Norvegijos duomenų apsaugos tarnyba skyrė 10 000 eurų (100 000 NOK) baudą „Aquateknikk AS“ už tai, kad ši įmonė tvarkė asmens duomenis kredito reitingui sudaryti be teisinio pagrindo. Šis atvejis išaiškėjo tuomet, kai asmuo, kurio kredito reitingas buvo sudarytas šiam imant paskolą, sužinojo, kad jam kredito reitingą sudarė įmonė, kurios klientu jis nėra ir neturi su ja jokių kitų ryšių, tuo pačiu ir neturi teisinio pagrindo tokius duomenis apie asmenį tvarkyti. Duomenų apsaugos pareigūnas Allawsupažindina, kokie pažeidimai buvo padaryti ir kaip jų išvengti.
Duomenų tvarkymas neturint tam pagrindo
Bendrojo duomenų apsaugos reglamento (toliau - BDAR) 6 str. numato, kad viena iš asmens duomenų tvarkymo teisėtumo sąlygų yra duomenų tvarkymas turint tam pagrindą, pvz., vadovaujantis sutartimi, asmens sutikimu, teisėtais interesais ar pan. Atlikdama tyrimą, Norvegijos duomenų apsaugos tarnyba padarė išvadą, kad kredito reitingai buvo atlikti be teisinio pagrindo, pažeidžiant BDAR reikalavimus.
Kredito reitinge kaupiami asmens duomenys iš daugelio skirtingų šaltinių, siekiant nurodyti, kiek tikėtina, kad asmuo galės sumokėti tai, ką yra pasiskolinę. Į kredito reitingą taip pat įtraukiama išsami informacija apie asmens finansinę padėtį, pavyzdžiui, skolų ir pajamų santykis, mokėjimo pastabos ir asmens hipotekos, jei tokių yra. Tačiau įmonė neturėjo teisėtų interesų atlikti skundą pateikusio asmens kredito reitingą.
Nepakankamas teisinių reikalavimų išmanymas ir pamokos kitiems duomenų valdytojams
Kaip atlikusi tyrimą pažymėjo Norvegijos priežiūros institucija: „kadangi kredito reitingas apima išsamią informaciją apie asmeninę finansinę situaciją, labai įkyriai jaučiasi, kai organizacija neteisėtai gauna prieigą prie šios informacijos“. Vadovaujantis Norvegijos priežiūros institucijos praktika, daugelis skundų dėl kredito reitingo yra pagrįsti, nes daugelis organizacijų neturi pakankamai žinių apie teisinius reikalavimus asmens duomenų tvarkymui. Tokio pobūdžio situacijos pripažįstamos rimtais duomenų subjektų teises ir laisves veikiančiais pažeidimais, už kuriuos skiriamos baudos. Lietuvoje, vadovaujantis Valstybinės duomenų apsaugos inspekcijos (toliau - VDAI) patvirtintu prevencinių patikrinimų planu 2021 metams, bus tikrinamos būtent finansinius duomenis tvarkančios ir finansines paslaugas teikiančios institucijos.
Tad į ką reikia atkreipti dėmesį siekiant nekartoti Norvegijos įmonės klaidų?
Ko gali pasimokyti kiti duomenų valdytojai?
Atsižvelgiant į Norvegijos priežiūros institucijos nustatytus pažeidimus, duomenų valdytojai, įskaitant ir Lietuvoje, turėtų:
Organizuoti darbuotojams asmens duomenų tvarkymo ir apsaugos mokymus, kurie apimtų tokias temas, kaip duomenų tvarkymo principai, duomenų tvarkymo teisėtumo sąlygos, duomenų saugumo priemonių taikymas ir pan.,
Vykdyti tvarkomų asmens duomenų inventorizaciją, kurios metu nustatytų, kokie asmens duomenys, kokiais pagrindais ir kokiais tikslais yra tvarkomi,
Dokumentuoti duomenų tvarkymo pagrindus, pvz., Asmens duomenų tvarkymo taisyklėse, duomenų tvarkymo veiklos įrašuose.
Norvegijos duomenų apsaugos tarnyba skyrė 10 000 Eur baudą už kedito reitingo duomenų tvarkymą neturint tam pagrindo
Norvegijos duomenų apsaugos tarnyba skyrė 10 000 eurų (100 000 NOK) baudą „Aquateknikk AS“ už tai, kad ši įmonė tvarkė asmens duomenis kredito reitingui sudaryti be teisinio pagrindo. Šis atvejis išaiškėjo tuomet, kai asmuo, kurio kredito reitingas buvo sudarytas šiam imant paskolą, sužinojo, kad jam kredito reitingą sudarė įmonė, kurios klientu jis nėra ir neturi su ja jokių kitų ryšių, tuo pačiu ir neturi teisinio pagrindo tokius duomenis apie asmenį tvarkyti. Duomenų apsaugos pareigūnas Allaw supažindina, kokie pažeidimai buvo padaryti ir kaip jų išvengti.
