Valstybinė duomenų apsaugos inspekcija (VDAI) skyrė pirmąją 61 500 EUR baudą Lietuvoje veikiančiai įmonei už Bendrojo duomenų apsaugos reglamento (BDAR) 5, 32 ir 33 straipsnių pažeidimus.

 

VDAI, atsižvelgdama į gautą informaciją apie UAB „MisterTango“, teikiančią mokėjimo paslaugas tiek Lietuvos, tiek ir užsienio gyventojams bei įmonėms, atliko tyrimą dėl galimai paviešintų bankų klientų asmens duomenų bei galimai įvykusį asmens duomenų saugumo pažeidimą.

 

Atlikusi tyrimą VDAI nustatė, jog įmonė:

  1. Netinkamai tvarkė asmens duomenis. UAB „MisterTango“ tvarko (prieina, renka) daugiau asmens duomenų, negu pati nurodo esant būtina mokėtojo inicijuotam mokėjimui įvykdyti bei duomenis saugo ilgiau, negu pati yra nustačiusi bei nurodo esant reikalinga. Tokiais veiksmais buvo pažeistas BDAR 5 straipsnyje įtvirtintas skaidrumo principas, t. y. pareiga laikytis BDAR reikalavimų ir sugebėti tai įrodyti.
  2. Paviešino asmens duomenis. Internete keletą dienų buvo prieinamas tinklalapis su UAB „MisterTango“ apdorotų mokėjimų sąrašu, kuriame buvo matomi įvairių bankų įstaigų klientų atlikti mokėjimai per UAB „MisterTango“ mokėjimo iniciavimo paslaugų sistemą su tų klientų asmens duomenimis. Taip pat nustatyta, kad įmonėje saugos užtikrinimą ir valdymą bei visos įmonės IT infrastruktūros (techninės ir programinės) valdymą, diegimą ir priežiūrą vykdė vienas darbuotojas. Vienas darbuotojas vykdė tarpusavyje konkuruojančias funkcijas. Tokiais veiksmais UAB „MisterTango“ nepasirinko tinkamų techninių ar organizacinių priemonių, užtikrinančių asmens duomenų saugumą, taip buvo pažeisti BDAR 5 ir 32 straipsniai.
  3. Nepranešė apie saugumo pažeidimą. UAB „MisterTango“, nepranešdama apie viešai ir neteisėtai 2 dienas prieinamus asmens duomenis VDAI nepranešė, nors pagal BDAR toks incidentas yra laikomas duomenų saugumo pažeidimu, apie kurį ne vėliau kaip per 72 val. privalu pranešti. Tokiais veiksmai buvo pažeistas BDAR 33 straipsnis.

 

Skiriant įmonei 61 500 EUR administracinę baudą buvo atsižvelgta į įmonės metinę pasaulinę apyvartą. VDAI sprendimas yra neįsiteisėjęs ir gali būti skundžiamas teismui.

 

Šis VDAI sprendimas turėtų paskatinti įmones, kurios iki šiol nėra susitvarkiusios savo vidinių dokumentų pagal BDAR, suskubti tai padaryti. Primename, kad minimalūs dokumentai, turintys būti parengti ir praktiškai taikomi po BDAR įsigaliojimo, yra šie:

 

  1. Asmens duomenų tvarkymo taisyklės, kuriose įtvirtinami duomenų tvarkymo tikslai, pagrindai, asmens duomenų kategorijos, duomenų subjektų teisės ir jų įgyvendinimo tvarka, asmens duomenų pareigūno funkcijos, techninės ir organizacinės saugumo priemonės ir kt.;
  2. Pranešimai apie asmens duomenų tvarkymą, kuriuose pateikiama BDAR 13-14 straipsniuose nurodyta informacija (duomenų valdytojas, duomenų tvarkymo tikslai ir pagrindai, saugojimo terminas ir kt.);
  3. Jeigu įmonė savo tinklalapyje tvarko asmens duomenis – privatumo politika, kurioje pateikiama informacija, nurodyta BDAR 13-14 straipsniuose;
  4. Sutikimai dėl asmens duomenų tvarkymo (pvz.: dėl tiesioginės rinkodaros pranešimų siuntimo);
  5. Sutartis dėl asmens duomenų tvarkymo su duomenų tvarkytojais (pvz.: sutartis su IT priežiūrą vykdančia įmone ir pan.);
  6. Asmens duomenų veiklos įrašai (ne visoms įmonėms);
  7. Vaizdo stebėjimo politika (jeigu patalpose filmuojama) ir kt.

 

Dokumentų pobūdis ir kiekis priklauso nuo įmonės dydžio ir jos veiklos. Ne visoms įmonėms yra būtina pasirengti asmens duomenų veiklos įrašus, tačiau juos pasirengti rekomenduojama, siekiant įgyvendinti atskaitomybės principą, t. y. turint veiklos įrašus paprasčiau įrodyti, kad įmonė tinkamai tvarko asmens duomenis.

 

VDAI skirta bauda siunčia aiškią žinią, kad nebus toleruojami įmonių, kurios netinkamai tvarko asmens duomenis, veiksmai, todėl įmonės turėtų suskubti tinkamai pasirengti vidaus dokumentus.