Socialiniai tyrimai eISSN 2351-6712

2021, vol. 44(2), pp. 153–169 DOI: https://doi.org/10.15388/Soctyr.44.2.10

Valstybinės duomenų apsaugos inspekcijos administracinių baudų skyrimo praktika ES šalių kontekste

Aurimas Šidlauskas
Mykolo Romerio universitetas, Ekonomikos ir verslo fakulteto doktorantas
Mykolas Romeris University, Faculty of Economics and Business, PhD student
El. p.: aurimas868@gmail.com

Santrauka. ES Bendrasis duomenų apsaugos reglamentas (toliau – Reglamentas) pradėtas taikyti 2018 m. gegužės 25 d., kurio vienas iš tikslų yra pašalinti įvairių nacionalinių sistemų skirtumus ir nereikalingą administracinę naštą. Kiekviena valstybė narė užtikrina, kad viena arba kelios nepriklausomos valdžios institucijos yra atsakingos už šio Reglamento taikymo stebėseną (toliau – Priežiūros institucija). Lietuvoje asmens duomenų apsaugos priežiūros veiklą vykdo dvi institucijos – Valstybinė duomenų apsaugos inspekcija (toliau – VDAI) ir Žurnalistų etikos inspektoriaus tarnyba. Priežiūros institucijoms pagal Reglamentą suteikti įgaliojimai yra didesni ir platesnės apimties nei pagal ankstesnius duomenų apsaugos teisės aktus. Organizacijos, tvarkančios asmens duomenis, privalo užtikrinti atitiktį Reglamento reikalavimams. Už Reglamento nuostatų pažeidimus Priežiūros institucijos organizacijoms gali skirti dideles administracines baudas ir kitas sankcijas. Šiame straipsnyje analizuojama, kokia yra administracinių baudų skyrimo praktika ES ir kaip jos kontekste atrodo Lietuva. Įvertinus VDAI administracinių baudų skyrimo praktiką ES kontekste, galima ieškoti priežasčių, lemiančių esamą padėtį, ir tobulinti VDAI duomenų apsaugos priežiūros funkcijų procesus. Straipsnyje taikyta mokslinės literatūros ir teisinių dokumentų bei statistinių duomenų lyginamoji analizė, generalizacija.
Pagrindiniai žodžiai: Bendrasis duomenų apsaugos reglamentas (Reglamentas), Valstybinė duomenų apsaugos inspekcija, administracinės baudos.

The practice of imposing administrative fines by the State Data Protection Inspectorate in the context of other EU Member States

Summary. The implementation of the EU General Data Protection Regulation (hereinafter referred to as the Regulation), which, among other things, aims to eliminate disparities between national systems and to alleviate unnecessary administrative burdens, began on 25 May 2018. Each Member State is to ensure that there is one or more independent public authorities (hereinafter referred to as the supervisory authority) responsible for monitoring the implementation of the Regulation. In Lithuania, personal data protection is supervised by two authorities, namely by the State Data Protection Inspectorate (hereinafter referred to as the SDPI) and by the Office of the Inspector of Journalist Ethics. The powers conferred on the supervisory authorities by the Regulation are greater and broader in scope than those granted under previous data protection legislation. Organizations which process personal data must ensure compliance with the requirements laid down in the Regulation. A supervisory authority that violates the provisions of the Regulation may be faced with heavy administrative fines and other sanctions. This article analyzes the practice of imposing administrative fines in the EU and in Lithuania as compared to other EU Member States. The author of the article believes that evaluating the practice of imposing administrative fines by the SDPI within the general context of the EU shall enable one to search for the reasons behind the current situation, as well as to improve the processes the SDPI employs to perform functions associated with data protection supervision. The article uses generalization and comparative analysis of scientific literature, legal documents and statistical data.
Keywords: General Data Protection Regulation (GDPR), State Data Protection Inspectorate, administrative fines.

_________

Received: 19/11/2021. Accepted: 08/12/2021
Copyright © Aurimas Šidlauskas, 2021. Published by Vilnius University Press.
This is an Open Access article distributed under the terms of the Creative Commons Attribution License (CC BY), which permits unrestricted use, distribution, and reproduction in any medium, provided the original author and source are credited.

Įvadas

Temos aktualumas. Pokyčius duomenų apsaugos srityje paskatino 2018 m. gegužės 25 d. pradėtas taikyti ES Bendrasis duomenų apsaugos reglamentas (toliau – Reglamentas). Europos Komisija teigia, kad Reglamentas yra svarbus žingsnis, siekiant skaitmeniniame amžiuje stiprinti pagrindines asmenų teises ir sudaryti palankesnes sąlygas vykdyti verslo veiklą, nustatant aiškesnes bendrojoje skaitmeninėje rinkoje įmonėms ir viešojo sektoriaus institucijoms taikomas taisykles. Reglamentas buvo priimtas kaip vienas išsamus teisės aktas, siekiant pašalinti įvairių nacionalinių sistemų skirtumus ir nereikalingą administracinę naštą. Reglamentas išplečia duomenų apsaugos apimtį, kad ji būtų taikoma visiems ar bet kuriai organizacijai, renkančiai ir apdorojančiai su ES piliečiais susijusią informaciją, nesvarbu, kur jie būtų įsikūrę ar kur saugomi duomenys (Tankard, 2016).

2021 m. gegužės 25-ąją pasitikome minėdami Reglamento 3-jų metų taikymo sukaktį. Reglamento 51 straipsnio 1 dalyje rašoma, kad kiekviena valstybė narė užtikrina, jog viena arba kelios nepriklausomos valdžios institucijos yra atsakingos už šio Reglamento taikymo stebėseną, kad būtų apsaugotos fizinių asmenų pagrindinės teisės ir laisvės tvarkant duomenis ir sudarytos palankesnės sąlygos laisvam asmens duomenų judėjimui Sąjungoje (toliau – Priežiūros institucija).

Valstybinė duomenų apsaugos inspekcija (toliau – VDAI) yra asmens duomenų apsaugos Priežiūros institucija Lietuvoje, kurios misija „Ginti žmogaus teisę į asmens duomenų apsaugą“. VDAI sprendžia atvejus, kai asmens duomenis profesiniais ar komerciniais tikslais tvarko įvairios įmonės, valstybinės institucijos ir kitos organizacijos: bankas, savivaldybė, e. parduotuvė, mokykla, ligoninė, policija, advokatas, notaras, nevyriausybinė organizacija bei fiziniai asmenys ir kt. Mulder ir Tudorica (2019) nuomone, aktyvus Priežiūros institucijų vaidmuo galėtų paskatinti įmones būti atviresnes ir konk­retesnes dėl duomenų tvarkymo tikslų.

Priežiūros institucijos nepriklausomumas yra svarbiausias dalykas, todėl institucijos nariams neleidžiama imtis jokios veiklos, kuri nesuderinama su jų, kaip institucijos nario, pareigomis. Valstybės narės taip pat turi suteikti Priežiūros institucijoms pakankamai žmogiškųjų, finansinių ir techninių išteklių, reikalingų jų užduotims atlikti (Reuter, 2018).

