Kaip jau daugeliui yra žinoma, bendrasis duomenų apsaugos reglamentas (BDAR) Lietuvoje buvo pradėtas tiesiogiai taikyti nuo 2018 m. gegužės 25 d. Vadinasi, šiandien minėto reglamento taikymo aktualumas jau žymi trečiuosius metus. Atsižvelgiant į vis stiprėjantį BDAR vaidmenį ir atitinkamai nepalankias jo pažeidimų pasekmes, yra ganėtinai aktualu atkreipti dėmesį į Europos Sąjungos (ES) valstybių narių priežiūros institucijų 2021 m. iki šiol nustatytus tam tikrus BDAR pažeidimų atvejus, už kuriuos buvo skirtos didžiausios baudos.
2021 m. baudų už BDAR pažeidimus TOP 4 ES mastu
Pirmoji vieta: Liuksemburgo nacionalinė duomenų apsaugos komisija liepos mėnesį skyrė 746 milijonų eurų baudą internetinės prekybos ir technologijų milžinei Amazon Europe. Bendrovei bauda buvo paskirta sureaguojant į 2018 m. Prancūzijos privatumo teisių grupės „La Quadrature du Net“ pateiktą skundą pastarajai atstovaujant daugiau nei 10 tūkstančių vartotojų dėl BDAR reikalavimų pažeidimo, būtent vartotojų duomenų tikslinės reklamos tikslais rinkimo nesant pastarųjų sutikimo.
Antroji vieta: Airijos duomenų apsaugos komisija rugsėjo mėnesį skyrė 225 milijonų eurų baudą Facebook įkurtai bendrovei Whatsapp. Pastarosios baudos paskyrimas yra susijęs su 2018 m. pradėtu tyrimu dėl Whatsapp atitikmens skaidrumo reikalavimams, kurio metu buvo nagrinėjami tokie aspektai kaip informacijos dėl naudotojų tvarkomų duomenų pateikimo pakankamumas bei Whatsapp privatumo politikos atitikimas BDAR reikalavimams. Komisija priėjo išvados, jog naudotojams nebuvo suteikta pakankamai informacijos apie jų duomenų tvarkymą, dėl ko buvo pažeistas BDAR įtvirtintas skaidrumo principas.
Trečioji vieta: Žemosios Saksonijos duomenų apsaugos institucija sausio mėnesį skyrė 10,4 milijonų eurų baudą elektroninės komercijos platformai Notebooksbilliger.de, kuri neteisėtai, t. y. neturėdama jokio teisėto pagrindo, vykdė savo darbuotojų vaizdo stebėjimą, kurio metu darbuotojai buvo stebimi savo darbo vietose, prekybos vietose bei bendro naudojimo patalpose. Notebookbilliger.de minėtą veikimą siekė pateisinti teigdama, jog toks stebėjimas buvo būtinas siekiant užkirsti kelią nusikalstamoms veikloms. Nepaisant to, institucija argumentavo, jog tokiu atveju bendrovė turėjo pasirinkti švelnesnę priemonę, tokią kaip, pavyzdžiui, darbuotojų asmeninių krepšių tikrinimą pasibaigus darbo dienai. Vėlgi institucija pažymėjo, jog vaizdo stebėjimas norint išsiaiškinti nusikalstamą veiką yra teisėtas tik tuomet, kuomet kyla pagrįstas įtarimas dėl konkretaus asmens galimai atliktos nusikalstamos veikos bei kuomet toks stebėjimas yra ribotas laiko trukme. Šiuo atveju Notebookbilliger.de vykdė visų be išimties darbuotojų vaizdo stebėjimą, kuris nebuvo ribojamas nustatytu terminu.
Ketvirtoji vieta: Ispanijos duomenų apsaugos institucija kovo mėnesį skyrė 18,5 milijonų eurų baudą vienam žinomiausių telekomunikacijos atstovų Vodafone España. Atlikus tyrimą, institucija nustatė, jog bendrovė pažeidė BDAR reikalavimus vykdydama tiesioginę rinkodarą, nes drauge su savo verslo partneriais susisiekinėjo su klientais elektroniniu paštu, telefonu bei SMS žinutėmis, nors pastarieji buvo atsisakę gauti tiesioginės rinkodaros pranešimus.
Nepaisant minėto pažeidimo sąsajoje su tiesioginės rinkodaros vykdymu, Vodafone España taip pat pažeidė asmens duomenų perdavimo už Europos ekonominės erdvės (EEE) ribų taisykles. Bendrovė sutarties pagrindu, kurioje nebuvo įtvirtintos pagal BDAR reikalavimus privalomos nuostatos dėl asmens duomenų teikimo trečiosioms šalims ir (ar) tarptautinėms organizacijoms, teikė savo klientų asmens duomenis telekomunikacijų tiekėjui, veikiančiam už EEE ribų (Peru).
Lietuvoje paskirtos baudos
Šių metų birželio mėnesį, VDAI, atlikusi tyrimą dėl biometrinių asmens duomenų tvarkymo sporto klube UAB VS FITNESS,pastarajai bendrovei paskyrė 20 tūkstančių eurų, baudą už BDAR nuostatų pažeidimus, būtent už biometrinių duomenų tvarkymą neturint savanoriško duomenų subjekto sutikimo, kitų galiojančiam sutikimui keliamų reikalavimų neužtikrinimą bei duomenų subjektų teisės būti informuotiems apie jų duomenų tvarkymą netinkamą įgyvendinimą. Nepaisant minėtų pažeidimų, VDAI taip pat nustatė, jog UAB VS FITNESS nebuvo atlikusi poveikio duomenų apsaugai vertinimo dėl biometrinių duomenų tvarkymo bei nepaisė prievolės dėl veiklos įrašų tvarkymo.
Apibendrinant aukščiau pateiktus BDAR pažeidimų atvejus bei už juos verslo subjektų atžvilgiu pritaikytas „subtilaus“ dydžio baudas, manytina, jog verslo sektoriui reikėtų vis labiau pasitempti atkreipiant dėmesį į minėtų pažeidimų pasekmes bei atitinkamai siekiant savo visiškos atitikties BDAR reikalavimų užtikrinimui vykdant tam tikrą komercinę veiklą.
Šis teisininko komentaras laikytinas bendro pobūdžio konsultacija. Siekiant individualios teisinės konsultacijos konkrečiu atveju turėtumėte kreiptis į advokatų profesinę bendriją „NEWTON LAW“ el. paštu info@newtonlaw.lt arba tel. +370 668 33866
