Prieš keletą dienų skirta antra pagal dydį BDAR bauda Lietuvoje už tinkamų techninių ir organizacinių priemonių nesilaikymą prisideda prie išplėstinio duomenų apsaugos teisės analizavimo ir aiškinimo praktikos bei dar kartą parodo, kad tokio tipo pažeidimai nelieka nepastebėti.
Kaip nurodoma VDAI pranešime, Vilniaus miesto savivaldybės administracija nubausta už netinkamai tvarkomus įvaikinto vaiko tėvų asmens duomenis.
Situacijos esmė – asmuo, pildydamas prašymą dėl įvaikinto vaiko ugdymo, savivaldybės administracijos informacinėje sistemoje nurodė savo duomenis, tačiau duomenys dėl tinkamų techninių ir organizacinių priemonių nesilaikymo buvo atnaujinti ir pakeisti į Lietuvos Respublikos gyventojų registre esančius vaiko vieno iš biologinių tėvų kontaktinius duomenis (el. pašto adresą). Tokiu būdu buvo pažeisti BDAR keliami duomenų vientisumo ir konfidencialumo bei tikslumo principai.
Reglamente numatytas tvarkomų duomenų vientisumo ir konfidencialumo principas nurodo, jog asmens duomenys turi būti tvarkomi tokiu būdu, kad taikant atitinkamas technines ir organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo. Šio principo, o konkrečiu atveju – tinkamų techninių priemonių neužtikrinimas, tapo viena iš priežasčių, lėmusių 15 tūkst. eurų baudą Vilniaus miesto savivaldybės administracijai.
Skausmingasis BDAR 32 straipsnis
15 tūkstančių eurų – daug ar mažai? Nors pažeidimo mastas nedidelis, skiriant baudą atsižvelgta į daug kitų faktorių – duomenų jautrumą, pakartotinį pažeidimą, padarytą dėl aplaidumo. Taip pat didelę reikšmę turi institucijos einamųjų metų biudžeto ir kitų praėjusiais metais gautų bendrųjų metinių pajamų dydis.
Vertinant Europos Sąjungos valstybių narių kontekste, ši bauda išties kukli. Už tą patį techninių bei organizacinių priemonių netinkamą įgyvendinimą yra skirtos ir dešimteriopai didesnės baudos.
Pavyzdžiui, Norvegijos duomenų apsaugos tarnyba praėjusių metų pavasarį skyrė 170 tūkst. eurų dydžio baudą Bergeno miesto savivaldybei, kuri neužtikrino moksleivių duomenų saugumo ir buvo galima pasiekti moksleivių informaciją apie jų priklausymą mokyklai, pažymius, amžių ir panašią informaciją.
Tuo tarpu Portugalijoje esanti CHBM ligoninė dėl jos tvarkomų specialiosios kategorijos asmens duomenų buvo nubausta dar įspūdingesne – 400 tūkst. eurų, bauda. Minėta ligoninė neužtikrino prieigos kontrolių savo darbuotojams ir tam tikra su pacientų gydymu susijusi informacija galėjo būti pasiekiama bet kuriam gydytojui, nepriklausomai nuo jo specializacijos.
Pati didžiausia, 204,6 mln. eurų, bauda kompanijai „British Airways“ buvo paskirta taip pat dėl tinkamų organizacinių ir techninių priemonių nebuvimo priežasties – esant silpniems saugumo protokolams, kompanijos svetainė buvo nulaužta bei atskleista maždaug pusės milijono klientų duomenys.
Iki šiol Europos Sąjungos mastu baudų suma, paskirta už tinkamų techninių bei organizacinių priemonių nesilaikymą (BDAR 32 str.), pirmauja visose pažeidimų kategorijose ir siekia virš 335,2 mln. eurų. Tai kone triskart daugiau nei antroje vietoje esantis nepakankamas duomenų tvarkymo teisinis pagrindas, nors dėl pastarojo buvo paskirta dvigubai daugiau, akivaizdu, mažesnių baudų.
Peršasi išvada, kad Europos Sąjunga su nacionalinėmis priežiūros institucijomis itin griežtai vertina BDAR 32 straipsnio nesilaikymą, skiriamos baudos savo dydžiu neprilygsta jokiam kitam Reglamento pažeidimui, o organizacijos, kurios to dar nepadarė, privalo prisitaikyti ir savo veikloje įgyvendinti tinkamas technines bei organizacines priemones.
Aiškumo vis dar stinga
Tačiau kaip tas „tinkamas technines bei organizacines priemones“ įgyvendinti? Nuo pat duomenų apsaugos teisės pradžios ši sritis buvo grindžiama abstrakčiais principais. Ir net 2018 metais pradėjus taikyti BDAR, jo nuostatos, neišanalizavus taikymo ir aiškinimo praktikos visumos, netapo suprantamesnės.
Tai pasakytina ir apie pareigą tvarkant duomenis imtis tinkamų techninių ir organizacinių priemonių. Reglamente aiškiai neišskiriama, kokios priemonės laikomos tinkamomis ir ką tiksliai organizacijos turėtų įsidiegti, siekdamos deramai saugoti asmens duomenis.
Į pagalbą šiuo klausimu stoja VDAI, prieš kurį laiką išleidusi Tvarkomų asmens duomenų saugumo priemonių ir rizikos vertinimo duomenų valdytojams ir duomenų tvarkytojams gaires. Į gairėse pateiktą techninių bei organizacinių priemonių sąrašą verta atkreipti dėmesį kiekvienam subjektui, vykdančiam duomenų tvarkymą ir norinčiam tai daryti saugiai, o taip pat atitikti BDAR.
Nors šios gairės yra rekomendacinio pobūdžio, tikėtina, kad VDAI jomis remiasi vertindama, ar duomenų valdytojai bei tvarkytojai tinkamai užtikrina duomenų apsaugą.
Nuo ko pradėti: keturi patarimai
Analizuodami VDAI pateiktas gaires rasite daug techninių saugumo priemonių, padėsiančių tinkamai ir saugiai tvarkyti asmens duomenis. Tiesa, nemažą jų dalį įgyvendinti savo verslo procesuose be specialistų pagalbos gali būti sudėtinga.
Apžvelkime keletą pagrindinių, būtinų kiekvienam verslui, dirbančiam su asmens duomenimis ir norinčiam išvengti saugumo incidentų, o kartu ir baudų:
Šios priemonės gali padėti užtikrinti ne tik sklandų organizacijos darbą, bet ir saugesnį jos
klientų, darbuotojų, partnerių bei kitų asmenų duomenų tvarkymą, o kartu ir BDAR 32 straipsnio atitiktį.
Žinoma, kiekviena įmonė labai individuali, taigi ir sprendimų gali reikėti skirtingų. Tokio požiūrio laikomės ir „Baltic Amadeus“: kaskart atliekamas individualus teisinis ir techninis auditai, parengiama duomenų valdymo strategija bei jos įgyvendinimo gairės. Įgyvendinant sprendimus yra užtikrinami ir išpildomi visi saugumo reikalavimai.
Tik susipažinę su kliento sistema galime įvertinti išeities kodą, sistemos komponentų pažeidžiamumą, našumą ir kitus niuansus. Viena iš populiaresnių naudojamų praktikų – socialinė inžinerija. Pasitelkiamos skirtingos šio modelio technikos leidžia efektyviai identifikuoti galimas BDAR spragas ir užkirsti kelią pažeidimams.
