Vieša sprendimų paieška



Pavadinimas: nuasmenintas sprendimas byloje [A-143-2740-12].doc
Bylos nr.: A-143-2740-12
Bylos rūšis: administracinė byla
Teismas: Lietuvos vyriausiasis administracinis teismas
Raktiniai žodžiai:
Teisiniai terminai:
Šalys:
Vardas/Pavardė/Pavadinimas Kodas Byloje kaip
Valstybinė duomenų apsaugos inspekcija 188607912 atsakovas
Registrų centras 124110246 pareiškėjas
Gyventojų registro tarnyba 188756767 trečiasis suinteresuotas asmuo
Informacinės visuomenės plėtros komitetas 188772433 trečiasis suinteresuotas asmuo
Ryšių reguliavimo tarnyba 121442211 trečiasis suinteresuotas asmuo
"Skaitmeninio Sertifikavimo Centras" trečiasis suinteresuotas asmuo
Kategorijos:
1. Administracinės bylos, kylančios iš ginčų dėl teisės viešojo ar vidaus administravimo srityje
1.20. Bylos dėl asmens duomenų apsaugos
1. ADMINISTRACINĖS BYLOS, KYLANČIOS IŠ GINČŲ DĖL TEISĖS VIEŠOJO AR VIDAUS ADMINISTRAVIMO SRITYJE
1.25. Bylos dėl asmens duomenų teisinės apsaugos

Administracinė byla Nr

Administracinė byla Nr. A143-2740/2012

Teisminio proceso Nr. 3-61-3-02758-2011-9

Procesinio sprendimo kategorija 25 (S)

 

 

 

LIETUVOS VYRIAUSIASIS ADMINISTRACINIS TEISMAS

 

S P R E N D I M A S

LIETUVOS RESPUBLIKOS VARDU

 

2012 m. gruodžio 18 d.

Vilnius

 

Lietuvos vyriausiojo administracinio teismo teisėjų kolegija, susidedanti iš teisėjų  Laimės Baltrūnaitės (kolegijos pirmininkė), Anatolijaus Baranovo (pranešėjas) ir Irmanto Jarukaičio,

sekretoriaujant Lilijai Andrijauskaitei,

dalyvaujant pareiškėjo atstovei Jurgitai Apanskienei,

atsakovo atstovei Simonai Gavorskaitei,

trečiojo suinteresuoto asmens Lietuvos Respublikos ryšių reguliavimo tarnybos atstovei Marinai Lavrinavičiūtei,

trečiojo suinteresuoto asmens UAB „Skaitmeninio sertifikavimo centras“ atstovui Mudrikui Dadašovui,

viešame teismo posėdyje apeliacine tvarka išnagrinėjo administracinę bylą pagal atsakovo Valstybinės duomenų apsaugos inspekcijos apeliacinį skundą dėl Vilniaus apygardos administracinio teismo 2012 m. balandžio 11 d. sprendimo administracinėje byloje pagal pareiškėjo valstybės įmonės Registrų centro skundą atsakovui Valstybinei duomenų apsaugos inspekcijai, tretiesiems suinteresuotiems asmenims Lietuvos Respublikos ryšių reguliavimo tarnybai, Informacinės visuomenės plėtros komitetui prie Susisiekimo ministerijos, Gyventojų registro tarnybai prie Lietuvos Respublikos vidaus reikalų ministerijos, UAB „Skaitmeninio sertifikavimo centras“ dėl nurodymo panaikinimo.

 

Teisėjų kolegija

 

n u s t a t ė:

 

I.

 

Pareiškėjas valstybės įmonė Registrų centras (toliau – pareiškėjas, VĮ Registrų centras) skundu (1 t., b. l. 1–4) kreipėsi į Vilniaus apygardos administracinį teismą, prašydamas panaikinti atsakovo Valstybinės duomenų apsaugos inspekcijos (toliau – atsakovas, Inspekcija, apeliantas) 2011 m. lapkričio 14 d. nurodymą Nr. 2R-3659(2.13) „Dėl asmens duomenų tvarkymo“ (toliau – ir Nurodymas).

Pareiškėjas nurodė, kad nesutinka su Nurodymu, kadangi jis neatitinka teisės aktų reikalavimų, yra nepagrįstas, todėl naikintinas. Teigė, kad VĮ Registrų centras pagal savo   teisinę prigimtį ir atliekamas funkcijas yra viešojo administravimo subjektas. Veikla išduodant kvalifikuotus sertifikatus taip pat yra laikytina viešojo administravimo subjekto veikla, nes pagrindinis kvalifikuotų sertifikatų išdavimo tikslas yra sudaryti kvalifikuotą elektroninį parašą, skirtą asmens tapatybei elektroninėje erdvėje nustatyti pagal Elektroninio parašo įstatymo nuostatas. Šių valstybės funkcijų pavedimo pagrindiniai principai išduodant kvalifikuotus sertifikatus numatyti Lietuvos Respublikos Vyriausybės 2002 m. gruodžio 31 d. nutarime        Nr. 2108 „Dėl Reikalavimų kvalifikuotus sertifikatus sudarantiems sertifikavimo paslaugų teikėjams, Reikalavimų elektroninio parašo įrangai, Kvalifikuotus sertifikatus sudarančių sertifikavimo paslaugų teikėjų registravimo tvarkos ir Elektroninio parašo priežiūros reglamento patvirtinimo“ (toliau – Lietuvos Respublikos Vyriausybės 2002 m. gruodžio 31 d. nutarimas   Nr. 2108). Šio nutarimo 5 punkte numatyta, kad paslaugų teikėjai turi patvirtinti savo sertifikavimo veiklos nuostatus ir viešai juos skelbti internete. Pagal paminėtą nutarimą, kvalifikuotų sertifikatų išdavimo priežiūros funkcijas iki 2011 m. sausio 19 d. vykdė trečiasis suinteresuotas asmuo Informacinės visuomenės plėtros komitetas prie Susisiekimo ministerijos (toliau – Komitetas), o nuo 2011 m. sausio 20 d. priežiūros funkcijas perėmė trečiasis suinteresuotas asmuo Lietuvos Respublikos ryšių reguliavimo tarnyba (toliau – Ryšių tarnyba). VĮ Registrų centras sertifikavimo veiklos nuostatus (jų pirmąją redakciją) 2008 m. rugsėjo mėn. paskelbė įmonės interneto svetainėje, šios nuostatos buvo suderintos su priežiūrą vykdančia institucija – Komitetu. Taigi visi nurodyti požymiai leidžia teigti, kad priimtas VĮ Registrų centro 2010 m. lapkričio 24 d. įsakymas Nr. v-226 yra laikytinas norminiu administraciniu aktu, kurio dalis, susijusi su asmens kodo įrašymu į kvalifikuotą sertifikatą, teisės aktų nustatyta tvarka nėra pripažinta kaip prieštaraujanti Asmens duomenų teisinės apsaugos įstatymo bei paminėtų valstybės valdymo institucijų priimtų nutarimų/įsakymų reikalavimams. Be to, kaip konstatavo Lietuvos vyriausiasis administracinis teismas 2011 m. rugpjūčio 29 d. nutarime administracinėje byloje Nr. N575-392/2011, paminėtas administracinis aktas tik pavertė aktus (Taisykles ir Nuostatus) galiojančiais, t. y. įgyvendino VĮ Registrų centrui pavestas Elektroninio parašo įstatymo nuostatas. Kurdamas kvalifikuotus skaitmeninius sertifikatus, jų turinio ir duomenų struktūrą, išdavimą, vadovavosi Asmens duomenų teisinės apsaugos įstatymo 2003 m. vasario  12 d. redakcija (įsigaliojo 2003 m. liepos 1 d.), kurios 7 straipsnio 3 dalies 3 punktas nustatė,           kad naudoti asmens kodą be duomenų subjekto sutikimo galima valstybės registruose ir informacinėse sistemose, jeigu jie yra įteisinti teisės aktų nustatyta tvarka. Tačiau nepaisant paminėtos įstatymo nuostatos, leidžiančios VĮ Registrų centrui, kaip įteisintam kvalifikuotų sertifikatų teikėjui, ir be duomenų subjekto sutikimo naudoti asmens kodą, pažymėjo, kad    visais atvejais informuodavo asmenį apie jo asmens kodo naudojimą jam išduodamame kvalifikuotame skaitmeniniame sertifikate, ir tokio informavimo rezultatai buvo įteisinami asmeniui pasirašant sutartį su VĮ Registrų centru dėl sertifikato sudarymo ir išdavimo. Kurdami kvalifikuotus sertifikatus, vadovavosi ne tik Asmens duomenų teisinės apsaugos įstatymo nuostatomis, bet ir kitais šiuo atveju būtinais vadovautis įstatymais. Elektroninio parašo įstatymo 2 straipsnio 5 dalyje nustatyta, kad saugus elektroninis parašas yra toks, kuris atitinka visus šioje dalyje nurodytus reikalavimus, t. y. 1) jis vienareikšmiškai susietas su pasirašančiu asmeniu;     2) leidžia identifikuoti pasirašantį asmenį; 3) sukurtas priemonėmis, kurias pasirašantis asmuo gali tvarkyti tik savo valia; 4) yra susijęs su pasirašytais duomenimis taip, kad bet koks             šių duomenų pakeitimas yra pastebimas. Be to, šio įstatymo 2 straipsnio 15 dalyje išvardyti duomenys, kurie turi būti įrašyti kvalifikuotame sertifikate, vienas iš tokių duomenų yra įvardytas 4 punkte, t. y. įrašomi specialūs atributai, jei tai reikalinga, atsižvelgiant į numatomus sertifikato naudojimo tikslus. Pabrėžė, kad, be asmens kodo, kito specialaus atributo, kuris šiuo metu būtų įtvirtintas teisės aktuose ir iš kurio vienareikšmiškai galima būtų identifikuoti asmenį, nėra. Sertifikatų savininkai gali juos naudoti valstybinių institucijų viešųjų paslaugų portaluose, todėl toks vienareikšmiškai identifikuojantis asmenį duomuo, koks yra asmens kodas, yra tiesiog privalomas. Lietuvos Respublikos teisės aktai numato, kad asmens tapatybę galima nustatyti ir naudojant asmens vardą, pavardę ir asmens kodą, tačiau naudojant tik asmens vardą ir pavardę vienareikšmiškai ir neklystamai identifikuoti asmens neįmanoma, nes yra daug asmenų, turinčių tą patį vardą ir pavardę. Todėl tik vienintelis ir neklaidinantis asmens duomuo yra asmens kodas, kurio panaudojimas kvalifikuotame sertifikate savo esme elektroninėje erdvėje prilyginamas asmens pasui, t. y. savo reikšme yra tapatus materialiam dokumentui – asmens pasui ar asmens tapatybės dokumentui. Be kita ko, akcentavo, kad ir šiuo metu galiojančio Asmens duomenų teisinės apsaugos įstatymo 7 straipsnis nedraudžia naudoti asmens kodo valstybės registruose ir informacinėse sistemose, jeigu jos yra įteisintos teisės aktų nustatyta tvarka. Įstatyme įtvirtintas draudimas asmens kodą skelbti viešai bei rinkti ir naudoti asmens kodą tiesioginės rinkodaros tikslais. Atkreipė dėmesį, kad išduodamas kvalifikuotus skaitmeninius sertifikatus, skirtus pasirašyti e-dokumentus ir e-laiškus, šių sertifikatų neviešina, taip pat neviešina ir asmens kodo. Pats sertifikato savininkas apsisprendžia, kokiais tikslais naudos kvalifikuotą sertifikatą.

