BDAR po metų: kokios pamokos ir kokios perspektyvos?

„Legal Watch“ – 2019 m. birželis.

2018 m. gegužės 25 d. įsigaliojo Bendrasis duomenų apsaugos reglamentas.

Šis naujas tekstas lėmė daugybę verslo praktikos pokyčių, tiek jų vidinės organizacijos, tiek bendravimo su klientais lygmeniu.

Nors duomenų apsauga teisinėje sistemoje įtvirtinta nuo 1978 m. Prancūzijoje ir nuo 1995 m. Europos lygmeniu, šis reglamentas suteikė naują postūmį šiam klausimui, kuris yra ir žmogaus teisė, ir ekonominis klausimas. Ir naujajame tekste numatytos finansinės baudos nėra neįprastos.

Kokia yra praktinė atitikties situacija, CNIL ir jos Europos partnerių veiksmai?

Prancūzijoje smarkiai padaugėjo skundų, pranešimų apie saugumą ir prašymų pateikti informaciją, siunčiamų CNIL. Gegužės pabaigoje priežiūros institucija paskelbė statistinę ataskaitą apie pirmuosius metus, kurioje pranešta apie daugiau nei 11 900 skundų (+30 %) ir 2 044 pranešimus apie duomenų saugumo pažeidimus. CNIL taip pat toliau tiria daugybę atvejų, kai kurie iš jų atliekami bendradarbiaujant su Europos kaimynais. Todėl ji dalyvauja 800 tarptautinių procesų.

Padėdama įmonėms laikytis reikalavimų, CNIL taip pat skyrė daugybę sankcijų. Panagrinėkime keletą iš jų atidžiau:

• Įspūdingiausia sankcija neabejotinai yra skirta „Google“ – rekordinė penkiasdešimties milijonų eurų suma.

• Dvi kitos, daug kuklesnės, sankcijos vis dėlto nusipelno ypatingo dėmesio, nes jos buvo pateiktos Valstybės Tarybai, kuri išnagrinėjo jų proporcingumą.

• Vienoje iš 2019 m. balandžio 17 d. bylų Valstybės taryba patvirtino 75 000 eurų baudą: po oficialaus CNIL pranešimo ir kelių pakartotinių prašymų Adef (Namų plėtros asociacija) vis dar nebuvo ištaisiusi saugumo spragos, kuri leido internetu pasiekti būsto pareiškėjų dokumentus. Laikas, kurio asociacija skyrė reikiamoms taisomosioms priemonėms įgyvendinti, buvo vienas iš lemiamų veiksnių Valstybės tarybai.

• Antruoju atveju, taip pat datuotu 2019 m. balandžio 17 d., Valstybės taryba sumažino CNIL skirtos baudos „Optical Center“ dydį: bendrovė iš tikrųjų per dvi dienas nuo CNIL pranešimo ištaisė saugumo spragą, kuri leido prieiti prie klientų sąskaitų per jos svetainę. Bauda buvo sumažinta nuo 250 000 iki 200 000 eurų.

• Šią trumpą apžvalgą užbaigsime naujausia 2019 m. birželio 13 d. sankcija, šį kartą reikšminga tuo, kad ji susijusi su labai maža įmone: „Uniontrad“ bendrovė buvo įdiegusi vaizdo stebėjimo sistemą, kuria jos darbuotojai buvo nuolat stebimi.

Šiuo atveju CNIL taip pat du kartus įspėjo bendrovę prieš oficialiai įpareigodama ją pakeisti savo praktiką, tačiau iki nustatyto termino pabaigos nebuvo imtasi reikiamų priemonių. Birželio 18 d. CNIL skyrė 20 000 eurų administracinę baudą, atsižvelgdama į bendrovės dydį ir finansinę padėtį.

Iš šių įvairių bylų padaryta išvada, kad sankcijos gali būti taikomos tiek tarptautinėms įmonėms, tiek mažesnėms įmonėms ar asociacijoms. Be to, visuose sprendimuose pabrėžiama duomenų valdytojo reagavimo svarba nustatant pažeidimą ir šio reagavimo įtaka galimos sankcijos dydžiui.

O kaip mūsų Europos kaimynai?