Priežiūros institucijos veikia kaip vykdytojai, ombudsmenai, auditoriai, valstybės įmonių konsultantai, derybininkai ir pedagogai. Pastarasis vaidmuo yra susijęs su visuomenės informuotumo didinimu ir supratimu apie riziką, taisykles, apsaugos priemones ir teises, susijusias su asmens duomenų tvarkymu. Šiuo tikslu Priežiūros institucijos, pavieniui arba kartu, pateikia autoritetingas gaires dėl Reglamento sąvokų ir nuostatų (Jasmontaitė-Zaniewicz ir kt., 2021). Priežiūros institucijoms pagal Reglamentą suteikti įgaliojimai yra didesni ir platesnės apimties nei pagal ankstesnius duomenų apsaugos teisės aktus.

Priežiūros institucijos yra svarbios organizacijoms sprendžiant ne tik įprastų procesų, bet ir probleminių ar net ginčytinų klausimų atvejus. Spręsdamos asmens duomenų apsaugos pažeidimus, organizacijos turėtų žinoti apie įvairius Priežiūros institucijos vykdymo įgaliojimus. Organizacijos už Reglamento nuostatų pažeidimus gali būti skiriamos administracinės baudos arba sankcijos.

Reglamentas yra pakankamai naujas ir jam galioja nevienoda Priežiūros institucijų administracinių baudų skyrimo praktika ES šalių kontekste. Todėl straipsnyje analizuojama mokslinė problema gali būti apibrėžiama šiais klausimais: Koks VDAI vaidmuo ir kokia VDAI baudų skyrimo praktika Lietuvoje palyginus su kitomis ES šalimis?

Tyrimo objektas – VDAI vaidmuo ir administracinių baudų skyrimo praktika.

Tyrimo tikslas: ištirti, kokia yra administracinių baudų skyrimo praktika ES ir kaip jos kontekste atrodo Lietuva.

Siekiant iškelto tikslo, moksliniame straipsnyje sprendžiami šie uždaviniai:

  1. Išanalizuoti institucijų, atsakingų už asmens duomenų apsaugą, veiklas.
  2. Apžvelgti Reglamento atitikties įgyvendinimo ir Priežiūros institucijos reagavimo į pažeidimus aspektus.
  3. Apibendrinti VDAI ir kitų Priežiūros institucijų administracinių baudų skyrimo praktiką ES už Reglamento nuostatų pažeidimus.

Metodai: lyginamoji mokslinės literatūros ir teisinių dokumentų bei statistinių duomenų analizė, generalizacija.

Institucijos, atsakingos už asmens duomenų apsaugą

Daugelis organizacijų bando gauti daugiau naudos iš duomenų, kad patobulintų savo teikiamus produktus ir paslaugas, siūlytų naujus ir optimizuotų savo vidines operacijas (Hintze ir El Emam, 2018). Reglamente asmens duomenys yra apibrėžiami kaip bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti. Asmens duomenys yra bet kokia įvairaus pobūdžio (fizinio, psichologinio, ekonominio, fiziologinio, socialinio, kultūrinio ir kt. pobūdžio) informacija apie fizinį asmenį (objektyvi, subjektyvi ir nebūtinai teisinga), išreikšta įvairiomis formomis (raštu, žodžiu, grafiniais vaizdais, elektroninėse laikmenose ir kt.), tiesiogiai arba netiesiogiai susijusi su asmeniu, kurio tapatybė yra nustatyta, arba kurio tapatybę galima nustatyti pasinaudojant tokiais duomenimis (Pranevičienė, Lukoševičienė, 2021). Reglamento vykdymas padiktavo poreikį organizacijoms laikytis jo reikalavimų ir įsipareigojimų. Kadangi priežiūros institucijos gali taikyti sankcijas, kai tik nustatomas neatitikimas, organizacijos turi peržiūrėti savo procesus ir procedūras, kad užtikrintų atitiktį ir išvengtų sankcijų (Tikkinen-Piri ir kt., 2018; Teixeira ir kt., 2019). Įvykęs pokytis pakeitė duomenų apsaugos sistemą iš esmės – ne Priežiūros institucija aprobuoja asmens duomenų tvarkymo teisėtumą prieš pradedant asmens duomenų tvarkymo veiksmus, o pats duomenų valdytojas, įgyvendindamas atskaitomybės principą, įrodo įvairiomis Reglamente įtvirtintomis priemonėmis nepriklausomai Priežiūros institucijai, kad asmens duomenys tvarkomi teisėtai (Andrijauskas, Morkūnienė, 2020).

Europos duomenų apsaugos valdyba (toliau – EDAV) yra atsakinga už Reglamento taikymą. Ją sudaro visų Priežiūros institucijų vadovai ir Europos duomenų apsaugos priežiūros pareigūnas arba jos atstovai. EDAV buvo sukurta siekiant spręsti prieštaringus ES narių sprendimus, teikti Priežiūros institucijoms nuomones ir gaires dėl konkrečių Reglamento nuostatų ir prižiūrėti, kad Reglamentas būtų nuosekliai taikomas ES. EDAV taip pat priima privalomus sprendimus ginčuose dėl tarpvalstybinio tvarkymo, kad įvairiose srityse būtų nuosekliai taikomos procedūros. ES teismai taip pat turi jurisdikciją Reglamento vykdymo srityje, taip užtikrindami vienodą taisyklių taikymą, kad tas pats ginčas nebūtų skirtingai nagrinėjamas įvairiose jurisdikcijose (Europos Komisija, 2020). Pagrindiniai EDAV tikslai – užtikrinti nuoseklų duomenų apsaugos ir privatumo teisės aktų taikymą visoje ES. Tai pasiekiama išleidžiant gaires nacionalinėms Priežiūros institucijoms ir palengvinant veiksmingą valstybių narių Priežiūros institucijų bendradarbiavimą. Iškilus ginčams dėl tarpvalstybinio duomenų tvarkymo, EDAV turi teisę priimti sprendimą šiuo klausimu, o jo sprendimai yra privalomi (Gobeo, 2018). Pagal Reglamentą trys teisminės institucijos – nacionaliniai teismai, Europos Žmogaus Teisių Teismas ir Europos Teisingumo Teismas, turi jurisdikciją nagrinėti ginčus, kylančius tarp Priežiūros institucijos ir paveikto subjekto, ir gali apibrėžti neaiškias Reglamento nuostatas (Europos Komisija, 2019).

