You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 3 Next »

Duomenų apsaugos pareigūnas Allaw® supažindina

Norvegijos duomenų apsaugos tarnyba skyrė 10 000 eurų (100 000 NOK) baudą „Aquateknikk AS“ už tai, kad ši įmonė tvarkė asmens duomenis kredito reitingui sudaryti be teisinio pagrindo. Šis atvejis išaiškėjo tuomet, kai asmuo, kurio kredito reitingas buvo sudarytas šiam imant paskolą, sužinojo, kad jam kredito reitingą sudarė įmonė, kurios klientu jis nėra ir neturi su ja jokių kitų ryšių, tuo pačiu ir neturi teisinio pagrindo tokius duomenis apie asmenį tvarkyti. Duomenų apsaugos pareigūnas Allaw supažindina, kokie pažeidimai buvo padaryti ir kaip jų išvengti.

Duomenų tvarkymas neturint tam pagrindo

Bendrojo duomenų apsaugos reglamento (toliau - BDAR) 6 str. numato, kad viena iš asmens duomenų tvarkymo teisėtumo sąlygų yra duomenų tvarkymas turint tam pagrindą, pvz., vadovaujantis sutartimi, asmens sutikimu, teisėtais interesais ar pan. Atlikdama tyrimą, Norvegijos duomenų apsaugos tarnyba padarė išvadą, kad kredito reitingai buvo atlikti be teisinio pagrindo, pažeidžiant BDAR reikalavimus. 

Kredito reitinge kaupiami asmens duomenys iš daugelio skirtingų šaltinių, siekiant nurodyti, kiek tikėtina, kad asmuo galės sumokėti tai, ką yra pasiskolinę. Į kredito reitingą taip pat įtraukiama išsami informacija apie asmens finansinę padėtį, pavyzdžiui, skolų ir pajamų santykis, mokėjimo pastabos ir asmens hipotekos, jei tokių yra. Tačiau įmonė neturėjo teisėtų interesų atlikti skundą pateikusio asmens kredito reitingą.

Nepakankamas teisinių reikalavimų išmanymas ir pamokos kitiems duomenų valdytojams

Kaip atlikusi tyrimą pažymėjo Norvegijos priežiūros institucija: „kadangi kredito reitingas apima išsamią informaciją apie asmeninę finansinę situaciją, labai įkyriai jaučiasi, kai organizacija neteisėtai gauna prieigą prie šios informacijos“. Vadovaujantis Norvegijos priežiūros institucijos praktika, daugelis skundų dėl kredito reitingo yra pagrįsti, nes daugelis organizacijų neturi pakankamai žinių apie teisinius reikalavimus asmens duomenų tvarkymui. Tokio pobūdžio situacijos pripažįstamos rimtais duomenų subjektų teises ir laisves veikiančiais pažeidimais, už kuriuos skiriamos baudos. Lietuvoje, vadovaujantis Valstybinės duomenų apsaugos inspekcijos (toliau - VDAI) patvirtintu prevencinių patikrinimų planu 2021 metams, bus tikrinamos būtent finansinius duomenis tvarkančios ir finansines paslaugas teikiančios institucijos.

Plačiau skaitykite čia.

Tad į ką reikia atkreipti dėmesį siekiant nekartoti Norvegijos įmonės klaidų?


Ko gali pasimokyti kiti duomenų valdytojai?

Atsižvelgiant į Norvegijos priežiūros institucijos nustatytus pažeidimus, duomenų valdytojai, įskaitant ir Lietuvoje, turėtų:

Organizuoti darbuotojams asmens duomenų tvarkymo ir apsaugos mokymus, kurie apimtų tokias temas, kaip duomenų tvarkymo principai, duomenų tvarkymo teisėtumo sąlygos, duomenų saugumo priemonių taikymas ir pan.,

Vykdyti tvarkomų asmens duomenų inventorizaciją, kurios metu nustatytų, kokie asmens duomenys, kokiais pagrindais ir kokiais tikslais yra tvarkomi,

Dokumentuoti duomenų tvarkymo pagrindus, pvz., Asmens duomenų tvarkymo taisyklėse, duomenų tvarkymo veiklos įrašuose.

Nepamiršti
This page contains macros or features from a plugin which requires a valid license.

You will need to contact your administrator.


Link to this page
  • No labels