Global menu

Our global pages

Close

Trumposios teisės žinios 2019 gegužė

  • Lithuania
  • Other

07-06-2019

1.    Lietuvoje skirta pirmoji bauda už Bendrojo duomenų apsaugos reglamento nuostatų pažeidimus

Valstybinė duomenų apsaugos inspekcija (VDAI, Inspekcija) skyrė 61 500 eurų baudą UAB „MisterTango“ už Bendrojo duomenų apsaugos reglamento (BDAR) pažeidimus. Inspekcijos nuomone, pradėtos skirti baudos pagal Bendrąjį duomenų apsaugos reglamentą turėtų būti reikšmingas signalas ir kitoms įmonėms, tik deklaratyviai įgyvendinančioms šio teisės akto nuostatas.
Kaip nurodoma VDAI pranešime, bauda UAB „MisterTango“ skirta už BDAR 5, 32 ir 33 straipsnių pažeidimą – dėl asmens duomenų saugumo pažeidimo mokėjimo iniciavimo paslaugų sistemoje, apie kurį, be kita ko, nebuvo pranešta priežiūros institucijai. Inspekcija atliko tyrimą ir skyrė baudą, atsižvelgdama į gautą informaciją apie paviešintus bankų klientų asmens duomenis bei galimai įvykusį asmens duomenų saugumo pažeidimą. Inspekcija, atlikusi tyrimą, nustatė, kad įmonė pažeidė BDAR reikalavimus netinkamai tvarkydama asmens duomenis momentiniuose ekrano vaizduose (MEV), paviešindama asmens duomenis ir nepateikdama pranešimo apie asmens duomenų saugumo pažeidimą asmens duomenų apsaugos priežiūros institucijai.
Analizuojant atvejį dėl netinkamo asmens duomenų tvarkymo, pasak VDAI, nustatyta, kad UAB „MisterTango“ tvarko (prieina, renka) daugiau asmens duomenų, negu pati nurodo esant būtina mokėtojo inicijuotam mokėjimui įvykdyti. Inspekcijos nuomone, įgyvendinant asmens duomenų kiekio mažinimo principą, turėtų būti renkami tik mokėjimo atlikimui būtini duomenys. Tačiau be šių duomenų įmonė rinko ir tokius pertekliniais laikytinus duomenis, pavyzdžiui, neperžiūrėtų elektroninių sąskaitų pateikimo datos, pensijų fondų pavadinimai, sukaupti vienetai, jų vertė, sukauptos sumos ir kita.
Vertinant nepranešimą apie duomenų saugumo pažeidimą, Inspekcija atkreipia dėmesį į tai, kad, be kita ko, „incidentas, kai 2 dienas internete neautorizuotiems asmenims buvo sudaryta galimybė prieiti prie asmens duomenų, laikytinas tokiu duomenų saugumo pažeidimu, apie kurį privaloma pranešti priežiūros institucijai. Todėl UAB „MisterTango“ privalėjo nepagrįstai nedelsdama ir, jei įmanoma, praėjus ne daugiau kaip 72 valandoms nuo tada, kai sužinojo apie asmens duomenų saugumo pažeidimą, apie tai pranešti Inspekcijai. Apie šį pažeidimą nepranešdama priežiūros institucijai UAB „MisterTango“ pažeidė BDAR 33 str.“
Kaip nurodoma VDAI pranešime, bauda įmonei buvo skirta įvertinus visas aplinkybes, reikšmingas taikant atsakomybę, pavyzdžiui, kad įmonė asmens duomenis tvarkė neskaidriai, didesne apimtimi ir ilgiau, negu tai yra būtina duomenų tvarkymo tikslui pasiekti, neteisėtą asmens duomenų tvarkymą atliko sistemingai, asmens duomenų saugumo pažeidimo metu neužtikrino asmens duomenų saugumo, priežiūros institucijai nepranešė apie įvykusį asmens duomenų saugumo pažeidimą, kuris turėjo poveikį asmens duomenims, pagal kuriuos buvo galima tiesiogiai nustatyti asmens tapatybę.
Remiantis viešai teiktais UAB „Mister Tango“ komentarais, įmonė ketina skųsti VDAI sprendimą.
Tai pirmoji reikšminga VDAI skirta bauda po BDAR įsigaliojimo, verčianti duomenų valdytojus dar kartą įvertinti asmens duomenų tvarkymo praktikos atitikimą taikomiems reikalavimams. Duomenų valdytojai ypač turėtų atkreipti dėmesį į tvarkomų duomenų apimtį ir duomenų minimizavimo principo laikymąsi, tinkamą ir realų (bet ne tik formalų) duomenų apsaugos politikų ir procedūrų įgyvendinimą. Įvykus duomenų pažeidimui, apie tai BDAR numatytais atvejais būtina pranešti ir bendradarbiauti su VDAI – šių prievolių nevykdantys duomenų valdytojai rizikuoja griežčiausiomis numatytomis sankcijomis.