Anot Carey (2018), siekiant užtikrinti nuoseklų požiūrį į reguliavimo veiklą, Reglamente nustatytas nuoseklumo užtikrinimo mechanizmas, pagal kurį Priežiūros institucijos, prieš priimdamos tam tikrus sprendimus, turi konsultuotis su EDAV. Sprendimai, dėl kurių reikia konsultuotis su EDAV, yra šie:

Vieni iš svarbiausių Lietuvos Respublikos Vyriausybės poįstatyminių teisės aktų, reikšmingų asmens duomenų apsaugos teisei Lietuvoje, yra 1996 metų Lietuvos Respublikos Vyriausybės nutarimas, kuriuo įsteigta VDAI, bei 2001 m. nutarimas, kuriuo patvirtinti šios įstaigos nuostatai. Po šio nutarimo priėmimo VDAI tapo pagrindine už asmens duomenų apsaugą atsakinga institucija Lietuvoje, kurios tikslas – plėtoti duomenų apsaugą, prižiūrėti asmens duomenų valdytojų veiklą tvarkant asmens duomenis, kontroliuoti asmens duomenų tvarkymo teisėtumą, kovoti su duomenų tvarkymo pažeidimais ir užtikrinti duomenų subjekto teisių apsaugą (Lukoševičienė, 2021). VDAI inspekcijos 2019 metų veiklos ataskaitoje teigiama, kad VDAI paskirtis – prižiūrėti, kad būtų apsaugotos fizinių asmenų pagrindinės teisės ir laisvės tvarkant asmens duomenis bei sudarytos palankesnės sąlygos laisvam asmens duomenų judėjimui ES. VDAI pagrindiniai veiklos tikslai:

  1. Dalyvauti formuojant valstybės politiką asmens duomenų apsaugos srityje.
  2. Vykdyti Reglamento ir kitų asmens duomenų apsaugos teisės aktų stebėseną ir užtikrinti jų vykdymą.
  3. Kontroliuoti asmens duomenų tvarkymą.
  4. Įgyvendinti 1981 metų sausio 28 dieną Strasbūre sudarytos Konvencijos dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu (ETS Nr. 108) ir jos protokolų nuostatas.

Pagrindiniai asmens duomenų apsaugą reguliuojantys teisės aktai, kurių priežiūrą vykdo VDAI, yra Reglamentas ir Asmens duomenų teisinės apsaugos įstatymas (toliau – ADTAĮ).

Kadangi Reglamento reikalavimai yra labai abstraktūs, juos galima interpretuoti. Kiekviena organizacija turi savo būdą, kaip įgyvendinti Reglamentą ir įrodyti atitiktį. Kiekviena ES valstybė narė nustato Priežiūros instituciją (gali būti kelios), kuri yra atsakinga už Reglamento atitikties stebėseną. Organizacijos privalo įrodyti atitiktį tik tada, kai Priežiūros institucija įtaria pažeidimą arba kai duomenų subjektas pateikia skundą Priežiūros institucijai (Truong ir kt., 2019). Reglamentas sukūrė nuoseklią teisinę sistemą, suteikiančią duomenų subjektams teises ir jų įgyvendinimo mechanizmą, bei veiksmingas teisinės gynybos priemones, kurios prieinamos kiekvienam fiziniam asmeniui (Novikovienė, Pedaniuk, 2020).

Lietuva išsiskiria iš bendro Europos Sąjungos valstybių narių konteksto, nes turi dvi duomenų tvarkymo priežiūros institucijas – VDAI ir Žurnalistų etikos inspektoriaus tarnybą. Žurnalistų etikos inspektoriaus tarnyba stebi, kaip taikomas Reglamentas ir ADTAĮ, ir užtikrina, kad šie teisės aktai būtų taikomi, kai asmens duomenys tvarkomi žurnalistikos tikslais ir akademinės, meninės ar literatūrinės saviraiškos tikslais (Žurnalistų etikos inspektorius, 2020).

Be anksčiau paminėtų institucijų, įvairius atvejus, susijusius su asmens duomenų tvarkymu ir privatumu, Lietuvoje taip pat sprendžia teismai ir policija.

Reglamento VI skyriuje paaiškinamos ir tam tikru mastu iš naujo apibrėžiamos Priežiūros institucijų pareigos taip, kad į Priežiūros institucijas būtų galima žiūrėti per skirtingus objektyvus: lyderį, įgaliotąjį, policijos pareigūną ir skundus nagrinėjantį asmenį (žr. 1 pav.).

10_str_pav.pdf

1 pav. Reglamento VI skyriaus turinys

Šaltinis: Reglamentas (2016).

Reglamente tvirtinama, kad pagrindinė Priežiūros institucijų atsakomybė yra jos taikymo stebėjimas ir nuoseklumas, siekiant apsaugoti pagrindines fizinių asmenų teises ir laisves, susijusias su duomenų tvarkymu, ir palengvinti laisvą asmens duomenų judėjimą ES. Puiszis (2018), remdamasis Reglamento 57 straipsniu, rašo, kad kiekviena Priežiūros institucija laikoma kompetentinga atlikti pagal Reglamentą reikalaujamas šias užduotis:

Priežiūros institucijoms taip pat suteikiami šie įgaliojimai:

Pagal Reglamento 31 straipsnį tiek duomenų valdytojas, tiek duomenų tvarkytojas, taip pat jų atstovai, gavę prašymą bendradarbiauja su Priežiūros institucija, vykdančia savo užduotis.

Asmens duomenų apsauga Lietuvoje yra reglamentuota įvairios formos, turinio ir apimties, nevienodos teisinės galios, privalomojo ir rekomendacinio pobūdžio, tarpusavyje susijusių teisės normų, kurios yra nuolat keičiamos ir plečiamos, atsižvelgiant į visuomeninio gyvenimo pokyčius, sistema (Lukoševičienė, 2021).

Priežiūros institucijų gebėjimas atlikti savo funkcijas priklauso nuo įvairių veiksnių, kurie gali keistis atsižvelgiant į nacionalines aplinkybes (t. y. nuo to, kaip jos aprūpintos finansiniais ir žmogiškaisiais ištekliais). Dėl tokio nustatymo įmonėms kyla neaiškumų, kaip tvarkyti asmens duomenis, ir neleidžiama pasinaudoti veiksminga vienoda teisine erdve šioje srityje. Visoje Europoje Priežiūros institucijos ir kitos priežiūros institucijos Reglamentą taiko ir interpretuoja skirtingai. Taip kartais gali būti net vienoje šalyje, kai duomenų apsaugos taisykles taiko kelios institucijos. Todėl įmonės dažnai nėra tikros, ar iki galo laikosi Reglamento nuostatų. Galutinį sprendimą, kaip spręsti susidariusią situaciją, priima pati organizacija, kuri prisiima teisines to pasekmes (Jasmontaitė-Zaniewicz ir kt., 2021). Reglamentas suteikia duomenų subjektams teisę pateikti skundą Priežiūros institucijai, jei suinteresuotas duomenų subjektas mano, kad organizacija nesilaiko Reglamento.

ES Bendrojo duomenų apsaugos reglamento atitikties įgyvendinimo aspektai

Svarbu pabrėžti, kad atskaitomybė viršija teisinę atsakomybę. Teisinė atsakomybė susijusi su tuo, kas ką turi daryti; tai gali turėti teisinių pasekmių vaidmenų ir užduočių atlikimui arba neatlikimui bei taisyklių laikymuisi, kaip nurodyta Reglamente. Tai taip pat gali apimti valdžios santykius organizacinėse hierarchijose ir atitikties įrodymą Priežiūros institucijai ir plačiajai visuomenei, jei to aiškiai reikalaujama Reglamente. Tačiau atskaitomybė taip pat reiškia, kad atsakingas duomenų valdytojas arba tvarkytojas stengiasi gerbti pagrindinius privatumo ir duomenų apsaugos principus ir įrodo, kad jų laikosi arba atlieka savo funkcijas, net jei to aiškiai nereikalaujama Reglamente. Tai apima tiek užduočių ir vaidmenų atlikimą, tiek jų atlikimo demonstravimą (Raab, 2016). Etiniai sprendimai vis dažniau tampa neatsiejama Reglamento taikymo dalimi. Šie sprendimai yra duomenų valdytojų, norinčių elgtis teisingai, atskaitomybės dalis (Hijmans ir Raab, 2018).

