2018 m. asmens duomenų apsaugos priežiūros Lietuvoje apžvalga

2018 m. visoje Europoje įvykę reikšmingi pokyčiai asmens duomenų apsaugos srityje daugiausia paremti naujomis asmens duomenų apsaugos taisyklėmis – Bendruoju duomenų apsaugos reglamentu (BDAR), kuris pradėtas taikyti 2018 m. gegužės 25 d. Šie pokyčiai reikšmingi Lietuvos žmonėms, kurių teisės saugomos ir ginamos, įmonėms, įstaigoms, kitoms organizacijoms ir asmenims, su profesija susijusiais tikslais tvarkantiems asmens duomenis, ir šios srities priežiūros institucijoms.

Valstybinė duomenų apsaugos inspekcija (VDAI) yra viena iš asmens duomenų apsaugos priežiūros institucijų Lietuvoje. Jos uždaviniai: prižiūrėti duomenų valdytojų veiklą tvarkant asmens duomenis; kontroliuoti asmens duomenų tvarkymo teisėtumą; užkirsti kelią asmens duomenų tvarkymo pažeidimams; užtikrinti duomenų subjektų teisių apsaugą.

2018 m. VDAI didelį dėmesį skyrė su asmens duomenų apsaugos reforma susijusio prioriteto – „Veiksmingos duomenų apsaugos priežiūros sistemos pagal BDAR sukūrimas“ įgyvendinimui. VDAI direktoriaus Raimondo Andrijausko teigimu: „Yra tekę susidurti su ne itin palankiu požiūriu į asmens duomenų apsaugos reformą, tačiau norėtųsi pabrėžti šių pokyčių pozityviąją pusę. Duomenų apsaugos reforma skirta kiekvienam iš mūsų, jos teikiama nauda – žmonės skatinami pasitikėti skaitmeninėmis paslaugomis, o įmonės, tinkamai tvarkydamos asmens duomenis, įgyja jomis pasitikinčius klientus“. Naujasis reguliavimas padeda įtvirtinti priemones, užtikrinančias saugesnį asmens duomenų tvarkymą tiek Lietuvoje, tiek peržengiant valstybių sienas, pavyzdžiui, perkant prekes iš kitose valstybėse įsikūrusių elektroninių parduotuvių.

Asmens duomenų apsaugos reformą 2018 m. VDAI vykdė lygiagrečiai su nuolatinėmis savo veiklomis, kurios praėjusiais metais dėl BDAR sukelto proveržio asmens duomenų apsaugos srityje daugeliu atvejų viršijo planuotus rodiklius. Toliau pateikiama trumpa 2018 m. VDAI veiklos statistika.

Prevenciniai tikrinimai. 2018 m. atliktas 141 prevencinis tikrinimas (2017 m. – 91, 2016 m. – 84). Sektoriniai tikrinimai atlikti sveikatos priežiūros organizacijose, pagal BDAR patikrinta 12 didžiųjų bendrovių, veikiančių maisto, namų apyvokos prekių parduotuvių ir vaistinių sektoriuje dėl tiesioginės rinkodaros ir lojalumo programų.

(NAUJOVĖ) Duomenų apsaugos pareigūnų registravimas. 2018 m. VDAI apie duomenų apsaugos pareigūno paskyrimą pranešė 1 470 organizacijų, iš jų 760 viešųjų juridinių asmenų ir 710 privačių juridinių asmenų. Iš jų daugiausia besiverčiančių šiomis veiklomis:

– Valstybės institucijų ir įstaigų veikla – 268;
– Prekių ir paslaugų veikla – 526;
– Finansų paslaugų veikla – 77;
– Švietimo ir kultūros veikla – 281;
– Sveikatos priežiūros veikla – 182;
– Teisėsaugos ir teisėtvarkos veikla – 11;
– Kita veikla – 125.