Atsakovas atsiliepimu į skundą (1 t., b. l. 139–140) prašė atmesti skundą kaip nepagrįstą.

Atsakovas nurodė, kad pareiškėjo nustatyta tvarka, pagal kurią asmens kodas naudojamas elektroniniams dokumentams pasirašyti, kuomet gavėjas, gavęs pasirašytą e-dokumentą ar         e-laišką, kartu gauna ir pasirašiusio asmens viešąjį sertifikatą, kuriame yra asmens kodas, nelaikytina asmens kodo naudojimu valstybės registruose ir informacinėse sistemose. Asmens kodo naudojimas pasirašant e-dokumentus ir e-laiškus negali būti laikomas kaip atitinkantis Asmens duomenų teisinės apsaugos įstatymo 7 straipsnio 2 dalyje nustatytą asmens kodo teisėto tvarkymo kriterijų – gavus duomenų subjekto sutikimą, nes duomenų subjektas negali pasirinkti, naudoti asmens kodą e-dokumentų ir e-laiškų pasirašymui ar nenaudoti, t. y. nesutikus su asmens kodo naudojimu asmuo negalės naudotis VĮ Registrų centro teikiama paslauga – negalės pasirašyti e-dokumentų ir e-laiškų. Asmeniui, kuriam siunčiamas e-parašu pasirašytas                 e-dokumentas arba e-laiškas, jei jis nori patikrinti e-dokumentą arba e-laišką siuntusio asmens tapatybę ir jam iki e-dokumento ar e-laiško gavimo nebuvo žinomas siuntėjo asmens kodas, asmens kodo nurodymas e-parašo sertifikate nepadės nustatyti e-parašo sertifikato turėtojo asmens tapatybės, nes nebus su kuo palyginti e-parašo sertifikate naudojamo asmens kodo.       Be to, pasirašant popierinius rašytinius dokumentus, prie parašo rekvizito nėra reikalaujama nurodyti asmens kodą. Kadangi elektroninio parašo tikrumas nustatomas gavus patvirtinimą iš sertifikavimo paslaugų teikėjo, asmeniui, kuriam bus adresuotas elektroniniu parašu pasirašytas dokumentas, nėra būtina gauti asmens kodą asmens tapatybei nustatyti ir įsitikinti, kad gautas dokumentas yra pasirašytas būtent pasirašiusiam asmeniui priklausančiu elektroniniu parašu. Atkreipė dėmesį, kad Nurodyme konstatuota, jog asmens kodo naudojimas e-dokumentų ir        e-laiškų pasirašymui laikytinas pertekliniu asmens duomenų (asmens kodo) tvarkymu. Pareiškėjas, sudarydamas sertifikatą ir jame įrašydamas asmens kodą, kaip perteklinį asmens duomenį, pažeidžia Asmens duomenų teisinės apsaugos įstatymo 3 straipsnio 1 dalies 4 punktą. Asmens kodo naudojimas sertifikatuose, kurie skirti e-dokumentų ir e-laiškų pasirašymui, sudaro galimybę tolesniam, pasirašiusio asmens nekontroliuojamam, asmens kodo platinimui, jei          e-parašu pasirašytas e-dokumentas būtų persiunčiamas kitiems gavėjams. Sparčiai daugėjant elektroninio parašo naudotojų, asmens kodas gali būti atskleistas neribotam trečiųjų asmenų ratui, o jo panaudojimas tapti nekontroliuojamu. Asmens kodas taps prieinamas kiekvienam gavusiam pasirašytą e-dokumentą ar e-laišką, taip pat bus saugomas gavėjo kompiuteryje. Be to, pats e-parašo turėtojas, norėdamas viešai paskelbti pasirašytą e-dokumentą elektroninėje erdvėje (pvz., internete), elektroninėje erdvėje pasirašyti peticiją ar pan., bus priverstas viešai paskelbti  ir savo asmens kodą. Akcentavo, kad pagal Elektroninio parašo įstatymo 3 straipsnio 3 dalį, pagal kurią parašo tikrinimo duomenys yra vieši, sertifikavimo paslaugų teikėjas įrašo juos į pasirašančiam asmeniui sudaromą sertifikatą ir teikia visiems parašo naudotojams, o Asmens duomenų teisinės apsaugos įstatymo 7 straipsnio 4 dalis nustato, kad draudžiama asmens       kodą skelbti viešai. Be to, vadovaujantis Gyventojų registro įstatymo 8 straipsnio 3 dalies bei     4 straipsnio 9 dalies nuostatomis, fizinio asmens kodas yra unikalus ir nekeičiamas identifikatorius, skirtas duomenims apie jį kaupti, tad paplitus asmens kodui padidėja galimybė neteisėtai gauti prieigą prie asmens duomenų, tvarkomų valstybės registruose ir informacinėse sistemose, ir galėtų sudaryti sąlygas asmenų teisės į privataus gyvenimo neliečiamumą pažeidimui bei neteisėtam asmens duomenų tvarkymui. Kyla rizika, kad asmens kodas taptų prieinamas asmenims, neturintiems teisės asmens kodą tvarkyti, t. y. asmenims, neturintiems teisėto tikslo ir teisinio pagrindo asmens kodo naudojimui, o tai pažeistų Asmens duomenų teisinės apsaugos įstatymo 3 ir 7 straipsnius. Taip pat pabrėžė, kad 1999 m. gruodžio 13 d. Europos Parlamento ir Tarybos direktyvos 1999/93/EB dėl Bendrijos elektroninių parašų reguliavimo sistemos (toliau – Direktyva 1999/93/EB) 8 straipsnio 1 dalis įpareigoja valstybes nares užtikrinti, kad sertifikavimo paslaugų teikėjai, taip pat nacionalinės institucijos, atsakingos už šių teikėjų akreditavimą ir priežiūrą, laikytųsi 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyvos 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (toliau – Direktyva 95/46/EB) reikalavimų. Atsižvelgiant į tai, vykdant informacinės visuomenės plėtrą bei diegiant elektroninį parašą, turi būti įgyvendinami duomenų apsaugos reikalavimai.