Anot Shastri ir kt. (2021), Reglamente apibrėžiami keturi subjektai, kurie sąveikauja su asmens duomenimis:

  1. Duomenų subjektas – asmuo, kurio asmens duomenys renkami.
  2. Duomenų valdytojas – subjektas, kuris renka ir naudoja asmens duomenis.
  3. Duomenų tvarkytojas – subjektas, kuris tvarko asmens duomenis duomenų valdytojo vardu.
  4. Priežiūros institucija – institucija, kuri prižiūri, kad būtų laikomasi Reglamento reikalavimų.

Asmens duomenų ir Reglamento užklausų srautas yra tarp keturių Reglamento sub­jektų: duomenų subjektų, duomenų valdytojų, duomenų tvarkytojų ir Priežiūros institucijų (žr. 2 pav.).

10_str_2_pav.pdf

2 pav. Asmens duomenų ir Reglamento užklausų srautas tarp keturių Reglamento subjektų

Šaltinis: Shastri ir kt. (2021).

Reglamentas pakeitė būdą, kuriuo organizacijos gali rinkti, naudoti ir saugoti asmens asmeninę informaciją. Dabar daugiausia dėmesio skiriama duomenų subjekto teisėms ir laisvėms, o ne organizacijos teisėms ir laisvėms. Tai suteikia asmenims teisę žinoti, kaip jų informacija naudojama, kada ir su kuo ja dalijamasi, kaip ir kada ji bus sunaikinta arba ištrinta. Dabar reikalaujama, kad organizacijos rinktų informaciją, kurios joms reikia konkrečiam tikslui. Be konkretaus tikslo, organizacijos taip pat turi turėti tikslų teisinį pagrindą tvarkyti asmens duomenis.

STAR II“ projekto metu atlikus mažų ir vidutinių įmonių apklausą, paaiškėjo, kad Priežiūros institucijų rekomendaciniai dokumentai kritikuojami dėl pernelyg bendro pobūdžio ir dėmesio sutelkimo į teisės teoriją. Respondentai atkreipė dėmesį į tai, kad organizacijos turi iš jų daryti išvadas ir prielaidas, kaip Reglamentas turėtų būti aiškinamas konkrečioje jų situacijoje. Kai kurie respondentai pažymėjo, kad Priežiūros institucijų rekomendacijos dažnai kelia daugiau klausimų, nei atsako, ir gali būti sunkiai įgyvendinamos praktikoje.

VDAI užsakymu „Spinter tyrimai“ 2020 m. pabaigoje atliko daugiau kaip 1 000 Lietuvos gyventojų apklausą. Ji atskleidė, kad visuomenei asmens duomenų apsauga rūpi, o atlaidumas pažeidėjams šioje srityje mažėja. Dauguma gyventojų:

Asmenys ir Priežiūros institucijos gali reikalauti duomenų valdytojų ir duomenų tvarkytojų atsakomybės, jei jie nesilaiko savo įsipareigojimų pagal Reglamentą. Tiek Valdytojas, tiek tvarkytojas yra atsakingi už atitinkamo saugumo lygio nustatymą. Vertinant tinkamą saugumo lygį, atsižvelgiama į duomenų tvarkymo veiklos riziką (Alford, 2020). Anot IT valdymo privatumo komandos (2020), duomenų valdytojas neprivalo apibrėžti kiekvieno elemento, kaip duomenys tvarkomi, ir dažnai pasikliauja tvarkytojo patikinimu, kad tvarkymas bus atliktas saugiai. Tvarkytojas gali būti atsakingas už kai kurių iš šių elementų nustatymą:

VDAI atlieka visas Lietuvos Respublikos įstatymais ir kitais teisės aktais jai pavestas duomenų apsaugos priežiūros funkcijas, o pavestoms funkcijoms tinkamai atlikti VDAI direktorius turi teisę priimti įsakymus, reguliuojančius konkrečias asmens duomenų apsaugos sritis. VDAI direktoriaus įsakymais nustatoma pranešimo apie asmens duomenų saugumo pažeidimą pateikimo VDAI tvarka, išankstinių VDAI atliekamų tyrimų ir auditų atlikimo tvarka, aptarnavimo VDAI taisyklės ir kita informacija (Lukoševičienė, 2021).

Priežiūros institucijos nagrinėja visus skundus, kuriuos gauna iš asmenų, manančių, kad asmens duomenys apie juos yra tvarkomi ne pagal įstatymus, nebent Priežiūros institucija mano, kad tokie skundai yra nepagrįsti arba neproporcingi. Priežiūros institucija raštu praneša skundo pareiškėjui apie savo sprendimą dėl skundo. Priežiūros institucija gali pradėti tyrimą savo iniciatyva, jeigu mano, kad gali būti pažeistos duomenų apsaugos teisės, arba mano, kad tikslinga užtikrinti duomenų apsaugos teisės aktų laikymąsi (Lambert, 2017).

Projekto „SolPriPa“ parengtose asmens duomenų apsaugos gairėse smulkiajam ir vidutiniam verslui rašoma, kad duomenų saugumas yra pažeidžiamas, kai įvyksta su duomenimis, už kuriuos įmonė yra atsakinga, susijęs saugumo incidentas, dėl kurio pažeidžiamas duomenų konfidencialumas, prieinamumas ar vientisumas. Galimi šie asmens duomenų saugumo pažeidimo (toliau – Pažeidimo) tipai:

  1. Konfidencialumo pažeidimas, kai yra be leidimo ar neteisėtai atskleidžiami asmens duomenys arba gaunama prieiga prie jų.
  2. Prieinamumo pažeidimas, kai netyčia arba neteisėtai prarandama prieiga prie asmens duomenų arba sunaikinami asmens duomenys.
  3. Vientisumo pažeidimas, kai asmens duomenys pakeičiami be leidimo ar netyčia. Priklausomai nuo aplinkybių, Pažeidimas tuo pat metu gali sietis su asmens duomenų konfidencialumu, prieinamumu ir vientisumu, taip pat su kuriuo nors jų deriniu.

Pažeidimai gali būti atsitiktiniai arba tyčiniai. Kiekviena organizacija turi turėti planą, kaip reaguoti į pastebėtus pažeidimus. Visi pažeidimai turėtų būti tinkamai užregistruoti, ištirti ir prireikus imtasi taisomųjų veiksmų. Ne apie kiekvieną duomenų pažeidimą reikia pranešti Priežiūros institucijai, organizacijos turi pareigą pranešti apie asmens duomenų pažeidimus Priežiūros institucijai per 72 valandas nuo sužinojimo apie pažeidimą. Jos taip pat privalo nepagrįstai nedelsdamos informuoti atitinkamus asmenis, jei tikėtina, kad bus didelė rizika, jog pažeidimas turės neigiamos įtakos jų teisėms ir laisvėms. Priežiūros institucija gali reikalauti, kad įmonė imtųsi taisomųjų veiksmų arba skirti administracinę baudą ar sankcijas už reikalavimų nesilaikymą (Alford, 2020).

