Vieša sprendimų paieška



Pavadinimas: [2021-07-02][nuasmeninta nutartis byloje][eA-745-261-2021].docx
Bylos nr.: eA-745-261/2021
Bylos rūšis: administracinė byla
Teismas: Lietuvos vyriausiasis administracinis teismas
Raktiniai žodžiai:
Teisiniai terminai:
Šalys:
Vardas/Pavardė/Pavadinimas Kodas Byloje kaip
Valstybinė duomenų apsaugos inspekcija 188607912 atsakovas
"Secure Nordic Payments" (buvusi MisterTango, UAB) 303262295 pareiškėjas
Kategorijos:
23. Asmens duomenų teisinė apsauga
26. Asmens duomenų teisinė apsauga
26. Asmens duomenų teisinė apsauga

?

 Administracinė byla Nr. eA-745-261/2021

Teisminio proceso Nr. 3-61-3-02160-2019-4

Procesinio sprendimo kategorija 26 

(S)

img1 

 

LIETUVOS VYRIAUSIASIS ADMINISTRACINIS TEISMAS

 

NUTARTIS 

LIETUVOS RESPUBLIKOS VARDU

 

2021 m. liepos 2 d.

Vilnius

 

Lietuvos vyriausiojo administracinio teismo išplėstinė teisėjų kolegija, susidedanti iš teisėjų Stasio Gagio (pranešėjas), Ryčio Krasausko, Ričardo Piličiausko (kolegijos pirmininkas), Ramutės Ruškytės ir Mildos Vainienės,

teismo posėdyje apeliacine rašytinio proceso tvarka išnagrinėjo administracinę bylą pagal pareiškėjo uždarosios akcinės bendrovės „Secure Nordic Payments (buv. uždaroji akcinė bendrovė „MisterTango“) apeliacinį skundą dėl Vilniaus apygardos administracinio teismo 2019 m. gruodžio d. sprendimo administracinėje byloje pagal pareiškėjo uždarosios akcinės bendrovės Secure Nordic Paymentsskundą atsakovui Valstybinei duomenų apsaugos inspekcijai dėl sprendimo panaikinimo.

 

Išplėstinė teisėjų kolegija

 

n u s t a t ė:

 

I.

 

1.       Pareiškėjas uždaroji akcinė bendrovė (toliau – ir UAB) Secure Nordic Payments“ (buv. UAB „MisterTango“) (toliau – ir pareiškėjas, Bendrovė) kreipėsi į teismą su skundu ir prašė panaikinti Valstybinės duomenų apsaugos inspekcijos (toliau – ir Inspekcija) 2019 m. gegužės 14 d. sprendimą Nr. 3R-397(2.14) „Dėl administracinės baudos skyrimo UAB „MisterTango“ (toliau – ir Sprendimas).

2.       Skunde nurodyta, kad:

2.1.                      Pareiškėjas ir akcinė bendrovė (toliau – ir AB) Swedbank yra tiesioginiai konkurentai, kurie Inspekcijos tyrimo metu teikė mokėjimo inicijavimo paslaugą. AB Swedbank pateiktoje informacijoje teigiama, jog AB Swedbank po pareiškėjo nuoroda (http://payment-api.mistertango.com/tools/showFastPayments) (toliau – ir Nuoroda) aptiko 9 189 AB Swedbank elektroninės bankininkystės ir 17 kitų bankų momentinius ekrano vaizdus (toliau – ir MEV) (angl. screenshots). Inspekcija išimtinai vadovavosi minėtais AB Swedbank teiginiais, tačiau AB „Swedbank Inspekcijai pateikė vos keletą skirtingų MEV pavyzdžių, o visi tariami daugiau nei 9 000 MEV niekada nebuvo pateikti. Taigi Inspekcija niekada jų netyrė, tačiau jais rėmėsi priimdama Sprendimą. Inspekcija taip pat netyrė fakto, ar MEV iš tiesų buvo, jei taip – kiek MEV buvo, nesiaiškino, koks MEV kilmės šaltinis, ar MEV gauti teisėtais būdais, nebuvo nuvykusi nei į AB „Swedbank, nei į pareiškėjo patalpas. Be to, Inspekcija pareiškėjui nepateikė Latvijos duomenų apsaugos inspekcijos pateiktos informacijos, kurią Inspekcija nurodė savo 2018 m. liepos 31 d. rašte.

2.2.                      Inspekcijos Sprendimo išvada, kad pareiškėjo mokėjimo inicijavimo paslaugų (toliau – ir MIP) sistema mokėjimo operacijų atlikimo metu daro MEV, apie tai neinformuojant elektroninės bankininkystės naudotojų, neatitinka faktinės situacijos, Inspekcija nepateikė jokių tokius teiginius pagrindžiančių įrodymų. Savo paaiškinimuose Inspekcijai pareiškėjas nurodė, kad MEV nėra daromi ir saugomi, pateikė išsamų MIP sistemos aprašymą bei šios sistemos tinklo topologijos aprašymą ir tai patvirtinančius dokumentus. Asmens duomenų tvarkymas MIP teikimo metu vyksta taip: 1) duomenų subjektas, inicijuodamas mokėjimo nurodymą, suveda savo elektroninės bankininkystės duomenis, naudodamasis MIP sistema; 2) MIP sistema prisijungia prie duomenų subjekto el. bankininkystės ir jo vardu bei nurodymu atlieka duomenų subjekto pageidaujamą mokėjimą; 3) prisijungus prie duomenų subjekto el. bankininkystės, MIP sistemai tampa matomi tik tokie duomenys ir tik tokia apimtimi, kaip jie yra atvaizduojami atitinkamo duomenų subjekto naudojamo banko; MIP techniškai jokiu būdu negali riboti, praplėsti ar pakeisti atvaizduotų duomenų apimties ir (arba) atlikti jokių kitų veiksmų su informacija, atvaizduojama duomenų subjekto elektroninės bankininkystės puslapyje, kadangi pareiškėjas neturi nei teisės, nei techninių galimybių atlikti bankinėms sistemoms priskirtų veiksmų; 4) MIP sistema, atliekanti mokėjimą, automatiškai fiksuoja darbalaukio duomenis, o tai reiškia, kad šie duomenys sistemai tampa matomi. Jokiu kitu būdu, įskaitant MEV darymą ir saugojimą, minėti duomenys nėra tvarkomi. Darbalaukio duomenų fiksavimas nereiškia MEV darymo ir saugojimo – darbalaukio duomenų fiksavimas reiškia, kad MIP sistemai tampa matoma mokėtojo (duomenų subjekto) el. bankininkystės darbalaukyje atvaizduota informacija, įskaitant ir ten esančius nurodytus mokėtojo asmens duomenis. MIP sistemos prisijungimo prie mokėtojo el. bankininkystės aplinkos darbalaukio duomenų tikslas – tinkamai įvykdyti mokėtojo pageidaujamą mokėjimą. Duomenų subjekto el. bankininkystės darbalaukyje atvaizduoti duomenys MIP sistemai yra matomi tol, kol yra užbaigiama mokėjimo sesija, t. y. iki 10 minučių. Pareiškėjas MEV netvarkė ir netvarko. Pareiškėjas dar iki Sprendimo priėmimo nutarė parduoti MIP paslaugą, kadangi dėl konkurentų siūlomų patogesnių mokėjimo inicijavimo sprendimų pareiškėjo MIP teikimas tapo nekonkurencingas rinkoje, nepelningas. 2019 m. balandžio 3 d. pareiškėjas ir UAB OPAY Solutions sudarė teisių ir pareigų perleidimo ir bendradarbiavimo sutartį, kuria pareiškėjas perleido savo teises ir pareigas, kylančias iš įmokų surinkimo sutarčių, sudarytų su elektroninėmis parduotuvėmis (pareiškėjo klientais). Pasibaigus sutartyje numatytam pereinamajam laikotarpiui, pareiškėjas įsipareigojo nutraukti MIP teikimą. Šios aplinkybės paneigia nepagrįstas Inspekcijos išvadas, kad pareiškėjas neatsisako MEV ir toliau juos tvarko.

2.3.                      Net jeigu pareiškėjas darytų MEV, pagal 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – ir BDAR) 14 straipsnį jis turėtų pateikti duomenų subjektams informaciją apie tvarkomų duomenų kategorijas, tvarkymo tikslus, pagrindus, gavėjus, saugojimo laikotarpį (kriterijus pastarajam nustatyti), šaltinį ir pan., o ne informaciją apie asmens duomenų tvarkymo formą. Pareiškėjui teikiant MIP privatumo nuostatose duomenų subjektams visuomet buvo pateikiama pati esminė, pagrindinė BDAR 14 straipsnyje numatyta informacija, t. y. informacija apie duomenų valdytoją, jo kontaktiniai duomenys, duomenų tvarkymo tikslas, pagrindas, tvarkomų asmens duomenų kategorijos. Todėl Inspekcija nepagrįstai teigia, kad mokėjimo inicijavimo paslaugos teikimo metu asmens duomenys duomenų subjektų atžvilgiu yra tvarkomi neskaidriai, pažeidžiant BDAR 5 straipsnio 1 dalies a punktą.

2.4.                      Duomenų saugumo pažeidimo metu už duomenų bendrovėje saugumo bei informacinių technologijų (toliau – ir IT) infrastruktūros valdymo, diegimo ir priežiūros organizavimą buvo atsakingas vienas asmuo – bendrovės techninis direktorius. Tai, kad vienas asmuo buvo atsakingas už kelių funkcijų organizavimą, nereiškia, kad šias funkcijas asmuo vykdė vienas. Nei BDAR, nei kiti imperatyvūs pareiškėjo veiklai taikomi teisės aktai nenumato pareigos atskirti atsakomybių už minėtų sričių organizavimą. Todėl vien tai, kad bendrovės Technikos direktorius buvo atsakingas už kelių funkcijų įgyvendinimo organizavimą, nesudaro prielaidos teigti, kad bendrovėje nebuvo užtikrintos tinkamos techninės ir organizacinės duomenų saugumo priemonės. Pareiškėjas 2018 m. liepos 12 d., siekdamas užtikrinti reguliarų bendrovės saugumo rizikų vertinimą, direktoriaus įsakymu suformavo saugumo komandą, atsakingą už nuolatinį stebėjimą, ar nekyla grėsmė internetu atliekamų mokėjimų saugumui, bei už bendrovės saugumo rizikos vertinimą. Be to, pareiškėjas net keletą kartų Inspekcijai nurodė, kad bendrovė yra sudariusi sutartį su IT ir kibernetinio saugumo konsultacijų įmone UAB „VORAS Consulting“ dėl nepertraukiamo informacijos saugos užtikrinimo ir valdymo paslaugų teikimo. Vėliau pareiškėjas su minėtu partneriu sutarė ir dėl informacinių sistemų saugos įgaliotinio funkcijos atlikimo.

2.5.                      Darydama išvadą dėl pareiškėjo neatitikties BDAR 5 straipsnio 1 dalies f punktui bei 32 straipsnio 1 dalies b punktui, Inspekcija rėmėsi faktu, kad bendrovėje įvyko duomenų saugumo pažeidimas. Tačiau faktas, jog įvyko duomenų saugumo pažeidimas, neleidžia daryti kategoriškos išvados dėl bendrovės neatitikties BDAR numatytiems organizacinio ir techninio saugumo reikalavimams. Spręsdama dėl pareiškėjo taikomų organizacinių ir techninių saugumo priemonių tinkamumo, Inspekcija turėjo tirti ir vertinti pareiškėjo faktiškai taikomų priemonių visumą, tačiau to nepadarė. Įgyvendindamas Lietuvos banko valdybos 2014 m. rugsėjo 30 d. nutarimu Nr. 03-172 patvirtintų Minimalių saugumo reikalavimų, keliamų internetu atliekamiems mokėjimams, 21 punkto reikalavimus, MIP dalyvaujančių sistemų duomenų prieigos saugumui ir kontrolei užtikrinti pareiškėjas taikė daugiapakopes saugumo priemones. Pareiškėjui teikiant MIP dėl bendrovės taikomų techninių saugumo priemonių, nei finansinių įstaigų darbuotojai, prie kurių valdomų el. bankininkystės ar kitokių el. mokėjimo operacijų sistemų mokėtojo vardu jungėsi bendrovė, atlikdama mokėjimo inicijavimo operacijas, nei kiti tretieji asmenys, kuriems bendrovės direktoriaus įsakymu nėra suteikta prieiga, negalėjo prieiti prie mokėjimo inicijavimo operacijų informacijos. Lietuvos banko valdybos pirmininko 2018 m. liepos 12 d. įsakymu 2018 m. liepos 16–27 d. buvo nuspręsta atlikti pareiškėjo neplaninį tikslinį inspektavimą, Lietuvos bankas 2018 m. gruodžio 17 d. priėmė sprendimą, kuriame padarė išvadą, kad elektroninių pinigų turėtojų interesai bendrovėje nebuvo pažeisti ir poveikio priemonės pareiškėjui neskyrė. Tai patvirtina, kad bendrovėje taikomos techninės saugumo priemonės yra efektyvios, patikimos, identifikuojančios rizikas, nustatančios saugumo priemones šioms rizikoms valdyti.

2.6.                      Pareiškėjas ne kartą Inspekcijai nurodė, kad 2018 m. liepos mėnesį jam tapo žinoma apie galimą incidentą MIP sistemoje, t. y. kad informacija, esanti po Nuoroda, gali būti prieinama iš išorės. Nurodytą incidentą pareiškėjas užregistravo ir ištyrė, t. y. ėmėsi skubių veiksmų, siekdamas patikrinti ir užtikrinti sistemos prieigos ir joje esančių duomenų saugumą. Vidinio tyrimo metu nustatyta, kad po Nuoroda galbūt matomi vienos savaitės mokėjimų operacijas apimantys mokėjimo žurnalai, kuriuose atsispindi 58 pareiškėjo klientų fizinių asmenų (t. y. duomenų subjektų) el. pašto adresai. Šią informaciją pareiškėjas nurodė Inspekcijai savo atsakymuose. Sprendime nepagrįstai teigiama, jog tyrimo metu nustatyta, kad saugumo pažeidimo metu buvo suteikta neautorizuota prieiga prie banko paslaptį sudarančios informacijos – daugiau nei 9 000 MEV su 12 skirtingų bankų, esančių skirtingose valstybėse, klientų mokėjimo sesijų detalių puslapiais. Be to, elektroninio pašto adresai nėra laikomi banko paslaptimi, o el. pašto adresai, kuriuose yra asmens duomenis sudaranti informacija, nėra jautraus pobūdžio informacija, kurios atskleidimas galėtų sukelti duomenų subjektams žalos. Įvykusio duomenų saugumo pažeidimo metu pareiškėjas nustatė, kad išorės prieigos galimybė buvo tik prie 58 duomenų subjektų elektroninio pašto adresų, t. y. nejautrių asmens duomenų, nurodyti duomenys galėjo būti atskleisti tik paspaudus specialią Nuorodą, kuri yra viešai nepublikuojama (skirta vidiniam naudojimui) ir kuri galėjo būti aptikta itin mažo ir itin specialias žinias turinčių asmenų rato, pareiškėjas nedelsdamas ėmėsi veiksmų, kad saugumo pažeidimas būtų operatyviai ištirtas ir užkardytas – bendrovė skubiai atstatė prarastas saugumo pakopas, sumažindama duomenų saugumo pažeidimo mastą iki minimumo ir užkirsdama kelią bet kokiai tolesnei neteisėtai prieigai prie duomenų ir bet kokioms galimoms tolesnėms duomenų saugumo pažeidimo pasekmėms. Todėl pareiškėjas nusprendė, kad įvykęs duomenų saugumo pažeidimas neturėtų kelti pavojaus duomenų subjektų teisėms ir laisvėms bei, vadovaudamasis BDAR 33 straipsnio 1 dalimi, Inspekcijai apie įvykusį saugumo pažeidimą nepranešė. Dėl minėto 2018 m. liepos 9–10 d. įvykusio duomenų saugumo pažeidimo į pareiškėją nesikreipė nė vienas duomenų subjektas, nė vienas duomenų subjektas nesikreipė ir į Inspekciją. Lietuvos bankas, atlikęs bendrovės inspektavimą, taip pat konstatavo, kad dėl įvykusio saugumo pažeidimo elektroninių pinigų turėtojų interesai nebuvo pažeisti. Šios aplinkybės parodo, kad Inspekcijos paskirta bauda yra neproporcinga.