Duomenų tvarkymas neturint tam pagrindo
Bendrojo duomenų apsaugos reglamento (toliau - BDAR) 6 str. numato, kad viena iš asmens duomenų tvarkymo teisėtumo sąlygų yra duomenų tvarkymas turint tam pagrindą, pvz., vadovaujantis sutartimi, asmens sutikimu, teisėtais interesais ar pan. Atlikdama tyrimą, Norvegijos duomenų apsaugos tarnyba padarė išvadą, kad kredito reitingai buvo atlikti be teisinio pagrindo, pažeidžiant BDAR reikalavimus.
Kredito reitinge kaupiami asmens duomenys iš daugelio skirtingų šaltinių, siekiant nurodyti, kiek tikėtina, kad asmuo galės sumokėti tai, ką yra pasiskolinę. Į kredito reitingą taip pat įtraukiama išsami informacija apie asmens finansinę padėtį, pavyzdžiui, skolų ir pajamų santykis, mokėjimo pastabos ir asmens hipotekos, jei tokių yra. Tačiau įmonė neturėjo teisėtų interesų atlikti skundą pateikusio asmens kredito reitingą.
Kaip atlikusi tyrimą pažymėjo Norvegijos priežiūros institucija: „kadangi kredito reitingas apima išsamią informaciją apie asmeninę finansinę situaciją, labai įkyriai jaučiasi, kai organizacija neteisėtai gauna prieigą prie šios informacijos“. Vadovaujantis Norvegijos priežiūros institucijos praktika, daugelis skundų dėl kredito reitingo yra pagrįsti, nes daugelis organizacijų neturi pakankamai žinių apie teisinius reikalavimus asmens duomenų tvarkymui. Tokio pobūdžio situacijos pripažįstamos rimtais duomenų subjektų teises ir laisves veikiančiais pažeidimais, už kuriuos skiriamos baudos. Lietuvoje, vadovaujantis Valstybinės duomenų apsaugos inspekcijos (toliau - VDAI) patvirtintu prevencinių patikrinimų planu 2021 metams, bus tikrinamos būtent finansinius duomenis tvarkančios ir finansines paslaugas teikiančios institucijos.
Plačiau skaitykite čia.
Tad į ką reikia atkreipti dėmesį siekiant nekartoti Norvegijos įmonės klaidų?
Atsižvelgiant į Norvegijos priežiūros institucijos nustatytus pažeidimus, duomenų valdytojai, įskaitant ir Lietuvoje, turėtų:
Organizuoti darbuotojams asmens duomenų tvarkymo ir apsaugos mokymus, kurie apimtų tokias temas, kaip duomenų tvarkymo principai, duomenų tvarkymo teisėtumo sąlygos, duomenų saugumo priemonių taikymas ir pan.,
Vykdyti tvarkomų asmens duomenų inventorizaciją, kurios metu nustatytų, kokie asmens duomenys, kokiais pagrindais ir kokiais tikslais yra tvarkomi,
Dokumentuoti duomenų tvarkymo pagrindus, pvz., Asmens duomenų tvarkymo taisyklėse, duomenų tvarkymo veiklos įrašuose.
Pasitikrinti, ar esate nustatę ir dokumentavę duomenų saugojimo laikotarpį bei ar tinkamai perduodate asmens duomenis trečiosioms šalims.
Pasitikrinti, ar periodiškai peržiūrite ir, nustačius poreikį,atnaujinate duomenų saugojimo laikotarpius
Pasitikrinti, ar Jūsų darbuotojai apmokyti taikyti duomenų tvarkymo principus ir vykdyti asmens duomenų perdavimą
Pasitikrinti, ar Jūsų BDAR mokymų temos apima duomenų tvarkymo principus
You will need to contact your administrator.
BDAR specializuoti mokymai duomenų saugos pažeidimų prevencijai
BDAR e-vedlys
Dažnai užduodami klausimai (DUK)
Teirautis dėl prieigos prie BDAR mokymų e-medžiagos
Sužinoti apie inovatyvią paslaugą duomenų apsaugos pareigūnas Allaw®
Palikti žinutę duomenų apsaugos pareigūnui Allaw®
Telefonu: 8-616 02000