Pagal Reglamento 33 straipsnio 5 dalį duomenų valdytojas privalo dokumentuoti visus asmens duomenų saugumo pažeidimus, įskaitant su pažeidimu susijusius faktus, jo padarinius ir taisomuosius veiksmus, kurių buvo imtasi. Dokumentai turi suteikti Priežiūros institucijoms galimybę patikrinti, kaip laikomasi pareigos pranešti, ir padėti duomenų valdytojui įrodyti nustatytą pranešimo prievolės atleidimą.

Priežiūros institucijos yra nepriklausomi viešieji subjektai, teikiantys konsultacijas duomenų apsaugos klausimais ir nagrinėjantys skundus dėl pažeidimų. Vienas iš pagrindinių Reglamento pakeitimų yra tas, kad Priežiūros institucijos turi žymiai padidintus įgaliojimus skirti dideles baudas ir kitas sankcijas organizacijoms, kurios nesilaiko Reglamento (Dibble, 2019).

Apibendrinant galima teigti, kad turime veikti prevenciškai kylančių problemų sprendimui, o ne vien reaguotume į plačiai paplitusius piktnaudžiavimus. Jei aktyviai pakeisime savo požiūrį į duomenų privatumo apsaugą, bus efektyvūs ir teisės aktai. Siekdami šio tikslo turėtume pasirinkti paslaugų teikėjus, kurie vertina ir saugo mūsų informacijos privatumą ir vientisumą (Sharma, 2019).

Valstybinės duomenų apsaugos inspekcijos baudų skyrimo praktika ES šalių kontekste

Visos organizacijos turi laikytis Reglamento ne tik siekdamos išvengti didelių baudų, bet ir teikti paslaugas reikalavimus atitinkančioms įmonėms, nes tai garantuoja jų tvarumą ir išlikimą vis labiau globalėjančiame pasaulyje (Freitas, Mira da Silva, 2018). Siekdamos laikytis Reglamento ir išvengti administracinių baudų, organizacijos turi patvirtinti apsaugos politiką ir įgyvendinti tinkamas technines ir organizacines priemones, užtikrinančias, kad asmens duomenų tvarkymas atitiktų Reglamentą. Šios priemonės apima pseudonimizavimą, šifravimą, apdorojimo veiklos įrašų tvarkymą ir principų „Privacy by Design“ ir „by Default“ taikymą. Be to, organizacijos turi sugebėti įrodyti, kad laikosi Priežiūros institucijų reikalavimų (Europos Komisija, 2016).

Anot autorių Daigle ir Khan (2020), naujausių duomenų apie faktines pinigines baudas, kurias skyrė konkrečios Priežiūros institucijos, tendencijos rodo, kad Rytų Europos šalių Priežiūros institucijos skyrė mažiau baudų ir vengė didelių baudų; be to, jos paprastai lėčiau skirdavo baudas nei Vakarų Europos institucijos, kurios gali turėti didesnius reguliavimo pajėgumus, kad užtikrintų Reglamento vykdymą atitinkamose šalyse (ypač tarptautinėms įmonėms). Dauguma šių piniginių baudų, kurias taiko Rytų Europos šalys, buvo skirtos įmonėms, kurių pagrindinė būstinė yra šalyje, nedidelėms organizacijoms, valstybės įmonėms, politinėms partijoms ar bankams.

Šiuo atveju, Vakarų Europa vadinamos 18 šalių, kurios buvo Europos bendrijoje arba Europos ekonominėje erdvėje prieš 2004 metų didelę ES plėtrą į buvusias sovietines ir satelitines sovietines valstybes. Šios Vakarų Europos šalys yra Austrija, Belgija, Danija, Suomija, Prancūzija, Vokietija, Graikija, Islandija, Airija, Italija, Lichtenšteinas, Liuksemburgas, Nyderlandai, Norvegija, Portugalija, Ispanija, Švedija ir Jungtinė Karalystė. Rytų Europa apibrėžiamos 13 šalių, įstojusių į ES per 2004, 2007 ar 2013 metų plėtrą. Šios šalys yra Bulgarija, Kroatija, Kipras, Čekija, Estija, Vengrija, Latvija, Lietuva, Malta, Lenkija, Rumunija, Slovakija ir Slovėnija.

Remiantis 2021 metų gruodžio mėnesio statistika matoma, kad didžiausią administracinių baudų sumą skyrė Vakarų Europos šalys (žr. 1 lent.).

1 lentelė. Šalys, kuriose skirta didžiausia administracinių baudų suma

Nr.

Šalis

Baudų suma, Eur

Baudų skaičius

1

Liuksemburgas

746 257 900

16

2

Airija

225 877 900

11

3

Italija

89 624 096

101

4

Prancūzija

57 714 300

19

5

Vokietija

50 160 083

39

6

Jungtinė Karalystė

44 846 800

7

7

Ispanija

36 571 110

336

8

Austrija

16 770 950

14

9

Švedija

15 331 730

24

10

Olandija

7 164 500

16

Šaltinis: sudaryta autoriaus, remiantis GDPR Enforcement Tracker (2021).

Remiantis 2021 metų gruodžio mėnesio statistika matoma, kad didžiausias vidutines administracines baudas (baudų sumą dalijant iš jų skaičiaus) skyrė Vakarų Europos šalys ir Lenkija (žr. 2 lent.).

2 lentelė. Šalys, kuriose skirtos didžiausios vidutinės administracinės baudos

Nr.

Šalis

Baudų dydis, Eur

Baudų skaičius

1

Italija

89 624 096

101

2

Vokietija

50 160 083

39

3

Ispanija

36 571 110

336

4

Norvegija

2 571 650

37

5

Lenkija

2 189 948

30

6

Belgija

1 023 000

25

7

Graikija

889 000

26

8

Vengrija

814 683

44

9

Rumunija

718 950

67

10

Čekija

165 903

25

Šaltinis: sudaryta autoriaus, remiantis GDPR Enforcement Tracker (2021).

Sankcijų dydis už duomenų apsaugos pažeidimus laikytinas dar viena paskata įvertinti asmens duomenų svarbą ir saugą bei laikytis Reglamente įtvirtintų asmens duomenų tvarkymo principų bei taisyklių. Reglamento 83 straipsnis įtvirtina kriterijus, pagal kuriuos Priežiūros institucija atlieka vertinamuosius veiksmus ir priima sprendimą dėl baudos skyrimo ar neskyrimo ir jos dydžio (Štareikė, Kausteklytė-Tunkevičienė, 2018). Pasak VDAI, pažeidus Reglamento nuostatas, gali būti skiriamos administracinės baudos, kurios kiekvienu konkrečiu atveju turi būti veiksmingos, proporcingos ir atgrasomos. Taigi bauda gali siekti iki 2 – 4 proc. ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, arba iki 10 000 000 – 20 000 000 eurų. Reikėtų atkreipti dėmesį, kad tai maksimalios baudos, tačiau žemutinė baudų riba gali būti bet kuri minimali skaitinė išraiška. Lietuva pasinaudojo Reglamente numatyta galimybe nustatyti mažesnes baudas viešajam sektoriui, atsižvelgiant į tai, kad jos skiriamos iš to paties valstybės biudžeto. Tik Lietuvai būdingos tam tikros asmens duomenų tvarkymo nuostatos numatytos naujos redakcijos Asmens duomenų teisinės apsaugos įstatyme. ADTAĮ viešajam sektoriui numatytos baudos iki 0,5 – 1 proc. metinio biudžeto, bet ne daugiau kaip iki 30 – 60 tūkstančių eurų. Tuo atveju, jeigu valstybės institucija užsiima komercine veikla, tai jai atsakomybė bus taikoma kaip privatiems juridiniams asmenims, o ne kaip viešajam sektoriui.