2.7.                      Tyrimo metu Inspekcija vilkino tyrimo procesą, neišsamiai, nevisapusiškai, tendencingai tyrė gautą informaciją, nesuteikė pareiškėjui galimybės susipažinti su visa tyrimo medžiaga. Inspekcija tyrimą vykdė ilgiau nei 9 su puse mėnesio, nepateikė pareiškėjui informacijos apie tyrimo pratęsimą, nepriėmė dėl to sprendimo. Inspekcija galėjo faktiškai patikrinti, kokius asmens duomenų tvarkymo veiksmus su mokėtojų duomenimis atlieka bendrovės MIP sistema ir objektyviai patikrinti bendrovės bei trečiųjų asmenų pateiktų paaiškinimų teisingumą, tačiau to nepadarė ir rėmėsi išimtinai pareiškėjo konkurento AB Swedbank 2018 m. spalio 23 d. rašte nurodyta informacija. Be to, Inspekcija Sprendime rėmėsi informacija, kurios nebuvo gavusi ir ištyrusi, AB Swedbank atstovai nedalyvavo 2019 m. balandžio 5 d. Inspekcijoje vykusiame žodiniame posėdyje dėl Inspekcijoje atlikto pareiškėjo tyrimo. Net jeigu būtų daroma prielaida, kad MEV AB Swedbank surinko iš pareiškėjo sistemų, AB Swedbank tokią informaciją galėjo gauti atlikdama bendrovės skanavimą, apie kurį, laikantis etikos standartų, skanuojamai įstaigai yra privaloma pranešti dėl potencialių skanavimo neigiamų padarinių įstaigos operatyviai veiklai. Taigi, net jei AB Swedbank pateikti keli MEV pavyzdžiai būtų gauti iš pareiškėjos MIP sistemos, jie būtų neteisėti bei neleistini, nes buvo surinkti nesilaikant taikomų standartų. Inspekcija tokiais neleistinu būdu surinktais duomenimis negalėtų remtis priimdama Sprendimą.

2.8.                      Pareiškėjo atlikti ir nuolat atliekami kryptingi bei nuoseklūs BDAR įgyvendinimo veiksmai, geranoriškas bendradarbiavimas su Inspekcija tyrimo eigoje, efektyvūs saugumo pažeidimo užkardymo veiksmai, kurių pareiškėjas ėmėsi vos tik sužinojęs apie galimą saugumo incidentą, parodo, kad pareiškėjas skyrė didelį dėmesį asmens duomenų apsaugai, todėl Inspekcijos Sprendimas skirti pareiškėjui baudą už BDAR 5, 32 ir 33 straipsnių pažeidimus neatitinka Inspekcijos veiklai keliamų reikalavimų bei Inspekcijos viešai išsakytos pozicijos apie tai, kaip Inspekcija vertins ir į ką atsižvelgs, spręsdama dėl baudų ar kitų poveikio priemonių skyrimo. Iki Sprendimo priėmimo dienos Inspekcija nebuvo paskyrusi (išskyrus Inspekcijos internetiniame tinklalapyje neviešintą baudą savivaldybės įmonei) ir išviešinusi nė vienos baudos už BDAR reikalavimų nesilaikymą, nors yra atlikusi duomenų valdytojų tyrimų ir nustačiusi BDAR reikalavimų nesilaikymo atvejų. Atlikusi tikrinimus, Inspekcija, net ir nustačiusi itin rimtus BDAR pažeidimus, tikrintoms bendrovėms pateikė nurodymus pašalinti nustatytus BDAR pažeidimus, tačiau jokios baudos neskyrė. Nagrinėjamu atveju asmens duomenų saugumo pažeidimas, dėl kurio Inspekcija pradėjo tyrimą ir į kurį išimtinai koncentravosi tyrimo metu, įvyko būtent tuo laikotarpiu, kai Inspekcija, nustačiusi panašaus ar net rimtesnio pobūdžio BDAR pažeidimus kitose organizacijose, joms jokių baudų neskyrė. Nepaisant to, pareiškėjui Sprendimu buvo skirta bauda, lygi net 2,5 proc. pareiškėjo 2018 finansinių metų bendrosios metinės pasaulinės apyvartos. Toks Inspekcijos elgesys yra diskriminuojantis ir (ar) diferencijuojantis pareiškėją kitų bendrovių / įstaigų / organizacijų, kuriose tuo pačiu ir (ar) panašiu laikotarpiu buvo nustatyti panašūs ar net tapatūs BDAR pažeidimai, požiūriu. Inspekcijos Sprendimas pažeidžia Lietuvos Respublikos viešojo administravimo įstatymo 3 straipsnio 3 punkte įtvirtintą proporcingumo principą. 

2.9.                      Be to, Inspekcijos tinklalapyje nepagrįstai yra paviešinta tik informacija apie pareiškėjui skirtą baudą. Pareiškėjas 2019 m. gegužės 15 d. kreipėsi į Inspekciją su prašymu neviešinti informacijos apie Inspekcijos Sprendimu skirtą administracinę baudą dėl BDAR reikalavimų pažeidimų, savo prašymą grindė tuo, kad Sprendimas nėra galutinis, bus skundžiamas, o išviešinimas sukels nepataisomą žalą bendrovės reputacijai. Inspekcija į šį pareiškėjo prašymą atsakė tik 2019 m. birželio 3 d., t. y. praėjus daugiau nei dviem savaitėms nuo pareiškėjo prašymo pateikimo dienos bei tuo metu, kai Inspekcijos internetiniame tinklalapyje jau buvo paskelbta informacija apie Sprendimą. Inspekcijos argumentas dėl informacijos viešinimo būtinybės prieštarauja Inspekcijos iš tiesų vykdomiems veiksmams – savivaldybės įmonei (tapatybė – neaiški) skirta bauda nepaviešinta, o pareiškėjui paskirta sankcija detaliai aprašyta Inspekcijos internetiniame tinklalapyje, įskaitant Inspekcijos netirtos informacijos pateikimą. Tokiais veiksmais Inspekcija diskriminavo pareiškėją kitų duomenų valdytojų požiūriu.

3.       Atsakovas Inspekcija atsiliepime į pareiškėjo skundą prašė jį atmesti. 

4.       Inspekcija nurodė, kad

:

4.1.                      Inspekcijai yra suteikta kompetencija savo nuožiūra pasirinkti ir veikti pagal BDAR jai suteiktus įgaliojimus, spręsti, kaip reikia atlikti tyrimus, kad būtų surinkta su BDAR pažeidimu susijusi informacija, o tikrinamas asmuo negali pasirinkti ar nurodyti Inspekcijai, kokiu būdu ji turi atlikti jo veiklos tyrimą. Pareiškėjas nenurodė jokių aiškių motyvų, kodėl Inspekcija negalėjo remtis AB Swedbank užfiksuotais įrodymais, kodėl šie įrodymai nėra tinkami, kodėl jais negali būti pasitikima. Be to, pareiškėjas savo raštais Inspekcijai patvirtino AB Swedbank pateiktą informaciją. AB Swedbank, kaip mokėjimo paslaugų tiekėjas, yra įsidiegęs sukčiavimo nustatymo ir prevencijos sistemą, kuri pareiškėjo atveju aptiko neįprastus ir nestandartinius kreipinius iš išorinių sistemų IP adresų. Pareiškėjo MIP sistema, vartotojams atliekant mokėjimus, periodiškai darė visų vartotojų mokėjimo sesijos MEV, nors tai nėra reikalinga sėkmingai atlikti mokėjimo operaciją ir nėra standartinis (tipinis) vartotojo elgesys, atliekant mokėjimą. AB Swedbank Prevencijos sistema identifikavo tai kaip įtartiną, galbūt keliančią grėsmę duomenų saugumui veiklą ir pradėjo vidinį tyrimą dėl saugumo incidento, nes toks vartotojo elgesys, atliekant mokėjimą, yra neįprastas.

4.2.                      Veiksmai, kurių pareiškėjas ėmėsi Inspekcijos nustatytiems pažeidimams pašalinti, darbuotojų mokymams bei BDAR reikalavimams užtikrinti, t. y. veiksmai, kurių pareiškėjas ėmėsi po įvykusio asmens duomenų saugumo pažeidimo, nepaneigia fakto, kad Sprendime nustatyti pažeidimai buvo padaryti, ir nepadaro Inspekcijos išvadų neteisingomis. Sprendimo teisingumo ir pagrįstumo nepaneigia ir tai, kad pareiškėjas, sužinojęs apie gresiančią administracinę baudą, pradėjo MIP paslaugos pardavimo procesą.

4.3.                      Be Sprendime pateiktų argumentų dėl MEV asmens duomenų tvarkymo, Inspekcija papildomai pažymėjo, kad pareiškėjas skunde dar kartą patvirtino, kad tvarko MEV asmens duomenis. Pareiškėjas tvarko (prieina, renka) MEV asmens duomenis (priklausomai nuo mokėtojo naudojamo banko tvarkomi šie asmens duomenys: mokėtojo vardas, pavardė, turimų banko (įskaitant mokėjimo kortelių) sąskaitų numeriai, jų valiuta, likučiai, rezervuotos sumos; paskutinių atliktų operacijų informacija (data, mokėtojo arba gavėjo pavadinimas, mokėjimo paskirtis, suma), neperžiūrėtų elektroninių sąskaitų pateikimo datos, siuntėjų pavadinimai bei sumos, neperskaitytų pranešimų pateikimo datos, temos ir dalis pranešimo teksto, turimų paskolų paskirtys, pobūdžiai, sumos, pensijų fondų pavadinimai, sukaupti vienetai, jų vertė, sukauptos sumos, paskutinio prisijungimo datos, turimų indėlių pobūdis (terminuotas, taupomasis ir pan.), valiutos, sumos, palūkanos, terminai, kredito tipai (pvz., būsto), mokėtini likučiai, kitų mokėjimų sumos bei datos, išduotų mokėjimo kortelių numeriai ir jose esančios sumos). Pareiškėjas bando paneigti savo 2018 m. rugpjūčio 20 d. raštu pateiktą informaciją, kad mokėjimo atlikimo metu programa automatiškai fiksuoja darbalaukio duomenis – MEV, kurie yra daromi ir toliau tvarkomi tam, kad būtų tinkamai įvykdytas mokėtojo inicijuotas mokėjimas. Šiame rašte pareiškėjas taip pat nurodė, jog šie duomenys yra reikalingi teikiant mokėjimų iniciavimo paslaugą ir yra būtini įvykdyti inicijuotą mokėjimą. Jie automatiškai išsitrina po 10 minučių, kai yra užbaigiamas inicijuotas mokėjimas. Žodis „fiksuoti“, atsakovo vertinimu, aiškiai reiškia ko nors registravimą, užrašymą, kas ir yra nustatyta įvertinus surinktus įrodymus Inspekcijos Sprendime ir ką tyrimo pradžioje patvirtino ir pats pareiškėjas. Pareiškėjo teiginiams, kad MIP sistemai tik tampa matomi, bet nėra išsaugomi (renkami) MEV asmens duomenys, prieštarauja ne tik tyrimo metu surinkti įrodymai, užfiksuoti AB Swedbank ekspertų, kurie, atlikdami teisės aktuose nustatytas prievoles, nustatė neautorizuotos prieigos galimybę prie pareiškėjo užfiksuotų ir išsaugotų MEV, bet ir pareiškėjo 2018 m. rugpjūčio 20 d. rašte nurodyta informacija, kad MEV asmens duomenys automatiškai išsitrina po 10 minučių, kai yra užbaigiamas inicijuotas mokėjimas. MEV asmens duomenų ištrynimas nėra įmanomas ir logiškai nebūtų paaiškinamas, jei, kaip teigia pareiškėjas, MEV nėra išsaugomi. Nepriklausomai nuo to, ar prie duomenų yra tik prieinama, ar jie dar ir papildomai yra fiksuojami bei toliau saugomi, vadovaujantis BDAR 14 straipsniu, duomenų subjektai apie tokių asmens duomenų tvarkymą privalo būti informuojami. Tai, kad po Inspekcijos nustatytų pažeidimų pareiškėjas ėmėsi veiksmų, ne tik nepaneigia fakto, kad buvo pažeidžiama duomenų subjekto teisė būti informuotam apie jo asmens duomenų tvarkymą, bet ir parodo, kad pareiškėjas sutiko su Inspekcijos nustatytu pažeidimu.

4.4.                      Pareiškėjas nepagrįstai teigia, jog Lietuvos banko atlikto inspektavimo rezultatai patvirtina, jog pareiškėjas ne tik inspektavimo metu užtikrino tinkamas duomenų saugumo priemones, bet kad tokios priemonės buvo užtikrintos ir 2018 m. liepos 9–10 d. Lietuvos banko Priežiūros tarnybos direktoriaus 2018 m. gruodžio 17 d. sprendime Nr. 241-274 „Dėl Mistertango, UAB, inspektavimo rezultatų“ nurodyta, kad inspektavimo metu buvo nustatyta veiklos trūkumų, susijusių su prieigos prie informacinių sistemų valdymu; taip pat, kad pareiškėjas nėra reglamentavęs prieigos prie informacinių sistemų valdymo proceso, kuriame būtų aiškiai nustatytos kiekvieno vartotojo arba vartotojų grupės prieigų valdymo taisyklės (prieigų suteikimas, atšaukimas, taikomos kontrolės priemonės) ir galimos, t. y. pareiškėjo nustatytos kaip standartinės, vartotojų prieigos teisės bei išimtinių prieigos teisių suteikimo, atšaukimo ir kontrolės taisyklės; inspektuojamu laikotarpiu pareiškėjas nevertino, ar suteiktas prieigos lygis atitinka vartotojo veiklos tikslą ir pobūdį, nebuvo vykdoma periodinė prieigos teisių peržiūra, nebuvo tikrinama, ar nėra naudojamasi nedirbančių ar kitų darbuotojų bendro naudojimo vartotojų prieigos teisėmis, nebuvo sustiprintos privilegijuotų vartotojų prieigos kontrolės bei nurodyta šiuos trūkumus pašalinti. Tai atitinka Inspekcijos Sprendime nustatytas aplinkybes bei padarytas išvadas. Tai, kad pareiškėjas neužtikrino tinkamų duomenų saugumo priemonių pareiškėjas patvirtino 2019 m. kovo 8 d. rašte ir žodinio bylos nagrinėjimo metu, taip pat skunde teismui nurodydamas, kad, ištyręs incidentą, operatyviai atstatė prarastas saugumo pakopas, dėl kurių įvyko saugumo pažeidimas, atliko jų testą ir įsitikino tinkamu veikimu.