(NAUJOVĖ) Pranešimai apie duomenų saugumo pažeidimus. 2018 m. VDAI gavo 100 pranešimų apie duomenų saugumo pažeidimus (2017 m. – 7, 2016 m. – 8). Iš jų 93 – po gegužės 25 d. Daugiausia pranešimus pateikė įmonės ir įstaigos, vykdančios prekių ir paslaugų veiklą (29 atvejai), valstybės institucijos ir įstaigos (23), vykdančios finansų paslaugų veiklą (17), elektroninių ryšių paslaugų ar tinklų teikėjų veiklą (7), sveikatos priežiūros veiklą (3 atvejai), švietimo ir kultūros veiklą (1), kitą veiklą (20). Baigus 68 tikrinimus dėl duomenų saugumo pažeidimų 2 atvejais pateikti nurodymai, 2 – rekomendacijos, 14 – pažeidimų nenustatyta, 10 – pažeidimai pašalinti tikrinimo metu, 40 atvejų priimtas sprendimas taikyti kitas priemones. Daugiausia pranešimų gauta dėl tokių aplinkybių kaip duomenų paviešinimas (56 atvejai), praradimas (11 atvejų), taip pat vagystė (6), duomenų iškraipymas (4), nukopijavimas (3) ir 20 kitų atvejų. Pradėjus taikyti BDAR duomenų saugumo pažeidimai tapo aktualūs visiems viešojo ir privataus sektoriaus atstovams. Pažeidimą patyrusi organizacija pirmiausia turi imtis veiksmų pažeidimui pašalinti ir dokumentuoti, o kai kuriais BDAR nurodytais atvejais apie tokį pažeidimą per 72 valandas nuo sužinojimo privaloma pranešti VDAI arba ir patiems žmonėms.

(PANAIKINTA) Registracija. Pradėjus taikyti BDAR nebeaktuali tapo duomenų valdytojų registravimo veikla. Asmens duomenų valdytojų valstybės registras uždarytas, įmonės ir organizacijos nebeturi pareigos pranešti VDAI apie tvarkomus asmens duomenis, tačiau pačios turi pasirūpinti, kad užtikrintų atitiktį BDAR.

(PANAIKINTA) Išankstinė patikra. Pagal naują asmens duomenų apsaugos teisinį reguliavimą VDAI nebevykdo ir išankstinės patikros procedūrų.

Asmenų skundų nagrinėjimas. 2018 m. gauta 859 skundai (2017 m. – 480, 2016 m. – 443), iš jų 641 skundas dėl privataus sektoriaus veiksmų, 97 dėl valstybės institucijų, 76 dėl kitų institucijų, 26 atvejais skundžiamasis asmuo nenurodytas. Nuo gegužės 25 d., kai pradėtas taikyti BDAR, skundų teikimas ypač suaktyvėjo. Nuo gegužės 25 d. buvo gauti 555 skundai. Iš VDAI gaunamų skundų statistikos matyti, kad tiesioginė rinkodara vis dar išlieka labiausiai žmones trikdanti asmens duomenų tvarkymo veikla. Taip pat 2018 m. asmenys aktyviai skundėsi dėl vaizdo duomenų tvarkymo teisėtumo, duomenų tvarkymo internete, paslaugų sektoriuje ir skolininkų duomenų tvarkymo. 2018 m. taikytos įvairios sankcijos pagal Asmens duomenų teisinės apsaugos įstatymą (ADTAĮ) ir BDAR, tačiau baudų pagal BDAR dar nebuvo skirta.

Iš viso per 2018 m. išnagrinėta 619 skundų, taikytos sankcijos:
– 141 nurodymas;
– 37 administracinių nusižengimų protokolai;
– 7 papeikimai;
– 98 pažeidimų nenustatyta.

