Pastarasis Valstybinės duomenų apsaugos inspekcijos (VDAI) sprendimas (Nr. 3R-219 (2.13-1.E)) byloje prieš UAB „Kelionių akademija“ tapo rimtu precedentu, parodančiu, kad formalus požiūris į asmens duomenų saugumą organizacijoms gali kainuoti brangiai. Šioje sudėtingoje byloje Pareiškėjus konsultavo ir skundą parengė Allaw® DAP komanda, siekdama užtikrinti, kad asmenų teisės nebūtų ignoruojamos.
Šis atvejis atskleidė ne vieną, o visą sisteminių pažeidimų grandinę, kurią sustabdyti gali tik nuolatinė teisės ir atitikties ekosistema, o ne momentinis advokato įsikišimas ginčui jau kilus.
Ignoruotas duomenų tikslumo principas ir procesų spragos
Vienas iš ryškiausių šios bylos akcentų – duomenų tikslumo principo pažeidimas (BDAR 5 str. 1 d. d punktas). VDAI konstatavo, kad bendrovė neužtikrino, jog jos tvarkomi asmens duomenys būtų tikslūs ir, prireikus, atnaujinami. Sprendime pabrėžiama, kad duomenų valdytojas privalo imtis visų pagrįstų priemonių, kad netikslūs duomenys būtų nedelsiant ištrinami arba ištaisomi.
Pareiškėjams nurodžius klaidas, bendrovė nesiėmė veiksmų, o tai rodo, kad įmonėje nebuvo tinkamai suvaldytas duomenų subjektų užklausų valdymas. Be šio pažeidimo, VDAI užfiksavo ir kitas spragas:
- Neteisėtas duomenų tvarkymas: trūko aiškaus teisinio pagrindo (BDAR 6 str. 1 d.).
- Skaidrumo trūkumas:informacija apie duomenų rinkimą buvo neišsami (BDAR 13 str.).
- Teisės nesutikti ignoravimas: nebuvo užtikrinta asmenų teisė atsisakyti tiesioginės rinkodaros.
Sąžiningumo ir skaidrumo trūkumas: klaidinanti praktika
Be duomenų tikslumo, VDAI sprendime užfiksavo kritinį sąžiningumo principo pažeidimą. Inspekcija pabrėžė, kad:
„Asmens duomenų tvarkymas turi būti sąžiningas – tai reiškia, kad duomenų valdytojas negali klaidinti asmenų ar tvarkyti jų duomenų tokiu būdu, kurio asmenys pagrįstai negalėtų tikėtis.“
Šiuo atveju „Kelionių akademija“ nebuvo sąžininga, nes neaiškiai komunikavo apie duomenų naudojimo tikslus ir ignoravo pagrįstus asmenų lūkesčius, kad jų duomenys bus tikslinami arba jų tvarkymas – nutrauktas. Tokia praktika rodo, kad be BDAR audito ir profesionalios priežiūros, įmonės dažnai pasiklysta tarp savo verslo interesų ir teisinių pareigų, taip sukeldamos sau didžiulę teisinę riziką.
Kodėl advokato „bylininko“ nepakanka?
Daugelis organizacijų daro klaidą tikėdamosi, kad sulaukus skundo situaciją išgelbės patyręs advokatas. Tačiau šis sprendimas rodo priešingai: BDAR atitiktis yra nuolatinis procesas. Advokatas, samdomas post factum, rengia atsiliepimą remdamasis jau egzistuojančiais faktais. Jei įmonė neturėjo įdiegtų procedūrų duomenų tikslinimui ar skundams valdyti, advokatas negali „atgaline data“ sukurti tvarkingos sistemos.
VDAI vertina ne teisinę retoriką, o realius įrodymus: techninius logus, auditų išrašus ir tai, ar organizacija turi visus aktualius BDAR dokumentus.
Prevencija: BDAR auditas ir valdomas DPO
Kad būtų išvengta tokių situacijų, verslui būtina ne gaisrų gesinimo politika, o nuolatinė higiena. Vertinant „Kelionių akademijos“ atvejį, akivaizdu, kad periodiškai atliekamas BDAR auditas būtų identifikavęs technines ir procedūrines klaidas dar prieš klientams kreipiantis į inspekciją.
Turėti prenumeruojamas Allaw® valdomą duomenų apsaugos pareigūno (DPO) paslaugas reiškia turėti komandą, kuri užtikrina, kad:
- 1. Visi duomenų tvarkymo procesai būtų tinkamai sudėlioti nuo pat pradinio etapo.
- 2. Būtų vykdomas operatyvus duomenų subjektų užklausų valdymas ir duomenų tikslinimas.
- 3. Organizacija turėtų visus reikiamus ir praktiškai veikiančius BDAR dokumentus.
- 4. Būtų užtikrinta atitiktis ne tik BDAR, bet ir naujoms reguliacijoms, tokioms kaip DI aktas (AI Act) ar NIS2 direktyva.
Allaw® DAP komanda padeda organizacijoms augti saugiai. Mes kuriame sprendimus, kur teisinė savitarna derinama su aukščiausio lygio ekspertų priežiūra. Ši byla dar kartą patvirtino: investicija į valdomas teisinės paslaugas ir proaktyvią atitiktį yra gerokai pigesnė nei reputacinė žala ir baudos po nesėkmingo ginčo. Detalų sprendimą galite peržiūrėti VDAI svetainėje.