Tinklaraštis
Bendrasis duomenų apsaugos reglamentas įpareigojo verslą, valstybės įstaigas, įmones, organizacijas rūpintis asmens duomenų apsauga. Šiuo metu vyksta vis dar besiformuojantis asmens duomenų aspaugos teisės kūrimosi etapas. Straipsniuose pateikiami kai kurie duomenų tvarkymo aspektai. Rašau tai, kas ir man įdomu. Viliuosi, gal rasite vieną kitą atskaymą.
Nėra laiko skaityti – skambinkite!
Didžiausią malonumą ir atpildą randu darbe, po kurio seka tai, ką pasaulis vadina SĖKME. Tomas Edisonas
EUROPOS PARLAMENTO IR TARYBOS REGLAMENTAS KURIUO NUSTATOMOS SUDERINTOS DIRBTINIO INTELEKTO TAISYKLĖS (DIRBTINIO INTELEKTO AKTAS) STIPRINS BENDROJO DAUOMENŲ APSAUGOS REGLAMENTO TAIKYMĄ
Parlamentas pritarė Dirbtinio intelekto aktui, kuriuo siekiama užtikrinti saugą, užkirsti kelią pagrindinių teisių pažeidimams ir skatinti inovacijas. 27 ES valstybės narės DI reglamentą patvirtins balandžio mėn. Yra kuriama tam tikrų DI sistemų, kurios turi sąsajų su žmogaus elgesio pokyčiais. Šios DI sistemos naudoja pasąmonės veikiantį komponentą, kurio žmonės negali suprasti, arba išnaudoja pažeidžiamumą dėl amžiaus ar fizinio, bei psichologinio sutrikimo. Jos naudojamos siekiant iš esmės pakeisti asmens elgesį, kelia potencialią žalą asmeniui ir gali sukelti fizinę ar psichologinę žalą. DI akte pateikiama bendra į ateitį orientuota DI apibrėžtis, o tam tikros žalingos DI praktikos bus draudžiamos, nes jos prieštarauja ES vertybėms. Taip pat nustatomi konkretūs apribojimai ir apsaugos priemonės dėl tam tikrų nuotolinio biometrinio tapatybės nustatymo sistemų naudojimo teisėsaugos tikslais. Be to, siūloma patikima rizikos metodika, kurią remiantis identifikuojamos didelės rizikos DI sistemos, kurios gali kelti grėsmę asmenų sveikatai, saugumui arba pagrindinėms teisėms. Šios sistemos turės atitikti horizontalius privalomus reikalavimus, o prieš jų įvedimą rinkoje būtų atliekamos atitikties vertinimo procedūros. Nuotolinio biometrinio fizinių asmenų tapatybės nustatymo DI intelekto sistemos naudojimas viešosiose vietose teisėsaugos tikslais laikomas labai ribojančiu asmenų teises ir laisves. Toks naudojimas gali sukelti nuolatinį sekimo jausmą ir netiesiogiai riboti žmonių teises, pvz., susirinkimo laisvę ar kitas pagrindines teises. DI akte pateikiamos trys aiškiai apibrėžtos situacijos, kuriose galima būtų naudoti tokias sistemas: viešojo intereso tikslu, kuris yra svarbesnis už riziką, keliamą asmenų teisėms ir laisvėms. Tokios situacijos galėtų būti dingusių vaikų paiešką, grėsmės fizinių asmenų gyvybei ar fiziniam saugumui, teroristinių išpuolių grėsmes, taip pat nusikalstamų veikų vykdytojų arba įtariamųjų radimą ar baudžiamąjį persekiojimą.
Plačiau: EUR-Lex – 52021PC0206 – EN – EUR-Lex (europa.eu)
2024 03 14
EUROPOS DUOMENŲ APSAUGOS VALDYBA PRIMENA, KAD DUOMENŲ APSAUGOS PAREIBŪNAS TURI BŪTI NEPRIKLAUSOMAS
2024 m. sausio 17 d. EDAV paskelbė ataskaitą dėl savo antrųjų koordinuotų vykdymo užtikrinimo veiksmų išvadų, kurioje daugiausia dėmesio skirta duomenų apsaugos pareigūnų skyrimui ir pareigoms.
Ataskaita parengta atlikus ES mastu koordinuotą tyrimą ir jame išvardytos kliūtys, su kuriomis šiuo metu susiduria duomenų apsaugos pareigūnai, taip pat keletas rekomendacijų, kaip toliau stiprinti jų vaidmenį.