Trečiasis suinteresuotas asmuo Ryšių tarnyba paaiškinimuose (3 t., b. l. 44–45) nurodė, kad, vadovaujantis Gyventojų registro įstatymo 4 straipsnio 9 dalimi, asmens kodas – tai unikali vienuolikos dešimtainių skaitmenų seka, skirta asmeniui identifikuoti, duomenims apie jį kaupti, valstybės registrų ir informacinių sistemų sąveikai užtikrinti. Šios nuostatos leidžia daryti išvadą, kad asmens kodas yra vienas iš pagrindinių asmens duomenų, kuris suteikia galimybę nustatyti asmens tapatybę. Pažymėjo, kad Elektroninio parašo įstatymas sertifikatą apibrėžia kaip elektroninį liudijimą, kuris susieja parašo tikrinimo duomenis su pasirašančiu asmeniu ir patvirtina arba leidžia nustatyti pasirašančio asmens tapatybę (2 str. 14 d.), o kvalifikuotą sertifikatą – kaip sertifikatą, kurį sudarė Vyriausybės ar jos įgaliotos institucijos nustatytus reikalavimus atitinkantis sertifikavimo paslaugų teikėjas (2 str. 15 d.). Tam, kad būtų galima nustatyti pasirašančio asmens tapatybę, sertifikavimo paslaugų teikėjai atlieka šiuos veiksmus: prieš sudarydami kvalifikuotą sertifikatą atlieka asmens tapatybės patikrinimą ir pareikalauja asmens tapatybę identifikuojančių galiojančių dokumentų, kuriuose privalo būti nurodytas ir asmens kodas (Ryšių tarnybos direktoriaus 2011 m. balandžio 19 d. įsakymu Nr. 1V-406 patvirtinto Asmenų registravimo sertifikatams gauti ir konsultavimo paslaugų teikimo tvarkos aprašo (toliau – Aprašas) 8 ir 9 p.); fiksuoja ir saugo visus duomenis ir dokumentus, gautus tikrinant norinčio gauti sertifikatą asmens tapatybę (Aprašo 10 p.); kvalifikuotame sertifikate įrašo savo suteiktą sertifikato identifikatorių (Elektroninio parašo įstatymo 2 str. 15 d. 7 p.). Todėl padarė išvadą, kad pasirašančio asmens tapatybė nustatoma, atsižvelgiant į asmens tapatybę patvirtinančius dokumentus, kuriuose privalo būti nurodytas ir asmens kodas, prieš sudarant kvalifikuotą sertifikatą. Akcentavo, kad asmens kodas nėra expressis verbis įtvirtintas Elektroninio parašo įstatymo 2 straipsnio 15 dalyje pateiktame duomenų, nurodomų kvalifikuotame sertifikate, sąraše, tačiau šis įstatymas numato sertifikavimo paslaugų teikėjo teisę kvalifikuotame sertifikate nurodyti pasirašančio asmens specialius atributus, jei tai reikalinga atsižvelgiant į numatomus sertifikato naudojimo tikslus (Elektroninio parašo įstatymo 2 str. 15 d. 4 p.). Taigi, Ryšių tarnybos nuomone, asmens kodas gali būti laikomas kvalifikuotame sertifikate nurodomu specialiu atributu Elektroninio parašo įstatymo 2 straipsnio 15 dalies 4 punkto prasme, jei jis reikalingas atsižvelgiant į sertifikato naudojimo tikslus.

Trečiasis suinteresuotas asmuo Komitetas atsiliepimu į skundą (1 t., b. l. 135–138) sutiko su skundu.

Komitetas nurodė, kad elektroninis parašas tam tikrais atvejais turi tiek patvirtinti duomenų, kurie buvo pasirašyti, autentiškumą, tiek identifikuoti pasirašantį asmenį. Faktiškai pasirašančio asmens identifikavimo funkcija realizuojama elektroninio parašo sertifikato pagalba. Elektroninio parašo pagalba turi būti ne tik identifikuojamas pasirašęs asmuo, bet ir patvirtinama asmens tapatybė. Pažymėjo, kad ne elektroninėje erdvėje asmens tapatybę patvirtinančius dokumentus įtvirtina Paso įstatymas, nustatydamas, kad pasas yra Lietuvos Respublikos piliečio asmens dokumentas, patvirtinantis jo asmens tapatybę, bei Asmens tapatybės kortelės įstatymas, nustatydamas, kad asmens tapatybės kortelė yra Lietuvos Respublikos piliečio asmens dokumentas, patvirtinantis jo asmens tapatybę ir pilietybę. Tiek Lietuvos Respublikos piliečio pase, tiek asmens tapatybės kortelėje privaloma tvarka yra nurodomas piliečio asmens kodas. Todėl sertifikatą elektroninėje erdvėje ir Lietuvos Respublikos piliečio pasą ar asmens tapatybės kortelę galima laikyti tam tikra prasme lygiaverčiais dokumentais, nes jie nors nėra tapatūs savo taikymo prasme, bet visi turėtų atlikti tą pačią funkciją – leisti nustatyti asmens tapatybę. Atkreipė dėmesį, kad būtent asmens kodas     yra vienas iš pagrindinių asmens duomenų, kuris leidžia tiesiogiai nustatyti asmens tapatybę, o nežinant asmens kodo asmens tapatybė gali būti nustatyta panaudojant tik kelis asmens duomenų tipus (vardą, pavardę, gyvenamosios vietos adresą, gimimo datą ir pan.). Teigė, kad asmens kodas yra pagrindinis asmens duomenų tipas, kuris leidžia tiesiogiai nustatyti asmens tapatybę. Pagal Elektroninio parašo įstatymo 2 straipsnio 15 dalies 4 punktą, kvalifikuotame sertifikate nurodytini ir pasirašančio asmens specialūs atributai, jei tai reikalinga atsižvelgiant į numatomus sertifikato naudojimo tikslus. Todėl, Komiteto nuomone, įstatymo norma nedraudžia elektroninio parašo, kuris naudotinas tiek pasirašytų duomenų autentiškumui patvirtinti, tiek pasirašančiam asmeniui identifikuoti, sertifikate panaudoti asmens kodą, kuris leistų nustatyti pasirašančio asmens tapatybę. Akcentavo, kad ir ne elektroninėje erdvėje pasirašomuose dokumentuose (prašymuose, sutartyse ir pan.) dažnai nurodomas pasirašančio asmens vardas, pavardė bei asmens kodas, jei nėra žinomi kiti asmens duomenys, kurie leistų nustatyti asmens tapatybę. Pasirašant dokumentus elektroninėje erdvėje elektroniniu parašu, asmens kodo nurodymas pasirašančio asmens sertifikate leidžia automatiniu būdu ir vienareikšmiškai nustatyti, kad dokumentas yra pasirašomas būtent to asmens, kuris dokumento turinyje nurodytas kaip pasirašantis asmuo. Komitetas pripažino, kad pasirašančiam asmeniui turėtų būti suteikiama galimybė tam tikrais atvejais (pavyzdžiui, pasirašant viešai skelbiamus dokumentus) naudoti   tokį kvalifikuotą sertifikatą, pagal kurį pasirašančio asmens kodas kitiems asmenims nebūtų prieinamas arba tokia prieiga būtų apribota, siekiant apsaugoti pasirašančio asmens teisėtus jo asmens duomenų tvarkymo interesus. Tvirtino, kad Komitetas iki 2011 m. gegužės 1 d. vykdė elektroninio parašo priežiūros institucijos funkcijas, kurios apėmė ir kvalifikuotus sertifikatus sudarančių sertifikavimo paslaugų teikėjų registravimo procedūrą. Pagal Lietuvos Respublikos Vyriausybės 2002 m. gruodžio 31 d. nutarimu Nr. 2108 patvirtintos Kvalifikuotus sertifikatus sudarančių sertifikavimo paslaugų teikėjų registravimo tvarkos (toliau – Registravimo tvarka)     9 punkto nuostatas, galiojusias pareiškėjo registravimo kvalifikuotus sertifikatus sudarančiu sertifikavimo paslaugų teikėju, Komitetas turėjo pareigą neregistruoti paslaugų teikėjo, jeigu iš pateiktų dokumentų nustato, kad netenkinami Lietuvos Respublikos Vyriausybės nustatyti reikalavimai kvalifikuotus sertifikatus sudarantiems sertifikavimo paslaugų teikėjams arba paslaugų teikėjo prašyme ir prie prašymo pridėtuose dokumentuose pateikti neišsamūs ar klaidingi duomenys. Tokie reikalavimai nustatyti paminėtu Lietuvos Respublikos Vyriausybės nutarimu patvirtintuose Reikalavimuose kvalifikuotus sertifikatus sudarantiems sertifikavimo paslaugų teikėjams (toliau – Reikalavimai paslaugų teikėjams), kurie apima reikalavimus paslaugų teikėjo vidaus administravimo sistemai, paslaugų teikėjo veiklai ir t. t.

