AKTUALIAUSIOS BDAR TAIKYMO TENDENCIJOS

Monika Misiūnienė

Forrester Research – analitinė kompanija, kuri analizuoja visame pasaulyje didžiausią įtampą keliančias verslo, marketingo ir technologijų temas, 2020 m. sausio mėnesio pabaigoje paskelbė aktualiausias Bendrojo duomenų apsaugos reglamento (toliau – BDAR) taikymo tendencijas:

  • Baudos už duomenų apsaugos pažeidimus nėra labai didelės, tačiau ES valstybių narių priežiūros institucijos vis daugiau pagreičio įgauna taikydamos BDAR numatytas sankcijas, t.y. vis dažniau taikomos baudos pažeidėjams;
  • Valstybės narių priežiūros institucijos nuo BDAR įsigaliojimo iki šių metų sausio mėnesio pabaigos jau paskyrė 190 baudų. Ispanijoje priimti 43 sprendimai dėl baudos skyrimo, ši ES valstybė narė pasirodė kaip aktyviausia BDAR taikytoja, kurią seka Rumunija (21 sprendimas) ir Vokietija (18 sprendimų). Surenkamų baudų sumos yra tikrai nemažos: Jungtinė Karalystė paskyrė didžiausią visų baudų sumą – 315 milijonų eurų (jeigu baudos, skirtos British Airways ir Marriot nebus pakeistos po apskundimo), toliau eina Prancūzija, skyrusi baudų už bendrą 51 milijono eurų sumą, ir Vokietija – netoli 25 milijonų eurų.
  • Pagrindinė sankcijų skyrimo priežastis – nesugebėjimas tinkamai valdyti (o ne apsaugoti) duomenis. Priežiūros institucijos nustatė daugiausiai BDAR 5 straipsnio (asmens duomenų tvarkymo principai) ir 6 straipsnio (teisėti tvarkymo pagrindai) pažeidimų. Šie straipsniai įtvirtina principines asmens duomenų tvarkymo nuostatas – duomenų tikslumas ir tinkama kokybė, tvarkymo sąžiningumas, kai įmonės surenka ir tvarko minimalų reikalingą duomenų kiekį tik aiškiai apibrėžtais tikslais. Įmonėms sunkiai sekasi atitikti reikalavimus, BDAR keliamus duomenų subjekto sutikimui kaip teisėtam duomenų tvarkymo pagrindui, taip pat neretai ir kitiems teisėtiems duomenų tvarkymo pagrindams.
  • Dėl paminėtų BDAR pažeidimų sankcijų skyrimas dar tik įsibėgėja, tai tik pradinis etapas. Daugelis saugos ir rizikų valdymo specialistų tikėjosi, kad pagrindinė BDAR sankcijų taikymo priežastis bus duomenų saugos pažeidimai ir netinkami pranešimai (arba nepranešimai) apie saugos pažeidimus. Priežiūros institucijos apie 50 kartų ėmėsi veiksmų dėl BDAR 32 straipsnio pažeidimo (saugos reikalavimai) ir dar keletą kartų – dėl netinkamo pranešimo apie saugos pažeidimus. Šie atvejai rodo, kad saugos incidentas yra tik atspirties taškas, skiriant baudą. Tyrimai, kurie buvo atlikti dėl didžiausių pažeidimų po BDAR įsigaliojimo, parodė ne tik specifines sąlygas saugos incidentams kilti, bet ir atskleidė, kad labai silpnai užtikrinama duomenų apsauga. Nuo pat 2018 metų priežiūros institucijų dėmesio centre buvo autentifikavimo procedūrų pakankamumo klausimas (t.y., ar valdytojai taiko, ir ar taiko pakankamas autentifikavimo procedūras).
  • Net ir vieno kliento duomenų tvarkymo pažeidimas gali kainuoti labai brangiai. Priežiūros institucijos vertina pažeidimo poveikį, ne tik jo apimtį. Pvz., Ispanijos priežiūros institucija nubaudė du telekomunikacijų paslaugų tiekėjus, kurių kiekvienas turėjo konfliktą tik su vienu klientu. Vienas tiekėjas klientui per klaidą atskleidė trečiosios šalies kvalifikacinius duomenis, taip suteikdamas klientui prieigą prie neskelbtinų jautrių trečiosios šalies duomenų. Šis vienkartinis atvejis tiekėjui kainavo 60 000 eurų. Kitas tiekėjas buvo nubaustas beveik 40 000 eurų bauda dėl to, kad tvarkė vieno kliento duomenis, neturėdamas tam šio kliento sutikimo. Vokietijoje ligoninė buvo nubausta 105 000 eurų bauda už BDAR pažeidimus, susijusius tik su vieno paciento netinkamu duomenų tvarkymu.
  • Nepagarba duomenų subjektų teisėms sukels naują sankcijų bangą. Tyrimų kompanija Forrester prognozuoja, jog kita sankcijų banga kils dėl to, kad valdytojai nesugebės tinkamai įgyvendinti duomenų subjektų teisių. Naujausios skirtos baudos yra susijusios su netinkamu duomenų subjekto teisės žinoti ir teisės į duomenų ištrynimą įgyvendinimu. Pvz., vienai Vokietijos nekilnojamo turto įmonei buvo paskirta 14,5 milijonų eurų bauda dėl to, kad ši įmonė (be kitų pažeidimų) archyvavo asmens duomenis tokiu būdu, kuris neleido archyvuojamų duomenų ištrinti. Paminėtina ir tai, jog šiandien daugiausiai sunkumų pasitaiko dėl klientų-duomenų subjektų prašymų įgyvendinimo, ko pasekmėje yra skiriamos baudos, tačiau numatoma, jog tuoj prasidės baudų skyrimas ir dėl darbuotojų-duomenų subjektų prašymų netinkamo įvykdymo. Bulgarijoje jau yra nubaustas darbdavys dėl pavėluoto ir nepilno atsakymo į darbuotojo prašymą.
  • Dar vienas didelis klausimas asmens duomenų tvarkymo srityje – tai trečiųjų šalių rizikų suvaldymas. Trečiųjų šalių rizikų valdymas nėra nauja tema saugos ir rizikų valdymo specialistams, tačiau tik dabar aiškėja, kaip trečiosios šalys įtakoja valdytojo taikomas privatumo (t. y. asmens duomenų apsaugos) priemones. Trečioji šalis, kuri nepaklūsta valdytojo nustatytai privatumo politikai ir netaiko tokio paties privatumo lygio, kurį taiko valdytojas, gali sugriauti ne tik visą valdytojo privatumo sistemą, bet ir valdytojo prekinį ženklą, reputaciją, klientų pasitikėjimą ir partnerių ekosistemą. Įvertinus visą grandinę nuo prekių, paslaugų tiekėjo iki subrangovo, subtiekėjo, iki duomenų tiekėjo, iki partnerių, su kuriais dalinamasi asmens duomenimis, akivaizdu, kad trečiųjų šalių rizika turi didelę reikšmę ir įtaką privatumui. Deja, bet dabar taikomos patikrinimo procedūros nepašalins šios rizikos. Vietoj to, patariama ieškoti būdų, kaip suderinti ir išnaudoti technologijas, besikryžminančias funkcines žinias ir duomenis bei išorines saugos ir rizikos valdymo specialistų įžvalgas, kad būtų automatizuotas trečiųjų šalių valdymas, siekiant užtikrinti privatumą.

Šaltinis –  https://go.forrester.com/blogs/guess-what-gdpr-enforcement-is-on-fire/

Naujienos