- Identifikuoti sunkumai su kuriais susiduria duomenų apsaugos pareigūnai duomenų apsaugos pareigūno paskyrimas, nors ir privalomas;
- Nepakankami DAP ištekliai arba ekspertų žinios;
- Duomenų apsaugos pareigūnams nėra visiškai patikėtos užduotys, kurių reikalaujama pagal duomenų apsaugos teisės aktus;
- Nepakankamas savarankiškumas arba ataskaitų aukščiausiajai vadovybei trūkumas).
Plačiau susipažinti:
Parengta 2024 02 08
TOP-3
VALSTYBINĖS DUOMENŲ APSAUGOS INSPEKCIJOS SKIRTOS DIDŽIAUSIOS BAUDOS
2023 m baudos už BDAR pažeidimus Lietuvoje ženklios, tačiau lyginant su TOP 3 didžiausiomis baudomis pasaulyje , skirtomis Meta Platforms Ireland Ltd.– dvi baudos -1,2 mlrd. ir 390 mln. Eur, TikTok Ltd – 345 mln. Eur, neišsiskyrėme.
- —20 tūkst. Eur bauda:
Valstybinėje duomenų apsaugos inspekcijoje gautas pranešimas apie asmens duomenų saugumo pažeidimą, kurio metu buvo pažeistas virš 50 000 duomenų subjektų (klientų) asmens duomenų konfidencialumas. Šio ADSP pagrindu Inspekcija savo iniciatyva atliko Bendrovės tikrinimą.
- — 10 tūkst. Eur bauda:
Valstybinė duomenų apsaugos inspekcija išnagrinėjusi pareiškėjo skundą, priėmė sprendimą, kuriuo skundo dalį dėl teisės apriboti duomenų tvarkymą pažeidimo pripažino pagrįsta ir teikė Bendrovei nurodymą – atsakyti pareiškėjui, ar buvo apribotas jo asmens duomenų tvarkymas pagal jo prašymą ir, jeigu nebuvo, tuomet teisiškai pagrįsti pareiškėjui, kodėl nebuvo bei apie nurodymo įvykdymą informuoti Inspekciją raštu, pateikiant tai patvirtinančius įrodymus. Atsakymo apie Nurodymo vykdymą Bendrovė Inspekcijai nepateikė.
3.— 8 tūkst. Eur bauda:
Valstybinėje duomenų apsaugos inspekcijoje 2022 m. liepos mėn. gautas fizinio asmens skundas dėl Bendrovėje tinkamai neįgyvendintos pareiškėjo teisės susipažinti su Bendrovėje tvarkomais jo asmens duomenimis. Bendrovė pareiškėjui nepateikė informacijos apie jo asmens duomenų tvarkymo tikslus ir teisinius asmens duomenų tvarkymo pagrindus, asmens duomenų gavėjus, asmens duomenų kategorijas ir asmens duomenų saugojimo laikotarpį, taip pat informacijos apie kitus šaltinius, iš kurių buvo gauti pareiškėjo asmens duomenys, nepateikė ir tvarkomų asmens duomenų kopijos.
Plačiau susipažinti:
Parengta 2024 01 25
Kaip taikoma BDAR 6 straipsnio 1 dalies f punkto teisėtumo sąlyga?
BDAR 6 str. 1 d. f) p. – tvarkyti duomenis būtina siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų, išskyrus atvejus, kai tokie duomenų subjekto interesai arba pagrindinės teisės ir laisvės, dėl kurių būtina užtikrinti asmens duomenų apsaugą, yra už juos viršesni, ypač kai duomenų subjektas yra vaikas.
Tesimai konstatuoja : kad šios normos taikymui yra numatytos trys kumuliacinės asmens duomenų tvarkymo teisėtumo sąlygos:
- Tvarkyti asmens duomenis reikia dėl teisėtų interesų, kurių siekia duomenų valdytojas arba trečiasis asmuo;
- Asmens duomenis tvarkyti būtina siekiant įgyvendinti nustatytą teisėtą interesą;
- Asmens, kurio duomenys turi būti apsaugoti, interesai ar laisvės bei pagrindinės teisės neturi būti viršesni.
(LVAT sprendimas 2023 m. lapkričio 29 d. ( adm. Byla Nr. eA-831-525/2023), 2023 m. liepos 4 d. sprendimas Meta platforms ir kt. byloje C-252/21; 2021 m. birželio 17 d. sprendimas Mircom International Content Management & Consulting (M.I.C.M.) Limited prieš Telenet BVBA byloje C-597/19).
