Paieška:
Išvalyti
  • Išvalyti

BDAR baudų apžvalga 2023: Didžiausios baudos pasaulyje bei Lietuvoje

2023 m. DIDŽIAUSIOS BAUDOS PASAULYJE

1. Meta Platforms Ireland Ltd. – 1,2 mlrd. EUR

Airijos duomenų apsaugos institucija (DPC) skyrė baudą už tarptautinio duomenų perdavimo pažeidimus (ES – JAV). Nors „Facebook“ platformoje surinktų asmens duomenų perdavimas vykdytas pagal standartines 2020 m. paslaugų sąlygas, tačiau „Meta“ nesugebėjo įrodyti, kad užtikrina pakankamą duomenų perdavimo apsaugos lygį.

2. Meta Platforms Ireland Ltd. – 390 mln. EUR

Antrą kartą per metus – šįkart už netinkamai surinktus naudotojų sutikimus  personalizuotai reklamai teikti. Sprendimu iš esmės uždrausta „Facebook“ rinkti duomenis sutarties su naudotoju pagrindu. Iki šiol duomenys buvo renkami principu – „duoti sutikimą“ ir tęsti registraciją arba nesinaudoti platforma.

3. TikTok Ltd – 345 mln. EUR 

Airijos DPC skirta bauda už nepakankamą nepilnamečių (13-17 m.) TikTok naudotojų paskyrų apsaugą. Iki šiol, naudotojams buvo siūlomas viešos paskyros (public account) kūrimas ir suteikta apsunkinta galimybė pereiti į private account nustatymus. Be to, užfiksuotas ir nepakankamai saugus šeimos paskyrų (family pairing) tvarkymas, kai vaikų ir tėvų paskyros gali būti susietos, kad suaugusieji galėtų prižiūrėtų vaiko paskyros turinį ir nustatymus.

4. Criteo – 40 mln. EUR

Prancūzijos duomenų apsaugos institucija (CNIL) skyrė baudą reklamos technologijų įmonei už jos partnerių rinktų asmens duomenų naudojimą reklamos personalizavimui. Nustatyta, kad Criteo nesudarė tinkamų susitarimų su partneriais (reklamos užsakovais), įpareigojančių partnerius gauti vartotojų sutikimus jų duomenų rinkimui ir tolesniam panaudojimui.

5. TikTok – 12,7 mln. GBP (apie 14,7 mln. EUR)

Bauda skirta už tai, kad „TikTok“ nesiėmė pakankamų veiksmų užkirsti galimybę vaikams iki 13 m. registruotis ir naudotis platforma. Nustatyta, kad naudotojų amžiaus patikrinimo būdai buvo nepakankami – taikytas paprastas gimimo datos įvedimas, nebuvo prašomas tėvų ar globėjų sutikimas naudoti vaikų duomenis.

6. Axpo Italia Spa – 10 mln. EUR

Italijos duomenų apsaugos institucija (Garante) skyrė baudą energijos gamintojai Axpo dėl su BDAR nesuderinamais būdais sudarytų vartojimo sutarčių. Nustatyta, kad Axpo su vartotojais sudarytos sutartys buvo perimtos iš pardavimo agentų, nevertinant gautų duomenų teisingumo. Tai nulėmė realiai vartotojų neužsakytų sutarčių sudarymą, kurios buvo užpildomos ir netiksliais ar pasenusiais asmens duomenimis.

7. TIM SpA – 7,6 mln. EUR

Italijos Garante skyrė baudą telemarketingo įmonei už atsisakymą įgyvendinti duomenų subjektų prašymus bei asmeninių klientų telefono numerių skelbimą viešose telefonų knygose.

8. WhatsApp Ireland Ltd. – 5,5 mln. EUR    

Kaip ir „Meta“ – už netinkamai surinktus vartotojų sutikimus dėl jų asmens duomenų naudojimo „paslaugų teikimo lygiui ir saugai gerinti“, nesuteikiant alternatyvios galimybės atsisakyti duomenų rinkimo.

9. EOS Matrix – 5,47 mln. EUR

Kroatijos duomenų apsaugos inspekcija skyrė baudą skolų išieškojimo įmonei už saugos pažeidimą. Šiuo atveju įmonei nepavyko užkirsti kelio vidiniam duomenų saugos pažeidimui, kai USB raktu buvo perimti 180,000 asmenų duomenys. Nustatyta ir kitų pažeidimų, pvz., nepagrįstai tvarkyti sveikatos duomenys, tel. pokalbių įrašai, neužtikrintos techninės duomenų saugumo priemonės.