Visi rodikliai rodo, kad padaugėjo skundų ir duomenų apsaugos institucijų atliekamų tyrimų, taip pat padidėjo sankcijų dydis.

Visose Europos ekonominės erdvės duomenų apsaugos institucijose yra kiek daugiau nei 280 000 bylų, įskaitant maždaug 144 000 skundų ir 89 saugumo pažeidimus. Gegužės pabaigoje buvo tiriama 371 duomenų apsaugos institucija.

Vokietijos konsultacinės įmonės atnaujintas įvairių Europos lygmens sankcijų sąrašas suteikia bendrą priežiūros institucijų veiksmų apžvalgą: https://www.enforcementtracker.com.

Didžiausias baudas, be CNIL skirtos „Google“, skyrė Portugalija, kuri skyrė 400 000 eurų baudą ligoninei už pacientų duomenų neapsaugojimą; CNIL vėlgi skyrė 400 000 eurų baudą nekilnojamojo turto agentūrai; ir Ispanija už išmaniojo telefono programėlę, kuri slapta naudoja asmenų telefonų mikrofonus. Ispanijos profesionalų futbolo lyga už šį pažeidimą buvo nubausta 250 000 eurų bauda ir šį sprendimą apskundė.

Siekiant valdžios institucijų koordinavimo už BDAR ribų?

Svarbus naujas pokytis yra susijęs su valdžios institucijų bendradarbiavimu siekiant padidinti jų veiklos nuoseklumą ir veiksmingumą. Šios iniciatyvos ypač susijusios su duomenų apsaugos institucijomis, už konkurencijos klausimus atsakingomis institucijomis ir vartotojų apsaugos institucijomis.

Diskusijas, kurias 2016 m. inicijavo Europos duomenų apsaugos priežiūros pareigūnas kaip „skaitmeninės informacijos centro“ projekto dalį, dabar koordinuoja akademinis sektorius, o joms pritaria Europos Parlamento rezoliucija.

Projektas dabar suburia Europos ir kitų žemynų valdžios institucijas. Sukurta sinergija daugiausia dėmesio skiria asmenų apsaugai skaitmeninės ekonomikos ir „didžiųjų duomenų“ kontekste. 2019 m. birželio 5 d. susitikime dalyvavo 25 priežiūros institucijos iš Europos Sąjungos ir kitų šalių. Buvo aptarti du svarbūs klausimai, susiję su „Facebook“ ir „Microsoft“. Valdžios institucijos taip pat daugiausia dėmesio skiria paslaugų, už kurias mokama nepiniginiu atlygiu, kūrimui. Kitaip tariant, kiek galime priimti asmenis, mokančius savo duomenimis mainais už skaitmeninę paslaugą?

Konkrečių gairių šiuo klausimu tikimasi rudenį, po kito priežiūros institucijų posėdžio. Atsižvelgiant į skaitmeninės ekonomikos iššūkius, tai galėtų būti reikšmingas pokytis.

Taip pat:

• Prancūzijoje: CNIL internete skelbia naują savo įrankio versiją, skirtą padėti duomenų valdytojui atlikti poveikio analizę (AIPD).

• Europoje Griežtesnio elektroninės žvalgybos taisyklių aiškinimo link? Kelios priežiūros institucijos paskelbė, kad peržiūri savo aiškinimą dėl duomenų subjektų sutikimo gavimo ir slapukų. Tarp jų – Belgija, Prancūzija, Jungtinė Karalystė ir Nyderlandai. Reikėtų pažymėti, kad Europos duomenų apsaugos valdyba 2018 m. gegužės mėn. pranešime spaudai jau buvo aiškiai nurodžiusi prieš „slapukų sienų“, kurios prieiga prie svetainės priklauso nuo lankytojų sutikimo, naudojimą.

• pasaulyje: Siekdamas įvertinti algoritmus reglamentuojančio įstatymo poreikį, JAV Senato Prekybos komitetas birželio 25 d. vykusiame posėdyje išnagrinėjo, kaip tokios įmonės kaip „Google“, „YouTube“ ir „Facebook“ naudoja dirbtinį intelektą, kad paveiktų...