Ką tai reiškia? –skaityti toliau:
Parengta 2023 12 12
Teisė būti pamirštam - neabsoliuti: LATT NUTARTIS -
Dėl teisė normų, reglamentuojančių asmens teisę į privataus gyvenimo gynimą (asmens teisės būti pamirštam) ir žiniasklaidos teisę skleisti informaciją bei visuomenės interesą žinoti, aiškinimo ir taikymo
2023 m. lapkričio 16 d. Lietuvos Aukščiausiojo Teismo Civilinių bylų skyriaus teisėjų kolegija, priėmė nebeskundžiamą nutartį civilinėje byloje Nr. e3K-3-296-1075/2023. Ieškovas ieškiniu prašė teismo įpareigoti atsakovę UAB „15min“ nuasmeninti jo asmens duomenis ir pašalinti skelbiamas jo nuotraukas tokiose publikacijose kaip 2012 m. vasario 10 d. publikacijoje „Užuot gaudę prostitutes, policininkai joms mokėjo už paslaugas“; ≤≤≥≥ 2012 m. spalio 26 d. publikacijoje „Du Vilniaus policininkai, darbe surengę orgiją su prostitute ir kvaišalais, buvo nubausti pagrįstai“. Ieškovas ginčija ne informacijos apie baudžiamąją bylą paskleidimo teisėtumą jos paskleidimo momentu, bet tolesnio informacijos apie baudžiamąją bylą, įskaitant patį faktą apie ieškovo teistumą, skleidimo praėjus daugiau kaip 10 metų teisėtumą. Taigi, konkrečiai byloje turėjo būti atsakyta į klausimą, ar nėra pažeista ieškovo teisė būti pamirštam internete.
Teisėjų kolegija konstatavo (apibendrintos citatos):
Parengta 2023 11 30
Ar virtualus komentarai ir jų turinys sudaro asmens duomenis? Koks skirtumas tarp anoniminių asmens duomenų ir pseudoniminių?
ETT 2023 m. balandžio 26 d. sprendime (byloje T‑557/20) sprendžiamas ginčas susijęs su asmens duomenų sampratos išaiškinimu, kuris turi esminę reikšmę, perduodant asmens duomenis trečiosioms šalims. Įmonė perdavė virtualius komentarus (apie 30 tūkst.) trečiajai šaliai, apie tai neinformavus duomenų subjektų. Šiems komentarams buvo priskirtas raidinis skaitmeninis kodas. Keliamas klausimas – ar tai asmens duomenys?, nes skundus pateikę asmenys nurodė, kad jei nebuvo informuoti, jog duomenys, surinkti atsakant į formą, ir visi jų atsakymai bus perduoti trečiajai šaliai.
Trečiosios šalies darbuotojai, atsakingi už komentarų analizę, neturėjo prieigos prie duomenų rakto ar informacijos, leidžiančios nustatyti dalyvio tapatybę pagal kiekvienam komentarui priskirtą unikalų raidinį skaitmeninį kodą. Tačiau vis gi šie duomenys, kuriuos jei gavo buvo pseudoniminiai ar anoniminiai?
Įmonė, perdavusi šifruotus komentarus (pseudoniminius duomenis be rakto), teigė, kad jų perduoti duomenys trečiajai šaliai yra anoniminiai, net jei informacija, leidžianti pakartotinai nustatyti tapatybę, nėra neatšaukiamai pašalinta, o ją saugo pradinis duomenų tvarkytojas, nes forma, kuria duomenys perduodami šiai trečiajai šaliai, nebeleidžia nustatyti komentarų autoriaus tapatybės arba tai tampa mažai tikėtina. Tokie duomenys liko anoniminiai, nes įmonė nepasidalijo informacija, kuri leistų iš naujo nustatyti komentarų autorių.
P.S. pseudoniminiai duomenys yra asmens duomenys, o anoniminiai – nėra.
P.s. Virtualūs komentarai – yra asmens duomenys.
BDAR (GDPR) 15 STRAIPSNIO NEVYKDYMAS GALI PAREIKALAUTI IŠ "SPOTIFY" 5 mln.
„Spotify“ buvo nubausta 58 000 000 SEK (apie 5 000 000 eurų) bauda už nepakankamą prieigos užklausų įvykdymą. Be to, „Spotify“ buvo papeiktas ir įsakyta įvykdyti vartotojo prieigos prašymą. Pagal BDAR 15 straipsnio 1 dalį nepakako, kad informacija buvo pateikta „Spotify“ privatumo politikoje. Sprendimą „Spotify“ numato skųsti.