Trečiasis suinteresuotas asmuo Gyventojų registro tarnyba prie Lietuvos Respublikos vidaus reikalų ministerijos (toliau – Gyventojų tarnyba) atsiliepimu į skundą (1 t., b. l. 134) prašė išspręsti bylą teismo nuožiūra.

Gyventojų tarnyba nurodė, kad šiuo metu į asmens tapatybės kortelėse esančius kvalifikuotus sertifikatus yra įrašomas ir asmens kodas, nes rengiantis įrašyti buvo išanalizuotos praktinės situacijos ir buvo nustatyta, kad, atsisakius asmens kodo kvalifikuotame sertifikate, iškiltų vienareikšmiško asmens tapatybės nustatymo problema. Praktikoje pasitaiko situacijų, kai du asmenys turi vienodus vardus ir pavardes bei vienodą gimimo datą ir tik skirtingi asmens kodai leidžia atskirti tokius asmenis. Sutiko, kad, pasirašant popierinius rašytinius dokumentus, prie parašo rekvizito nėra reikalaujama nurodyti asmens kodą asmens tapatybei patvirtinti,  tačiau praktikoje daugybėje gyvenimo atvejų (pvz., pasirašant draudimo, komunalinių paslaugų teikimo, telekomunikacijos paslaugų teikimo ir kitokias sutartis) visada yra reikalaujama pateikti asmens tapatybę patvirtinantį dokumentą, pagal kurį yra sutikrinamas asmens veido atvaizdas, vardas, pavardė bei asmens kodas, siekiant identifikuoti asmens tapatybę. Elektroninėje erdvėje pasirašyto elektroninio dokumento gavėjui taip pat būtina įsitikinti, ar pasirašęs asmuo yra būtent tas, kuris turi teisę pasirašyti vieną ar kitą dokumentą. Pasirašiusio asmens identifikavimas taip pat yra svarbus elektroninėje bankininkystėje naudojant elektroninį parašą asmeniui pasirašius elektroniniu parašu dokumentą, kuriuo atliekama bankinė transakcija, pasirašyto elektroninio dokumento gavėjas (bankas) privalo įsitikinti, ar pasirašęs asmuo tikrai yra tas asmuo, kuris turi teisę tvarkyti konkrečią banko sąskaitą.

Trečiasis suinteresuotas asmuo UAB „Skaitmeninio sertifikavimo centras“ atsiliepimu į skundą (3 t., b. l. 89–93) prašė atmesti skundą kaip nepagrįstą.