VDAI sankcijų skyrimo klausimais laikosi teisės aktų reikalavimų. Kiekvienas atvejis vertinamas atskirai, taikant sankcijas atsižvelgiama ir į galimus neaiškumus dėl tam tikrų Reglamento nuostatų. VDAI pataria, nurodo ištaisyti Reglamento reikalavimų neatitikimus. Kai kuriais atvejais sprendimai priimami netgi ES lygiu EDAV, formuojama bendra europinė baudų skyrimo praktika. Baudos sumokėjimas niekaip neapsaugo duomenų tvarkytojo ar duomenų valdytojo nuo pareigos atlyginti asmeniui patirtą turtinę ir neturtinę žalą.

Pagal Reglamentą Priežiūros institucijos turi didelių vykdymo galių, įskaitant galimybę skirti dideles administracines baudas. Remiantis 2021 metų gruodžio mėnesio statistika matomos po Reglamento įsiteisėjimo VDAI skirtos administracinės baudos organizacijoms, kurios valdo arba tvarko asmens duomenis, už asmens duomenų pažeidimus (žr. 3 lent.).

3 lentelė. VDAI skirtos administracinės baudos

Nr.

Data

Baudų dydis

Organizacija (Duomenų valdytojas/tvarkytojas)

1

2021-11-29

110 000

UAB „Prime Leasing“

2

2021-06-21

20 000

UAB „VS FITNESS“

3

2021-03-02

15 000

Vį Registrų Centras

4

2021-02-26

3 000

UAB „IT sprendimai sėkmei“

5

2021-02-26

12 000

Nacionalinis visuomenės sveikatos centras

6

2020-10-21

15 000

Vilniaus miesto savivaldybės administracija

7

2020

8 000

UAB „Vilniaus viešasis transportas“

8

2019-05-16

61 500

UAB „MisterTango“

Šaltinis: sudaryta autoriaus, remiantis GDPR Enforcement Tracker (2021).

VDAI per visą Reglamento taikymo laikotarpį yra skyrusi tik 8 administracines baudas, kurios ES kontekste yra ypatingai mažos. Atkreiptinas dėmesys, kad 2021 m. lapkričio 29 d. VDAI skyrė 110 tūkst. eurų administracinę baudą trumpalaikės automobilių nuomos platformą „CityBee“ valdančiai UAB „Prime Leasing“. Tai yra didžiausia VDAI skirta bauda per visą Reglamento taikymo laikotarpį. Kaip numato Reglamento 83 straipsnio 4 dalies a punktas, UAB „Prime Leasing“ administracinė bauda skirta atsižvelgiant į bendrovės ankstesnių finansinių metų (2020 m.) bendrą metinę pasaulinę apyvartą ir įvertinus byloje pateiktas aplinkybes.

Priežiūros institucijų skirtumai Reglamento taikymo interpretacijose ir baudų skyrimo praktikoje rodo nenuoseklų ES duomenų apsaugos teisės aktų vykdymą visoje Europoje. Tačiau kai kuriais atvejais gali kilti netikrumo, kai Priežiūros institucijų gairės prieštarauja EDAV rekomendacijoms (Gabel ir Hickman, 2019). Duomenų privatumo ekspertai tvirtina, kad netolygus vykdymo ir baudų lygis už Reglamento pažeidimus visoje ES sukėlė neapibrėžtumą (Satariano, 2020).

Reglamento 83 straipsnyje nustatyti veiksniai, į kuriuos Priežiūros institucijos atsižvelgia, spręsdamos, ar skirti baudą, ir nustato jos dydį. Tokie veiksniai apima pažeidimo pobūdį, sunkumą ir trukmę, apdorojimo pobūdį ir apimtis, paveiktų duomenų subjektų skaičių ir jų patirtos žalos lygį. Atsižvelgiama į duomenų valdytojo arba duomenų tvarkytojo veiksmus iki pažeidimo ir po jo, įskaitant tai, ar pažeidimas buvo tyčinis, ar dėl neatsargumo, veiksmus, kurių buvo imtasi siekiant sumažinti duomenų subjektų patirtą žalą, priemones, kurių duomenų valdytojas ar duomenų tvarkytojas ėmėsi. Šie veiksniai rodo, kad duomenų valdytojai ir duomenų tvarkytojai gali imtis aktyvių veiksmų, kad sumažintų administracinių baudų tikimybę ir griežtumą.

Zaleskio (2017) teigimu, duomenų valdytojo arba duomenų tvarkytojo neatitiktį duomenų apsaugos teisei būtų galima ištaisyti kitomis priemonėmis nei administracinės baudos. Pavyzdžiui, VDAI gali teikti nurodymų suderinti duomenų tvarkymo operacijas su duomenų apsaugos teisės reikalavimais (Reglamento 58 straipsnio 2 dalies d punktas). Kai pažeidimas nedidelis arba jeigu bauda sudarytų neproporcingą naštą fiziniam asmeniui, vietoj baudos gali būti pareikštas papeikimas (Reglamento 58 straipsnio 2 dalies b punktas, preambulės 148 punktas).

Mokslininkai sutaria, kad reguliavimo įgyvendinimas gali būti atgrasomasis arba pagrįstas atitiktimi. Sąmoningumo didinimo pareigos dažniausiai patenka į atitikties ir su juo susijusių strategijų taikymo sritį, nes paprastai jomis siekiama užkirsti kelią žalai. Atgrasymo vykdymo užtikrinimas reikalauja, kad reguliuojami asmenys žinotų apie vykdymo galimybę, o tai reiškia, kad už Reglamento nesilaikymą skiriamos baudos ir sankcijos (Baldwin ir kt., 2012).

Daugelis Priežiūros institucijų turi nusistovėjusią informaciją apie įvairią informuotumo didinimo veiklą, pradedant pranešimais spaudai, mokomosios medžiagos bei komentarų skelbimu ir baigiant viešų susitikimų, kitų renginių organizavimu. Iš tiesų, tik gerai informuoti ir žinantys esmę duomenų valdytojai ir tvarkytojai gali laikytis reikalavimų, įsipareigojimų, kylančių iš ES duomenų apsaugos sistemos. Sąmoningumo didinimo kaip užduoties svarba padidėjo priėmus Reglamentą, pagal kurį informuotumo didinimo veikla dabar yra įforminta kaip pareiga pagal Reglamento 57 straipsnį. Tačiau nėra tolesnių įstatymų leidėjo nurodymų, kaip ši pareiga gali būti įgyvendinta. Reguliavimo institucijos turi apsvarstyti strategijas, kaip didinti savo sąmoningumo didinimo pastangas. Tuo pačiu metu aišku, kad informuotumo didinimas yra esminė tiek į atitikties, tiek į atgrasymą orientuoto požiūrio į vykdymą dalis (Cochrane ir kt., 2020).

