Kaip žinia, 2018 m. gegužės 25 d. Lietuvoje, kaip ir kitose Europos Sąjungos valstybėse narėse, bus pradėtas taikyti Bendrasis duomenų apsaugos reglamentas (BDAR). Tarp organizacijų jaučiama įtampą dėl pasiruošimo taikyti naujas duomenų tvarkymo taisykles. Be jokios abejonės, organizacijoms nemažai nerimo kelia didėjančios baudos, todėl pateikiame išsamesnės informacijos dėl baudų ir kitų poveikio priemonių.
Maksimalios baudos pagal BDAR
Asmens duomenų apsaugai Lietuvoje – daugiau kaip 20 metų. Visą šį laiką asmens duomenų tvarkymas profesiniais tikslais buvo reguliuojamas Asmens duomenų teisinės apsaugos įstatymu, kuris privalomas visoms organizacijoms ir asmenims, tvarkantiems asmens duomenis profesiniais tikslais, taigi tiek smulkiam ir vidutiniam verslui, didelėms įmonėms, valstybės institucijoms, advokatams, notarams, antstoliams ir kt. Anksčiau stebėtas palyginti atsainus kai kurių organizacijų požiūris į asmens duomenų tvarkymą, saugumo užtikrinimą, pagarbą žmogaus teisėms, tačiau kartu su BDAR atėjimu jau dabar pastebimi organizacijų kultūros pokyčiai dėl asmens duomenų apsaugos. Tikėtina, kad tam įtakos turi ir BDAR numatytos sankcijos. Pažeidus BDAR nuostatas, gali būti skiriamos administracinės baudos, kurios kiekvienu konkrečiu atveju turi būti veiksmingos, proporcingos ir atgrasomos. Taigi bauda gali siekti iki 2–4 proc. ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, arba iki 10 000 000–20 000 000 EUR. Reikėtų atkreipti dėmesį, kad tai maksimalios baudos, tačiau žemutinė baudų riba gali būti bet kuri minimali skaitinė išraiška.
Iki BDAR baudos Lietuvoje buvo ypač mažos
Žinoma, šiuo atveju reikėtų pabrėžti, kad ilgą laiką Lietuvoje baudos dėl netinkamo asmens duomenų tvarkymo ar pažeidimų buvo mažos. Už asmens duomenų apsaugos pažeidimus baudos organizacijoms numatytos Administracinių nusižengimų kodekse. Baudos asmenims siekia 150–1200 Eur, juridinių asmenų vadovams ar kitiems atsakingiems asmenims – 300–3000 Eur. Kai kurios valstybės narės jau ir anksčiau skirdavo žymiai didesnes baudas, kurios neretai apskaičiuotos procentinėmis dalimis nuo organizacijos metinio biudžeto, apyvartos ar panašiai, taigi BDAR šias skirtingas praktikas vienodins ir kilstelės baudų kartelę, siekiant efektyvesnės asmens duomenų apsaugos ir geresnio žmogaus teisių užtikrinimo.
Viešojo sektoriaus institucijoms ne visais atvejais bus taikomos mažesnės baudos Lietuva pasinaudojo BDAR numatyta galimybe nustatyti mažesnes baudas viešajam sektoriui, atsižvelgiant į tai, kad jos būtų skiriamos iš to paties valstybės biudžeto. Tik Lietuvai būdingos tam tikros asmens duomenų tvarkymo nuostatos bus numatytos Asmens duomenų teisinės apsaugos įstatyme, jo projektas yra pateiktas Seimui ir, tikimasi, netrukus bus priimtas. Taigi Asmens duomenų teisinės apsaugos įstatyme viešajam sektoriui numatytos baudos iki 0,5–1 proc. metinio biudžeto, bet ne daugiau kaip iki 30–60 tūkst. Eur.
Atkreiptinas dėmesys, kad tuo atveju, jeigu valstybės institucija užsiima komercine veikla, tai jai atsakomybė bus taikoma kaip privatiems juridiniams asmenims, o ne kaip viešajam sektoriui.
Pagrindinis VDAI tikslas – ne bausti
Pradėjus taikyti BDAR nuostatas 2018 m. VDAI tęs planuotus prevencinius tikrinimus, numatytus specialiame plane, taip pat tikrinimus atliksime gavę pranešimus ar signalų dėl duomenų saugumo pažeidimų, neabejotinai bus tęsiama ir skundų nagrinėjimo veikla. Atlikus tikrinimus ir nustačius pažeidimų bus taikomos vienokios ar kitokios poveikio priemonės. Reikėtų atkreipti dėmesį, kad BDAR numatyta ne tik baudos, bet ir kitų sankcijų. VDAI galės teikti nurodymus dėl pažeidimų ištaisymo, skirti įspėjimus, papeikimus, nustatyti laikiną arba galutinį draudimą tvarkyti duomenis ir kt.
VDAI sankcijų skyrimo klausimais laikysis teisės aktų reikalavimų. Kiekvienas atvejis bus vertinamas atskirai, taikant sankcijas bus atsižvelgiama ir į galimus neaiškumus dėl tam tikrų BDAR nuostatų. VDAI patars, nurodys ištaisyti BDAR reikalavimų neatitikimus. Kai kuriais atvejais sprendimai bus priimami netgi ES lygiu Europos duomenų apsaugos valdyboje, formuosis bendra europinė baudų skyrimo praktika.
VDAI, kaip asmens duomenų apsaugos priežiūros institucijos Lietuvoje, tikslas – ne bausti organizacijas, bet užtikrinti žmonių, kaip duomenų subjektų, teisių apsaugą.
Taigi, po gegužės 25-osios, kaip ir iki šiol, VDAI konsultuos, patars organizacijoms įvairiais duomenų tvarkymo klausimais. Kita vertus, organizacijos negalėtų tikėtis nuolaidų piktybiško veikimo atveju, kai pažeidžiamos esminės BDAR nuostatos ar nesilaikoma asmens duomenų apsaugos reikalavimų, galiojusių jau 20 metų.
Kol kas VDAI veiklos statistika rodo, kad Lietuvoje baudų už duomenų apsaugos pažeidimus skiriama palyginti nedaug – iš 2017 m. išnagrinėtų 490 skundų, 64 atvejais surašyti administraciniai teisės pažeidimų protokolai ir paskirtos baudos.
Informacijos šaltinis: www.ada.lt.
Savo klausimus, pasiūlymus ar pastabas galite tiesiogiai siųsti Teisinių paslaugų portalui JURISTAI24.LT elektroniniu paštu info@juristai24.lt.Dėl privačios konsultacijos, dokumentų parengimo ar kitų teisinių paslaugų galite tiesiogiai kreiptis telefonu 8 624 83459. Anonimiškumas garantuojamas.
Pastaba. JURISTAI24.LT teisės naujienų skyrelyje talpinamos informacijos atžvilgiu yra informacijos perdavėjas, bet ne jos autorius.
Daugiau informacijos interneto tinklalapyje www.juristai24.ltir socialinio tinklo „Facebook“ paskyroje www.facebook.com/juristai24.lt.
Šio straipsnio komentuoti neleidžiama!