UAB „Skaitmeninio sertifikavimo centras“ nurodė, kad Asmens duomenų teisinės apsaugos įstatyme įtvirtintas draudimas skelbti asmens kodą yra imperatyvi norma, o Elektroninio parašo įstatymo 2 straipsnio 15 dalies 4 punktas numato tik tai, kad pasirašančio asmens specialūs atributai gali būti nurodyti sertifikate, jei tai reikalinga, atsižvelgiant į numatomus sertifikato naudojimo tikslus. Esant įstatymo įtvirtintam draudimui skelbti asmens kodą viešai, abejoja, kad abstrakti Elektroninio parašo įstatymo norma (2 str. 15 d. 4 p.) gali sukurti išimtį šiam imperatyvui, t. y. draudimui naudoti asmens kodą viešai, ir taip sudaryti prielaidas asmens duomenų apsaugos bei privataus gyvenimo pažeidimui. Teigė, kad bet kokie teisės aktų tiesiogiai nenumatyti asmens papildomi atributai gali būti įrašyti į kvalifikuotą sertifikatą, jeigu sertifikavimo paslaugų teikėjas užtikrina, kad: papildomi atributai arba jų naudojimo būdai (pasekmės) neprieštarautų Europos Sąjungos ir Lietuvos Respublikos teisės aktams; jeigu papildomų atributų naudojimas susijęs su bet kokiu potencialiu pavojumi arba žalos rizika sertifikato turėtojui, apie tai iš anksto įspėja būsimus sertifikato naudotojus nurodant konkrečią riziką (pvz., galimas nekontroliuojamas asmens kodo platinimas platinant pasirašytą dokumentą); pačiame kvalifikuotame sertifikate yra nuoroda į viešai paskelbtą sertifikavimo paslaugų teikėjo dokumentą, kuriame aiškiai ir išsamiai išdėstyti to kvalifikuoto sertifikato naudojimo tikslai (kaip to reikalauja Elektroninio parašo įstatymo 2 str. 15 d. 4 p.). Tvirtino, kad Asmens duomenų teisinės apsaugos įstatymo 7 straipsnio 1 dalyje nustatyta, jog asmens kodas yra unikali skaitmenų seka. Asmens kodas asmeniui suteikiamas Gyventojų registro įstatymo nustatyta tvarka. Be kita ko, nurodė, kad VĮ Registrų centras teisės aktų nustatyta tvarka yra viešųjų elektroninių paslaugų teikėjas. Tuo pačiu metu teikia teisės aktų nenumatytas, t. y. komercines, paslaugas. Kvalifikuotų sertifikatų išdavimo paslauga yra šios įmonės komercinė paslauga. Apie prieštaringai vertinamą šios įmonės komercinę sertifikavimo veiklą yra pasisakiusi Lietuvos Respublikos valstybės kontrolė. Kiekvienas kvalifikuotų sertifikatų paslaugų teikėjas turi užsiregistruoti Lietuvos Respublikos el. parašo priežiūros institucijoje. UAB „Skaitmeninio sertifikavimo centras“ buvo pirma kvalifikuotų sertifikatų paslaugų teikėja, užregistruota teisės aktų numatyta tvarka 2005 m. Veiklos registravimo metu gavo Inspekcijos pastabą dėl asmens kodo naudojimo kvalifikuotame sertifikate. Siekiant patenkinti įgaliotos valstybinės institucijos reikalavimą, UAB „Skaitmeninio sertifikavimo centras“ parengė papildomas priemones ir iš kvalifikuoto sertifikato sandaros išėmė asmens kodą. Po šių veiksmų UAB „Skaitmeninio sertifikavimo centras“ buvo oficialiai užregistruota kvalifikuotų sertifikatų paslaugų teikėju. Pareiškėjas komercinę sertifikavimo veiklą el. parašo priežiūros institucijoje užregistravo 2008 m. Laikantis bendros tvarkos, šiai įmonei jau registravimo metu buvo žinomas asmens duomenų apsaugos institucijos reikalavimas dėl asmens kodo naudojimo kvalifikuotame sertifikate. Tačiau nežinomomis aplinkybėmis komercinė sertifikavimo veikla buvo užregistruota el. parašo priežiūros institucijoje ir Lietuvoje sukurtas nevienodas paslaugų teikėjų registravimo tvarkos taikymo precedentas. Rinkoje pradėjo veikti du ūkio subjektai: UAB „Skaitmeninio sertifikavimo centras“, besilaikantis valstybės institucijos asmens kodo naudojimo reikalavimų, ir VĮ Registrų centras, akivaizdžiai ignoruojantis šiuos reikalavimus. Turėdamas vienu metu viešųjų paslaugų ir komercinių sertifikavimo paslaugų teikėjų teises, pareiškėjas de facto įterpia į viešąsias paslaugas savo įmonės kvalifikuotus sertifikatus, kuriuose įrašytas asmens kodas. Taigi per trumpą laiką pareiškėjas įgijo dominuojančią padėtį ir skaitmeninių sertifikatų paslaugų rinkoje. Būdamas viešųjų el. paslaugų monopolija ir siekdamas sustiprinti dominuojančią padėtį kvalifikuotų sertifikatų išdavimo rinkoje, pareiškėjas pradėjo reikalauti, kad šios įmonės sukurtose viešosiose el. paslaugose bus priimami tik kvalifikuoti sertifikatai su įrašytu asmens kodu. Tai jau antras precedentas, kai dėl VĮ Registrų centro teisinio nihilizmo UAB „Skaitmeninio sertifikavimo centras“, besilaikantis valstybinės institucijos reikalavimų dėl asmens kodo naudojimo kvalifikuotame sertifikate, patiria tiesioginę žalą. Kompetentinga valstybinė institucija draudžia asmens kodo naudojimą, o kita – komercinių tikslų siekianti valstybinė įstaiga reikalauja asmens kodo įrašymo į kvalifikuotus sertifikatus. Taigi pareiškėjas, kreipdamasis į teismą dėl asmens kodo naudojimo kvalifikuotame sertifikate teisėtumo, bando įteisinti abejotiną status quo ir išvengti atsakomybės dėl keliasdešimt tūkstančių neteisėtai išduotų kvalifikuotų sertifikatų su asmens kodais, taip pat dėl tinkamo Europos Sąjungos struktūrinių fondų lėšų naudojimo kuriant viešąsias el. paslaugas.

 

II.

 

Vilniaus apygardos administracinis teismas 2012 m. balandžio 11 d. sprendimu                 (3 t., b. l. 158–167) patenkino pareiškėjo skundą. Teismas panaikino Inspekcijos Nurodymą.

Teismas nustatė, kad nagrinėjamos bylos ginčo dalykas yra Nurodymo teisėtumas ir pagrįstumas, o ginčo objektas – asmens kodo naudojimo kvalifikuotame sertifikate, skirtame pasirašyti elektroninius dokumentus, pagrindai ir tvarka. Teismas vadovavosi Administracinių bylų teisenos įstatymo (toliau – ABTĮ) 5 straipsnio 1 dalimi, 22 straipsnio 1 dalimi, 3 straipsnio 2 dalimi. Teismas įvertino rašytinius įrodymus. Teismas taip pat vadovavosi Gyventojų registro įstatymo 4 straipsnio 9 dalimi, Asmens duomenų teisinės apsaugos įstatymo 1 straipsnio              1 dalimi, 2 straipsnio 1, 4 dalimis, 3 straipsnio 1 dalies 4 punktu, Elektroninio parašo įstatymo    2 straipsnio 4, 14, 15 dalimis, Aprašo 8, 9, 10 punktais, Asmens tapatybės kortelės įstatymo    1(1) straipsnio 2 dalimi. Nurodytų teisės normų sisteminė analizė teismui suponavo išvadą, kad nėra draudžiama elektroninio parašo, kuris naudotinas tiek pasirašytų duomenų autentiškumui patvirtinti, tiek pasirašančiam asmeniui identifikuoti, sertifikate panaudoti asmens kodą,       kuris leistų nustatyti pasirašančio asmens tapatybę. Pasirašančio asmens tapatybė nustatoma, atsižvelgiant į asmens tapatybę patvirtinančius dokumentus, kuriuose privalo būti nurodytas ir asmens kodas, prieš sudarant kvalifikuotą sertifikatą. Nors asmens kodas nėra aiškiai įtvirtintas Elektroninio parašo įstatymo 2 straipsnio 15 dalyje pateiktame duomenų, nurodomų kvalifikuotame sertifikate, sąraše, tačiau šis įstatymas nustato sertifikavimo paslaugų teikėjo teisę kvalifikuotame sertifikate nurodyti pasirašančio asmens specialius atributus, jei tai reikalinga atsižvelgiant į numatomus sertifikato naudojimo tikslus (Elektroninio parašo įstatymo 2 str. 15 d. 4 p.). Taigi, teismo nuomone, asmens kodas gali būti laikomas kvalifikuotame sertifikate nurodomu specialiu atributu pagal Elektroninio parašo įstatymo 2 straipsnio 15 dalies 4 punkto prasmę, jei jis reikalingas atsižvelgiant į sertifikato naudojimo tikslus. Teismas, be to, vadovavosi ABTĮ 57 straipsniu, 86 straipsnio 2 dalimi. Pažymėjo, jog tinkamas faktinių aplinkybių vertinimas bei teisės taikymas sprendžiant ginčą yra neatsiejamai susiję. Tik nustačius teisiškai reikšmingus faktus, kurie yra būtini tinkamam teisės taikymui,             priimtas sprendimas gali būti pripažintas teisėtu ir pagrįstu. Atsižvelgdamas į tai, kas      išdėstyta, remdamasis ištirtų rašytinių bylos įrodymų visuma, aptartų teisės normų sistemine analize, vadovaudamasis teisingumo ir protingumo kriterijais, Lietuvos vyriausiojo administracinio teismo išaiškinimu (2011 m. rugpjūčio 29 d. nutarimas administracinėje     byloje Nr. N575-392/2011), nustatęs, kad įstatymų leidėjas nesuteikia teisės Inspekcijai uždrausti trečiajam asmeniui leisti naudoti jo asmens kodą jo sutikimu (dėl asmens kodo naudojimo paprastai asmuo pasirašo sutikimą), teismas padarė išvadą ir konstatavo, kad Nurodymas yra neteisėtas ir nepagrįstas. Atsakovas netinkamai aiškino ir taikė materialinės teisės normas, todėl priėmė Nurodymą, kuris yra neteisėtas iš esmės, t. y. prieštaraujantis aukštesnės galios teisės aktams, ir kuris nurodytais motyvais, vadovaujantis ABTĮ 89 straipsnio 1 dalies 1 punktu, naikintinas. Pareiškėjo skundas tenkintinas (ABTĮ 88 str. 2 p.).