Reglamentas suteikia Priežiūros institucijoms daug įvairių vykdymo galių, pradedant nuo įgaliojimų atlikti tyrimus, prašyti informacijos ir skelbti įspėjimus iki galimybės skirti dideles administracines baudas už duomenų apsaugos taisyklių pažeidimus, o tai paprastai laikoma įtikinamiausia motyvacija. Priežiūros institucijos taip pat turi teisę uždrausti vykdyti duomenų tvarkymo veiklą ir įsakyti sustabdyti duomenų srautus, o tai gali sustabdyti organizacijos efektyvų funkcionavimą ir galiausiai nutraukti organizacijos veiklą. Siekdamos suderinti reguliavimo veiklą visoje Europoje, Priežiūros institucijos privalo bendradarbiauti tarpusavyje ir laikytis nuoseklumo užtikrinimo mechanizmo pagal Reglamentą, kad būtų užtikrintas nuoseklus požiūris į svarbiausius sprendimus.

Išvados

Duomenų apsaugos srityje pokyčius paskatino 2018 m. gegužės 25 d. pradėtas taikyti Reglamentas, kuris išplėtė duomenų apsaugos taikymo apimtį. Pašalinti įvairių nacionalinių sistemų skirtumus ir nereikalingą administracinę naštą yra vienas iš Reglamento tikslų. Kiekviena valstybė narė užtikrina, kad viena arba kelios nepriklausomos Priežiūros institucijos yra atsakingos už šio Reglamento taikymo stebėseną. Lietuvoje asmens duomenų apsaugos priežiūros veiklą vykdo dvi institucijos – VDAI ir Žurnalistų etikos inspektoriaus tarnyba, kai asmens duomenys tvarkomi žurnalistikos arba akademinės, meninės ar literatūrinės saviraiškos tikslais. Priežiūros institucijoms pagal Reglamentą suteikti įgaliojimai yra didesni ir platesnės apimties nei pagal ankstesnius duomenų apsaugos teisės aktus.

Organizacijos, tvarkančios asmens duomenis, privalo užtikrinti atitiktį Reglamento reikalavimams. Reglamente asmens duomenys yra apibrėžiami kaip bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti. Duomenų valdytojas, prieš pradedant asmens duomenų tvarkymo veiksmus, įgyvendina atskaitomybės principą, t. y. įrodo įvairiomis Reglamente įtvirtintomis priemonėmis Priežiūros institucijai, kad asmens duomenys tvarkomi teisėtai. Priežiūros institucija imasi veiksmų įtarus Reglamento nuostatų pažeidimą arba kai duomenų subjektas pateikia skundą. VDAI atlieka visas Lietuvos Respublikos įstatymais ir kitais teisės aktais jai pavestas duomenų apsaugos priežiūros funkcijas.

Už Reglamento nuostatų pažeidimus Priežiūros institucijos gali iš organizacijų reikalauti taisomųjų veiksmų arba skirti dideles administracines baudas ir kitas sankcijas. Išanalizavus statistinius duomenis, pastebėta, kad Vakarų Europos šalys skiria daug didesnes administracines baudas nei Rytų Europos šalys. VDAI per visą Reglamento taikymo laikotarpį yra skyrusi tik 8 administracines baudas, kurios ES kontekste yra ypatingai mažos. Įvertinus VDAI administracinių baudų skyrimo praktiką ES kontekste, galima ieškoti priežasčių, lemiančių esamą padėtį ir tobulinti VDAI duomenų apsaugos priežiūros funkcijų procesus. Atlikdama savo užduotis pagal Reglamentą ir naudodamasi savo įgaliojimais, kiekviena Priežiūros institucija veikia visiškai nepriklausomai. Visoje Europoje Priežiūros institucijos Reglamentą taiko ir interpretuoja skirtingai. Priežiūros institucijų gebėjimas atlikti savo funkcijas priklauso nuo finansinių ir žmogiškųjų išteklių.