Teisės aktų rengimas. 2018 m. VDAI parengė 14 teisės aktų (2017 m. – 7, 2016 m. – 7), t. y. VDAI direktoriaus įsakymai, daugiausia dėl veiklos tobulinimo ar pasikeitimų, susijusių su BDAR taikymu:

Teisės aktų projektų derinimas. 2018 m. VDAI, vykdydama teisės aktais pavestą teisės aktų derinimo funkciją, pagal kompetenciją pateikė savo pastabas ir pasiūlymus 623 (2017 m. – 328, 2016 m. – 422) teisės aktų (įstatymų, įsakymų, informacinių sistemų ir registrų nuostatų, Lietuvos Respublikos Vyriausybės nutarimų ir kt.) projektams.

Konsultavimas. 2018 m. VDAI suteikė 6 298 konsultacijas (2017 m. – 5 696, 2016 m. – 5 396). Iš jų 4 234 įmonėms ir įstaigoms ir 1 064 konsultacijas žmonėms. 2018 m. įvairios organizacijos daugiausia domėjosi asmens duomenų apsaugos reforma. Iki 2018 m. gegužės 25 d. dėl to suteiktos 1 589 konsultacijos, dėl asmens duomenų tvarkymo teisėtumo – 517, kaip tinkamai pateikti pranešimą apie asmens duomenų tvarkymą automatiniu būdu – 368, dėl vaizdo stebėjimo teisėtumo – 232, dėl asmens duomenų teikimo teisėtumo – 217 ir kitos temos. Nuo gegužės 25 d. daugiausia konsultacijų organizacijoms suteikta dėl BDAR, ADTAĮ taikymo ir VDAI kompetencijos – 403, dėl asmens duomenų tvarkymo teisėtumo – 305, dėl vaizdo stebėjimo – 173, dėl asmens duomenų teikimo teisėtumo – 160, dėl duomenų apsaugos pareigūno – 159.

Visuomenės informavimas. 2018 m. parengė 233 visuomenės informavimo priemones (2017 m. – 136, 2016 m. – 127). Visuomenė ypač domėjosi asmens duomenų apsaugos reformos temomis. Žiniasklaidai informacija teikta 124 atvejais, 56 kartus dalyvauta ar duota interviu televizijos ar radijo laidose. VDAI paskelbė 31 naujieną interneto svetainėje aktualiomis temomis, parengė 9 pranešimus spaudai.

Renginiai. 2018 m. VDAI atstovai dalyvavo 63 renginiuose. Juose apsilankė 4 720 suinteresuotų asmenų, buvo parengti 77 pranešimai (2017 m. – 33, 2016 m. – 19). Daugiausia verslo ir viešojo sektoriaus bendruomenės informuotos apie asmens duomenų apsaugos reformą ir pasikeitusius šios srities reikalavimus.

Metodinės pagalba. 2018 m. VDAI parengė 12 metodinių dokumentų:

– Tinkamų organizacinių ir techninių duomenų saugumo priemonių įgyvendinimo gairės asmens duomenų valdytojams ir tvarkytojams;
– Rekomendacija smulkiajam ir vidutiniam verslui dėl Bendrojo duomenų apsaugos reglamento taikymo;
– Pavyzdinė poveikio duomenų apsaugai atlikimo forma;
– Rekomendacija dėl asmens duomenų saugumo pažeidimų nustatymo, tyrimo, pranešimo apie juos ir dokumentavimo tvarkos;
– Rekomendacija dėl reikalavimų teisės aktų projektams, kuriais reglamentuojamas asmens duomenų tvarkymas;
– Rekomendacija dėl duomenų tvarkymo veiklos įrašų;
– DUK „Dėl Bendrojo duomenų apsaugos reglamento taikymo juridinio asmens valdymo organų narių duomenų tvarkymui“;
– DUK „Ar BDAR nuostatos taikomos fiziniam asmeniui, paskelbusiam kito asmens duomenis socialiniuose tinkluose?“;
– DUK „Kaip duomenų valdytojui informuoti apie vykdomą vaizdo stebėjimą informacinėje lentelėje?“;
– Tikrinimų savivaldybių administracijose dėl asmens duomenų skelbimo interneto svetainės dalyje, susijusioje su vykdomu teritorijų planavimu, rezultatų apibendrinimas;
– Tikrinimų dėl asmens duomenų gavimo iš nekilnojamojo turto registro teisėtumo, rezultatų apibendrinimas;
– Asmens duomenų tvarkymo tiesioginės rinkodaros ir lojalumo programos tikslais teisėtumo patikrinimų rezultatų apibendrinimas.