 

III.

 

Atsakovas apeliaciniu skundu (3 t., b. l. 177178) prašo panaikinti Vilniaus apygardos administracinio teismo 2012 m. balandžio 11 d. sprendimą ir priimti naują sprendimą. Apeliacinis skundas grindžiamas šiais argumentais:

1. Neginčija asmens kodo naudojimo teisėtumo atliekant asmens tapatybės patikrinimą prieš sudarant kvalifikuotą sertifikatą. Nurodymo dalykas yra ne asmens, siekiančio gauti kvalifikuotą sertifikatą, tapatybės nustatymo procedūros ir jo asmens duomenų saugojimo       pas kvalifikuotą sertifikatą išdavusį asmenį tvarka, o asmens kodo, kaip perteklinio asmens duomens, naudojimo kvalifikuotame sertifikate, skirtame pasirašyti e-dokumentus ir e-laiškus, atsisakymas.

2. Asmens tapatybės kortelės įstatymas nereglamentuoja VĮ Registrų centro išduodamų kvalifikuotų sertifikatų. 2010 m. lapkričio 24 d. VĮ Registrų centro direktoriaus patvirtintų RCSC kvalifikuotų sertifikatų taisyklių 3.3.1 punkto d papunktyje nustatyta, kad sertifikavimo tarnybos registravimo tarnybos privalo reikalauti, kad išduotame sertifikate mažiausiai būtų nurodyti šie asmens duomenys: asmens vardas (vardai) ir pavardė, asmens kodas.

3. Nei Elektroninio parašo įstatymas, nei joks kitas įstatymas, kuris taikomas VĮ Registrų centro veiklai išduodant kvalifikuotus sertifikatus, aiškiai ir nedviprasmiškai neįtvirtina asmens kodo kaip kvalifikuoto sertifikato duomens VĮ Registrų centro išduodamuose kvalifikuotuose sertifikatuose (priešingai nei asmens vardas ir pavardė), todėl negalima laikyti, kad asmens kodo įrašymas kvalifikuotuose sertifikatuose atitinka Asmens duomenų teisinės apsaugos įstatymo      7 straipsnio 3 dalies 1 punkte nustatytą asmens kodo teisėto tvarkymo kriterijų.

4. Duomenų subjektas negali pasirinkti, naudoti asmens kodą e-dokumentų ir e-laiškų pasirašymui ar nenaudoti, o nesutikęs su asmens kodo naudojimu asmuo negauna prašomos paslaugos iš VĮ Registrų centro (jam nebūtų išduodamas kvalifikuotas skaitmeninis elektroninio parašo sertifikatas, suteikiantis asmeniui teisę naudoti kvalifikuotą elektroninį parašą), todėl asmens kodo naudojimas pasirašant elektroninius dokumentus negali būti laikomas kaip atitinkantis Asmens duomenų teisinės apsaugos įstatymo 7 straipsnio 2 dalyje nustatytą asmens kodo teisėto tvarkymo kriterijų – gavus duomenų subjekto sutikimą. Asmens kodo naudojimas pasirašant e-dokumentus ir e-laiškus laikytinas pertekliniu asmens duomeniu. VĮ Registrų centras, sudarydamas kvalifikuotą sertifikatą, skirtą e-dokumentų ir e-laiškų pasirašymui, ir jame įrašydamas asmens kodą, kaip perteklinį asmens duomenį, pažeidžia Asmens duomenų teisinės apsaugos įstatymo 3 straipsnio 1 dalies 4 punktą.

Pareiškėjas atsiliepimu į apeliacinį skundą (4 t., b. l. 12–14) prašo Vilniaus apygardos administracinio teismo 2012 m. balandžio 11 d. sprendimą palikti nepakeistą, o apeliacinį skundą atmesti kaip nepagrįstą. Atsiliepime nurodomi šie pagrindiniai nesutikimo su apeliaciniu skundu argumentai:

1. Įstatymai nedraudžia naudoti asmens kodą asmens autentiškumui patvirtinti bei asmeniui identifikuoti kvalifikuotame sertifikate, ir asmens kodas gali būti laikomas specialiu atributu pagal Elektroninio parašo įstatymo 2 straipsnio 15 dalies 4 punkto prasmę, jei jis reikalingas atsižvelgiant į kvalifikuoto sertifikato naudojimo tikslus.

2. Visiems kvalifikuotų sertifikatų paslaugų teikėjams, kuriems valstybė patikėjo teisę išduoti asmens tapatybės patvirtinimo priemones elektroninėje erdvėje, teisės aktai turi būti taikomi vienodai – tiek Elektroninio parašo įstatymo, tiek Asmens duomenų teisinės apsaugos įstatymo, tiek Asmens tapatybės kortelės įstatymo nuostatos, reglamentuojančios asmens tapatybės nustatymą elektroninėje erdvėje.

3. Svarbu suvokti ir teisingai įvertinti kvalifikuoto sertifikato reikšmę bei jo teisinę galią. Įstatyme yra išskiriamos elektroninio parašo ir saugaus elektroninio parašo kategorijos. Išduoda saugius elektroninius parašus, todėl asmens kodas šiame kvalifikuotame sertifikate yra ne tik galimas, bet būtinas duomuo. Vienintelis ir unikalus asmens specifinis požymis valstybės mastu yra asmens kodas. Inspekcijos reikalavimas nenaudoti asmens kodo kvalifikuotame sertifikate, skirtame pasirašyti elektroniniams dokumentams, yra nepagrįstas.

4. Išduodamas kvalifikuotą sertifikatą asmeniui, jį informuoja, jog asmens kodas bus nurodomas pasirašytame dokumente. Asmeniui kvalifikuotas sertifikatas išduodamas tik turint asmens sutikimą, kuris patvirtinamas parašu. Inspekcija neturi teisės uždrausti trečiajam asmeniui, t. y. kvalifikuoto sertifikato turėtojui, leisti naudoti jo asmens kodą jo sutikimu. Išduoda kvalifikuotus sertifikatus saugaus elektroninio parašo formavimui.

Trečiasis suinteresuotas asmuo Ryšių tarnyba paaiškinimuose (4 t., b. l. 3–4) nurodo,   kad palaiko savo poziciją, išdėstytą pirmosios instancijos teismui pateiktuose paaiškinimuose. Pažymi, jog asmens kodo naudojimas kvalifikuotame sertifikate, skirtame pasirašytų duomenų autentiškumui bei pasirašančio asmens tapatybei patvirtinti, nėra draudžiamas ir gali būti laikomas kvalifikuotame sertifikate nurodomu specialiu atributu pagal Elektroninio parašo įstatymo 2 straipsnio 15 dalies 4 punkto prasmę, jei yra reikalingas atsižvelgiant į sertifikato naudojimo tikslus.

Trečiasis suinteresuotas asmuo Komitetas atsiliepimu į apeliacinį skundą (4 t., b. l. 7–10) prašo Vilniaus apygardos administracinio teismo 2012 m. balandžio 11 d. sprendimą palikti nepakeistą.

Komitetas iš esmės pakartoja atsiliepimo į skundą argumentus. Nurodo, kad nemano,   jog asmens kodo naudojimas elektroninio parašo sertifikate yra perteklinis, nes ši aplinkybė    turi būti nustatoma remiantis tikslais, kuriais ketinama naudoti asmens kodą. Asmens kodą, pasirašydamas tam tikrą elektroninį dokumentą, paviešina ne sertifikavimo paslaugų teikėjas, o pasirašantis asmuo. Asmuo pats renkasi, ar naudotis tam tikromis sertifikavimo paslaugomis, todėl jis nėra vienareikšmiškai priverčiamas pasirinkti būtent tą sertifikavimo paslaugų teikėją, kuris privalomai nurodo asmens kodą asmeniui sudaromame elektroninio parašo sertifikate. Visgi pasirašančiam asmeniui turėtų būti suteikiama galimybė tam tikrais atvejais (pavyzdžiui, pasirašant viešai skelbiamus dokumentus) naudoti tokį kvalifikuotą sertifikatą, pagal kurį pasirašančio asmens kodas kitiems asmenims nebūtų prieinamas arba tokia prieiga būtų apribota, siekiant apsaugoti pasirašančiojo teisėtus jo asmens duomenų tvarkymo interesus.