4.5.                      BDAR negali nustatyti tokių detalių saugumo reikalavimų, kaip, pvz., saugos užtikrinimo ir valdymo bei visos IT infrastruktūros (techninės ir programinės) valdymo, diegimo ir priežiūros funkcijų atskyrimo. Iki BDAR įsigaliojimo, pagal Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo 30 straipsnio 2 dalį, Inspekcija nustatė bendruosius reikalavimus organizacinėms ir techninėms duomenų saugumo priemonėms. Šiuo metu galiojant BDAR turi būti remiamasi ne tik bendresniais BDAR reikalavimais, bet ir Europos Sąjungos kibernetinio saugumo agentūros (ENISA) metodinėmis rekomendacijomis dėl duomenų saugumo bei atitinkamais ISO standartais, leidžiančias spręsti dėl taikomų saugumo priemonių tinkamumo.

4.6.                      Jei pareiškėjas manė, kad gali patikslinti Inspekcijos turimą informaciją apie asmens duomenų saugumo pažeidimą, jis turėjo pateikti įrodymus, t. y. išrašus, iš savo IT sistemų žurnalų, kurie konkrečiai pagrįstų pareiškėjo teiginius, kad prisijungimų iš išorės vartotojų nenustatyta, arba, kad buvo prisijungęs tik, pvz., atitinkamas AB Swedbank darbuotojas, kuris ir nustatė pažeidimą. Pareiškėjas nepateikė konkrečių IT sistemų išrašų asmens duomenų saugumo pažeidimo laikotarpiu, nors Inspekcija to prašė. Įrodymų pateikimas išrašais iš IT sistemų žurnalų yra įprasta ir plačiai naudojama praktika, o negalėjimas pateikti tokių išrašų įvykus kibernetiniam incidentui ar duomenų saugumo pažeidimui signalizuoja apie tai, kad organizacijoje IT sistemų ir juose tvarkomų duomenų saugumui nėra skiriamas tinkamas dėmesys. Vietoje aptariamo išrašo, pareiškėjas 2018 m. rugpjūčio 20 d. raštu Inspekcijai pateikė išrašą iš tarnybinės stoties apie prisijungimus prie nuorodos, kuri veda į mokėjimų sąrašą nuo 2018 m. balandžio 28 d. iki 2018 m. gegužės 4 d., t. y. laikotarpiu, nesusijusiu su aptariamu asmens duomenų pažeidimu. Pareiškėjas, žinodamas apie įvykusį asmens duomenų saugumo pažeidimą, Inspekcijos atliekamą tyrimą, Lietuvos banko inspektavimą, ne tik neveikė kaip rūpestingas ir sąžiningas asmuo, netinkamai vykdė BDAR 33 straipsnio 5 dalies reikalavimus, bet ir nesiėmė priemonių sau naudingiems įrodymams išsaugoti ir pateikti Inspekcijai. Pareiškėjas pripažįsta, kad prieigą prie tinklalapio su pareiškėjo apdorotų mokėjimų sąrašu, kuriame buvo matomi įvairių bankų įstaigų klientų atlikti mokėjimai per pareiškėjo MIP sistemą su tų klientų asmens duomenimis, taip pat daugiau nei 9 000 MEV su 12 skirtingų bankų, esančių skirtingose valstybėse, klientų mokėjimo sesijų detalių puslapiais, turėjo matyti bent jau itin siauras, specifines žinias turinčių asmenų ratas, taigi prie aptariamų duomenų bent jau 2 dienas buvo neautorizuota prieiga. Tai, kad šiuo metu nenustatytas aptariamų asmens duomenų netinkamas panaudojimas, nereiškia, jog toks panaudojimas neįvyks ateityje.

4.7.                      Pareiškėjas ne kartą informuotas apie tai, kad atliekant aptariamą tyrimą yra vadovaujamasi BDAR 60 straipsniu. Be to, Inspekcijos atlikto tyrimo terminai neturi įtakos pareiškėjo padarytiems pažeidimams kvalifikuoti ir nepanaikina pareiškėjo atsakomybės už padarytus pažeidimus. Pareiškėjui buvo pateikta visa tyrimo medžiaga. Latvijos duomenų apsaugos inspekcijos pranešimu, kaip ir AB „SEB bankas“ 2018 m. liepos 27 d. raštu Nr. 01.08-878 Inspekcija nesirėmė priimdama Sprendimą, jie nebuvo atlikto tyrimo dalis, todėl nebuvo pateikti pareiškėjui. Latvijos duomenų apsaugos inspekcijos pranešime nebuvo jokios tyrimui naudingos informacijos, jis tik buvo pagrindas tęsti minėtoje šalyje inicijuotą bendradarbiavimo procedūrą pagal BDAR 60 straipsnį, o AB „SEB bankas“ rašte buvo pateikta analogiška informacija AB Swedbank pateiktai informacijai, kuria remiantis Inspekcija jau buvo pradėjusi pareiškėjo tyrimą.

4.8.                      BDAR numato Inspekcijos pasirinkimo galimybę parenkant taisomąsias priemones, todėl Inspekcija, atlikusi pareiškėjo tyrimą, turėjo diskrecijos teisę nuspręsti dėl BDAR 58 straipsnio 2 dalyje numatytų taisomųjų veiksmų taikymo ir (ar) BDAR 83 straipsnyje numatytos administracinės baudos, kuri turi būti veiksminga, proporcinga ir atgrasanti, skyrimo. Tokie Sprendime nurodyti pažeidimai, kaip perteklinių asmens duomenų tvarkymas, šių duomenų saugumo neužtikrinimas, informacijos apie jų asmens duomenų tvarkymą duomenų subjektams nepateikimas, nėra BDAR nustatyta naujovė, be to, apie nustatytus pažeidimus Inspekcija sužinojo iš trečiųjų asmenų, o ne iš pareiškėjo, todėl nėra pagrindo teigti, kad pareiškėjas bendradarbiavo su Inspekcija. Tyrimo metu ir skunde teismui pareiškėjas nepateikė informacijos ir įrodymų, kad ėmėsi priemonių, siekdama atsisakyti perteklinių, MIP paslaugai teikti nereikalingų asmens duomenų tvarkymo (MIP paslaugos pardavimas kitam subjektui (informaciją apie tai nurodant tik pareiškėjo skunde teismui) tokia priemone nelaikytina). Inspekcijos priimtų sprendimų (ne)viešinimas negali turėti ir neturi jokios reikšmės Inspekcijos sprendimų teisėtumui.

 

II.

 

5.       Vilniaus apygardos administracinis teismas 2019 m. gruodžio 5 d. sprendimu atmetė UAB Secure Nordic Payments“ (buv. UAB „MisterTango“) skundą.

6.       Pirmosios instancijos teismas nustatė, kad:

6.1.                      AB Swedbank 2018 m. liepos 18 d. raštu Nr. 5R118-16789 kreipėsi į Inspekciją, informavo apie pastebėtą incidentą, nurodė, jog pareiškėjo interneto tinklalapyje buvo paviešinti AB Swedbank klientų Lietuvoje, Latvijoje ir Estijoje duomenys.

6.2.                      Inspekcija 2018 m. liepos 31 d. raštu Nr. 2R-4658(2.14) kreipėsi į pareiškėją, informavo, jog yra gauta informacija apie paviešintus bankų klientų duomenis bei Latvijos duomenų apsaugos inspekcijos informacija, prašė pateikti informaciją, kaip tvarkoma asmens interneto banko paskyroje esanti informacija, informuoti apie taikomas organizacines ir technines duomenų saugumo priemones, apibūdinti asmens duomenų saugumo pažeidimą (pažeidimo vietą, svetainę, aplinkybes) ir kitą reikšmingą informaciją.

6.3.                      Pareiškėjas 2018 m. rugpjūčio 20 d. raštu nurodė, jog 2018 m. liepos 9 d. pareiškėjui kilo įtarimas dėl galimo duomenų saugumo nepakankamumo, todėl pareiškėjas panaikino nuorodą prie transakcijų žurnalo bei ėmėsi patikrinimo veiksmų; atlikęs vidinį tyrimą neaptiko jokių pažeidimų, kurie galėtų turėti įtakos asmens duomenų praradimui ar neleistinam asmens duomenų sužinojimui, visi prisijungimai prie nuorodos, kurioje buvo patalpinti inicijuotų mokėjimų duomenys, yra fiksuojami; patikrinimo, ar nebuvo jungimosi prie nuorodos iš išorės, metu peržiūrėti jungimosi prie nuorodos duomenys, nustatyta, kad prie nuorodos buvo jungiamasi tik iš kompiuterių, kurie priklauso pareiškėjui, neleistinų prisijungimų prie nuorodos pareiškėjas neaptiko.

6.4.                      Inspekcija 2018 m. spalio 16 d. raštu Nr. 2R-5571(2.14) kreipėsi į AB Swedbank, prašė: detaliai aprašyti, kaip buvo gauti klientų elektroninės bankininkystės aplinkos MEV, kokios nuorodos buvo spaudžiamos, kokie veiksmai ir kokiu būdu atlikti; paaiškinti, ar buvo gauta daugiau nei pateikta Inspekcijai MEV ar kliento veiksmų, atliekamų tuo metu, kai buvo aptikta prieiga prie klientų elektroninės bankininkystės aplinkos, vaizdų ekrane vaizdo įrašų; paaiškinti, ar pasinaudojus aptikta prieiga prie klientų elektroninės bankininkystės aplinkos buvo gautos tik nuorodos į išsaugotus el. bankininkystės MEV, ar buvo galimybė atlikti daugiau veiksmų matomoje kliento el. bankininkystės aplinkoje (jei taip, nurodyti kokių).

6.5.                      AB Swedbank 2018 m. spalio 23 d. raštu Nr. SR118-24966 Inspekcijai atsakė, jog: AB Swedbank įdiegė sukčiavimo nustatymo ir prevencijos sistemas, kurios aptiko neįprastus (nestandartinius) kreipinius iš išorinės sistemos, todėl bankas pradėjo vidinį tyrimą; tyrimo metu surinkta daugiau informacijos nei pateikta Inspekcijai, t. y. buvo išsaugota 9 189 Swedbank ir septyniolika kitų bankų klientų mokėjimo sesijų detalių puslapių su MEV, ne visi puslapiai, kurie buvo aplankyti vidinio tyrimo metu, buvo išsaugoti, ne visuose sesijų detalių puslapiuose buvo matomi klientų duomenys; tyrimo metu nebuvo nustatyta, kad naudojantis MEV ar kita prieinama informacija būtų galima tiesiogiai prisijungti prie AB Swedbank klientų internetinės bankininkystės, galimybė pasinaudoti kitų finansinių institucijų internetine bankininkyste vertinama nebuvo, tačiau surinkta informacija rodo, kad pareiškėjas turėjo galimybę, naudodamas taip vadinamą screen scraping metodą, prieiti prie daugiau duomenų, nei buvo būtina jo teikiamai paslaugai suteikti.

6.6.                      Inspekcija 2018 m. lapkričio 21 d. raštu Nr. 2R-6068 (2.14) pareiškėjo prašė pateikti papildomą informaciją apie įvykusį incidentą. Pareiškėjas 2018 m. gruodžio 11 d. pateikė paaiškinimus Inspekcijai, nurodė, jog mokėtojų el. bankininkystės darbalaukio duomenys bendrovėje nėra kaupiami ir saugomi, MIP teikimo metu bendrovė tvarko mokėtojų el. bankininkystės duomenis, tokius kaip mokėtojo vardas ir pavardė, banko sąskaitų numeriai bei jose esančios lėšos, paskutinės penkios atliktos mokėjimų operacijos; bendrovė nekaupia ir nesaugo mokėtojų el. bankininkystės duomenų, nedaro MEV kopijų, jų nekaupia, neatlieka jokių kitų veiksmų, susijusių su mokėtojų el. bankininkystės darbalaukio duomenimis; tvarkymo veiksmai apima tik prieigą prie mokėtojo el. bankininkystės darbalaukyje atvaizduotų duomenų, kitokių tvarkymo veiksmų bendrovė neatlieka; bendrovės prieiga prie mokėtojo el. bankininkystės darbalaukyje atvaizduotų duomenų mokėjimo sesijos metu yra neatsiejama mokėjimo inicijavimo proceso dalis, be kurios nebūtų įmanoma suteikti MIP; pareiškėjas neneigė, kad 2018 m. liepos 10 d. jam tapo žinoma apie galimą incidentą vidaus analizės įrankyje (MIP monitoringo sistemoje), bendrovė nedelsdama incidentą užregistravo ir nustatė, kad MIP monitoringo sistemoje buvo prarastos saugumo pakopos, t. y. laikinai buvo prarastas apribojimas pagal IP adresą per AWS Amazon serverių ugniasienę bei apribojimas pagal IP adresą pačios aplikacijos lygmenyje ir laikinai nebuvo taikomas prieigos apribojimas, reikalaujant vartotojo vardo ir slaptažodžio; incidento metu asmenys, turintys specialių IT žinių ir ėmęsi specialių analizės priemonių, galėjo aptikti nuorodą bei pasiekti minimus bendrovės mokėjimų žurnalus, esančius po minėta nuoroda; ištyrusi incidentą, bendrovė operatyviai (2018 m. liepos 10–11 d.) atstatė saugumo pakopas, atliko jų testą ir įsitikino tinkamu veikimu; incidento metu galbūt atskleisti tik 58 duomenų subjektų asmens duomenys, kurie nėra jautrūs asmens duomenys (t. y. korporatyviniai el. pašto adresai), nurodyti duomenys nebuvo atskleisti plačiam asmenų, neturinčių teisės prieiti prie šių duomenų, ratui, o tik specialius analizės įrankius turintiems subjektams, t. y. bankams, todėl asmens duomenų saugumo pažeidimas nesukėlė pavojaus duomenų subjektų teisėms ir laisvėms.

6.7.                      Inspekcijos Informacinių technologijų skyrius 2019 m. vasario 7 d. parengė išvadą Nr. 4R-23(2.14) „Dėl asmens duomenų saugumo pažeidimo UAB „MISTERTANGO“ mokėjimo inicijavimo paslaugų sistemoje“ (toliau – ir Išvada), kurioje konstatavo, jog įvykęs duomenų saugos pažeidimas atitinka asmenų duomenų saugumo pažeidimo požymius (be leidimo atskleisti asmens duomenys ir neužtikrinta prieigos prie asmens duomenų kontrolė), apie jį Inspekcijai turėjo būti pranešta per 72 valandas nuo sužinojimo, užpildant Pranešimo apie asmens duomenų saugumo pažeidimą formą; to nepadaręs, pareiškėjas pažeidė BDAR 33 straipsnio 1 dalies ir to paties straipsnio 3 dalies a ir c punkto reikalavimus. Išvadoje taip pat nurodyta, jog pareiškėjas neužtikrina, kad asmens duomenys būtų tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrinamas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo; taip pat neužtikrina, kad standartizuotai būtų tvarkomi tik tie asmens duomenys, kurie yra būtini kiekvienam konkrečiam duomenų tvarkymo tikslui ir kad su asmens duomenimis negalėtų susipažinti neribotas fizinių asmenų skaičius, todėl pareiškėjas pažeidė BDAR 5 straipsnio 1 dalies f punkto ir 25 straipsnio 2 dalies reikalavimus. Išvadoje taip pat teigiama, jog pareiškėjas galbūt neužtikrina tinkamo, nuolatinio ir savalaikio techninių žurnalų bei užfiksuotų įvykių saugojimo ir juose fiksuojamų įvykių stebėjimo; kad būtų įgyvendinamos tinkamos techninės ir organizacinės priemonės, nes nėra aiškiai atskirtos pareigos ir nustatytos atsakomybės ribos tarp IT sistemų priežiūrą atliekančių darbuotojų ir už IT sistemų ir duomenų saugumą atsakingų darbuotojų, todėl yra pažeidžiami BDAR 24 straipsnio 1 dalies reikalavimai.

