfiguracijos metu.

Tyrimo eigoje paaiškėjo, kad:

  1. Duomenų tvarkymo tikslai, saugojimo laikotarpiai ar reklamos personalizavimui naudojamos asmens duomenų kategorijos bei kita esminė informacija yra pernelyg išmėtyta per kelis dokumentus ir sunkiai atsekama, būtina spustelti mygtukus bei nuorodas, kad gautum papildomą informaciją. Tai reiškia, kad vartotojas, norintis išsamiai susipažinti su šia tvarka, turėjo atlikti 5 ar daugiau veiksmų.
  2. „Android” nustatymai sukurti taip, kad telefono konfiguracijos metu „Google“ realiai verčia naudotoją prisijungti arba prisiregistruoti prie „Google“ paskyros. Bendrovė informuoja, kad kliento patirtis bus blogesnė, jei jis neturės „Google“ paskyros.
  3. „Google” siūlant savo pasirinkimus, nėra paaiškinama jų reikšmė. Tai yra, kai „Google“ klausia vartotojo, ar šis nori individualizuotos reklamos, naudotojui nepaaiškinama, kad kalba eina ne apie „Android“ telefoną, bet apie aibę skirtingų paslaugų, apimančių „Google“ žemėlapius, „YouTube“ ir t. t. 

Spręsdamas dėl baudos dydžio, CNIL vertino „Android” operacijos sistemos naudotojų skaičių Prancūzijoje, pažeidimų tęstinumą, bei „Google” ekonominio modelio pagrindą, kuris iš dalies remiasi būtent reklamos personalizavimu.

PAŽEIDIMAI DĖL SLAPUKŲ 

2020 metų pabaiga nebuvo itin sėkminga technologijų milžinėms „Google“ ir „Amazon“ – Prancūzijos duomenų apsaugos tarnyba jų antrinėms bendrovėms skyrė milijonines baudas. To priežastimi tapo slapukai, kuriuos bendrovės be vartotojų sutikimo įrašydavo į jų kompiuterius ir nepateikdavo apie juos tinkamos informacijos.

Pagrindinės spragos – nepateikiama informacija apie naudojamus konkrečius slapukus ir apie teisę jų atsisakyti, o papildomi slapukai naudojami jau nuo apsilankymo svetainėje momento.

Būtiniesiems slapukams svetainės lankytojo sutikimo nereikia, tačiau kitų slapukų naudojimui jis privalomas. Nebūtinieji slapukai gali būti naudojami tik nuo sutikimo davimo momento, o ne tuo tada, kai lankytojas atsidaro svetainę. Sutikimas dėl slapukų naudojimo negali būti pateikiamas atmestinai ir laisva forma, jis turi atitikti BDAR reikalavimus.

Kiekvienam slapukų naudojimo tikslui sutikimas turi būti gaunamas atskirai, jis privalo būti aiškus, informatyvus, lengvai suprantamas, jame turėtų būti įvardinti duomenų tvarkymo tikslai, pateiktos nuorodos į slapukų politiką bei svetainės naudotojo teisės. Sutikimo formoje turėtų būti aiškiai nurodyta ir tai, kad sutikimas gali būti bet kada atšauktas, be to, naudotojui turi būti sudaryta galimybė paprastai atsisakyti slapukų naudojimo.

BAUDOS NE TIK KOMERCINĖMS ĮMONĖMS – PORTUGALIJA: BAUDA LIGONINEI

Viena pirmųjų baudų Europoje už asmens duomenų apsaugos pažeidimus buvo skirta Portugalijos ligoninei „Centro Hospitalar Barreiro Montijo“ – 2018 m. liepos viduryje ligoninei buvo skirta 400 000 Eur bauda dėl trijų reglamento pažeidimų.

Pasak šalies duomenų apsaugos tarnybos, ligoninėje per daug darbuotojų turėjo prieigą prie pacientų asmens duomenų, nebuvo laikomasi tinkamų techninių ir organizacinių priemonių asmens duomenims apsaugoti.

Tarp ligoninės administracijos sukeltų pažeidimų minimi tokie atvejai, kaip vidinių sistemų vartotojų skaičiaus neatitikimas realybei, pavyzdžiui, sistemoje buvo registruoti 985 vartotojai su žyma „gydytojas“, nors pačioje ligoninėje tuo metu dirbo tik 296 gydytojai. Devyni techniniai darbuotojai turėjo medicinos grupei skirtą prieigos lygį prie pacientų duomenų ir galėjo bet kada peržiūrėti norimų asmenų ligos istorijas.