2.    Nuo gegužės 15 d. sumažėjo tarptautinių skambučių ir trumpųjų SMS žinučių tarifai

Nuo 2019 m. gegužės 15 d. tarptautiniams skambučiams ir trumposioms SMS žinutėms nustatoma nauja maksimali kaina. Iš savo šalies į kitą ES šalį skambinantys vartotojai mokės ne daugiau kaip 19 centų už minutę (plius PVM) ir ne daugiau kaip 6 centus už SMS žinutę (plius PVM).
Ryšių reguliavimo tarnybos (toliau – RRT) duomenimis, Lietuvos gyventojai iki gegužės 15 d. už skambučius iš fiksuotojo ryšio tinklo į kitos ES šalies fiksuotąjį ryšio tinklą mokėjo nuo 43 iki 47 centų už minutę. Skambutis iš fiksuotojo ryšio tinklo į judrųjį kainavo nuo 58 iki 63 centų už minutę, iš judriojo ryšio tinklo į judrųjį ir (arba) fiksuotąjį – nuo 37 iki 89 centų už minutę. SMS žinutės kaina svyravo nuo 14 iki 39 centų. Nuo gegužės 15 d. įsigaliojusios tarptautinių pokalbių kainos leis skambučių į kitas Europos Sąjungos šalis išlaidas sumažinti nuo 45 iki 80 procentų.
Šios nuostatos taikomos tik fiziniams asmenims, besinaudojantiems paslaugomis asmeninėms reikmėms. Verslo klientams kainų reguliavimo nuostatos netaikomos atsižvelgiant į tai, kad tam tikri paslaugų teikėjai jiems teikia ypač patrauklių specialių pasiūlymų.
Kaip nurodoma Europos Komisijos pranešime, telekomunikacijų operatoriai visoje ES turės pranešti vartotojams apie naujas kainų viršutines ribas. Taisyklės nuo gegužės 15 d. bus taikomos visose 28 ES šalyse, jos netrukus įsigalios ir Norvegijoje, Islandijoje ir Lichtenšteine.

3.    Valstybinė duomenų apsaugos inspekcija apibendrino dažniausiai pasitaikančius atvejus, kai inspekcijai pateikti skundai pripažįstami nepagrįstais

Valstybinė duomenų apsaugos inspekcija (VDAI, Inspekcija) apibendrino dažniausiai pasitaikančius atvejus, kuomet skundai, gaunami Inspekcijoje, yra pripažįstami nepagrįstais. Inspekcija nurodo, kad 2018 m. gegužės 25 d. pradėjus taikyti Bendrąjį duomenų apsaugos reglamentą (BDAR) ypač padidėjo Lietuvos gyventojų informuotumas apie duomenų ir privatumo apsaugą bei šios srities žmogaus teises. Asmenų aktyvumą ginant teises į asmens duomenų ir privatumo apsaugą rodo ir ypač išaugęs Valstybinės duomenų apsaugos inspekcijos gaunamų skundų skaičius. 2017 m. Inspekcija gavo 480 asmenų skundų, 2018 m. – 859, o vien per 2019 m. I ketvirtį Inspekcija jau yra gavusi 584 skundus. VDAI nurodo, kad pasitaiko nemažai atvejų, kai skundai pripažįstami nepagrįstais ir jų nagrinėjimas nutraukiamas. Tokių atvejų daugiausia pasitaiko šiose srityse:
•    Tiesioginė rinkodara – Inspekcija atkreipia dėmesį, jog neretai duomenų subjektams atrodo, kad pradėjus taikyti BDAR duomenų valdytojai ar tvarkytojai privalo iš naujo gauti duomenų subjekto sutikimą tiesioginei rinkodarai, tačiau taip yra ne visuomet;
•    Vaizdo stebėjimas – nepagrįstais laikomi skundai, kuomet skundžiamasi dėl kamerų, nevykdančių vaizdo stebėjimo, muliažų, kuomet vaizdo stebėjimą vykdo fizinis asmuo su saugumu susijusiais tikslais (veikla nesusijusi su vykdomu verslu ar profesija), arba vaizdo stebėjimas vykdomas keliems asmenims priklausančioje teritorijoje gavus daugumos bendrasavininkų sutikimą;
•    Asmens duomenų tikrinimas registruose – asmenys klaidingai mano, kad rinkti informaciją iš registrų galima tik gavus asmenų sutikimą arba kad tai išvis yra draudžiama;
•    Skolininko asmens duomenų perdavimas - kai asmens duomenys yra perduodami tvarkyti kitam duomenų tvarkytojui siekiant išieškoti skolą ir tai atliekama laikantis taikomų reikalavimų;
•    Kuomet asmens duomenys yra tvarkomi vykdant teisinę prievolę – atitinkamos institucijos tvarko asmens duomenis tais atvejais, kuomet juos tvarkyti įpareigoja taikytini teisės aktai;
•    Duomenų subjektų teisių įgyvendinimo terminas – asmenys, įgyvendindami savo, kaip duomenų subjektų, teises, tikisi iš duomenų valdytojų ar tvarkytojų iškart gauti atsakymą, o jo negavus – parengia skundą VDAI, tačiau atkreiptinas dėmesys, kad BDAR numato 1 mėnesio terminą duomenis tvarkančiam asmeniui atsakyti į duomenų subjekto prašymą.