6.8.                      Inspekcija skundžiamu Sprendimu pareiškėjui už BDAR 5, 32 ir 33 straipsnių pažeidimus skyrė 61 500 Eur baudą (atitinka 2,5 proc. pareiškėjo 2018 m. finansinių metų bendrosios metinės pasaulinės apyvartos).

7.       Vadovaudamasis BDAR 4 straipsnio 1 dalimi, 5 straipsnio 1 ir 2 dalimis, 21 straipsnio 1 dalimi, 32 straipsnio 1–4 dalimis, 33 straipsnio 1–5 dalimis, 60 straipsniu, Asmens duomenų teisinės apsaugos įstatymo 20 straipsnio 4 dalimi, pirmosios instancijos teismas pažymėjo, jog BDAR įrodinėjimo naštą perkelia duomenų valdytojui. Gavusi trečiųjų asmenų informaciją apie netinkamai tvarkomus asmens duomenis, turėdama duomenų, jog pareiškėjas yra asmens duomenų valdytojas, Inspekcija turėjo teisę pradėti tyrimą, o visa įrodinėjimo našta gulė ant pareiškėjo. Inspekcija apklausė pareiškėją, kuris teikė išsamius paaiškinimus. Pats pareiškėjas pripažino, kad tvarkė duomenis, kad tam tikrą kiekį duomenų atskleidė. Pirmosios instancijos teismo vertinimu, būtent pareiškėjas turėjo pasirinkti tokį įrodinėjimo būdą, pagal kurį būtų objektyviai, o ne prielaidomis paneigtos trečiųjų suinteresuotų asmenų (be kita ko, AB Swedbank) iškeltos ir atsakovo tirtos aplinkybės apie pažeidimus. Pirmosios instancijos teismas taip pat atkreipė dėmesį, kad Lietuvos bankas neatlieka asmens duomenų apsaugos kontrolės. Pareiškėjo pateiktos UAB Heksimus“ IT sistemos MIP analizės ataskaitos pirmosios instancijos teismas nelaikė patikima, nes nėra aiški ją atlikusių asmenų kvalifikacija, ji atlikta ne laiku, visus įrodymus pareiškėjas privalėjo teikti Inspekcijos tyrimo metu iki priimant Sprendimą.

8.       Vertindamas tyrimo procedūras ir terminus, pirmosios instancijos teismas pažymėjo, jog pareiškėjas ne kartą buvo informuotas apie tai, kad atliekant tyrimą yra vadovaujamasi BDAR 60 straipsniu. Be to, Inspekcijos atlikto tyrimo terminai neturi įtakos pareiškėjo padarytiems pažeidimams kvalifikuoti ir nepanaikina pareiškėjo atsakomybės. Pareiškėjui buvo pateikta visa tyrimo medžiaga, kurios pakako priimti skundžiamą Sprendimą.

9.       Pirmosios instancijos teismas konstatavo, kad tyrimo metu nustatyta, jog pareiškėjo MIP sistema, mokėjimo operacijų atlikimo metu daro mokėjimo sesijos MEV, kurie daromi naudotojo ekrano duomenų perėmimo būdu (angl. screen scrapping), o elektroninės bankininkystės naudotojas apie tai neinformuojamas. Pareiškėjo padarytuose MEV yra fiksuojami asmens duomenys, seniausiai tyrimo metu nustatytas MEV buvo saugomas nuo 2017 m. gruodžio 5 d. Pareiškėjas tvarko (prieina, renka) daugiau asmens duomenų, nei nurodo esant būtina mokėtojo inicijuotam mokėjimui įvykdyti, šiuos duomenis saugo ilgiau, nei yra nustatęs bei nurodęs esant reikalinga (216 dienų vietoje nustatytų 10 minučių). Pareiškėjas nepateikė įrodymų, patvirtinančių, kad MEV asmens duomenų rinkimas (tiek pareiškėjo nurodyta, tiek Inspekcijos nustatyta apimtimi) yra būtinas mokėjimo paslaugai įvykdyti, nepagrindė, kodėl atliekant mokėjimo paslaugą nėra renkami tik tie asmens duomenys, be kurių nėra įmanoma atlikti mokėjimo. Pirmosios instancijos teismo vertinimu, pareiškėjo teiginiai, jog MEV fiksuojami duomenys nėra pareiškėjo tvarkomi, nėra pagrįsti patikimais įrodymais. Pirmosios instancijos teismas taip pat atkreipė dėmesį, kad buvo paviešinti net ne mokėtojų, o kitų fizinių asmenų duomenys, o tai įrodo, kad buvo tvarkomi (be kita ko, fiksuojant) ne tik tie duomenys, kurių tvarkymą pareiškėjas deklaravo.

10.       Tyrimo metu taip pat nustatyta, kad ne mažiau kaip 2 dienas (2018 m. liepos 9–10 d.) Nuoroda buvo prieinamas tinklalapis su pareiškėjo apdorotų mokėjimų sąrašu, kuriame buvo matomi įvairių bankų įstaigų klientų atlikti mokėjimai per pareiškėjo MIP sistemą su tų klientų asmens duomenimis, taip pat daugiau nei 9 000 MEV su 12 skirtingų bankų, esančių skirtingose valstybėse, klientų mokėjimo sesijų detalių puslapiais. Pastarieji duomenys galėjo būti matomi prie nurodyto adreso pridėjus kokios nors mokėjimo operacijos identifikatoriaus numerį, matomą mokėjimo sąrašo stulpelyje „details“. Atidarius nuorodą, buvo patenkama į sesijos detalių puslapį, kuriame buvo pateikiami MEV įvairiomis prisijungimo sesijos stadijomis (pvz., „Start“, „logged in“, „account_info_taken“ ir pan.). Po kiekvienu iš vaizdų buvo nuoroda „view source“, kuri įgalino parsisiųsti visą MEV vaizduojamo puslapio kodą HTML formatu, t. y. buvo prieinamas MEV sąrašas su nuorodomis į vaizduojamo HTML kodą (view source), MEV padarymo data ir sesijos stadija. Pirmosios instancijos teismas darė išvadą, kad pareiškėjas 2018 m. liepos 9–10 d. neužtikrino prieigos kontrolės prie minėto adreso ir per jį galimų gauti asmens duomenų, t. y. jungiantis prie minėto adreso, nebuvo reikalaujama autorizuotis – nurodyti vartotojo vardą ir slaptažodį. Prie nurodyto tinklalapio ir MEV asmens duomenų prieigą turėjo visų bankų, kuriuose naudojantis pareiškėjo MIP buvo atliekami mokėjimai, darbuotojai (įskaitant atvejus, jei būtų jungiamasi naudojantis VPN prie tokio darbuotojo darbo vietos), o tai reiškia, kad vieno banko darbuotojas galėjo matyti kitų bankų klientų asmens duomenis, kurie jam įprastomis aplinkybėmis negalėtų būti prieinami. Įvertinęs byloje nustatytas aplinkybes, pirmosios instancijos teismas sprendė, jog Inspekcija pagrįstai darė išvadą, kad pareiškėjas neužtikrino, jog asmens duomenys būtų tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas pavojų atitinkančio lygio saugumas, įskaitant apsaugą nuo neteisėto tvarkymo, atskleidimo, ir tuo pažeidė BDAR 5 straipsnio 1 dalies f punktą ir 32 straipsnio 1 dalies b punktą. Veiksmai, kurių pareiškėjas ėmėsi nustatytiems pažeidimams pašalinti, t. y. veiksmai, kurių pareiškėjas ėmėsi po 2018 m. liepos 9–10 d. įvykusio asmens duomenų saugumo pažeidimo, nepaneigia to, kad pažeidimai buvo padaryti. Pirmosios instancijos teismas pažymėjo, jog šis pažeidimas yra susijęs su pirmuoju, pagal kurį pareiškėjas tvarkė platesnį duomenų kiekį, nei deklaravo – pareiškėjas atskleidė net tuos duomenis, kurių neturėjo tvarkyti. Apie duomenų viešinimą pranešė ne tik AB Swedbank, bet ir AB SEB bankas (taip pat Latvijos asmens duomenų apsaugos institucija), taigi pareiškėjo netinkamas duomenų tvarkymas buvo pastebėtas ir užfiksuotas. MEV duomenys buvo prieinami 2018 m. liepos 9–10 d. Pareiškėjas nurodė, kad apie šį saugumo pažeidimą jam tapo žinoma 2018 m. liepos 9 d., tačiau Inspekcijai pareiškėjas apie aptariamą saugumo pažeidimą nepranešė, o Inspekcijai 2018 m. liepos 31 d. pasikreipus į pareiškėją, šis 2018 m. rugpjūčio 20 d. raštu nepateikė visos informacijos apie aptariamą pažeidimą, dėl to Inspekcijai į pareiškėją teko kreiptis pakartotinai 2018 m. rugpjūčio 21 d. raštu. Pareiškėjas pripažino, jog prieigą prie nuorodos turėjo bent jau itin siauras, specifines žinias turinčių asmenų ratas, taigi prie duomenų buvo neautorizuota prieiga. Pirmosios instancijos teismo vertinimu, aplinkybė, kad tuo metu nenustatytas netinkamas asmens duomenų panaudojimas, nereiškia, jog toks panaudojimas neįvyks ateityje, todėl išlieka grėsmė, kad asmens duomenų saugumo pažeidimo metu nukentėję duomenų subjektai ateityje gali patirti neigiamas pasekmes. Pareiškėjo teiginius, kad saugumo pažeidimo metu buvo matomi tik 58 asmenų elektroninio pašto adresai, paneigia tyrimo metu surinkti įrodymai, patvirtinantys, kad minėto saugumo pažeidimo metu neautorizuota prieiga buvo prie daugiau nei 9 000 MEV su 12 skirtingų bankų, esančių skirtingose valstybėse, klientų mokėjimo sesijų detalių puslapiais, t. y. banko paslaptį sudaranti informacija, o tai paneigia pareiškėjo argumentus, jog saugumo pažeidimo metu prieiga buvo tik prie nejautrių duomenų ir saugumo pažeidimas nekėlė pavojaus duomenų subjektų teisėms ir laisvėms.

11.       Atsižvelgęs į nustatytas aplinkybes, pirmosios instancijos teismas darė išvadą, kad atsakovas tinkamai nustatė ir kvalifikavo pareiškėjo padarytus pažeidimus, pareiškėjas jų nepaneigė, Inspekcijos Sprendimas šiuo aspektu yra teisėtas ir pagrįstas.

12.       Atsakydamas į pareiškėjo argumentus dėl paskirtos baudos dydžio, pirmosios instancijos teismas rėmėsi BDAR 83 straipsnio 1 ir 2 dalimis, pažymėjo, jog baudos turi būti ne tik proporcingos, bet atgrasančios ir šia prasme veiksmingos. Inspekcija, nustatydama baudos dydį, atsižvelgė į tyrimo metu nustatytas aplinkybes, į tai, kad MEV asmens duomenys buvo neteisėtai tvarkyti tyčia, šių asmens duomenų tvarkymo pareiškėjas neatsisakė ir toliau juos tvarkė Sprendimo priėmimo metu, o Inspekcijai nebuvo pranešta apie įvykusį asmens duomenų saugumo pažeidimą dėl aplaidumo, pareiškėjas nesiėmė veiksmų, kad sumažintų duomenų subjektų patirtą žalą, nustatyti pažeidimai turi poveikį asmens duomenims, pagal kuriuos galima tiesiogiai nustatyti duomenų subjekto tapatybę, šie duomenys yra banko paslaptis ir tvarkomi nešifruoti, o asmens duomenų saugumo pažeidimo metu buvo tvarkomi neužtikrinant prieigos kontrolės prie šių duomenų, apie pažeidimą Inspekcija sužinojo iš trečiųjų asmenų, baudos skyrimo metu pareiškėjas informavo Inspekciją apie BDAR reikalavimams užtikrinti skirtas lėšas bei numatytą biudžetą, skirtą nuolat užtikrinti ir prižiūrėti BDAR reikalavimų atitiktį bei pareiškėjo darbuotojų mokymus asmens duomenų apsaugos bei saugumo klausimais. Sunkinančiomis aplinkybėmis Inspekcija pagrįstai laikė aplinkybes, atitinkančias BDAR 83 straipsnio 2 dalies a, b, c, g ir h punktus. Pareiškėjas, be kita ko, pažeidė BDAR 5 straipsnyje nurodytus asmens duomenų tvarkymo principus, todėl jam galėjo būti paskirta iki 4 proc. jo ankstesnių finansinių metų bendros metinės pasaulinės apyvartos dydžio bauda.

 

III.

 

13.       Pareiškėjas „Secure Nordic Payments“ (buv. uždaroji akcinė bendrovė „MisterTango“) apeliaciniame skunde prašo panaikinti Vilniaus apygardos administracinio teismo 2019 m. gruodžio 5 d. sprendimą ir priimti naują sprendimą – panaikinti Inspekcijos 2019 m. gegužės 14 d. sprendimą Nr. 3R-397(2.14).

14.       Pareiškėjas palaiko pirmosios instancijos teismui teiktame skunde išdėstytą poziciją, nurodo, kad:

14.1.                      Pirmosios instancijos teismas netinkamai paskirstė įrodinėjimo naštą, netinkamai ištyrė bei vertino byloje surinktus įrodymus, nepagrįstai nevertino dalies pareiškėjo pateiktų bylai reikšmingų įrodymų, nesurinko ir neištyrė ženklios apimties bylai reikšmingų įrodymų, netinkamai pritaikė materialiosios teisės normas, susijusias su baudos skyrimu. Pirmosios instancijos teismas nepagrįstai vadovavosi BDAR 21 straipsnio 1 dalimi bei perkėlė įrodinėjimo naštą duomenų valdytojui. Įrodinėjimo institutui administraciniame procese yra taikomi žymiai griežtesni standartai. Administracinėse bylose, kuriose ginčijamas viešojo administravimo subjekto privačiam asmeniui paskirtos sankcijos teisėtumas, įrodymų pakankamumo standartas turi būti panašus kaip baudžiamosiose bylose, t. y. taikant nekaltumo prezumpciją turi būti pašalintos bet kokios abejonės dėl pažeidimo padarymo. Skiriant ekonomines sankcijas turi būti taikomos Lietuvos Respublikos administracinių nusižengimų kodekso bendrosios dalies normos tiek, kiek specialiuose įstatymuose nėra sureglamentuota kitaip. BDAR įtvirtintas atskaitomybės principas negali būti laikomas absoliučiu, t. y. perkeliančiu visą atsakomybę už įrodymų surinkimą tik duomenų valdytojui. Šalia šio principo egzistuoja ir kiti reikalavimai bei principai, taikomi valstybinei institucijai įrodinėjant tiriamą pažeidimą ir pagrindžiant ekonominę sankciją administraciniame procese. Be to, pagal bendrąją proceso teisės doktrinoje žinomą įrodinėjimo naštos paskirstymo taisyklę šalys turi įrodyti aplinkybes, kuriomis grindžia savo reikalavimus bei atsikirtimus. Inspekcija, skirdama ekonominę sankciją pareiškėjui, turėjo pareigą tinkamai ištirti ir objektyviais įrodymais pragristi BDAR nuostatų pažeidimo faktą, o tai šioje byloje nėra padaryta.