Įvertinus Švedijos priežiūros institucijos sprendimą, visgi esminis pažeidimas kaip bebūtų yra tas, kad duomenų subjektai pakankamai paprastu būdu negalėjo gauti prieigos prie visų savo asmens duomenų. Buvo nustatyti trys lygiai, kuriuos praėjus buvo galima susirinkti visą turimą savo paskyroje informaciją.
Rengiant privatumo politikas bei kuriant internetinėse parduotuvėse paskyras būtina į atkreipti dėmesį, kad BDAR 15 str. reikalavimas būtų įgyvendintas.
Daugiau skaitykite: https://gdprhub.eu/index.php?title=IMY_(Sweden)_-_DI-2019-6696
Parengta 2023 06 19
Rekomendacija skatina siekti žmogaus teisėmis ir visuotiniu sutarimu grįsto dirbtino intelekto vystymo pasaulyje. UNESCO rekomendacija dėl dirbtinio intelekto etikos yra išversta į lietuvių kalbą. Rekomendacija buvo priimta 2021 m. lapkričio 9–24 d. vykusioje UNESCO Generalinės konferencijos 41-ojoje sesijoje. Pirmajame etape Rekomendaciją kūrė World Commission on the Ethics of Scientific Knowledge and Technology, COMEST), International Bioethics Committee, IBC, Intergovernmental Bioethics Committee, IGBC ir ekspertai iš viso pasaulio, tarp kurių ir Lietuvos mokslo bendruomenės atstovai. Rekomendacija visuotiniu sutarimu buvo priimta po daugiau nei dvejus metus trukusių tarpvyriausybinių derybų. Nuo Rekomendacijos priėmimo visos UNESCO valstybės narės įsipareigojo gerbti, propaguoti ir saugoti šioje Rekomendacijoje nurodytas etines vertybes, principus ir standartus, susijusius su dirbtiniu intelektu, ir imtis visų įmanomų priemonių, kad būtų veiksmingai įgyvendintos pateiktos politikos rekomendacijos.. Rekomendacijoje daugiausia dėmesio skiriama žmogaus orumui ir žmogaus teisėms, taip pat lyčių lygybei, socialiniam ir ekonominiam teisingumui bei vystymuisi, fizinei ir psichinei gerovei, įvairovei, tarpusavio ryšiams, bei aplinkos ir ekosistemų apsaugai. Dokumentas rekomenduoja valstybėms narėms taikyti šias nuostatas imantis atitinkamų veiksmų, įskaitant bet kokias teisėkūros ar kitas priemones, be to, rekomenduoja valstybėms narėms įtraukti visus suinteresuotuosius subjektus, kad būtų užtikrintas jų atitinkamas vaidmuo
Rekomendacija https://unesdoc.unesco.org/ark:/48223/pf0000381137_lit
Parengta 2023 03 21
ADVOKATO INTERESAS IŠ REGISTRŲ GAUTI TEISINIŲ PASLAUGŲ TEIKIMUI REIKALINGUS DUOMENIS VISAIS ATVEJAIS, KAI TOKIE DUOMENYS YRA SUSIJĘ SU KONKREČIOS TEISINĖS PASLAUGOS TEIKIMU IR, ŠIĄ PASLAUGĄ TEIKIANČIO ADVOKATO NUOMONE, YRA BŪTINI JAI TEIKTI, YRA VIRŠESNIS UŽ DUOMENŲ SUBJEKTO, KURIO ASMENS DUOMENYS YRA REGISTRE, TEISES IR LAISVES.
Tokia išvada konstatuojama Lietuvos Vyriausiojo administracinio teismo 2023 m. vasario 8 d. sprendime (administracinės bylos Nr. eA-130-821/2023).
Advokatas, atstovaudamas klientus, peržiūrėjo ir suformavo trečiosios šalies (tolia – TŠ) priklausančio nekilnojamojo turto NT registro duomenų bazės išrašą, atlikęs objekto paiešką pagal jos asmens duomenis ir šį TŠ turimo turto sąrašą pardavė savo klientams. Valstybinė duomenų apsaugos inspekcijai advokatas teigė, kad duomenų apie TŠ turimą turtą rinkimo tikslas buvo teikti teisines paslaugas klientams pagal teisinių paslaugų sutartį bei siekiant įrodyti, kad trečioji šalis yra verslininkai, kurie perka nekilnojamąjį turtą pigiau ir parduoda brangiau. Inspekcija, atsižvelgdama į tai, kad teisinių reikalavimų gynimas BDAR įvardijamas kaip teisėtas interesas, padarė išvadą, kad skundo nagrinėjimo atveju egzistavo teisėtas klientų, kuriems paslaugas teikė pareiškėjas, interesas rinkti TŠ duomenis iš NTR, tačiau Sprendime pažymėjo, kad net ir esant teisėtai asmens duomenų tvarkymo sąlygai, nustatytai BDAR 6 straipsnio 1 dalies f punkte, advokatas turėjo pareigą užtikrinti, kad būtų laikomasi ir kitų BDAR 5 straipsnio 1 dalyje nustatytų asmens duomenų tvarkymo principų, o būtent – duomenų kiekio mažinimo.
