BDAR baudos Lietuvoje 2024–2026: kas buvo nubaustas ir už ką

BDAR numato dviejų lygių baudas. Pirmojo lygio baudos – iki 10 mln. EUR arba 2% bendros metinės apyvartos (priklausomai nuo to, kuri suma didesnė) – skiriamos už techninius pažeidimus: nesudarytą duomenų tvarkymo sutartį, netinkamą saugumo priemonių įgyvendinimą. Antrojo lygio baudos – iki 20 mln. EUR arba 4% apyvartos – skiriamos už esminius pažeidimus: neteisėtą duomenų tvarkymą, duomenų subjektų teisių pažeidimus. VDAI taip pat turi teisę skirti įspėjimus, laikinius tvarkymo apribojimus ir nurodyti atlikti pakeitimus. Baudų dydis nustatomas atsižvelgiant į pažeidimo sunkumą, trukmę, pobūdį, bendradarbiavimo su VDAI laipsnį ir ankstesnius pažeidimus.

Remiantis VDAI viešai skelbiamais sprendimais, dažniausiai baudžiama už šias kategorijas: (1) Nesudaryta duomenų tvarkymo sutartis (DTA) su duomenų tvarkytojais pagal BDAR 28 str. – dažniausia klaida, ypač kai naudojamos debesų ar rinkodaros platformos. (2) Nepranešta apie duomenų saugumo pažeidimus VDAI per 72 valandas (BDAR 33 str.) – organizacijos dažnai nežino apie šį terminą arba neatpažįsta incidento kaip pažeidimo. (3) Neteisėtas vaizdo stebėjimas – perteklinis stebėjimas be aiškaus tikslo arba be tinkamo informavimo. (4) Rinkodaros laiškai be sutikimo arba po jo atšaukimo. (5) Nepakankama arba netiksli privatumo politika, neatitinkanti faktinio duomenų tvarkymo.

Praktiniai žingsniai rizikai sumažinti: (1) Atlikite duomenų tvarkymo veiklos įrašų auditą pagal BDAR 30 str. – dokumentuokite visas tvarkymo operacijas. (2) Patikrinkite visas DTA sutartis su duomenų tvarkytojais (debesų paslaugų teikėjai, CRM, el. pašto sistemos) – ar jos apima visus BDAR 28 str. 3 d. reikalavimus. (3) Atnaujinkite privatumo politiką – palyginkite su faktiniu duomenų tvarkymu. (4) Įdiekite vidinę procedūrą duomenų saugumo pažeidimams identifikuoti ir pranešti VDAI per 72 valandas. (5) Reguliariai mokykite darbuotojus – dauguma pažeidimų atsiranda dėl žmogiškojo faktoriaus, ne techninių spragų.

Validuok DI sistema automatiškai tikrina BDAR atitiktį keliose srityse: privatumo politikos auditą pagal visus 13 BDAR reikalavimų, DTA sutarčių analizę ar jos apima reikiamas nuostatas, duomenų tvarkymo pagrindų tikrinimą. Sistema identifikuoja rizikas prieš VDAI patikrinimą – tai leidžia pašalinti trūkumus naudojantis konsultaciniu, o ne baudžiamuoju VDAI vizitu. Klientai sutaupo vidutiniškai 3–8 darbo valandas per dokumentų auditą ir turi dokumentuotus atitikties įrodymus.