14.2.                      Bet kurioje įmonėje gali įvykti žmogiškoji ir (ar) techninė klaida (kaip atsitiko pareiškėjui). Pareiškėjas neginčija fakto, kad 2018 m. liepos 9–10 d. įvyko nedidelio masto asmens duomenų saugumo pažeidimas, tačiau nesutinka su prielaidomis, kad pareiškėjui teikiant MIP paslaugą buvo daromos (ir / ar saugomos) mokėtojų elektroninės bankininkystės paskyrų MEV kopijos ir kad pareiškėjas viešai atskleidė tokius MEV asmens duomenis.

14.3.                      Inspekcija tyrimą atliko neišsamiai, tinkamai neištyrė AB Swedbank teiktų įrodymų apie MEV autentiškumą, nesurinko visų įrodymų apie daugiau nei 9 000 MEV tvarkymą visa apimtimi, nevertino pareiškėjo įrenginių (IT sistemų) ir neatliko jų apžiūros vietoje, neišsamiai įvertino tyrimo metu pareiškėjo teiktus paaiškinimus, nevertino Lietuvos banko atlikto analogiško tyrimo rezultatų ir dėl to priėmė nepagristą Sprendimą. Pirmosios instancijos teismas neištaisė Inspekcijos tyrimo procedūrinių trūkumų, susijusių su objektyviu visų reikšmingų aplinkybių ištyrimu, atsisakė vertinti Lietuvos banko atlikto analogiško tyrimo rezultatus bei pareiškėjo į bylą papildomai pateiktą IT sistemos MIP analizės ataskaitą, todėl priėmė nepagristą ir neteisingą sprendimą.

14.4.                      Pirmosios instancijos teismas nepagrįstai nevertino Lietuvos banko atlikto patikrinimo, kuris buvo įvykdytas itin nuodugniai ir išsamiai, t. y. inspektavimo metu Lietuvos banko komandą sudarė operacinės rizikos bei informacinių technologijų ekspertai, kurie išsamiai išnagrinėjo pareiškėjo dokumentus bei faktiškai atvyko į patalpas, ištyrė ir patikrino pareiškėjo IT sistemas bei taikomas organizacines ir technines saugumo priemones. Atlikęs inspektavimą, Lietuvos bankas 2018 m. gruodžio 17 d. priėmė sprendimą, kuriame konstatavo, kad elektroninių pinigų turėtojų interesai nebuvo pažeisti ir jokios poveikio priemonės (sankcijos) pareiškėjui neskyrė. Inspekcija neišsamiai ir nepakankamai vertino pareiškėjo taikomas organizacinio ir techninio saugumo priemones bei kitus teiktus įrodymus, įskaitant Lietuvos banko inspektavimo rezultatus, patvirtinančius, kad pareiškėjo taikomos techninės saugumo priemonės yra efektyvios, patikimos, identifikuojančios rizikas, nustatančios saugumo priemones šioms rizikoms valdyti. Lietuvos banko atlikto inspektavimo tikslas ir objektas (turinys) buvo iš esmės analogiškas Inspekcijos vykdytam tyrimui, tačiau Lietuvos bankas laiku atliko išsamesnį, visapusiškesnį, objektyvesnį įvykusio incidento tyrimą. Pirmosios instancijos teismo pozicija, jog Lietuvos bankas neatlieka asmens duomenų apsaugos kontrolės, nėra teisinga, kadangi jo funkcijos, susijusios su finansų rinkos priežiūra, yra glaudžiai susijusios su asmens duomenų apsaugos kontrolės užtikrinimu. Lietuvos bankas taip pat atlieka asmens duomenų kontrolės funkcijas, susijusias su mokėjimo paslaugų vartotojų ir (ar) elektroninių pinigų turėtojų (įskaitant duomenų subjektus) interesų priežiūra. Todėl Lietuvos banko inspektavimo rezultatų neįvertinimas šioje byloje yra nepagrįstas bei neatitinka tinkamo, objektyvaus ir visapusiško Inspekcijos tyrimo bei teismo proceso standartų. Be to, pareiškėjas už tą patį pažeidimą yra persekiojamas ir / ar baudžiamas du kartus. Inspekcija tyrimo metu į pateiktą informaciją visiškai neatsižvelgė, jos nevertino ir su Lietuvos banko atstovais dėl papildomos informacijos pateikimo susitiko tik 2019 m. liepos 5 d., t. y. tik po to, kai pareiškėjas kreipėsi į teismą. Inspekcija neatliko savo, kaip priežiūros institucijos, pareigos tinkamai ir objektyviai ištirti bylos aplinkybes, ir dar tyrimo metu susisiekti su Lietuvos banko atstovais, kurie atliko analogišką to paties incidento tyrimą, ir tinkamai įvertinti įvykusio saugumo incidento aplinkybes.

14.5.                      Pareiškėjas savo paaiškinimuose Inspekcijai ne kartą buvo nurodęs, kad jo sistemose MEV nėra daromi ir saugomi, pateikė išsamų MIP sistemos aprašymą bei šios sistemos tinklo topologijos aprašymą ir tai patvirtinančius dokumentus, tačiau Inspekcija į šiuos paaiškinimus neatsižvelgė ir netyrė. Siekdamas įrodyti MEV nedarymo faktą, pareiškėjas papildomai pasitelkė specialistus – UAB „Heksimus“, kad jie įvertintų MIP teikti naudojamą įrangą ir parengtų IT sistemos MIP analizės ataskaitą. UAB „Heksimus“ parengta IT sistemos MIP analizės ataskaita negali būti vertinama kaip parengta ne laiku. UAB „Heksimus“ yra 2006 metais įkurta bendrovė, teikianti kokybiškas paslaugas IT srityje daugeliui žinomų bendrovių bei organizacijų Lietuvos Respublikoje bei turinti ilgametę patirtį, teikiant išvadas teismo procesuose. Atsižvelgiant į pirmosios instancijos teismo nurodytą šios ataskaitos trūkumą, pateikiami tyrimo grupės vadovo (specialisto) kvalifikaciją patvirtinantys dokumentai. Ši informacija patvirtina, kad UAB Heksimus“ ir joje dirbantys specialistai yra laikomi patikimais savo srities ekspertais, turinčiais tinkamą kvalifikaciją IT ekspertizei ir (ar) išvadai parengti ir pateikti.

14.6.                      Pirmosios instancijos teismas ir Inspekcija ne tik neatsižvelgė į pareiškėjo paaiškinimus ir pateiktus dokumentus dėl MIP sistemos veikimo, jų tinkamai netyrė, Inspekcija neatvyko į pareiškėjo patalpas patikrinti MIP sistemos veikimo, tačiau visapusiškai netyrė ir AB Swedbank atstovų teiginių. Be to, Inspekcija nesuteikė pareiškėjui galimybės susipažinti su iš Latvijos duomenų apsaugos inspekcijos raštu, nepateikė teismo sprendime minimo AB SEB bankas“ 2018 m. liepos 27 d. rašto Nr. 01.08-878, informacijos apie susirašinėjimą su Estijos priežiūros institucija, kuri nurodė, jog Inspekcijos vykdomas tyrimas jos nedomina. Nurodytos aplinkybės patvirtina, kad Inspekcija tendencingai vertino įrodymus (Estijos priežiūros institucijos pateiktą atsakymą), atimdama iš pareiškėjo teisę į teisingą teismą / bylos nagrinėjimą, šis palankus pareiškėjui įrodymas iš viso nebuvo ištirtas.

14.7.                      Pirmosios instancijos teismas savo sprendimą grindė tik 19 vnt. iš AB Swedbank“ gautų tariamai pareiškėjo tvarkomų MEV pavyzdžiais ir teoriniais, niekuo nepagristais AB Swedbank teiginiais apie neva 9 000 rastų MEV. Byloje nėra 9 000 AB Swedbank po Nuoroda neva rastų MEV, o 19 vnt. AB Swedbank į bylą pateiktų MEV pavyzdžių kilmė ir autentiškumas nėra patvirtinti jokiais byloje surinktais įrodymais.

14.8.                      Pirmosios instancijos teismo sprendime ne kartą cituota Asmens duomenų valdytojų valstybės registre esanti informacija apie pareiškėją yra nebeaktuali, kadangi po BDAR įsigaliojimo (2018 m. gegužės 25 d.) šis registras buvo panaikintas ir organizacijoms neliko pareigos pranešti Inspekcijai apie tvarkomus asmens duomenis.

14.9.                      Byloje neįrodyta aplinkybė, kad pareiškėjas darė MEV ir / ar neautorizuotai atskleidė MEV asmens duomenis ir ypač – kad tai atliki Inspekcijos ir pirmosios instancijos teismo sprendimuose nurodytu mastu, t. y. daręs ir atskleidęs daugiau nei 9 000 MEV. Byloje nėra įrodyta, kad įvykusio incidento metu pareiškėjas paviešino MEV asmens duomenis, tuo neva pažeisdamas BDAR 5 straipsnio 1 dalies f punktą bei 32 straipsnio 1 dalies b punktą.

14.10.                      Byloje taip pat nėra tinkamai įrodyti pirmosios instancijos teismo sprendime bei Inspekcijos Sprendime nurodyti teisės pažeidimai, už kuriuos pareiškėjui paskirta bauda. Byloje nėra surinkta įrodymų apie pareiškėjo kaltę (tyčią ar aplaidumą), apie duomenų subjektų patirtą žalą, t. y. nėra nė vienos būtinosios sąlygos administracinei atsakomybei kilti ir ją taikyti. Pareiškėjas neginčija fakto, kad 2018 m. liepos 9–10 d. įvyko nedidelio masto asmens duomenų saugumo pažeidimas, tačiau už tokį nežymų pažeidimą galėtų (turėtų) būti paskirta švelnesnė poveikio priemonė nei bauda, (pvz., įspėjimas ar nurodymas ištaisyti pažeidimus). Paskirta bauda laikytina neproporcinga, atsižvelgiant į byloje surinktą MEV skaičių, jų turinį (asmens duomenis) ir šių duomenų subjektų galbūt atskleistų asmens duomenų mastą. Bauda kaip poveikio priemonė duomenų valdytojams skiriama, kai dėl padaryto pažeidimo kyla pavojus duomenų subjektų teisėms ir laisvėms, pvz., pasinaudojus prieinamais duomenimis galima pavogti asmens tapatybę ar kai dėl padaryto pažeidimo kyla pavojus itin didelio duomenų subjektų rato teisėms ir laisvėms. Atsižvelgiant į Europos Sąjungos praktiką, baudų skyrimo atvejais nuo pažeidimo nukentėjusių subjektų kiekis buvo šimtai tūkstančių ar net milijonai. Šioje byloje aptariamu atveju duomenų subjektų teisėms ir laisvėms pavojus nekilo, nes saugumo pažeidimo metu buvo atskleisti tik duomenų subjektų elektroninio pašto adresai, t. y. nejautrūs asmens duomenys, nekilo pavojus didelio duomenų subjektų rato teisėms ir laisvėms. Netgi jei būtų pripažinta kaip įrodyta aplinkybė dėl 19 MEV darymo ir / ar atskleidimo, toks pažeidimo mastas nėra pakankamas, kad pareiškėjui būtų paskirta bauda už BDAR pažeidimus.

14.11.                      Pirmosios instancijos teismas ir Inspekcija nesilaikė bendrojo baudų skyrimo standarto – skiriamos baudos dydžio neindividualizavo už kiekvieną pažeidimą atskirai. Inspekcija, skirdama baudą ir nustatydama jos dydį, neatsižvelgė į visus BDAR 83 straipsnio 2 dalyje nurodytus kriterijus, išskyrė tik keletą iš jų, nepaaiškindama motyvų bei nepaisydama BDAR nustatytų reikalavimų. Inspekcija išsamiai neištyrė pažeidimų pobūdžio, sunkumo, trukmės, neatsižvelgė į atitinkamo duomenų tvarkymo pobūdį, aprėptį ar tikslą, į nukentėjusių duomenų subjektų skaičių ir jų patirtos žalos dydį. Nei Inspekcija, nei pirmosios instancijos teismas neatsižvelgė į tai, kad pareiškėjas iki 2018 m. liepos nebuvo padaręs tokių pačių pažeidimų. Inspekcija Sprendime nevertino kiekvieno pažeidimo atskirai, o tik nurodė, kad visiems pareiškėjo neva padarytiems pažeidimams yra priskiriamos BDAR 83 straipsnio 2 dalies a, b, c, g ir h punktuose nurodytos sunkinančios aplinkybės, tačiau tokios sunkinančios aplinkybės net nebuvo įrodytos.

14.12.                      Tuo atveju, jei Inspekcijos Sprendimas būtų laikomas teisėtu, byloje turėtų būti įvertintos pareiškėjo atsakomybę švelninančios aplinkybės: (i) įvykusio duomenų saugumo pažeidimo metu pareiškėjas nustatė išorinės prieigos galimybę tik prie 58 duomenų subjektų elektroninio pašto adresų, t. y. nejautrių asmens duomenų; (ii) mokėjimų žurnalų duomenys galėjo būti atskleisti tik aptikus ir paspaudus specialią Nuorodą, kuri yra viešai nepublikuojama ir galėjo būti aptikta tik itin siauro ir itin specialias IT žinias turinčių asmenų rato; (iii) pareiškėjas skubiai atstatė prarastas saugumo pakopas, sumažindamas duomenų saugumo pažeidimo mastą iki minimalaus ir užkirsdamas kelią bet kokiai tolesnei neteisėtai prieigai prie šių duomenų ir bet kokioms galimoms tolesnėms duomenų saugumo pažeidimo pasekmėms; (iv) pareiškėjas nuolat intensyviai dirba įgyvendindamas ir laikydamasis BDAR reikalavimų.

15.       Atsakovas Inspekcija atsiliepime į apeliacinį skundą palaiko pirmosios instancijos teismui teiktame atsiliepime į pareiškėjo skundą išdėstytą poziciją, mano, kad pirmosios instancijos teismas priėmė teisėtą ir pagrįstą sprendimą, todėl apeliacinį skundą prašo atmesti.

 

Išplėstinė teisėjų kolegija

 

k o n s t a t u o j a:

 

IV.

 

16.       Ginčas byloje kilo dėl Valstybinės duomenų apsaugos inspekcijos 2019 m. gegužės 14 d. sprendimo Nr. 3R-397(2.14) „Dėl administracinės baudos skyrimo UAB „MisterTango“ (toliau – ir Sprendimas) teisėtumo ir pagrįstumo. Sprendimu pareiškėjui skirta 61 500 Eur bauda už BDAR 5 straipsnio 1 dalies a, c, e ir f punktų, 32 ir 33 straipsnių pažeidimus.

17.       Pirmosios instancijos teismas pareiškėjo skundą atmetė. Nesutikdamas su tuo, pareiškėjas pateikė apeliacinį skundą.