VOKIETIJA: NUBAUSTA POKALBIŲ SVETAINĖ

2018 m. lapkričio pabaigoje Badeno-Viurtembergo regiono duomenų apsaugos institucija paskelbė apie pirmąjį rimtą BDAR reglamento pažeidimą Vokietijoje. Pokalbių svetainei „Knuddels.de“ buvo skirta 20 000 Eur bauda dėl 32-ojo BDAR straipsnio pažeidimo.

Iki „Facebook“ atsiradimo Vokietijoje itin populiarus buvęs „Knuddels.de“ patyrė masinį duomenų pažeidimą, kurio metu programišiai nutekino beveik 2 mln. vartotojų vardų ir slaptažodžių ir virš 800 000 el. pašto adresų, taip pat kitokio pobūdžio informacijos. Pasisavinti duomenys netrukus atsirado įvairiose dalinimosi svetainėse.

Duomenų pažeidimą tyrę ekspertai tikina, kad „Knuddels.de“ nesilaikė tinkamų saugumo priemonių, kad apsaugotų savo vartotojų informaciją. Kita vertus, pokalbių svetainės administratoriai, pastebėję duomenų nutekėjimą, iškart informavo savo vartotojus ir duomenų apsaugos tarnybą ir ėmėsi IT infrastruktūros stiprinimo. Tai buvo viena iš priežasčių, kodėl organizacijai buvo skirta mažesnė bauda, nei nurodo BDAR reglamentas.

AUSTRIJA: SKANDALAS SU PAŠTU

Pirmoji su BDAR pažeidimu susijusi bauda Austrijoje buvo gana menka – už netinkamą stebėjimo kameros įrengimą prie parduotuvės verslininkui buvo skirta 4 800 Eur bauda. Pasak Austrijos duomenų apsaugos tarnybos, parduotuvės kamera filmavo per daug viešosios erdvės ir nebuvo tinkamai pažymėta, kad teritorija yra stebima.

Vis dėlto įdomesnis atvejis šiuo metu verda dėl Austrijos pašto, kuris, kaip paaiškėjo, politinėms partijoms pardavė virš 2,2 mln. austrų duomenų, tokių kaip jų vardai, namų adresai, amžius ir lytis, kad politikai galėtų organizuoti tikslines kampanijas prieš rinkimus. Austrijos paštas ginasi, kad tokia praktika, kai duomenys parduodami tiesioginės rinkodaros tikslais, yra nuo seno leidžiama šalies įstatymų.

LIETUVOJE TAIP PAT JAU YRA REKORDINĖ BAUDA

Už BDAR pažeidimus „MisterTango“ nubausta 61,5 tūkstančio eurų bauda Valstybinė duomenų apsaugos inspekcija (VDAI) skyrė 61,5 tūkstančio eurų baudą elektroninių pinigų įstaigai „MisterTango“ – bendrovė Lietuvoje tampa viena pirmųjų bendrojo duomenų apsaugos reglamento (BDAR) aukų. „MisterTango“ netinkamai tvarkė duomenis, jų rinko per daug, jie nutekėjo, o apie incidentus nebuvo pranešta. Bauda sudaro 1,5 proc. bendrovės „MisterTango“ apyvartos.

Pirmaujanti, pagal baudos dydį visgi yra UAB ,,Prime Leasing” apie, kurios skandalą su nutekintais City Bee klientų asmens duomenimis tikriausiai girdėjo kiekvienas.

PERTEKLINIAI DARBUOTOJŲ ASMENS DUOMYS KAINAVO IR H&M ĮMONEI

H&M Hennes and Mauritz buvo skirta 35,2 milijonai eurų bauda. Nustatyta, kad bendrovės vadovai grupės paslaugų centre Niurnberge per daug kišosi į savo darbuotojų privatų gyvenimą, rinkdami įvairią informaciją, pradedant gana nereikšmingomis detalėmis ir baigiant informacija apie šeimos problemas ar religinius įsitikinimus.

Be to, skaitmeniniu būdu buvo fiksuojama ir saugoma išsami informacija apie ligos simptomus ir diagnozes. Darbuotojai nebuvo informuoti apie tokį jų asmens duomenų tvarkymą, buvo pažeisti teisėtumo, sąžiningumo bei skaidrumo, tikslo apribojimo ir duomenų kiekio mažinimo principai. Be to, darbdavys neturėjo jokio teisinio pagrindo šiuos asmens duomenis tvarkyti.

