Už BDAR pažeidimus programėlėje „Karantinas“ – bauda Nacionaliniam visuomenės sveikatos centrui ir jos kūrėjams

Triniti

Panašu, kad Valstybinė duomenų apsaugos inspekcija (VDAI) stebėdama bei reaguodama į rinka įgauna vis daugiau ryžto, o VDAI sprendimai tampa vis griežtesniais. 

Penktadienį pasirodė informacija, jog 2020 m. gegužės mėn. laikinai sustabdžius programėlės „Karantinas“ naudojimą, 2021 m. vasario mėn. po VDAI atlikto tyrimo Nacionaliniam visuomenės sveikatos centrui (NVSC) ir programėlę kūrusiai UAB „IT sprendimai sėkmei“ (IT sprendimai) skirtos baudos dėl Bendrojo duomenų apsaugos reglamento (BDAR) pažeidimų – 12 tūkst. EUR NVSC bei 3 tūkst. EUR IT sprendimams. 

Skelbiama, jog VDAI atlikto tyrimo metu buvo nustatyta, kad programėlei pradėjus veikti nuo 2020 m. balandžio mėn. buvo surinkti 677 asmenų duomenys. Ne visų asmenų duomenys buvo surinkti vienodos apimties, tačiau programėle numatyta tvarkyti tokius asmenų duomenis kaip identifikacijos numeris, platumos ir ilgumos koordinatės, šalis, miestas, savivaldybė, pašto kodas, gatvės pavadinimas, namo numeris, vardas, pavardė, asmens kodas, telefono numeris, adresas, 2-asis adresas, ar gyvenamoji vieta deklaruota Lietuvoje ir kita informacija. Pagal pateiktus duomenis nustatyta, kad programėlės duomenų tvarkymas buvo atliekamas ne tik Lietuvos teritorijoje, bet ir Europoje (Estija, Šveicarija ir t.t. ) ir už jos ribų (Indija, JAV ir t. t.).

Šį kartą suklusti verčia tai, kad vienas iš skirtų baudų dedamųjų buvo neatliktas Poveikio duomenų apsaugai vertinimas (PDAV), kuris šiuo atveju buvo būtinas, kadangi jautrius duomenis dideliu mastu tvarkyti ketinta pasitelkiant naują technologiją. Reikia pripažinti, kad ne retas verslas į šią BDAR numatytą pareigą vis dar žiūri pro pirštus, tuo tarpu jos svarba neabejotina – jei PDAV būtų atlikę kompetentingi specialistai, tikėtina, duomenų tvarkymo teisėtumo bei saugumo spragos būtų buvusios pastebėtos dar iki programėlės naudojimo pradžios bei baudų būtų pavykę išvengti. 

Taip pat įdomu, kad IT sprendimai, be kita ko, nubausti ir už tai, kad užuot tiksliai įvykdžiusi VDAI nurodymą stabdyti programėlės veikimą, bendrovė visus programėlės pagalba surinktus duomenis sunaikino, taip apsunkindama VDAI vykdomą tyrimą. 

Galiausiai, NVSC bei IT sprendimai kritikuoti dėl to, kad nė vienas tinkamai neprisiėmė atsakomybės bei neigė esantys programėlės pagalba surinktų duomenų valdytojais, t.y. savininkais. Inspekcija šiuo atveju vertino, kad jie veikė kaip bendri duomenų valdytojai. 

Skaitykite plačiau.