18.       Pagal Lietuvos Respublikos administracinių bylų teisenos įstatymo (toliau – ir ABTĮ) 140 straipsnio 1 dalį teismas, apeliacine tvarka nagrinėdamas bylą, patikrina pirmosios instancijos teismo sprendimo pagrįstumą ir teisėtumą, neperžengdamas apeliacinio skundo ribų. Nagrinėjamoje byloje nenustatytos aplinkybės, dėl kurių turėtų būti peržengtos pareiškėjo apeliacinio skundo ribos, bei nenustatyti sprendimo negaliojimo pagrindai, nurodyti ABTĮ 146 straipsnio 2 dalyje (ABTĮ 140 str. 2 d.), todėl išplėstinė teisėjų kolegija šią bylą apeliacine tvarka nagrinėja ir patikrina pirmosios instancijos teismo sprendimo pagrįstumą ir teisėtumą, neperžengdama pareiškėjo apeliacinio skundo ribų (ABTĮ 140 str. 1 d.).

 

Dėl žodinio bylos nagrinėjimo

 

19.       Pareiškėjas prašė apeliacinį skundą nagrinėti žodinio proceso tvarka. Šį savo prašymą pareiškėjas grindė aplinkybėmis, kad nagrinėjama byla yra sudėtinga tiek faktinių aplinkybių (byloje yra analizuojamos itin specifinės techninės (IT) veiklos aplinkybės), tiek teisės taikymo bei aiškinimo prasme, joje nagrinėjami pažeidimai bei pareiškėjui taikytina atsakomybė pagal BDAR, kuris įsigaliojo ir yra taikomas nuo 2018 m. gegužės 25 d., teismų praktika BDAR aiškinimo ir taikymo klausimais Lietuvoje dar nėra susiformavusi, todėl Lietuvos vyriausiojo administracinio teismo nutartis šioje byloje suformuos precedentą, reikšmingą BDAR nuostatų taikymui ir aiškinimui ateityje. Pareiškėjo manymu, žodinis bylos nagrinėjimas padėtų visapusiškiau ir išsamiau išnagrinėti šią bylą.

20.       ABTĮ 141 straipsnio 1 dalyje įtvirtinta bendra taisyklė, jog apeliacinis skundas nagrinėjamas rašytinio proceso tvarka, tai yra nekviečiant į nagrinėjimą teisme proceso dalyvių ir jiems nedalyvaujant, išskyrus atvejus, kai teismas pripažįsta, kad žodinis bylos nagrinėjimas yra būtinas. Proceso šalys apeliaciniame skunde, atsiliepime į apeliacinį skundą arba kitame procesiniame dokumente gali pateikti motyvuotą prašymą nagrinėti bylą žodinio proceso tvarka, tačiau atsižvelgti į šį prašymą teismui neprivaloma.

21.       Įvertinusi bylos medžiagą, išplėstinė teisėjų kolegija nenustatė išskirtinių aplinkybių, kurioms esant nagrinėjant bylą rašytinio proceso tvarka nebūtų pasiekti ABTĮ 80 straipsnio 1 dalyje nustatyti bylos išnagrinėjimo visapusiškumo ir objektyvumo tikslai. Pažymėtina, kad byla pirmosios instancijos teisme buvo nagrinėjama žodinio proceso tvarka, t. y. vyko du teismo posėdžiai, bylos šalims buvo sudaryta galimybė teismo posėdžiuose žodžiu išdėstyti savo poziciją dėl bylos faktinių aplinkybių ir taikytinos teisės. Be to, bylos šalių pozicija yra aiškiai išdėstyta raštu į bylą pateiktuose procesiniuose dokumentuose. Byloje nėra duomenų, jog proceso šalims būtų sudarytos kliūtys teikti rašytinius paaiškinimus administracinėje byloje nagrinėjamais klausimais, todėl išplėstinė teisėjų kolegija nenustatė būtinumo administracinę bylą apeliacinės instancijos teisme nagrinėti žodinio proceso tvarka.

 

Dėl įrodinėjimo

 

22.       BDAR 5 straipsnio 2 dalyje numatyta, kad duomenų valdytojas yra atsakingas už tai, kad būtų laikomasi 1 dalies, ir turi sugebėti įrodyti, kad jos laikomasi (atskaitomybės principas). Duomenų valdytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuris vienas ar drauge su kitais nustato duomenų tvarkymo tikslus ir priemones; kai tokio duomenų tvarkymo tikslai ir priemonės nustatyti Sąjungos arba valstybės narės teisės, duomenų valdytojas arba konkretūs jo skyrimo kriterijai gali būti nustatyti Sąjungos arba valstybės narės teise (BDAR 4 str. 7 p.). Byloje nagrinėjamu atveju duomenų valdytojas yra pareiškėjas.

23.       BDAR 5 straipsnio 2 dalyje numatytas atskaitomybės principas susideda iš dviejų dalių: duomenų valdytojo atsakomybės užtikrinti savo veiklos atitiktį BDAR reikalavimams ir duomenų valdytojo gebėjimo įrodyti tą atitiktį priežiūros institucijai.

24.       Lietuvos vyriausiasis administracinis teismas savo praktikoje pažymi, kad duomenų valdytojas yra atsakingas už BDAR 5 straipsnio 1 dalyje įtvirtintų su asmens duomenų tvarkymu susijusių principų laikymąsi ir jis turi sugebėti tai įrodyti. Duomenų valdytojas privalo įrodyti, kad asmens duomenys galėjo būti tvarkomi ir kad dėl to nebuvo pažeisti BDAR 5 straipsnio 1 dalyje įtvirtinti su asmens duomenų tvarkymu susiję principai (t. y. teisėtumo, sąžiningumo ir skaidrumo principas; tikslo apribojimo principas; duomenų kiekio mažinimo principas; tikslumo principas; saugojimo trukmės apribojimo principas; vientisumo ir konfidencialumo principas). Tai reiškia, kad duomenų valdytojas turi pareigą pateikti pakankamai tai pagrindžiančių įrodymų (2021 m. kovo 31 d. nutartis administracinėje byloje Nr. eA-2229-968/2021; 2020 m. liepos 8 d. sprendimas administracinėje byloje Nr. eA-2837-968/2020).

25.       Papildomai pastebėtina, kad BDAR 24 straipsnyje yra įtvirtintos duomenų valdytojo atsakomybę reglamentuojančios nuostatos: atsižvelgdamas į duomenų tvarkymo pobūdį, aprėptį, kontekstą bei tikslus, taip pat į įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas įgyvendina tinkamas technines ir organizacines priemones, kad užtikrintų ir galėtų įrodyti, kad duomenys tvarkomi laikantis šio reglamento. Tos priemonės prireikus peržiūrimos ir atnaujinamos (1 d.); kai tai proporcinga duomenų tvarkymo veiklos atžvilgiu, 1 dalyje nurodytos priemonės apima duomenų valdytojo įgyvendinamą atitinkamą duomenų apsaugos politiką (2 d.). BDAR 31 straipsnyje reglamentuojamas bendradarbiavimas su priežiūros institucija: duomenų valdytojas ir duomenų tvarkytojas, taip pat, jei taikoma, jų atstovai, gavę prašymą bendradarbiauja su priežiūros institucija jai vykdant savo užduotis.

26.       Pareiškėjas teigia, kad pirmosios instancijos teismas nepagrįstai vadovavosi BDAR 21 straipsnio 1 dalimi bei perkėlė įrodinėjimo naštą duomenų valdytojui. Išplėstinė teisėjų kolegija vertina, kad pirmosios instancijos teismas per klaidą nurodė BDAR 21 straipsnio 1 dalį, kuri reglamentuoja duomenų subjekto teisę nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi, nors iš tikrųjų turėjo būti nurodyta BDAR 5 straipsnio 2 dalis, ką rodo išdėstyti pirmosios instancijos teismo motyvai. Pripažintina, jog pirmosios instancijos teismas pagrįstai laikėsi pozicijos, kad būtent duomenų valdytojas privalo įrodyti, jog asmens duomenys tvarkomi laikantis BDAR reikalavimų. Kadangi teisinis reguliavimas, konkrečiai – BDAR 5 straipsnio 2 dalyje įtvirtintas atskaitomybės principas suponuoja, kad duomenų valdytojas turi pareigą pateikti tinkamą duomenų tvarkymą pagrindžiančius įrodymus, t. y. šį klausimą išsamiai reglamentuoja BDAR, pareiškėjo nurodoma Lietuvos vyriausiojo administracinio teismo praktika, suformuota nagrinėjant administracinių teisės pažeidimų bylas, ir nurodoma teisės doktrina, kurioje aptariami klausimai yra susiję ne su duomenų apsauga ar BDAR reikalavimais, nesudaro pagrindo keisti vertinimo dėl duomenų valdytojo pareigos sugebėti įrodyti, kad asmens duomenys galėjo būti tvarkomi ir kad dėl to nebuvo pažeisti BDAR 5 straipsnio 1 dalyje įtvirtinti su asmens duomenų tvarkymu susiję principai.

27.       Tačiau reikia pažymėti, kad pareiga priežiūros institucijai atlikti išsamų tyrimą ir priimti motyvuotą administracinį aktą, kaip teigia ir pareiškėjas, išlieka. Lietuvos vyriausiojo administracinio teismo praktikoje nurodoma, kad priežiūros institucija (Inspekcija) privalo įvertinti ir nustatyti, ar duomenų valdytojo pateiktų paaiškinimų ir įrodymų pakanka konstatuoti, kad duomenys buvo tvarkomi su tvarkymo tikslu suderinamu būdu ir kad tai darant buvo laikomasi teisėtumo, sąžiningumo, skaidrumo, tikslo apribojimo, duomenų kiekio mažinimo, tikslumo principų, o kartu nepažeidžiamos duomenų subjekto teisių. Inspekcija privalo, be kita ko, atlikti faktinių aplinkybių tyrimą, teisinį nustatytų faktų vertinimą (kvalifikavimą), nustatyti ne pavienes faktines aplinkybes, o juridinių faktų visetą, būtiną ir pakankamą teisės normoms taikyti, taip pat ištirti ir įvertinti nurodytas aplinkybes ir pateiktus įrodymus (2020 m. gruodžio 9 d. nutartis administracinėje byloje Nr. eA-4388-968/2020).

 

Dėl MEV darymo 

 

28.       Inspekcija Sprendime konstatavo, kad pareiškėjo mokėjimo inicijavimo paslaugų (MIP) sistema mokėjimo operacijų atlikimo metu daro mokėjimo sesijos momentinius ekrano vaizdus (MEV), o elektroninės bankininkystės naudotojas apie tai neinformuojamas; pareiškėjas mokėtojo banko aplinkoje matomus asmens duomenis tvarko (prieina, renka, saugo) neskaidriai, didesne apimtimi ir ilgiau nei tai yra būtina duomenų tvarkymo tikslui pasiekti, pažeisdamas BDAR 5 straipsnio 1 dalies a, c ir e punktus.

29.       BDAR 5 straipsnio 1 dalyje numatyta kad asmens duomenys turi būti duomenų subjekto atžvilgiu tvarkomi teisėtu, sąžiningu ir skaidriu būdu (teisėtumo, sąžiningumo ir skaidrumo principas) (a p.); adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi (duomenų kiekio mažinimo principas) (c p.); laikomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi; asmens duomenis galima saugoti ilgesnius laikotarpius, jeigu asmens duomenys bus tvarkomi tik archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais pagal 89 straipsnio 1 dalį, įgyvendinus atitinkamas technines ir organizacines priemones, kurių reikalaujama šiuo reglamentu siekiant apsaugoti duomenų subjekto teises ir laisves (saugojimo trukmės apribojimo principas) (e p.).

30.       Pareiškėjas teigia, kad 2018 m. liepos 9–10 d. įvyko nedidelio masto asmens duomenų saugumo pažeidimas, tačiau nesutinka su prielaidomis, kad pareiškėjui teikiant MIP paslaugą buvo daromos (ir / ar saugomos) mokėtojų elektroninės bankininkystės paskyrų MEV kopijos ir kad pareiškėjas viešai atskleidė tokius MEV asmens duomenis. Pareiškėjo manymu, Inspekcija nepateikė įrodymų, jog Bendrovė daro MEV ir apie tai neinformuoja elektroninės bankininkystės naudotojų.

31.       Pirmosios instancijos teismas konstatavo, kad Inspekcijos surinkta medžiaga įrodo, kad pareiškėjas netinkamai tvarkė asmens duomenis.

32.       Išplėstinė teisėjų kolegija pažymi, kad išvadą dėl to, jog pareiškėjui teikiant MIP paslaugą buvo daromos ir saugomos mokėtojų elektroninės bankininkystės paskyrų MEV kopijos, Inspekcija padarė įvertinusi AB „Swedbank“ 2018 m. liepos 18 d. raštu Nr. 5R118-16789 ir 2018 m. spalio 23 d. raštu Nr. SR118-24966 pateiktus duomenis, taip pat pareiškėjo paaiškinimus, inter alia 2018 m. rugpjūčio 20 d. raštu pateiktą informaciją, kad mokėjimo atlikimo metu programa automatiškai fiksuoja darbalaukio duomenis, kurie automatiškai išsitrina po 10 minučių, kai yra užbaigiamas inicijuotas mokėjimas; toks automatinis darbalaukio duomenų fiksavimas yra atliekamas programiškai siekiant tinkamai įvykdyti mokėjimą (I t., b. l. 21–27). Apeliaciniame skunde pareiškėjas nurodė, kad prisijungus prie duomenų subjekto elektroninės bankininkystės, duomenų subjekto el. bankininkystės darbalaukyje atvaizduoti duomenys pareiškėjo MIP sistemai yra matomi tol, kol yra užbaigiama mokėjimo sesija, t. y. iki 10 minučių. Išplėstinės teisėjų kolegijos manymu, šiuo atveju yra pagrindas sutikti su Inspekcijos vertinimu, kad MEV asmens duomenų ištrynimas nėra įmanomas, jei MEV nėra išsaugomi, o žodžio „fiksuoti“ nėra pagrindo vertinti tik kaip kažko matymą. Pagal Dabartinės lietuvių kalbos žodyną, žodis „fiksuoti“ aiškinamas kaip užrašyti, pažymėti (1); galutinai skirti, nustatyti (2); padaryti nejudamą, įtvirtinti (3). 

33.       Vadovaujantis BDAR 5 straipsnio 2 dalimi, pareiškėjas šiuo atveju turėjo pateikti įrodymus, kurie patvirtintų su asmens duomenų tvarkymu susijusių principų laikymąsi. Tokie įrodymai galėjo būti 2018 m. liepos 910 d. programinio kodo dalis ar išrašai iš IT sistemų žurnalų, kurie patvirtintų, jog duomenų subjekto elektroninės bankininkystės darbalaukyje atvaizduoti duomenys MIP sistemoje yra tik matomi, tačiau jų atvaizdas nėra daromas ir šie duomenys nėra išsaugomi. Tačiau pareiškėjas tokių duomenų nepateikė, dėl to nėra pagrindo sutikti su jo argumentais. Iš bylos duomenų nustatyta, kad Inspekcija į bylą pateikė MEV pavyzdžius, kurie patvirtina, kad pareiškėjui teikiant MIP paslaugą buvo daromos ir saugomos mokėtojų elektroninės bankininkystės paskyrų MEV kopijos, taip pat atskleidžia, kokie duomenys buvo fiksuojami, kiek laiko MEV buvo saugomi (kai kurie duomenys buvo saugomi 216 dienų vietoje pareiškėjo nurodomų 10 minučių) ir tai, jog MEV buvo daromi jungiantis įvairių bankų klientams. Be to, iš UAB Heksimus atliktos ataskaitos matyti, jog „analizuotoje sistemos versijoje funkcionalumas, skirtas daryti momentinius ekrano vaizdus (MEV) ir įvardintas kaip „take Screenshot()“ egzistuoja“, kas patvirtinta, jog, vertinant bendrai, funkciją daryti MEV pareiškėjo sistema turėjo (t. IV, b. l. 21).