ITALIJA IR AGRESYVI RINKODAROS STRATEGIJA

TIM – Telecom provider – 27,8 milijonai eurų. Bauda buvo paskirta už agresyvią tiesioginės rinkodaros strategiją, dėl kurios nukentėjo keli milijonai žmonių. Jie buvo atakuojami reklaminiais skambučiais ir nepageidaujama komunikacija, kai kurie iš jų buvo asmenys, nepageidaujantys tiesioginės rinkodaros pasiūlymų.

TIM ne vienintelė gavusi baudą už tiesioginės rinkodaros pažeidimus. Italijos duomenų apsaugos tarnyba telekomunikacijų bendrovei „Wind“ skyrė 16 729 600 eurų baudą dėl neteisėtos tiesioginės rinkodaros veiklos: „Wind“ siuntė tiesioginės rinkodaros pranešimus, neturėdama asmens duomenų subjektų sutikimų ir nesuteikdama teisės asmenims atsisakyti šių pranešimų, nurodydama netikslius kontaktinius duomenis.

Maža to, reguliavimo institucija taip pat nustatė, kad „Wind“ mobilioji programėlė privertė vartotojus sutikti su tiesiogine rinkodara ir vietovės stebėjimu, o bendrovės verslo partneriai vykdė neteisėtą duomenų rinkimo veiklą.

SKAMBIAI NUGARSĖJĘS „BRITISH AIRWAYS“ ATVEJIS

Oro linijas „British Airways“ valdančiai bendrovei „International Airlines Group“ (IAG) grėsė rekordinė 230 mln. USD bauda dėl kompanijos nesugebėjimo savo tinklalapyje apsaugoti 500 000 vartotojų duomenų.

Visgi buvo paskirta gerokai mažesnė – 21,9 milijonai eurų bauda. Bauda skirta dėl „British Airways“ nesugebėjimo apsaugoti klientų duomenų, kurie buvo pasisavinti per 2018 m. įvykdytą programišių ataką. Informacijos komisaro tarnyba (ICO) teigė, kad „British Airways“ turėjo nustatyti kibernetinio saugumo rizikas ir jas išspręsti, o tai būtų užkirtę kelią programišių atakai. Bauda buvo sumažinta, nes tuo metu dėl koronaviruso pandemijos aviacijos sektorius ir taip patiria itin didelių nuostolių.

SUGADINTA VIEŠBUČIŲ TINKLO REPUTACIJA

Marriot International – 20,45 milijonų eurų. Bauda buvo skirta už patirtą kibernetinę ataką. ICO padarė išvadą, kad „Marriott“ įsigyjant viešbučių grupę „Starwood“ nebuvo atliktas išsamus teisinis patikrinimas ir nebuvo įgyvendintos tinkamos saugumo priemonės.

Incidento metu iš „Starwood Hotels“, kuris priklauso „Marriott International“, duomenų bazės buvo pavogta daugiau nei 300 milijonų rezervacijų duomenų. Manoma, kad duomenys tapo prieinami įsilaužėliams dar 2014 m., pažeidus „Starwood“ viešbučių grupės sistemas, tačiau šis incidentas buvo pastebėtas tik 2018 m. Visą šį laiką įsilaužėliai turėjo neteisėtą prieigą prie „Starwood“ sistemose esančių duomenų (vardai, pašto adresai, telefono numeriai, elektroninio pašto adresai, paso numeriai, gimimo datos ir kiti duomenys).

Nepaisant paskirtos vienos didžiausių baudų, panašu, kad šis viešbučių tinklas nepasimokė: 2020 m. kovo 31 d. „Marriott“ paskelbė dar vieną pranešimą apie incidentą, kurio metu gali būti atskleista maždaug 5,2 milijonų svečių kontaktinė informacija, pvz., vardai, pašto adresai, lojalumo sąskaitų numeriai ir kita asmeninė informacija. Po šių incidentų „Marriott“ ne tik nukentėjo finansiškai, bet patyrė gerokai didesnę žalą – nepataisomai sugadintą viešbučio tinklo reputaciją. 

Tad šį kartą BDAR baudų apžvalga būtų tokia. Tikri pavyzdžiai visuomet yra įdomiau nei teorinė informacija. Na, o išvada liea vien – būkit apdairūs, kaip kas kur ir kaip naudoja asmens duomenis.

Jei trūksta informacijos dirbant su BDAR klausimais, visada geriau išsiaškinti iš ankto, nei mokėti baudas.

Linkėjimai

Greta Užkuraitė

Prisijunkite prie grupės jau šiandien

Neribota narystė, aiškiai pateikta informacija, prieiga prie išmokų skaičiuolės ir atmintinės DOVANŲ!
Registruotis