Tačiau,
Atsižvelgiant į advokato diskreciją pasirinkti konkrečias priemones kaip ir (arba) kokia apimtimi konkreti teisinė paslauga turėtų būti teikiama (t. y. advokatui suteikta galimybė savarankiškai spręsti dėl naudojamų Registro duomenų apimties, teikiant teisines paslaugas), ir įvertinant tai, jog nagrinėjamu atveju advokato naudoti Registro duomenys civilinėse bylose nėra akivaizdžiai nesusiję su šiose bylose įrodinėtinomis aplinkybėmis, teisėjų kolegija padarė išvadą, kad advokatas negali būti laikomas pažeidusiu BDAR 5 str. 1 d. c punkte įtvirtintą duomenų kiekio mažinimo principą.
Su byla susipažinti galima http://www.infolex.lt/tp/2141672
NORITE APGINTI SAVO TEISES, BET NEŽINOTE KUR KREIPTIS? AR Į VALSTYBINĘ DUOMENŲ APSAUGOS INSPEKCIJĄ, AR Į TEISMĄ? O GAL VIENU METU IR Į INSPEKCIJĄ, IR Į TEISMĄ?
Būtent šią poziciją ir pažymėjo Europos Teisingumo Teismas 2023 m. sausio 12 d. prejudiciniame sprendime, byloje C‑132/21, dėl 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) 77 straipsnio 1 dalies, 78 straipsnio 1 dalies ir 79 straipsnio 1 dalies išaiškinimo.
Faktinės aplinkybės: Vengrijos priežiūros institucija atmetė BE prašymą leisti susipažinti su bendrovės visuotinio akcininkų susirinkimo, kuriame jis dalyvavo, garso įrašo ištraukomis. BE kreipėsi ne tik į priežiūros instituciją, bet ir tuo pačiu metu pagal šio reglamento 79 straipsnio 1 dalį pareiškė ieškinį civiliniame teisme, t. y. Sostinės regiono apeliacinis teismas, Vengrija, juo apskundė duomenų valdytojo sprendimą. Teismas galutiniu sprendimu patenkino BE ieškinį tuo pagrindu, kad duomenų valdytoja pažeidė BE teisę susipažinti su savo asmens duomenimis.
Reglamento 78 straipsnio 1 dalyje įtvirtinta:„Nedarant poveikio galimybei imtis kitų administracinių arba neteisminių teisių gynimo priemonių, kiekvienas fizinis ar juridinis asmuo turi teisę imtis veiksmingų teisminių teisių gynimo priemonių prieš priežiūros institucijos dėl jo priimtą teisiškai privalomą sprendimą. Reglamento 79 straipsnio 1 dalyje nustatyta: „Nedarant poveikio galimybei imtis bet kokių galimų administracinių arba neteisminių teisių gynimo priemonių, įskaitant teisę pateikti skundą priežiūros institucijai pagal 77 straipsnį, kiekvienas duomenų subjektas turi teisę imtis veiksmingų teisminių teisių gynimo priemonių, jeigu mano, kad šiuo reglamentu nustatytos jo teisės buvo pažeistos, nes jo asmens duomenys buvo tvarkomi pažeidžiant šį reglamentą.“
Nacionalinis teismas pažymi, kad jam tenka pareiga išnagrinėti tas pačias faktines aplinkybes ir tą patį galimą Reglamento 2016/679 pažeidimą, dėl kurių Sostinės regiono apeliacinis teismas, Vengrija jau yra priėmęs galutinį sprendimą. Tas teismas klausia, kaip jam reikėtų nustatyti civilinių teismų atliekamo asmens duomenų valdytojo priimto sprendimo teisėtumo vertinimo tarpusavio santykį su administracine procedūra, per kurią priežiūros institucija priėmė sprendimą, dėl kurio jame yra pareikštas ieškinys, visų pirma, ar kuriai nors teisių gynimo priemonei gali būti teikiama pirmenybė. Atsižvelgiant į priežiūros institucijų nepriklausomumą ir tai, kad teikiama pirmenybė Reglamente 2016/679 numatytai jų kompetencijai asmens duomenų apsaugos sistemoje, šių institucijų užduotims ir įgaliojimams kiltų pavojus, jeigu joms pagal šio reglamento 79 straipsnio 1 dalį būtų privalomi anksčiau tas pačias faktines aplinkybes išnagrinėjusio civilinio teismo vertinimai. Kadangi šio reglamento nuostatose nėra nustatyta jokios jo 77–79 straipsniuose numatytų teisių gynimo priemonių pirmenybės taisyklės, Teisingumo Teismas turi išaiškinti šių teisių gynimo priemonių santykį.