Tarptautinių įsipareigojimų vykdymas. 2018 m. VDAI suteikė 6 leidimus teikti asmens duomenis į trečiąsias valstybes. 5 atvejais tokius leidimus išduoti atsisakyta. 2018 m. 13 atvejų VDAI vertino, ar įmonės vadovaujasi įmonei privalomomis taisyklėmis (angl. BCR).

2018 m. VDAI nagrinėjo ir parengė 54 išvadas dėl Lietuvos Respublikos nuolatinės atstovybės, ministerijų ir kitų valstybės institucijų per LINESIS sistemą gautų Europos Komisijos ir Europos Tarybos darbo grupių ir (arba) komitetų rengiamų dokumentų projektų. Taip prisidėta prie Europos Sąjungos teisės aktų rengimo, ir Europos Sąjungos Teisingumo Teisme svarstomų bylų.

2018 m. VDAI ruošdamasi Šengeno vertinimui atliko asmens duomenų tvarkymo teisėtumo patikrinimą Lietuvos Respublikos ambasadoje Azerbaidžano Respublikai ir Turkmėnistanui.

2018 m. VDAI atsakė į 27 Europos Tarybos Konvencijos dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu (ETS Nr. 108) šalių paklausimus.

2018 m. VDAI atstovai dalyvavo 16 tarptautinių asmens duomenų apsaugos darbo grupių susitikimų, siekdama būti pilnaverte tarptautinio bendradarbiavimo partnere asmens duomenų apsaugos srityje, suaktyvino tarptautinio bendradarbiavimo veiklą ir skyrė daugiau dėmesio atstovauti Lietuvai su asmens duomenų apsauga susijusių darbo grupių veikloje. 2018 m. Inspekcija dalyvavo 2 Direktyvos 95/46/ EB 29 straipsnio darbo grupės ir 7 Europos duomenų apsaugos valdybos posėdžiuose, 1 Šengeno priežiūros koordinavimo grupės, 1 Eurodac priežiūros koordinavimo grupės ir 1 Vizų priežiūros koordinavimo grupės posėdyje ir 4 kitų darbo grupių susitikimuose. 

VDAI padeda ginti ir saugoti Lietuvos piliečių teises į asmens duomenų apsaugą ir privatumą. 2018 m. Lietuvoje stebėta situacija, kad net nepradėjus taikyti naujo asmens duomenų apsaugos teisinio reguliavimo, visuomenėje asmens duomenų apsaugos reforma sukėlė milžinišką efektą. Organizacijos buvo priverstos pasitempti, peržvelgti savo veiklos prioritetus, įsivertinti asmens duomenų tvarkymą, diegti naują požiūrį ir formuoti asmens duomenų tvarkymo kultūrą savo viduje. Su naujuoju asmens duomenų apsaugos reguliavimu žengtas didelis žingsnis, siekiant geriau apsaugoti žmonių teises ir asmens duomenis. Nemažai įmonių ir įstaigų peržiūrėjo ir stengiasi tobulinti su asmens duomenų tvarkymu susijusius procesus. Visuomenė tapo sąmoningesnė ir labiau informuota apie savo teises bei galimas rizikas, susijusias su jų asmens duomenų tvarkymu. BDAR taikymas ir tinkamas įsisavinimas suteikia mūsų valstybei konkurencingumo privilegijų bendroje pasaulinėje rinkoje.

Platesnė 2018 m. VDAI veiklos informacija pateikta metų ataskaitoje čia: https://www.ada.lt/go.php/lit/Veiklos-ataskaitos.

Pranešimą paskelbė: Raminta Sinkevičiūtė-Šečkuvienė, Valstybinė duomenų apsaugos inspekcija