34.       Taigi, nors pareiškėjo manymu, byloje esantys duomenys turėtų būti vertinami kitaip, išplėstinė teisėjų kolegija sutinka su pirmosios instancijos teismo išvadomis, kad Inspekcija, besivadovaudama byloje surinktais duomenimis, pagrįstai pripažino, kad pareiškėjui teikiant MIP paslaugą buvo daromos ir saugomos mokėtojų elektroninės bankininkystės paskyrų MEV kopijos.

35.       Pagal BDAR 4 straipsnio 2 dalį, duomenų tvarkymas yra bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip antai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas. Pareiškėjo MIP sistemoje daromi MEV patenka į duomenų tvarkymo apibrėžimą.

36.       Europos Sąjungos 29 straipsnio darbo grupės Skaidrumo užtikrinimo pagal Reglamentą (ES) 2016/679 gairėse (patvirtintos 2017 m. lapkričio 29 d.) (Darbo grupė duomenų apsaugai tvarkant asmens duomenis įkurta 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyvos dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo 95/46/EB 29 straipsnio pagrindu) nurodyta, kad duomenų tvarkymo skaidrumas yra susijęs su sąžiningumo ir atskaitomybės principais. Vienas iš pagrindinių šiose nuostatose aprašyto skaidrumo principo aspektų yra tas, kad duomenų subjektas turėtų galėti iš anksto nustatyti, kokia yra duomenų tvarkymo aprėptis ir pasekmės, ir kad vėliau jam neturėtų būti netikėta, kaip naudojami jo asmens duomenys. Tai taip pat svarbus BDAR 5 straipsnio 1 dalyje nustatyto sąžiningumo principo aspektas, susijęs su 39 konstatuojamąja dalimi, kurioje teigiama, kad „[f]iziniai asmenys turėtų būti informuoti apie su asmens duomenų tvarkymu susijusius pavojus, taisykles, apsaugos priemones bei teises“.

37.       Inspekcija nustatė, kad pareiškėjas buvo informavęs klientus apie tokių asmens duomenų kaip vardas, pavardė, elektroninio pašto adresas, mokėjimo data ir suma, sąskaitos numerio kelis paskutinius skaičius, mokėjimo paskirtis, tvarkymą, tačiau apie iš MEV matomų asmens duomenų tvarkymą (priklausomai nuo mokėtojo naudojamo banko – mokėtojo vardas, pavardė, turimų banko (įskaitant mokėjimo kortelių) sąskaitų numeriai, jų valiuta, likučiai, rezervuotos sumos; paskutinių atliktų operacijų informacija (data, mokėtojo arba gavėjo pavadinimas, mokėjimo paskirtis, suma), neperžiūrėtų elektroninių sąskaitų pateikimo datos, siuntėjų pavadinimai bei sumos, neperskaitytų pranešimų pateikimo datos, temos ir dalis pranešimo teksto, turimų paskolų paskirtys, pobūdžiai, sumos, pensijų fondų pavadinimai, sukaupti vienetai, jų vertė, sukauptos sumos, paskutinio prisijungimo datos, turimų indėlių pobūdis (terminuotas, taupomasis ir pan.), valiutos, sumos, palūkanos, terminai, kredito tipai (pvz., būsto), mokėtini likučiai, kitų mokėjimų sumos bei datos, išduotų mokėjimo kortelių numeriai ir jose esančios sumos), pareiškėjo klientai nebuvo informuoti.

38.       BDAR 14 straipsnio 1 dalyje numatyta, kad kai asmens duomenys yra gauti ne iš duomenų subjekto, duomenų valdytojas pateikia duomenų subjektui šią informaciją, be kita ko, duomenų tvarkymo tikslus, kuriais ketinama tvarkyti asmens duomenis, taip pat duomenų tvarkymo teisinį pagrindą (a p.); atitinkamų asmens duomenų kategorijas (d p.); pagal to paties straipsnio 2 dalį – asmens duomenų saugojimo laikotarpį arba, jei tai neįmanoma, kriterijus, taikomus tam laikotarpiui nustatyti (a p.).

39.       Nustačius, jog pareiškėjas, teikdamas MIP paslaugą darė MEV, pirmosios instancijos teismas ir Inspekcija pagrįstai įvertino, kad pareiškėjas tvarkė daugiau duomenų negu deklaravo, taip pat asmenų neinformavo apie tokių duomenų tvarkymą. Tai, jog pareiškėjas vėliau pakeitė kai kuriais privatumo politikos nuostatas, padaryto pažeidimo nepaneigia.

40.       Išplėstinės teisėjų kolegijos vertinimu, pirmosios instancijos teismas pagrįstai konstatavo, kad pareiškėjas nepateikė įrodymų (BDAR 5 str. 2 d.), kurie patvirtintų teiginius, kad MEV asmens duomenų rinkimas yra būtinas mokėjimo paslaugos įvykdymui, taip pat nepagrindė, kodėl atliekant mokėjimo paslaugą nėra renkami tik tie asmens duomenys, be kurių nėra įmanomas mokėjimo atlikimas, ir pagrįstai pripažino, kad Inspekcija pagrįstai konstatavo, jog pareiškėjas mokėtojo banko aplinkoje matomus asmens duomenis tvarko (prieina, renka, saugo) neskaidriai, didesne apimtimi ir ilgiau nei tai yra būtina duomenų tvarkymo tikslui pasiekti, o didesne apimti nei tai yra būtina duomenų tvarkymo tikslui pasiekti tvarkomi asmens duomenys tvarkomi neteisėtai. Taigi tiek Inspekcija, tiek pirmosios instancijos teismas pagrįstai įvertino, kad pareiškėjas pažeidė BDAR 5 straipsnio 1 dalies a, c ir e punktus. 

 

Dėl MEV asmens duomenų paviešinimo

 

41.       Inspekcijos Sprendime konstatuota, kad pareiškėjas, paviešindamas MEV asmens duomenis, pažeidė BDAR 5 straipsnio 1 dalies f punktą, kuriame numatyta, kad asmens duomenys turi būti tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas), ir BDAR 32 straipsnio 1 dalies b punktą, kuriame nurodyta, kad atsižvelgdamas į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas bei duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat duomenų tvarkymo keliamus įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas ir duomenų tvarkytojas įgyvendina tinkamas technines ir organizacines priemones, kad būtų užtikrintas pavojų atitinkančio lygio saugumas, įskaitant, inter alia, jei reikia gebėjimą užtikrinti nuolatinį duomenų tvarkymo sistemų ir paslaugų konfidencialumą, vientisumą, prieinamumą ir atsparumą.

42.       Inspekcija tyrimo metu nustatė, kad ne mažiau kaip 2 dienas (2018 m. liepos 9–10 d.) Nuoroda buvo prieinamas tinklalapis su pareiškėjo apdorotų mokėjimų sąrašu, kuriame buvo matomi įvairių bankų įstaigų klientų atlikti mokėjimai per pareiškėjo MIP sistemą su tų klientų asmens duomenimis, taip pat daugiau nei 9 000 MEV su 12 skirtingų bankų, esančių skirtingose valstybėse, klientų mokėjimo sesijų detalių puslapiais. Inspekcijos Sprendime išsamiai atskleista, kaip ir kokie duomenys galėjo būti matomi iš Nuorodos, tai pagrindžiantys įrodymai taip pat yra pateikti byloje. Inspekcijos Sprendime pažymėta, kad prie Nuorodos ir MEV asmens duomenų prieigą turėjo visų bankų, kuriuose naudojantis UAB „MisterTango“ MIP buvo atliekami mokėjimai, darbuotojai, kas reiškia, kad, pavyzdžiui, vieno banko darbuotojas galėjo matyti kitų bankų klientų asmens duomenis, kurie įprastomis aplinkybėmis negalėtų būti prieinami.

43.       Pareiškėjas paaiškino, kad, ištyrusi incidentą, Bendrovė operatyviai (2018 m. liepos 10–11 d.) atstatė saugumo pakopas, atliko jų testą ir įsitikino tinkamu veikimu; incidento metu galimai buvo atskleisti tik 58 duomenų subjektų asmens duomenys, kurie nėra jautrūs asmens duomenys (t. y. korporatyviniai el. pašto adresai), nurodyti duomenys nebuvo atskleisti plačiam asmenų, neturinčių teisės prieiti prie šių duomenų, ratui, o tik specialius analizės įrankius turintiems subjektams, t. y. bankams, todėl asmens duomenų saugumo pažeidimas nesukėlė jokio pavojaus duomenų subjektų teisėms ir laisvėms.

44.       Tačiau iš AB „Swedbank“ pateiktų duomenų nustatyta, kad klientų duomenys galėjo būti matomi prie nurodyto adreso pridėjus kokios nors mokėjimo operacijos identifikatoriaus numerį, matomą mokėjimo sąrašo stulpelyje „details“. Atidarius nuorodą buvo patenkama į sesijos detalių puslapį, kuriame buvo pateikiami MEV įvairiomis prisijungimo sesijos stadijomis (pvz., „Start“, „logged in“, „account_info_taken“ ir pan.). Po kiekvienu iš vaizdų buvo nuoroda „view source“, kuri įgalino parsisiųsti pilną MEV vaizduojamo puslapio kodą HTML formatu, t. y. buvo prieinamas MEV sąrašas su nuorodomis į vaizduojamo HTML kodą (view source), MEV padarymo data ir sesijos stadija (t. III, b. l. 45–58). Taigi byloje esantys duomenys paneigia pareiškėjo teiginius, kad incidento metu buvo atskleisti tik 58 duomenų subjektų el. pašto adresai.

45.       Pareiškėjo 2018 m. liepos 20 d. atsakyme AB „Swedbank“ į raštą dėl pastebėto incidento (I t., b. l. 36) nurodyta, kad Bendrovė nedelsiant ėmėsi visų reikalingų veiksmų – techninių bei organizacinių priemonių tam, kad būtų užtikrintas asmens duomenų saugumas, finansų įstaigų klientai nepatirtų jokios žalos, neteisėti veiksmai būtų nutraukti, o juos atlikę asmenys nustatyti; šiuo metu Bendrovė rengia kreipimąsi į kompetentingas institucijas, prašydama nustatyti ir nubausti neteisėtą veiką padariusį asmenį, todėl prašė AB „Swedbank“ nurodyti faktines aplinkybes.

46.       Pareiškėjas taip pat pateikė Inspekcijai 2018 m. liepos 16 d. sukurtą IT sistemos stebėjimo ir valdymo sistemos įrašą apie tai, kad 2018 m. liepos 10 d. Bilimor“ stebėjimo sistema yra pasiekiama iš išorės (I t., b. l. 38).

47.       Išplėstinė teisėjų kolegija konstatuoja, kad pirmosios instancijos teismas, įvertinęs ir kitus Inspekcijos užfiksuotus pažeidimus (pareiškėjo IT infrastruktūros (techninės ir programinės) valdymą, diegimą ir priežiūrą vykdė vienas darbuotojas, kas neužtikrino asmens duomenų apsaugos politikos įgyvendinimo; pareiškėjas šios aplinkybės apeliaciniame skunde neginčijo), pagrįstai sprendė, kad Inspekcija tinkamai įvertino, jog pareiškėjas neužtikrino, kad asmens duomenys būtų tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas pavojų atitinkančio lygio saugumas, įskaitant apsaugą nuo neteisėto tvarkymo, atskleidimo, ir tuo pažeidė BDAR 5 straipsnio 1 dalies f punktą ir 32 straipsnio 1 dalies b punktą.

48.       Išplėstinės teisėjų kolegijos vertinimu, Inspekcija pagrįstai nurodė, kad pareiškėjas nepateikė duomenų, iš kurių būtų galima nustatyti, kokie ir iš kokių IP prisijungimų buvo jungiamasi prie Nuorodos, vedančios į mokėjimų sąrašą 2018 m. liepos 9-10 d. Nors pareiškėjas teigė, kad vidinio tyrimo metu nebuvo pastebėta jokių neleistinų prisijungimų, be pareiškėjo teiginių, nebuvo pateikti jokie įrodymai (duomenys), iš kurių būtų galima spręsti, ar pareiškėjas iš tikrųjų atliko vidinį tyrimą ir kaip jis jį atliko. Taigi šiuo aspektu BDAR 5 straipsnio 2 dalies reikalavimai liko neišpildyti.

49.       Be to, kaip teisingai pastebėjo Inspekcija, pareiškėjo pateiktas 2018 m. liepos 10 d. mokėjimo žurnalo išrašas (I t., b. l. 409) patvirtina, kad iš jo yra matoma daugiau duomenų, nei asmens elektroninio pašto adresas ar mokėjimo suma. Iš šio išrašo taip pat matoma informacija apie mokėtojo banką, prisijungimo būdą, dalis naudotojo identifikavimo numerio, užsakymo numeris, atlikta ar vykdoma operacija, jos sėkmingumas, kas taip pat patvirtina, jog 2018 m. liepos 9-10 d. pareiškėjo MIP sistemoje buvo suteikta neautorizuota prieiga prie įvairių bankų įstaigų klientų duomenų.

 

Dėl pranešimo apie asmens duomenų saugumo pažeidimą

 

50.       Inspekcijos Sprendime nurodyta, kad pareiškėjas, nepranešdamas Inspekcijai apie 2018 m. liepos 9–10 d. įvykusį asmens duomenų saugumo pažeidimą, pažeidė BDAR 33 straipsnį.

51.       Pareiškėjas apeliaciniame skunde nesutinka, kad, remiantis BDAR 33 straipsniu, jis privalėjo pranešti apie 2018 m. liepos 910 d. įvykusį duomenų saugumo pažeidimą, ir mano, kad saugumo pažeidimo metu prieiga buvo suteikta tik prie nejautrių duomenų ir saugumo pažeidimas nesukėlė pavojaus duomenų subjektų teisėms ir laisvėms.

52.       BDAR 33 straipsnio 1 dalyje nustatyta, kad asmens duomenų saugumo pažeidimo atveju duomenų valdytojas nepagrįstai nedelsdamas ir, jei įmanoma, praėjus ne daugiau kaip 72 valandoms nuo tada, kai jis sužino apie asmens duomenų saugumo pažeidimą, apie tai praneša priežiūros institucijai, kuri yra kompetentinga pagal 55 straipsnį, nebent asmens duomenų saugumo pažeidimas neturėtų kelti pavojaus fizinių asmenų teisėms ir laisvėms. Jeigu priežiūros institucijai apie asmens duomenų saugumo pažeidimą nepranešama per 72 valandas, prie pranešimo pridedamos vėlavimo priežastys.

53.       Pagal BDAR 4 straipsnio 12 dalį, asmens duomenų saugumo pažeidimas – saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami persiųsti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų be leidimo gaunama prieiga. Išplėstinė teisėjų kolegija sutinka su pirmosios instancijos teismo ir Inspekcijos vertinimu, kad atvejis, kai 2018 m. liepos 910 d. neautorizuotiems asmenims buvo prieinama Nuoroda ir jos pagalba buvo prieinama prie MEV asmens duomenų, atitinka duomenų saugumo pažeidimo požymius (BDAR 4 str. 12 d.).