Trečiasis suinteresuotas asmuo Gyventojų tarnyba atsiliepimu į apeliacinį skundą           (4 t., b. l. 2), pakartodamas atsiliepimo į skundą argumentus, prašo teismo remtis teisės aktų nuostatomis ir protingumo, teisingumo principais ir bylą išspręsti savo nuožiūra.

Trečiasis suinteresuotas asmuo UAB „Skaitmeninio sertifikavimo centras“ atsiliepimu į apeliacinį skundą (4 t., b. l. 19–22) prašo panaikinti Vilniaus apygardos administracinio     teismo 2012 m. balandžio 11 d. sprendimą ir priimti naują sprendimą. Atsiliepime nurodomi šie pagrindiniai sutikimo su apeliaciniu skundu argumentai:

1. Būtent visų, su kvalifikuoto sertifikato naudojimu susijusių, aplinkybių sisteminė analizė leidžia įsitikinti, kad Elektroninio parašo įstatymas de facto draudžia kvalifikuotame sertifikate naudoti asmens kodą. Teismas nepagrįstai sulygino sertifikatą su asmens tapatybės dokumentu. Pareiškėjas apriboja vartotojų teisę rinktis, jų teisę į asmens duomenų apsaugą bei kontroliuoti savo asmens kodo naudojimą, kai pasirašytas el. dokumentas persiunčiamas kitam parašo naudotojui.

2. Pagal Elektroninio parašo įstatymo 2 straipsnio 15 dalies prasmę, kvalifikuotą sertifikatą galima papildyti tik asmens atributais (bet ne identifikatoriais), siejant atributus su pagrįstais sertifikavimo naudojimo tikslais. Tačiau papildyti kvalifikuotą sertifikatą kokiais nors identifikatoriais nėra teisinio pagrindo. Todėl teismo sprendimas sudarė prielaidas neteisėtam asmens kodo naudojimui kvalifikuotuose VĮ Registrų centro išduotuose sertifikatuose.

 

Teisėjų kolegija

 

k o n s t a t u o j a:

 

IV.

 

Apeliacinis skundas tenkintinas.

Nagrinėjamo administracinio ginčo esmė – pareiškėjo, Elektroninio parašo įstatymo taikymo prasme kvalifikuotus sertifikatus sudarančio sertifikavimo paslaugų teikėjo, teisė nurodyti kvalifikuotame sertifikate asmens kodą. Iš bylos matyti, kad tokios teisės turėjimą pareiškėjas kildina iš Elektroninio parašo įstatymo 2 straipsnio 15 dalyje sąvokos „kvalifikuotas sertifikatas“ pateikto apibūdinimo, pagal kurį kvalifikuotame sertifikate, be kita ko, (šios dalies 4 punkte) yra nurodomi pasirašančio asmens specialūs atributai, jei tai reikalinga atsižvelgiant į numatomus sertifikato naudojimo tikslus“. Pagal pareiškėją, asmens kodas yra laikytinas tokiu specialiu atributu, todėl jo panaudojimas (nurodymas) kvalifikuotame sertifikate yra leistinas. Atsakovo pozicija yra grindžiama Asmens duomenų teisinės apsaugos įstatymo nuostatomis, nustatančiomis duomenų valdytojo (šiuo atveju pareiškėjo) pareigą užtikrinti, kad asmens duomenys, be kita ko, būtų tik tokios apimties, kuri būtina jiems rinkti ir toliau tvarkyti (3 str. 1 d. 4 p.), ir nustatančiomis asmens kodo naudojimo apribojimus (7 str. 2, 4 d.). Atsižvelgdama į nurodytus ginčo šalių savo pozicijų argumentavimus, kolegija pripažįsta būtina pirmiausia pasisakyti dėl paminėtų įstatymų tarpusavio sąsajos ta prasme, kuris iš jų yra specialus, taikymo pirmumą nustatantis, teisės aktas byloje nagrinėjamoje situacijoje. Kalbant apie nagrinėjamos situacijos bylai reikšmingus elementus, pažymėtina, jog byloje nėra kvestionuojama, kad asmens kodo nurodymas kvalifikuotame sertifikate atskleidžia jį (elektroninio parašo turėtojo ir naudotojo asmens kodą) elektroniniu parašu pasirašyto dokumento arba elektroninio laiško tiesioginiam adresatui (gavėjui), o tais atvejais, kai elektroninis dokumentas arba elektroninis laiškas pastarojo persiunčiamas kitiems asmenims, - ir šiems asmenims.

Pasisakydama dėl Elektroninio parašo įstatymo ir Asmens duomenų teisinės apsaugos įstatymo tarpusavio sąsajos aukščiau nurodytu aspektu, kolegija pažymi, kad Elektroninio parašo įstatymo reglamentuojami elektroninis parašas (saugus elektroninis parašas) ir sertifikatas (kvalifikuotas sertifikatas), kaip elektroninė priemonė, skirta identifikuoti tokį parašą uždėjusį asmenį bei jį susieti su pasirašytais duomenimis, pagal savo pobūdį yra priskirtini prie Asmens duomenų teisinės apsaugos įstatymo reglamentuojamų asmens duomenų. (Tai matyti iš šiuose įstatymuose pateiktų šių sąvokų apibūdinimų). Todėl jau vien dėl to darytina išvada, kad Asmens duomenų teisinės apsaugos įstatymas yra specialus teisės aktas ir turi prioritetinio taikymo reikšmę Elektroninio parašo įstatymo atžvilgiu. Be to, Elektroninio parašo įstatymo 12 straipsnio 1 dalies 3 punkte yra specialiai aptarta sertifikavimo paslaugų teikėjo (šiuo atveju pareiškėjo) pareiga, sudarant sertifikatą, užtikrinti asmens duomenų apsaugą, reglamentuojamą Asmens duomenų teisinės apsaugos įstatymo ir kitų Lietuvos Respublikos įstatymų. Tai reiškia, kad Asmens duomenų teisinės apsaugos įstatymo nuostatos, reglamentuojančios asmens duomenų tvarkymą ir nustatančios su šiuo tvarkymu sietinus draudimus bei ribojimus, tiesiogiai ir be jokių išlygų taikytinos Elektroninio parašo įstatymo reglamentuojamiems teisiniams santykiams, kai yra sprendžiami asmens duomenų tvarkymo klausimai, tarp jų ir asmens elektroninio parašo formavimo bei kvalifikuoto sertifikato sudarymo klausimai. Atsižvelgiant į nurodytus argumentus, konstatuotina, kad pareiškėjo nurodytas Elektroninio parašo įstatymo 2 straipsnio 15 dalies 4 punktas gali būti taikomas byloje nagrinėjamoje situacijoje tik tiek ir tik tokia apimtimi, kiek tai neprieštarautų Asmens duomenų teisinės apsaugos įstatymo asmens duomenų apsaugą reglamentuojančioms normoms ir su jomis nekonkuruotų.

