Praktinis BDAR baudų taikymas Lietuvoje ir Europos Sąjungoje

Įsigaliojęs Bendrasis duomenų apsaugos reglamentas (toliau – BDAR) nustatė dideles baudas už duomenų apsaugos pažeidimus, kurios gali siekti 20 000 000 Eur arba 4 procentus metinės pasaulinės apyvartos. Atsižvelgiant į tokius baudų dydžius, natūralu, kad asmens duomenų apsauga tapo viena iš aktualiausių atitikties sričių. Todėl šiame straipsnyje apžvelgsime keletą paskirtų baudų po BDAR įsigaliojimo.

Lietuvoje kol kas buvo paskirta tik viena ženkli bauda. Bauda buvo skirta už keletą pažeidimų, kuriuos atliko elektroninių pinigų įstaiga:

• rinko daugiau asmens duomenų nei pati nurodė esant būtina bei rinko perteklinius asmens duomenis (duomenų kiekio mažinimo principo pažeidimas);
• saugojo duomenis ilgiau nei pati yra nusistačiusi (duomenų saugojimo trukmės apribojimo principo pažeidimas);
• nebuvo pranešta Valstybinei duomenų apsaugos inspekcijai apie įvykusį duomenų saugumo pažeidimą;
• nebuvo įgyvendintos tinkamos techninės ir organizacinės saugumo priemonės.

Atsižvelgiant į šiuos pažeidimus bei į kitas reikšmingas aplinkybes, elektroninių pinigų įstaigai buvo skirta 61 500 Eur dydžio bauda. Kol kas tai vienintelis reikšmingo dydžio baudos atvejis Lietuvoje, tačiau Valstybinė asmens duomenų apsaugos inspekcija nuolat atlieka patikrinimus ir paskirtų ženklių baudų skaičius turėtų didėti.

Taipogi galime paanalizuoti, kuomet baudos buvo skiriamos sveikatos priežiūros įstaigoms kitose Europos Sąjungos valstybėse. Pirmoji bauda sveikatos priežiūros įstaigai, apie kurią buvo viešai pranešta, buvo paskirta ligoninei Portugalijoje. Portugalijos duomenų apsaugos priežiūros institucija nustatė, kad IT sistemos neatitikimą BDAR. Kiekvienas ligoninės daktaras turėjo prieigą prie visų ligoninės pacientų duomenų, netgi tų, su kuriais tiesiogiai nedirbo. Prieiga buvo suteikiama per tam skirtas paskyras. Buvo nustatyta, kad ligoninė buvo sukūrusi 985 medicinos personalo paskyras, nors iš tikrųjų turėjo tik 296 daktarus. Medicinos personal paskyros leido matyti visus pacientų dokumentus, nepriklausomai nuo daktaro specialybės. Dėl to, buvo laikoma, kad ligoninė nepritaikė tinkamų techninių ir organizacinių saugumo priemonių asmens duomenims apsaugoti. Ligoninei buvo paskirta 400 000 Eur bauda.

Dar viena reikšminga bauda buvo paskirta Jungtinėje Karalystėje, farmacijos bendrovei, teikiančiai vaistus klientams bei globos namams. Jungtinės Karalystės duomenų apsaugos priežiūros institucija nustatė, kad ši bendrovė apie 500 000 dokumentų saugojo savo teritorijoje, nerakinamuose konteineriuose. Dokumentuose buvo galima rasti asmenų vardus ir pavardes, adresus, gimimo datas, įvairius sveikatos duomenis, asmenims išrašytus receptus. Bendrovei buvo paskirta 275 000 svarų (apie 318 000 Eur) dydžio bauda už netinkamą jautrių asmens duomenų apsaugą.