10. Clearview AI Inc – 5,2 mln. EUR

Prancūzijos CNIL skyrė baudą dirbtinio intelekto produktą kuriančiai įmonei už ankstesnio įpareigojimo imtis veiksmų nesilaikymą. Anksčiau 2022 m. įmonei jau buvo skirta 20 mln. EUR bauda už nepagrįstą asmens duomenų (veido atvaizdų) saugojimą (rinkta viešai prieinama informacija internete, skirta kurti ir tobulinti facial recognition sistemą).

11. „Spotify“ – 58 mln. SEK (4,9 mln. EUR)

Švedijos duomenų apsaugos institucija (IMY) skyrė administracinę baudą „Spotify“ už tai, kad naudotojams nebuvo aiškiai komunikuojama apie būdus, kuriais platforma tvarko surinktus duomenis.

12. Trygg-Hansa – 35 milijonų SEK (apie 2,8 mln. EUR)      

Švedijos duomenų apsaugos tarnyba (IMY) skyrė baudą draudimo bendrovei Trygg-Hansa už neužtikrintą asmens duomenų saugumą. Nustatyta, kad įmonės klientams buvo siunčiami el. laiškai su nuorodomis į tinklalapius, kuriuose buvo prieinami neapsaugoti klientų draudimo dokumentai. Neautorizuotiems asmenims buvo atskleista apie 650,000 asmenų duomenys – vardai, kontaktinė, sveikatos, finansinė informacija, draudimo įrašai, socialinio draudimo numeriai.

13. B2 Kapital – 2,2 mln. EUR

Kroatijos duomenų apsaugos institucija (AZOP) skyrė baudą finansinių paslaugų įmonei už netinkamą duomenų subjektų informavimą apie jų duomenų tvarkymą, kai įmonei buvo perduodamos skolų išieškojimo operacijos. Papildomai – bendrovė neturėjo ir duomenų tvarkymo sutarčių su klientų bankroto duomenų tvarkytojais.

2023 m. DIDŽIAUSIOS VDAI BAUDOS LIETUVOJE

1. Bendrovei skirta 20,000 EUR bauda už asmens duomenų saugos incidentą           

Įvykus IT sistemų saugos incidentui, buvo pažeistas virš 50,000 klientų asmens duomenų konfidencialumas. Atskleisti klientų vardai, pavardės, el. pašto adresai, telefono numeriai, automobilių valstybiniai numeriai. VDAI nustatė, kad bendrovė nebuvo užtikrinusi saugios darbuotojų prieigos prie IT sistemų, o duomenys buvo saugomi per ilgai (5 m. saugojimo terminas).

2. Bendrovei skirta 10,000 EUR bauda už VDAI nurodymų nesilaikymą

Bauda skirta už neįvykdytą oficialų VDAI nurodymą bendradarbiauti su duomenų subjektu (fiziniu asmeniu). Bendrovė buvo gavusi nurodymą pateikti informaciją pareiškėjui pagal jo prašymą dėl tvarkomų duomenų apimties. Nustačius, kad nurodymas neįvykdytas, VDAI skyrė baudą už nebendradarbiavimą.

3. Bendrovei skirta 8,000 EUR bauda už BDAR reikalavimų neužtikrinimą                  

Bendrovei buvo skirta bauda už asmens teisės susipažinti su jo tvarkomais asmens duomenimis neužtikrinimą. Atsakymas klientui buvo pateiktas, tačiau jis nebuvo tikslus ir išsamus – nepakanka nurodyti, kad duomenys „netvarkomi“ arba „tvarkomi įstatymų nustatyta tvarka“.

4. VDAI skyrė 6 000 EUR baudą plastinės chirurgijos klinikai ir  840 EUR baudą bendrovės gydytojui.

Bauda skirta už paciento nuotraukų paviešinimą. Nustatyta, kad asmeninėje gydytojo Instagram paskyroje buvo be sutikimo paviešintos paciento kūno dalių nuotraukos, iš kurių buvo galima nustatyti ir asmens tapatybę.

Esant aktualiems klausimams, TGS Baltic TMT komanda visuomet pasiruošusi Jums padėti.