Literatūra

  1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas). OL L 119, 2016 5 4, p. 1–88.
  2. Alford, S. (2020). GDPR: a Game of Snakes and Ladders. Routledge.
  3. Andrijauskas, R., Morkūnienė, D. (2020). Asmens duomenų apsaugos priežiūros institucijos vaidmens pasikeitimai priėmus bendrąjį duomenų apsaugos reglamentą. Jurisprudencija, 27(2), 298-311.
  4. Baldwin, R., Cave, M., Lodge, M. (2012). Understanding regulation: theory, strategy, and practice. Oxford University Press on Demand.
  5. Carey, P. (2018). Data protection: a practical guide to UK and EU law. Oxford University Press, Inc.
  6. Cochrane, L., Jasmontaite-Zaniewicz, L., Barnard-Wills, D. (2020). Data Protection Authorities and Their Awareness-Raising Duties under the GDPR: The Case for Engaging Umbrella Organisations to Disseminate Guidance for Small and Medium-Size Enterprises. Eur. Data Prot. L. Rev.6, 352.
  7. Daigle, B., Khan, M. (2020). The EU General Data Protection Regulation: An Analysis of Enforcement Trends by EU Data Protection Authorities. J. Int‘l Com. & Econ., 1.
  8. Dibble, S. (2019). GDPR for Dummies. John Wiley & Sons.
  9. Enforcement Tracker (2021) Statistics: Countries with highest fines. https://www.enforcementtracker.com/
  10. Europos Komisija (2019). Duomenų apsaugos taisyklių kaip priemonės pasitikėjimui didinti ES ir už ES ribų vertinimas. https://eur-lex.europa.eu/legal-content/LT/ALL/?uri=CELEX:52019DC0374
  11. Europos Komisija (2020). Kas yra Europos duomenų apsaugos valdyba (EDAV)? https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/enforcement-and-sanctions/enforcement/what-european-data-protection-board-edpb_lt
  12. Europos Komisija. Duomenų apsauga ES. https://ec.europa.eu/info/law/law-topic/data-protection/data-protection-eu_lt
  13. Freitas, M. D. C., Mira da Silva, M. (2018). GDPR Compliance in SMEs: There is much to be done. Journal of Information Systems Engineering & Management3(4), 30.
  14. Gabel, D., Hickman, T. (2019). Unlocking the EU General Data Protection Regulation: A practical handbook on the EU’s new data protection law. https://www.whitecase.com/publications/article/chapter-17-issues-subject-national-lawunlocking-eu-general-data-protection
  15. Gobeo, A., Fowler, C., Buchanan, W. J. (2018). GDPR and Cyber Security for Business Information Systems. River Publishers.
  16. Hijmans, H., Raab, Ch. D. (2018). Ethical Dimensions of the GDPR. Commentary on the General Data Protection Regulation, Cheltenham: Edward Elgar (2018, Forthcoming).
  17. Hintze, M., El Emam, K. (2018). Comparing the benefits of pseudonymisation and anonymisation under the GDPR. Journal of Data Protection & Privacy2(2), 145-158.
  18. Jasmontaitė-Zaniewicz, L., Calvi, A., Nagy, R., Barnard-Wills, D. (2021). The GDPR made simple (r) for SMEs.
  19. Lambert, P. (2017). Understanding the new European data protection rules. CRC Press.
  20. Lietuvos Respublikos Vyriausybės 1996 m. spalio 10 d. nutarimas Nr. 1185 ,,Dėl Valstybinės duomenų apsaugos inspekcijos įsteigimo“. https://www.e-tar.lt/portal/lt/legalAct/TAR.723AE5A1A276/asr
  21. Lietuvos Respublikos Vyriausybės 2001 m. rugsėjo 25 d. nutarimas Nr. 1185 ,, Dėl Valstybinės duomenų apsaugos inspekcijos struktūrinės reformos, įgaliojimų suteikimo, Valstybinės duomenų apsaugos inspekcijos nuostatų patvirtinimo ir su tuo susijusių Lietuvos Respublikos Vyriausybės nutarimų dalinio pakeitimo“. https://e-seimas.lrs.lt/portal/legalAct/lt/TAD/TAIS.150553/asr
  22. Lukoševičienė, D. (2021). Asmens duomenų apsaugos įgyvendinimo problemos sveikatos priežiūros įstaigose. Magistro darbas. Mykolo Romerio universitetas.
  23. Mulder, T., Tudorica, M. (2019). Privacy policies, cross-border health data and the GDPR. Information & Communications Technology Law, 28(3), 261-274.
  24. Novikovienė, L., Pedaniuk, O. (2020). Naujosios duomenų subjekto teisės bendrajame duomenų apsaugos reglamente. Jurisprudencija27(2), 312-329.
  25. Pranevičienė, B., Lukoševičienė, D. (2021). Iššūkiai asmens duomenų apsaugai sveikatos priežiūros įstaigose. Public Security and Public Order, 26.
  26. Projektas „SolPriPa“. Asmens duomenų apsaugos gairės smulkiajam ir vidutiniam verslui. https://vdai.lrv.lt/lt/naudinga-informacija/solpripa-projektas
  27. Puiszis, S. M. (2018). Unlocking the EU General Data Protection Regulation. J. Prof. Law., 1.
  28. Raab, Ch. D. (2017). Information Privacy: Ethics and Accountability. In Brand, C., Heesen, J., Kröber, B., Müller, U., Potthast, T. (eds.). Ethik in den KulturenKulturen in der Ethik: Eine Festschrift für Regina Ammicht Quinn, Tübingen: Narr Francke Attempto, pp. 335-347.
  29. Reuter, P. (2018). General data protection regulation (GDPR). Intersoft Consulting, Accessed in October24(1).
  30. Satariano, A. (2020). Europe’s Privacy Law Hasn’t Shown Its Teeth, Frustrating Advocates. https://www.nytimes.com/2020/04/27/technology/GDPR-privacy-law-europe.html
  31. Sharma, S. (2019). Data privacy and GDPR handbook. John Wiley & Sons.
  32. Shastri, S., Wasserman, M., Chidambaram, V. (2021). GDPR anti-patterns. Communications of the ACM, 64(2), 59-65.
  33. STARII, Deliverable D2.2 – Report on the SME experience of the GDPR (July 2019). https://www.trilateralresearch.com/wp-content/uploads/2020/01/STAR-II-D2.2-SMEs-experience-with-the-GDPR-v1.0-.pdf
  34. Štareikė, E., Kausteklytė-Tunkevičienė, S. (2018). Pagrindinės duomenų subjekto teisės ir jų užtikrinimas pagal ES Bendrąjį duomenų apsaugos reglamentą. Visuomenės saugumas ir viešoji tvarka, 20, 293–312.
  35. Tankard, C. (2016). What the GDPR means for businesses. Network Security2016(6), 5-8.
  36. Team, I. G. P. (2020). EU general data protection regulation (gdpr)–an implementation and compliance guide. IT Governance Ltd.
  37. Teixeira, G. A., da Silva, M. M., Pereira, R. (2019). The critical success factors of GDPR implementation: a systematic literature review. Digital Policy, Regulation and Governance, 21(4), 402-418.
  38. Tikkinen-Piri, C., Rohunen, A., Markkula, J. (2018). EU general data protection regulation: changes and implications for personal data collecting companies. Computer Law & Security Review, 34(1), 134–153.
  39. Truong, N. B., Sun, K., Lee, G. M., Guo, Y. (2019). Gdpr-compliant personal data management: A blockchain-based solution. IEEE Transactions on Information Forensics and Security15, 1746-1761.
  40. Valstybinė duomenų apsaugos inspekcija (2020). Asmens duomenų apsauga Lietuvoje. Kokios institucijos gali padėti? https://vdai.lrv.lt/uploads/vdai/documents/files/01_%20Lankstinukas%20Asmens%20duomenu%20apsauga%20Lietuvoje%202020-02-20.pdf
  41. Valstybinė duomenų apsaugos inspekcija (2020). Valstybinės duomenų apsaugos inspekcijos 2019 m. veiklos ataskaita. https://vdai.lrv.lt/lt/naujienos/vyriausybe-pritare-valstybines-duomenu-apsaugos-inspekcijos-2019-m-veiklos-ataskaitai
  42. Valstybinė duomenų apsaugos inspekcija (2021). Apklausos rezultatai – ką Lietuvos gyventojai galvoja apie asmens duomenų apsaugą? https://vdai.lrv.lt/lt/naujienos/apklausos-rezultatai-ka-lietuvos-gyventojai-galvoja-apie-asmens-duomenu-apsauga-1
  43. Valstybinė duomenų apsaugos inspekcija (2021). Baudos ir kitos sankcijos. https://vdai.lrv.lt/lt/naudinga-informacija/2018-m-duomenu-apsaugos-reforma-1/baudos-ir-kitos-sankcijos
  44. Valstybinės duomenų apsaugos inspekcijos direktoriaus 2018 m. liepos 27 d. įsakymas Nr. 1T-72(1.12.E) ,,Dėl pranešimo apie asmens duomenų saugumo pažeidimą pateikimo valstybinei duomenų apsaugos inspekcijai tvarkos aprašo patvirtinimo“. https://e-seimas.lrs.lt/portal/legalAct/lt/TAD/42316db191d411e8aa33fe8f0fea665f/asr
  45. Valstybinės duomenų apsaugos inspekcijos direktoriaus 2019 m. spalio 2 d. įsakymas Nr. 1T-159 (1.12.E) ,,Dėl asmenų aptarnavimo Valstybinėje duomenų apsaugos inspekcijoje tvarkos aprašo patvirtinimo“. https://e-seimas.lrs.lt/portal/legalAct/lt/TAD/27153fd2e54c11e99f05bdf72918ad4e?jfwid=92zt7sdvu
  46. Valstybinės duomenų apsaugos inspekcijos direktoriaus 2020 m. rugsėjo 11 d. įsakymas Nr. 1T-93 (1.12.E) ,,Dėl Valstybinės duomenų apsaugos inspekcijos auditų ir tyrimų, atliekamų duomenų apsaugos audito forma, atlikimo tvarkos aprašo patvirtinimo“. https://e-seimas.lrs.lt/portal/legalAct/lt/TAD/0ef54ce0f46611eab72ddb4a109da1b5?jfwid=q8i88md0l
  47. Zaleskis, J. (2017). ES Bendrasis duomenų apsaugos reglamentas: reikšmė duomenų apsaugos teisei. Teisė103, 45-54.
  48. Žurnalistų etikos inspektoriaus 2020 metų veiklos ataskaita. https://www.zeit.lt/data/public/uploads/2021/03/2020-metu-veiklos-ataskaita-v-003.pdf