ETT konstatavo, kad Reglamento 2016/679 77 straipsnio 1 dalis, 78 straipsnio 1 dalis ir 79 straipsnio 1 dalis, siejamos su Pagrindinių teisių chartijos (toliau – Chartija) 47 straipsniu, ir aiškinamos taip, kad teisių gynimo priemonėmis, numatytomis tiek šio 77 straipsnio 1 dalyje ir 78 straipsnio 1 dalyje, tiek šio 79 straipsnio 1 dalyje, galima naudotis lygiagrečiai ir nepriklausomai viena nuo kitos, ar vienai iš šių priemonių yra teikiama pirmenybė.
Ir kad pagal jas leidžiama tuo pačiu metu ir nepriklausomai naudotis teisių gynimo priemonėmis, numatytomis tiek šio 77 straipsnio 1 dalyje ir 78 straipsnio 1 dalyje, tiek šio 79 straipsnio 1 dalyje. Valstybės narės, laikydamosi procesinės autonomijos principo, turi nustatyti šių teisių gynimo priemonių tarpusavio santykio sąlygas, kad būtų užtikrinta veiksminga šiuo reglamentu garantuojamų teisių apsauga, nuoseklus ir vienodas jo nuostatų taikymas ir Chartijos 47 straipsnyje numatyta teisė į veiksmingą gynybą teisme.
Daugiau skaitykite: C‑132/21/12.01.2023
- ELEKTONINIO LAIŠKU TURINYJE IR (AR) PRIDĖTAME DOKUMENTE ĮPRASTAI YRA ASMENS DUOMENŲ.
- VALSTYBINĖ DUYOMENŲ APSAUGOS INSPEKCIJA ELEKTRONINIO LAIŠKO SIUNTIMĄ KLAIDINGAM GAVĖJUI TRAKTUOJA KAIP ASMENS DUOMENŲ PAŽEIDIMĄ IR UŽ TAI GALI SKIRTI DUOMENŲ VALDYTOJUI PINIGINĘ BAUDĄ.
- ŽINOTINA, KAD NET PATS ELEKTRONINIO PAŠTO ADRESAS DAŽNU ATVEJU YRA ASMENS DUOMENYS.
Susipažinimui pateikiu keletą pavyzdžių iš analogiško pobūdžio bylų:
- Rumunijos duomenų apsaugos tarnyba 2023 m. sausio 4 d. vandens paslaugų įmonei skyrė 3 000 eurų baudą už tai, kad ši neįgyvendino tinkamų techninių ir organizacinių priemonių, užtikrinančių duomenų apsaugą. Duomenų pažeidimas traktuotas šiame fakte: kad duomenų pažeidimas įvyko duomenų valdytojo internetiniame portale registruotiems vartotojams išsiuntus žinutę, per klaidą panaudojant funkciją CC (visi adresatai vieni kitus mano, matoma kopija), o ne BCC (tikslas buvo, kad adresatai vieni kitų nematytų, nematoma kopija). Dėl šios priežasties daug asmenų pamatė gavėjų elektroninius paštus, t. y. buvo neteisėtai atskleisti asmens duomenys.
- Italijos duomenų apsaugos institucija (toliau – DAI) skyrė 70 000 eurų baudą ligoninei už tai, kad 499 naujienlaiškio gavėjų iš Neurologijos operatyvinio skyriaus ir 90 naujienlaiškių gavėjų iš Transplantacijos chirurgijos skyriaus, elektroninius laiškus gavo per CC (visi adresatai buvo matomi), o ne per BCC (siekta, kad adresatai vieni kitų nematytų). Taip vienas kitam buvo atskleisti visų gavėjų, ligoninės pacientų, el. pašto adresai. Ir nors 193 el. pašto adresuose nebuvo nuorodų į jokius vardus, DAI pažymėjo, kad jau pats elektroninio pašto adresas yra asmens duomenys, net ir be nuorodų į vardus ir pavardes. DAI nusprendė, kad duomenų valdytojas pažeidė BDAR 5 straipsnio f punktą (vientisumo ir konfidencialumo principai) ir 9 straipsnį , nes be teisinio pagrindo perdavė asmens duomenis, įskaitant sveikatos duomenis, tretiesiems asmenims.