4.    Valstybinė duomenų apsaugos inspekcija pateikė tyrimo dėl biometrinių duomenų tvarkymo sporto klubuose rezultatus

Valstybinė duomenų apsaugos inspekcija (VDAI, Inspekcija) patikrino trims įmonėms priklausančius sporto klubus dėl biometrinių asmens duomenų tvarkymo. Atlikus tikrinimus nustatyta, kad bendrovės tvarko piršto atspaudo modelius, vadinamuosius binarinius kodus, praėjimo į sporto klubus ir darbo vietos kontrolės tikslu.
Biometriniais duomenimis laikomi po specialaus techninio apdorojimo gauti asmens duomenys, susiję su asmens fizinėmis, fiziologinėmis arba elgesio savybėmis, pagal kurias galima nustatyti arba patvirtinti to asmens tapatybę. Bendrajame duomenų apsaugos reglamente tokie duomenys yra priskiriami prie specialių kategorijų asmens duomenų, kurių tvarkymui keliami griežtesni reikalavimai.
Valstybinės duomenų apsaugos inspekcijos požiūriu, planuodamos tvarkyti biometrinius asmens duomenis, įmonės turi pareigą atlikti poveikio duomenų apsaugai vertinimą. Svarbu nustatyti, ar apskritai yra pagrindas tokius asmens duomenis tvarkyti, įvertinti galinčius kilti pavojus, kokios būtų pakankamos saugumo priemonės šiems pavojams sumažinti. Atlikusi sporto klubų tikrinimus inspekcija įmonėms nurodė pašalinti nustatytus pažeidimus. Vienai iš jų nurodyta sustabdyti klientų pirštų atspaudų modelių tvarkymą, iki kol bus atliktas poveikio duomenų apsaugai vertinimas ir užtikrinta atitiktis visiems Bendrojo duomenų apsaugos reglamento reikalavimams. Dviem – nutraukti darbuotojų pirštų atspaudų modelių tvarkymą. Visoms trims – užtikrinti technines ir organizacines duomenų saugumo priemones.
Inspekcija nurodo šias esmines duomenų saugumo priemones, kurias privalu užtikrinti tvarkant biometrinius duomenis:
•    Detaliai nustatyti organizacijos informacijos saugumo valdymą, t. y. garantuoti informacijos saugumą, aiškiai apibrėžti ir dokumentuoti darbuotojų atsakomybes bei vaidmenis, prieigos prie duomenų kontrolės politiką;
•    Inventorizuoti ir atnaujinti techninę, programinę ir tinklo įrangą;
•    Nustatyti pagrindines procedūras, kurių reikia laikytis įvykus incidentui ar asmens duomenų saugumo pažeidimui;
•    Užtikrinti, kad darbuotojai gebėtų konfidencialiai tvarkyti informaciją.

