Valstybinė duomenų apsaugos inspekcija (VDAI) nustatė net trijų BDAR straipsnių pažeidimus ir dėl to elektroninių pinigų įstaigai skyrė pirmąją baudą Lietuvoje.
Vertinant VDAI poziciją, išdėstytą pristatant atliktą tyrimą ir skirtą baudą, tikslinga fiksuoti vieną pagrindinių siunčiamų žinių – bendrovėms neužtenka BDAR reikalavimus įgyvendinti „popieriuje“. Svarbu laikytis asmens duomenų tvarkymo „higienos”, t. y. ne tik nusistatyti vidinius teorinius reikalavimus, tačiau būtina skirti dėmesio ir užtikrinti realų jų įgyvendinimą kasdienybėje bei gebėti tai įrodyti.
Be kita ko, kiekvienam verslui, savo veikloje tvarkančiam asmens duomenis, yra būti užtikrinti tinkamą duomenų saugumo pažeidimų prevenciją, o kilus incidentams – tinkamai į juos reaguoti ir suvaldyti kilusias pasekmes bei anuliuoti (mažinti) rizikas. Taip pat – patartina geranoriškai komunikuoti su priežiūros funkciją atliekančia valstybine institucija, kai ta komunikacija yra būtina.
Pirmosios baudos pagal BDAR Lietuvoje skyrimą lėmė tai, jog VDAI tyrimo metu buvo nustatytas duomenų saugumo pažeidimas ir apie jį elektroninių pinigų įstaiga neinformavo priežiūros institucijos. VDAI nustatė, kad internete buvo paviešintas mokėjimų sąrašas, kuriame fiksuoti įvairių bankų įstaigų klientų atlikti mokėjimai (atlikti per baudą gavusios bendrovės valdomą mokėjimo inicijavimo paslaugų sistemą) su tų klientų asmens duomenimis. Buvo matomi daugiau kaip 9 000 momentinių ekrano vaizdų su 12 skirtingų bankų, esančių skirtingose valstybėse, klientų mokėjimo sesijų detalių puslapiais. Tačiau baudą gavusi bendrovė apie tokį incidentą VDAI neinformavo, nors tokią pareigą jai numato BDAR.
Tyrimo metu VDAI taip pat nustatė, jog elektroninių pinigų įstaigoje nebuvo taikytos tinkamos techninės bei organizacinės priemonės, kurios padėtų užtikrinti pavojų atitinkančio lygio saugumą, įskaitant apsaugą nuo neteisėto asmens duomenų tvarkymo.
Aiškinant skiriamą baudą, VDAI papildomai akcentavo, jog bendrovėje saugos užtikrinimą ir valdymą bei visos įmonės IT infrastruktūros valdymą vykdė vienas darbuotojas. Tai reiškia, jog tas pats darbuotojas iš esmės vykdė tarpusavyje konkuruojančias funkcijas, todėl negalėjo būti užtikrinta tinkama kontrolė bei atskaitomybė.
Tokia VDAI pozicija tik dar kartą įrodo, jog tinkamos techninės ir organizacinės priemonės, gebančios užtikrinti tinkamą saugumo lygį asmens duomenų tvarkymo apimtyje, yra itin svarbus BDAR atitikties komponentas.
VDAI taip pat nustatė, jog elektroninių pinigų įstaiga konkrečiu tikslu tvarkė daugiau asmens duomenų, negu pati nurodė (konkrečiu atveju – mokėtojo inicijuoto mokėjimo įvykdymo tikslu buvo tvarkomi pertekliniai duomenys, kurie nebuvo būtini atitinkamam tikslui pasiekti).
Primintina, kad BDAR numato vieną esminių asmens duomenų tvarkymo principų, t. y., kad kiekvienu atveju asmens duomenys privalo būti tvarkomi adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi (duomenų kiekio mažinimo principas). Tai, kad skirdama pirmąją baudą VDAI akcentavo būtent šį principą, suteikia esminę pamoką visiems asmens duomenų valdytojams – privaloma iš anksto identifikuoti, kokius asmens duomenis kokiu konkrečiu tikslu yra būtina tvarkyti, bei griežtai atsisakyti perteklinio asmens duomenų praktinio tvarkymo.
Pažymėtina ir tai, jog baudą gavusi elektroninių pinigų įstaiga asmens duomenis saugojo ilgiau nei pati buvo nusistačiusi ir nurodžiusi kaip pagrįstą saugojimo terminą. Konkrečiu atveju asmens duomenys buvo saugomi 216 dienų, vietoje nustatytų 10 minučių.
Šis VDAI nustatytas pažeidimas patvirtino, jog bendrovių veikloje itin svarbu laikytis asmens duomenų tvarkymo „higienos”, t. y. ne tik vidiniuose bendrovės dokumentuose nusistatyti teorinius asmens duomenų tvarkymo terminus, tačiau skirti dėmesio jų kasdieniam įgyvendinimui ir gebėti užtikrinti, jog visos taikytinos BDAR nuostatos bendrovėje būtų įgyvendinamos ne tik teoriniu, bet ir praktiniu lygmeniu.
Būtina nepamiršti, jog pirmoji elektroninių pinigų įstaigai pagal BDAR taikyta bauda nėra galutinė, nes šį VDAI sprendimą elektroninių pinigų įstaiga gali skųsti Administracinių bylų teisenos įstatymo nustatyta tvarka. Tad didžiulė tikimybė, kad šioje istorijoje taškas dar nededamas.
Kristina Rišytė-Augustinaitienė yra „AAA Law“ teisininkė