- Škotijos labdaros organizacijai skirta 10000 svarų bauda už JK GDPR 5 straipsnio 1 dalies f punkto, 32 straipsnio 1 dalies ir 32 straipsnio 2 dalies pažeidimus. Pažeidimo turinys: 105 žmonėms buvo išsiųstas el. laiškas, kuriame buvo pacientų advokatai, atstovaujantys ŽIV užsikrėtusiems Škotijoje. Visi el. pašto adresai buvo matomi visiems gavėjams, o 65 iš adresų identifikavo žmones pagal vardus. Iš atskleistų asmens duomenų galima daryti prielaidą apie asmenų ŽIV statusą ar riziką.
- Maltoje atliekamo „Nepriklausomam vaikų seksualinio išnaudojimo tyrimui“ metu darbuotojas 90 galimų seksualinės prievartos prieš vaikus aukų išsiuntė masinį el. laišką naudodamas lauką ne „BCC“ (kad dalyviai nematytų vienas kito informacijos), o lauką „TO“, taip atskleidė visų dalyvių el. pašto adresus. 52 laiškuose buvo nurodytas dalyvio vardas ir pavardė. Už pažeidimą skirta 200 000 sterlingų bauda.
Elektroninių laiškų siuntimas neteisingiems gavėjams yra asmens duomenų pažeidimas, todėl siekdami išvengti didesnių pasekmių praneškite savo duomenų apsaugos pareigūnui.
Lietuvos Respublikos Seime 2023 m. kovo 10 d. registruotas Asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ar gynybos tikslais, teisinės apsaugos įstatymo Nr. XI-1336 16 straipsnio pakeitimo įstatymo projektas Nr. XIVP-2530 inicijuotas Seimo nario Stasio Šedbaro (toliau – projektas).
Parengta 2023-03-16
Šaltinis:https://e-seimas.lrs.lt/portal/legalAct/lt/TAP/493bc732bf1b11ed924fd817f8fa798e
Nors praktikoje, pagal 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – BDAR) taikymo pažeidimus, didelės baudos skiriamos mega duomenų valdytojams (Amazon – 740 mln., Instagram-402 mln., WhatsApp-223 mln. Ir etc.), tačiau, jei tvarkote nors ir kelių darbuotojų asmens duomenis, atsipalaiduoti nevertėtų. Tarkim, 2022 m. Lenkijos įmonei duomenų apsaugos institucija priėmė sprendimą (https://www.uodo.gov.pl/decyzje/DKN.5110.12.2021) ir paskyrė 3 500 eurų baudą už tai, kad įmonė neįvykdė savo pareigos pranešti priežiūros institucijai apie įvykusį asmens duomenų pažeidimą. Pažeidimas kilo dėl to, jog dėl darbdavio kaltės buvo prarastas vieno iš darbuotojų su darbo susijusi informacija (pareigos , atlyginimas ir etc.). Ir nors įmonės vadovas teigė, kad pažeidimas buvo mažareikšmis ir nesukėlė pavojaus duomenų subjektų teisėms ir laisvėms tačiau duomenų priežiūros institucijos tai neįtikino. Pagalvokite, ar žinotumėte ką daryti jeigu tarkim Jūsų vadovaujamos įmonės/įstaigos darbuotojas pametą dokumentą ar duotą ryšio priemonę? Pirmiausia, ką siūlyčiau, tai turėti dokumentuotą asmens duomenų saugumo pažeidimo tyrimo procesą ir žinoti esminius Valstybinės duomenų apsaugos inspekcijos reikalavimus: https://vdai.lrv.lt/asmens-duomenu-apsaugos-reforma/pranesimas-apie-duomenu-saugumo-pazeidima.
Vilniaus apygardos administracinis teismas rugpjūčio mėn. sprendimu (kuris dar gali būti skundžiamas) per pus sumažino Valstybinės duomenų apsaugos inspekcijos (toliau – VDAI) skirtą baudą bendrovei, už neteisėtą vaizdo stebėjimą. Byloje buvo nagrinėjama baudos skyrimo apimtis, kur bendrovei X skirta 3 000 Eur bauda neatsižvelgiant į bendrovės metinę apyvartą.