5.    Atvirkštinis PVM bus taikomas naujoms technikos prekėms

Lietuvos Respublikos Vyriausybė papildė Atvejų, kai pridėtinės vertės mokestį už tiekiamas prekes ir teikiamas paslaugas išskaito ir sumoka pirkėjas, aprašą. Jame nustatyta, kad nuo 2019 m. rugpjūčio 1 d. toks atvirkštinio apmokestinimo PVM mechanizmas bus taikomas naujoms prekėms: standiesiems diskams (iki 2022 m. vasario 28 d.) ir mobiliesiems telefonams, planšetėms ir nešiojamiesiems kompiuteriams (iki 2022 m. birželio 30 d.).
Valstybinė mokesčių inspekcija primena, kad atvirkštinio apmokestinimo PVM mechanizmas Apraše nurodytųjų prekių atžvilgiu taikomas, jeigu pirkėjas yra asmuo, registruotas PVM mokėtoju Lietuvoje (išskyrus biudžetines įstaigas). Tačiau jeigu apraše nurodytųjų prekių (paslaugų) pirkėjui išduodamas kasos aparato kvitas ir kartu išrašoma PVM sąskaita faktūra, tai, neatsižvelgiant į pirkėjo statusą, prievolė sumokėti PVM į biudžetą ir toliau lieka pardavėjui (atvirkštinio apmokestinimo PVM mechanizmas netaikomas).
Pasak finansų ministro V. Šapokos, atvirkštinio PVM mechanizmo taikymas yra efektyvus būdas kovoje su šešėliu. Jis taikomas išimtiniais atvejais. Tam, kad Lietuva turėtų tokią galimybę, buvo kreiptasi į Europos Komisiją.
Šiuo metu beveik pusė ES narių taiko atvirkštinį PVM mobiliųjų telefonų, kompiuterių, žaidimų konsolių ir panašių elektronikos prietaisų prekyboje. Valstybės narės atvirkštinį PVM elektronikos prekyboje taiko tam, kad pažabotų PVM grobstymą.

6.    Priėmus įstatymo pakeitimus, savivaldybių šilumos ūkį privačios įmonės galės valdyti tik koncesijos pagrindais

2019-05-08 LR Vyriausybė pritarė Energetikos ministerijos parengtiems LR Šilumos ūkio įstatymo pakeitimams, kuriais nustatoma, kad savivaldybės, perduodamos šilumos ūkių valdymą privačiam ūkio subjektui, tai atliktų tik sudarydamos koncesijų sutartis. Tokiu būdu naikinama galimybė šilumos ūkio valdymo perdavimą įgyvendinti įvairių sutarčių (pvz. nuomos) tarp savivaldybių ir privačių ūkio subjektų pagrindu.
Šie pakeitimai leis skaidriau pasirinkti šilumos ūkį perimančius asmenis, o sudarius su jais sutartis, tinkamai kontroliuoti ir prižiūrėti, kaip tie ūkiai yra tvarkomi.
Savivaldybės privalės vadovautis Koncesijų įstatymu, be to, planuodamos koncesijas dėl šilumos ūkio valdymo perdavimo bei rengdamos visus reikalingus dokumentus, privalės atsižvelgti į Nacionalinėje energetinės nepriklausomybės strategijoje ir Nacionalinėje šilumos ūkio plėtros programoje nustatytas strategines kryptis, tikslus, uždavinius bei įgyvendinimo priemones. Seimui pritarus pateiktiems LR Šilumos ūkio įstatymo pakeitimams, jie įsigalios nuo 2020 m. sausio 1 d.

7.    Mažmeninės prekybos įmonių nesąžiningų veiksmų draudimo įstatymo pakeitimai

Seimas priėmė pakeitimus ir papildė mažmeninės prekybos įmonių nesąžiningų veiksmų draudimo įstatymą praplėsdamas šiame įstatyme numatytų draudžiamų nesąžiningų veiksmų sąrašą. Šio įstatymo pakeitimais taip pat buvo išplėsti Konkurencijos tarybos įgaliojimai suteikiant jai daugiau teisių vykdant tyrimą.
Iki šiol galiojęs draudžiamų nesąžiningų veiksmų sąrašas buvo papildytas Iki šiol galiojęs draudžiamų nesąžiningų veiksmų sąrašas buvo papildytas draudimu reikalauti iš tiekėjų suteikti komercines nuolaidas ar bet kokį kitą atlyginimą, nebent tai būtų iš anksto sutarta raštu, el. paštu ar kitomis elektroninėmis priemonėmis. Taip pat, įstatymo pakeitime įtvirtinamas draudimas mažmeninės prekybos įmonėms taikyti neigiamo poveikio priemonės tiekėjams, kurie kreipėsi į Konkurencijos tarybą arba teismą dėl nesąžiningų veiksmų.
Įstatymo pakeitimais taip pat iki 18 mėnesių prailginamas maksimalus tyrimo terminas bei išplečiamos Konkurencijos tarybos teisės atliekant pažeidimų tyrimus bei renkant įrodymus. Įstatymo pakeitimai įsigalios 2019 m. liepos 7 d.