Pasisakydama dėl Asmens duomenų teisinės apsaugos įstatymo taikymo šioje administracinėje byloje, kolegija pažymi, kad duomenų valdytojo (šiai asmenų kategorijai pareiškėjas priklauso pagal šio įstatymo 2 str. 7 d. pateiktą apibūdinimą) pareigos asmens duomenų tvarkymo srityje yra nustatytos 3 straipsnyje (bylai aktuali 2011-05-12 įstatymo        Nr. XI-1372 redakcija). Šio straipsnio 1 dalies 4 punkte yra nurodyta, jog duomenų valdytojas privalo užtikrinti, kad asmens duomenys būtų tapatūs, tinkami ir tik tokios apimties, kuri būtina jiems rinkti ir toliau tvarkyti. Kolegijos pažymėta aptariamo punkto dalis numato asmens duomenų apimties nustatymo kriterijų, kuris būtinumo aspektu yra sietinas su tokių duomenų rinkimu ir jų tolimesniu tvarkymu. Tai reiškia, kad, sprendžiant šio kriterijaus taikymo klausimą, kiekvienu konkrečiu atveju turi būti atliktas tam tikros situacijos vertinimas, siekiant nustatyti, kokia duomenų apie asmenį apimtis yra minimaliai pakankama tam, kad duomenų valdytojas turėtų galimybę surinkti jo veiklai būtinus asmens duomenis ir toliau šiuos duomenis tvarkyti taip, kaip to reikalauja jo (duomenų valdytojo) veiklą reglamentuojantys teisės aktai. Kitaip tariant, jeigu duomenų valdytojas (pareiškėjas) objektyviai gali atlikti savo funkcijas (šiuo atveju Elektroninio parašo įstatymo pareiškėjui nustatytas funkcijas) be tam tikrų asmens duomenų, tokie duomenys Asmens duomenų teisinės apsaugos įstatymo 3 straipsnio 1 dalies 4 punkto taikymo požiūriu laikytini pertekliniais ir jų panaudojimas nėra leistinas.

Kalbant apie nagrinėjamai bylai aktualų asmens kodo panaudojimo klausimą, akivaizdu, kad asmens kodo žinojimas (reikalavimas, kad asmuo pateiktų savo asmens kodą) yra būtinas tam, kad pareiškėjas, vykdydamas sertifikato (kvalifikuoto sertifikato) sudarymo funkciją, galėtų nustatyti (patikrinti) asmens tapatybę prieš sudarant sertifikatą, t. y. iki sertifikato ir jame esančių duomenų tvarkymo pradžios. Priešingu atveju pareiškėjas neturėtų galimybės užtikrinti elektroninio parašo turėtojo vienareikšmišką identifikavimą. Pažymėtina, kad toks asmens kodo panaudojimas yra numatytas Aprašo 8 ir 9 punktuose ir tokiam kodo panaudojimui atsakovas neprieštarauja. Tačiau, kalbant apie asmens kodo įrašymo į kvalifikuotą sertifikatą sąsają su galimybe pareiškėjui vykdyti tokio sertifikato tvarkymo funkciją, pasakytina, kad asmens kodo nebuvimas (jo nenurodymas) kvalifikuotame sertifikate nepanaikina galimybės pareiškėjui, kaip sertifikavimo paslaugos teikėjui, vykdyti tokio sertifikato tvarkymo funkciją. Tai, be kita ko, patvirtina šios funkcijos atlikimas trečiojo suinteresuoto asmens UAB „Skaitmeninio sertifikavimo centras“. Taigi, atsižvelgiant į nurodytus argumentus, darytina išvada, kad pareiškėjo vykdomas asmens kodo panaudojimas kvalifikuotame sertifikate Asmens duomenų teisinės apsaugos įstatymo 3 straipsnio 1 dalies 4 punkto taikymo prasme yra neleistinas asmens duomenų panaudojimas.

Asmens duomenų teisinės apsaugos įstatymo 7 straipsnyje, atsižvelgiant į asmens kodo panaudojimo specifiką ir šio kodo išskirtinę reikšmę žmogaus teisių apsaugos srityje, yra nustatytas ypatingas asmens kodo naudojimo reglamentavimas. Tai reiškia, kad šioje teisės normoje nustatytas asmens kodo naudojimo režimas yra taikytinas visoms be išimties šio kodo naudojimo situacijoms. Asmens kodo naudojimo ribojimai ir tokio naudojimo draudimai nustatyti Asmens duomenų teisinės apsaugos įstatymo 7 straipsnio 2 dalyje (2008-02-01 įstatymo Nr. X-1444 redakcija). Šioje straipsnio dalyje nurodyta, kad naudoti asmens kodą, kai tvarkomi asmens duomenys, galima tik gavus duomenų subjekto sutikimą, išskyrus atvejus, nurodytus šio straipsnio 4 ir 5 dalyse, kai asmens kodą naudoti draudžiama. Aptariamos dalies 4 punkte nurodyta, kad draudžiama asmens kodą skelbti viešai. Pasisakydama dėl nurodytų Asmens duomenų teisinės apsaugos įstatymo 7 straipsnio nuostatų taikymo byloje nagrinėjamoje situacijoje, kolegija pažymi, kad straipsnio 2 dalyje nurodytas duomenų subjekto sutikimas panaudoti jo asmens kodą turėtų suponuoti situaciją, kai jis (duomenų subjektas) aiškiai ir vienareikšmiškai suvokia savo asmens kodo panaudojimo aplinkybes, suvokia tokio panaudojimo būtinumą arba pats yra tuo suinteresuotas. (Šiame kontekste pažymėtina, kad tokią situaciją atitinka aukščiau aptartas asmens kodo panaudojimas, nustatant asmens tapatybę prieš sudarant sertifikatą, t. y. iki sertifikato ir jame esančių duomenų tvarkymo pradžios). Ir priešingai, situacijoje, kai duomenų subjektas nežino ir objektyviai negali žinoti savo asmens kodo panaudojimo (atskleidimo) aplinkybių (pažymėtina, jog tokią situaciją atitinka aukščiau nurodyta aplinkybė, kad elektroniniu parašu pasirašytas dokumentas yra persiunčiamas kitiems asmenims), laikytina, kad Asmens duomenų teisinės apsaugos įstatymo 7 straipsnio 2 dalyje nustatytos asmens kodo panaudojimo sąlygos – duomenų subjekto sutikimo davimas – yra nesilaikyta.

Asmens duomenų teisinės apsaugos įstatymo 7 straipsnio 4 dalyje nustatytas asmens kodo panaudojimo būdas – jo viešas paskelbimas – yra imperatyviai draudžiamas. Aiškindama šią teisės normą lingvistiniu teisės aiškinimo metodu, kolegija pažymi, kad, pagal Dabartinės lietuvių kalbos žodyną, viena iš žodžio „viešas“ reikšmių yra atviras, neslaptas, o žodžio „skelbti“ reikšmių – skleisti žinias („Dabartinės lietuvių kalbos žodynas“ , Lietuvių kalbos institutas, Vilnius, 2000, 931, 701 psl.). Aukščiau aptarta situacija dėl asmens kodo atskleidimo elektroniniu parašu pasirašyto elektroninio dokumento persiuntimo šio asmens požiūriu neapibrėžtam asmenų ratui būdu, kolegijos manymu, iš esmės atitinka nurodytas žodžių „skelbti viešai“ reikšmes. Tai leidžia kolegijai daryti išvadą, kad byloje nagrinėjamoje situacijoje įžvelgtinas ir Asmens duomenų teisinės apsaugos įstatymo 7 straipsnio 4 dalyje nustatyto draudimo pažeidimas.

Atsižvelgdama į nurodytus argumentus ir paminėtas byloje taikytinų materialinės teisės normų aiškinimo išvadas, kolegija konstatuoja, kad pareiškėjo teismui paduotas skundas negali būti pripažintas pagrįstu ir yra atmestinas. Pirmosios instancijos teismas netinkamai išaiškino bei pritaikė aukščiau nurodytas ir kolegijos aptartas materialinės teisės normas. Todėl teismo priimtas sprendimas negali būti pripažintas pagrįstu ir yra naikintinas (ABTĮ 143 str.).

Vadovaudamasi Administracinių bylų teisenos įstatymo 88 straipsnio 1 punktu, 136 straipsniu, 140 straipsnio 1 dalies 2 punktu, teisėjų kolegija

 

n u s p r e n d ž i a:

 

Vilniaus apygardos administracinio teismo 2012 m. balandžio 11 d. sprendimą panaikinti ir pareiškėjo valstybės įmonės Registrų centro skundą atmesti kaip nepagrįstą.

Sprendimas neskundžiamas.

 

 

Teisėjai                                                        Laimė Baltrūnaitė

 

                                                                      Anatolijus Baranovas

 

Irmantas Jarukaitis