Dėl pareigos skiriant baudą tinkamai individualizuoti pažeidimą
Pagal BDAR 83 straipsnio 1 dalį, kiekviena priežiūros institucija užtikrina, kad pagal šį straipsnį skiriamos administracinės baudos už 4, 5 ir 6 dalyse nurodytus šio reglamento pažeidimus kiekvienu konkrečiu atveju būtų veiksmingos, proporcingos ir atgrasomos. Pagal BDAR 83 straipsnio 5 dalies a punktą, pažeidus pagrindinius duomenų tvarkymo principus, įskaitant sutikimo sąlygas, pagal 5, 6, 7 ir 9 straipsnius, pagal 2 dalį skiriamos administracinės baudos iki 20 000 000 EUR arba, įmonės atveju – iki 4 % jos ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė.
Asmens duomenų apsaugos sistema buvo pradėta formuoti siekiant apsaugoti asmens teisę į privatų gyvenimą. Asmens duomenų apsaugos orientavimas į privataus gyvenimo apsaugą lemia tiek aptariamos srities teisinio reguliavimo nuostatų turinį, tiek šių nuostatų įgyvendinimo pobūdį. Duomenų subjektai patys turi siekti apsaugoti asmens duomenis
KAS YRA POVEIKIO DUOMENŲ APSAUGAI VERTINIMAS?
KADA IR KAIP JIS ATLEIKAMAS?
Dėl sparčios skaitmeninių technologinių priemonių plėtros ir jų panaudojimo galimybių renkant asmens duomenis nuolat auga asmens duomenų rinkimo ir keitimosi jais mastas. Technologijos leidžia institucijoms vykdant savo veiklą naudoti asmens duomenis (toliau – AD) dideliu mastu. Siekiant užtikrinti fizinių asmenų teisių ir laisvių apsaugą tvarkant AD reikia imtis tinkamų techninių ir organizacinių priemonių siekiant užtikrinti, kad būtų laikomasi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – BDAR) reikalavimų.
Asmens duomenų saugumo pažeidimas – saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami persiųsti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų be leidimo gaunama prieiga.
LVAT teisėjų kolegija teismo posėdyje 2022 m. vasario 9 d. išnagrinėjo administracinę bylą pagal pareiškėjo skundą, kuris kreipėsi į teismą su skundu (faktinės aplinkybės teismo nutartyje), kurio skundžiama pažeista jo teisė į privatumą.
Tėvams artimiausiu metu matomai nebereikės lopšeliams – darželiams teikti asmens duomenų tokių kaip tėvų (globėjų) darbovietė, ar faktų, jog, jog vaikas lankėsi ir kada lankėsi gydymo įstaigoje. Tokių duomenų rinkimas pažeidžia BDAR įtvirtintą duomenų kiekio principą.
2021 m. gruodžio 23 d. Lietuvos Respubikos Seimas priėmė Lietuvos Respublikos visuomenės informavimo įstatymo pataisas, kuriomis nutarta detaliau apibrėžti, kokie asmenys bus laikomi viešaisiais asmenimis.
TEISĖS SUSIPAŽINTI GAIRIŲ PROJEKTAS
Europos duomenų apsaugos valdyba parengė ir pateikė metodines rekomendacijas – Gaires 01/2022 dėl duomenų subjekto teisių – Teisės susipažinti. Gairėms pasiūlymus galima teikti iki kovo 11 d. Gairės pakankamai didelės apimties, kuriuose plačiai paaiškinama teisės susipažinti kilmė, jos apimtis ir įgyvendinimo būdai.
Valstybinės asmens duomenų apsaugos inspekcija, siekdama suvienodinti įvairuojančias asmens duomenų mainų sutarčių formas
patvirtino Standartines sutarčių sąlygas asmens duomenų tvarkymo sutartyse.
2022 metais viena ir pirmųjų milžiniškų baudų už BDAR taisyklių nesilaikymą buvo skirta Italijos energijos tiekėjui Enel Energia. Žiniasklaidoje pranešama, kad 2022 m. sausio 19 d. „Enel Energia“ buvo nubaustas 26,5 milijono eurų bauda pagal Bendrąjį duomenų apsaugos reglamentą už agresyvią telerinkodarą. („Enel Energia“ nubausta dėl didelio kiekio skundų už reklaminius skambučius be klientų sutikimo. Duomenų apsaugos institucija taip pat nustatė, kad bendrovė nuolat taikėsi į vartotojus, kurie net nebuvo įtraukti į telefonų katalogą arba visiškai atsisakė pardavimų reklamos.)