54.       BDAR 87 konstatuojamojoje dalyje įtvirtinta, kad turėtų būti įsitikinta, ar įgyvendintos visos tinkamos technologinės apsaugos ir organizacinės priemonės, kad nedelsiant būtų nustatyta, ar buvo padarytas asmens duomenų saugumo pažeidimas, ir skubiai apie tai būtų informuoti priežiūros institucija ir duomenų subjektas. Turėtų būti nustatytas faktas, kad pranešimas buvo pateiktas nepagrįstai nedelsiant, atsižvelgiant visų pirma į asmens duomenų saugumo pažeidimo pobūdį ir sunkumą, jo pasekmes ir neigiamus padarinius duomenų subjektui. Dėl tokio pranešimo priežiūros institucija gali imtis intervencinių veiksmų vykdydama šiame reglamente nustatytas užduotis ir įgaliojimus.

55.       Europos Sąjungos 29 straipsnio duomenų apsaugos darbo grupės Gairėse dėl pranešimo apie asmens duomenų saugumo pažeidimą pagal Reglamentą (ES) 2019/679 (patvirtinta 2017 m. spalio 3 d.) dėl duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo pažymėta, kad tai reiškia asmens duomenų atskleidimą (arba prieigos prie duomenų suteikimą) duomenų gavėjams, kurie neturi leidimo gauti (arba prieiti prie) duomenų arba duomenų tvarkymą bet kokia kita forma, kuria pažeidžiamas BDAR. Tokio pažeidimo pasekmė yra ta, kad duomenų valdytojas negalės užtikrinti atitikties BDAR 5 straipsnyje nustatytiems asmens duomenų tvarkymo principams.

56.       Europos Sąjungos 29 straipsnio duomenų apsaugos darbo grupės Gairėse dėl pranešimo apie asmens duomenų saugumo pažeidimą pagal Reglamentą (ES) 2019/679 pažymėta, kad kai kuriais atvejais tai, jog nepranešta apie pažeidimą, gali reikšti, kad nėra įgyvendinta jokių saugumo priemonių arba kad jos yra netinkamos. BDAR 33 straipsnio 5 dalyje nurodyta, kad duomenų valdytojas dokumentuoja visus asmens duomenų saugumo pažeidimus, įskaitant su asmens duomenų saugumo pažeidimu susijusius faktus, jo poveikį ir taisomuosius veiksmus, kurių buvo imtasi. Remdamasi tais dokumentais, priežiūros institucija turi galėti patikrinti, ar laikomasi šio straipsnio. Šis reikalavimas susijęs su BDAR 5 straipsnio 2 dalyje nustatytu atskaitomybės principu. Pažeidimų, apie kuriuos nereikia pranešti ir apie kuriuos reikia pranešti, registravimo tikslas taip pat yra susijęs su 24 straipsnyje nustatytomis duomenų valdytojo prievolėmis; priežiūros institucija gali pareikalauti leisti susipažinti su tais įrašais. Be to, Europos Sąjungos 29 straipsnio darbo grupė rekomenduoja, kad, be šios informacijos, duomenų valdytojas taip pat dokumentuotų sprendimų, priimtų reaguojant į pažeidimą, pagrindą. Visų pirma, jei apie pažeidimą nepranešama, turėtų būti dokumentuotas tokio sprendimo pagrindimas. Pagrindžiant sprendimą, turėtų būti nurodomos priežastys, kodėl duomenų valdytojas mano, kad dėl pažeidimo neturėtų kilti pavojus asmenų teisėms ir laisvėms. Tinkamai nedokumentavus pažeidimo, priežiūros institucija gali pasinaudoti 58 straipsnyje jai suteiktais įgaliojimais ir (arba) skirti administracinę baudą pagal 83 straipsnį.

57.       Kaip matyti iš pareiškėjo paaiškinimų, jis teigė, kad atliko vidinį tyrimą, neaptiko jokių pažeidimų, taip pat nustatė, kad prie Nuorodos buvo jungtasi tik iš kompiuterių, kurie priklauso pareiškėjui (žr. 2018 m. rugpjūčio 20 d. pareiškėjo paaiškinimą Inspekcijai, I t., b. l. 24).

58.       Tačiau bylos duomenys atskleidžia, jog pareiškėjas nedokumentavo padaryto asmens duomenų saugumo pažeidimo, o pareiškėjo Inspekcijai pateikto IT sistemos stebėjimo ir valdymo sistemos įrašo apie tai, kad „Bilimor“ stebėjimo sistema yra pasiekiama iš išorės (I t., b. l. 38), nėra pagrindo laikyti dokumentu, kuris patvirtina, kad pareiškėjas dokumentavo asmens duomenų saugumo pažeidimą taip, kaip to reikalaujama pagal BDAR 33 straipsnio 5 dalį. Taigi pareiškėjas nepateikė duomenų, iš kurių būtų galima spręsti, jog jis turėjo tvirtą pagrindą manyti, 2018 m. liepos 9-10 d. incidentas ir įvykęs asmens duomenų paviešinimas neturėtų kelti pavojaus fizinių asmenų teisėms ir laisvėms ir, vadovaudamasis tuo, nepranešti apie pažeidimą Inspekcijai.

59.       Byloje esantys duomenys patvirtinta MEV asmens duomenų paviešinimą ir tai, jog MEV esantys duomenys laikytini įvairių bankų klientų asmens duomenimis, kurie taip pat yra ir banko paslaptį sudaranti informacija. Pagal Lietuvos Respublikos bankų įstatymo 55 straipsnio 1 dalį, banko paslaptimi laikoma bankui žinoma informacija apie tai, kad asmuo yra banko klientas ir kokios finansinės paslaugos jam teikiamos, taip pat jo turimų sąskaitų numeriai (1 p.); lėšų likučius kliento turimose sąskaitose, atliktas ar vykdomas mokėjimo operacijas, banko kliento skolinius įsipareigojimus bankui, finansinių paslaugų teikimo klientui aplinkybes, sutarčių, pagal kurias klientui teikiamos finansinės paslaugos, sąlygas (2 p.); banko kliento finansinę būklę ir turtą, veiklą, veiklos planus, skolinius įsipareigojimus kitiems asmenims ar sandorius su kitais asmenimis, kliento komercines (gamybines) ar profesines paslaptis (3 p.).

60.       Europos Sąjungos 29 straipsnio duomenų apsaugos darbo grupės Gairėse dėl pranešimo apie asmens duomenų saugumo pažeidimą pagal Reglamentą (ES) 2019/679 pažymėta, kad BDAR 33 straipsnio 1 dalyje aiškiai nurodyta, kad priežiūros institucijai nebūtina pranešti apie pažeidimus, kurie „neturėtų kelti pavojaus fizinių asmenų teisėms ir laisvėms“. Tokio pažeidimo pavyzdys galėtų būti atvejis, kai asmens duomenys jau yra viešai prieinami ir jų atskleidimas neturėtų kelti pavojaus fiziniam asmeniui. Tose pačiose gairėse nurodoma, kad finansinių duomenų, pvz., kredito kortelės duomenų, saugumo pažeidimai gali padaryti ne tik tiesioginės žalos, bet, naudojami kartu, taip pat gali padėti pavogti tapatybę. Įvairių asmens duomenų derinys paprastai yra jautresnio pobūdžio nei pavieniai asmens duomenys.

61.       Atsižvelgusi į tai kas išdėstyta, taip pat įvertinus tai, jog MEV esantys asmens duomenys yra finansiniai klientų duomenys, kurie sudaro banko paslaptį, taip pat yra jautresnio pobūdžio, kadangi yra paskelbti kaip įvairių asmens duomenų rinkinys, iš kurių galima tiesiogiai nustatyti duomenų subjekto tapatybę ir sukelti itin didelės žalos, išplėstinė teisėjų kolegija sutinka su Inspekcijos teiginiais, kad pareiškėjo argumentai, jog aptariamas asmens duomenų pažeidimas nekelia pavojaus duomenų subjektų teisėms ir laisvėms, atmestini. Vertintina, kad pirmosios instancijos teismas ir Inspekcija pagrįstai konstatavo, jog pareiškėjas, nepranešdamas Inspekcijai apie 2018 m. liepos 9–10 d. įvykusį asmens duomenų saugumo pažeidimą, pažeidė BDAR 33 straipsnį.

 

Dėl Inspekcijos atlikto tyrimo išsamumo

 

62.       Pareiškėjas apeliaciniame skunde teigia, kad Inspekcija tyrimą atliko neišsamiai – neištyrė AB Swedbank teiktų įrodymų apie MEV autentiškumo ir nesurinko visų įrodymų apie daugiau nei 9 000 MEV tvarkymą visa apimtimi.

63.       Inspekcijos Sprendime nurodyta, kad konkrečiu interneto adresu (Nuoroda) buvo prieinamas tinklapis, kuriame buvo matomi klientų atlikti mokėjimai per pareiškėjo MIP sistemą su tų klientų asmens duomenimis, taip pat daugiau nei 9 000 MEV su 12 skirtingų bankų. Inspekcija atsiliepime į apeliacinį skundą nurodė, kad „nėra pagrindo netikėti AB „Swedbank“ surinktais įrodymais bei pateikta informacija, todėl nebuvo jokio poreikio iš AB „Swedbank“ prašyti visų surinktų MEV, kadangi AB „Swedbank“ Inspekcijai pateiktų MEV pakako nustatyti, kokius asmens duomenis tvarko UAB „MisterTango“, teikdama mokėjimo inicijavimo paslaugą bei darydama MEV“. Iš bylos medžiagos nustatyta, kad visi daugiau nei 9 000 MEV byloje nebuvo pateikti, tačiau išplėstinė teisėjų kolegija nevertina, jog pareiškėjo padarytam asmens duomenų tvarkymo pažeidimui atskleisti buvo būtina surinkti visus daugiau nei 9 000 MEV. Iš bylos duomenų matyti, kad Inspekcija į bylą pateikė MEV pavyzdžius, kurie visų pirma apskritai įrodo MEV darymą, taip pat atskleidžia, kokie duomenys buvo fiksuojami, kiek laiko MEV buvo saugomi ir pan. Be to, konstatuojant pažeidimą dėl MEV asmens duomenų paviešinimo, Sprendime yra akcentuojamas atitinkamo lygio saugumo neužtikrinimas, kurį įrodo byloje pateikti MEV pavyzdžiai bei kitos Inspekcijos nustatytos aplinkybės. Kitaip tariant, ne asmens duomenų paviešinimo mastas, bet būtent tinkamo asmens duomenų tvarkymo neužtikrinimas (faktiškas MEV darymas ir iš to išplaukusios pasekmės) sudaro Inspekcijos nustatyto ir pareiškėjo padaryto pažeidimo esmę. Dėl to išplėstinė teisėjų kolegija sutinka su Inspekcijos argumentais, kad AB „Swedbank“ pateiktų MEV pakako nustatyti, kokius duomenis tvarkė pareiškėjas, teikdamas MIP bei darydamas MEV, ir atmeta pareiškėjo argumentus, jog nesurinktus visų paviešintų MEV tyrimas buvo atliktas neišsamiai.

64.       Pareiškėjas apeliaciniame skunde teigia, kad Inspekcija nevertino pareiškėjo įrenginių (IT sistemų) ir neatliko jų apžiūros vietoje.

65.       Teismo posėdžio metu pirmosios instancijos teisme pareiškėjo atstovė nurodė, jog kadangi Bendrovė atjungė išorinę prieigą tik sužinojusi apie pažeidimą, Bendrovė negali pamatyti, kiek asmenų galėjo pamatyti Nuorodą. Pareiškėjo atstovai akcentavo, jog pažeidimas buvo labai greitai pašalintas, o šalinant pažeidimą technika buvo atjungta ir dėl to prisijungimai neišliko. Pareiškėjas nepateikė IT sistemų žurnalų išrašų, tačiau kartu teigė, jog, atlikus vidinį tyrimą, neleistinų prisijungimų prie Nuorodos neaptiko (III t., b. l. 21). Inspekcija nurodė, jog jiems nebuvo tikslinga vykti į Bendrovę ir tikrinti jų duomenis, kadangi pažeidimas buvo pašalintas. Kaip jau minėta anksčiau, vadovaujantis BDAR 5 straipsnio 2 dalimi, pareiškėjas turėjo ne tik teisę, bet ir pareigą pateikti visus tyrimui reikšmingus duomenis bei įrodyti savo veiklos atitiktį BDAR reikalavimams. Įvertinusi Bendrovės argumentus dėl pašalinto pažeidimo, taip pat atsižvelgdama į BDAR 5 straipsnio 2 dalies reikalavimus, išplėstinė teisėjų kolegija nevertina, kad tai, jog Inspekcija nenuvyko ir neatliko tyrimo pareiškėjo buveinės vietoje, lemia, kad šiuo atveju tyrimas buvo atliktas neišsamiai.

66.       Pareiškėjas apeliaciniame skunde nurodo, kad Inspekcija nepagrįstai nevertino Lietuvos banko atlikto analogiško tyrimo rezultatų.

67.       Iš bylos duomenų nustatyta, jog 2018 m. liepos 10 d. Lietuvos banko Priežiūros tarnyba gavo pranešimą apie galimybę be autorizacijos ir autentifikacijos interneto tinkle pasiekti UAB MisterTango klientų tokius duomenis, kaip vardas, pavardė, sąskaita ir jos likutis. Atsižvelgus į pranešime pateiktą informaciją, buvo inicijuotas neplaninis patikrinimas siekiant įvertinti Bendrovės informacijos, informacinių technologijų ir kibernetinio saugumo rizikos valdymo ir kontrolės sistemą bei Bendrovės taikomas prieigos saugumo valdymo ir kontrolės priemones (Lietuvos banko Priežiūros tarnybos 2018 m. spalio 1 d. inspektavimo ataskaita Nr. 2018/323-5; I t., b. l. 248). Lietuvos bankas inspektavimo metu nustatė ir kitų veiklos trūkumų, susijusių su prieigos prie informacinių sistemų valdymu: Bendrovė nėra reglamentavusi prieigos prie informacinių sistemų valdymo proceso, kuriame aiškiai nustatytos kiekvieno vartotojo arba vartotojų grupės prieigų valdymo taisyklės (prieigų sutikimas, atšaukimas, taikomos kontrolės priemonės) ir galimos, t. y. Bendrovės nustatytos kaip standartinės, vartotojų prieigos teisės bei išimtinių prieigos teisių suteikimo, atšaukimo, kontrolės taisyklės. Inspektuojamuoju laikotarpiu Bendrovė nevertino, ar suteiktos prieigos lygis atitinka vartotojo veiklos tikslą ir pobūdį, nebuvo vykdoma periodinė prieigos teisių peržiūra, nebuvo tikrinama, ar nėra naudojamasi nedirbančių ar kitų darbuotojų bendro naudojimo vartotojų prieigos teisėmis, nebuvo sustiprintos privilegijuotų vartotojų prieigų kontrolės (Lietuvos banko Priežiūros tarnybos 2018 m. gruodžio 17 d. sprendimas Nr. 241-274, 4 p., I t., b. l. 253). Lietuvos bankas sprendime pripažino, kad nenustatyta, jog dėl šiame sprendime nurodytų teisės aktų pažeidimų elektroninių pinigų turėtojų interesai buvo pažeisti. Lietuvos bankas atlikdamas inspektavimą vertino, kaip laikomasi šio teisinio reguliavimo nuostatų: Lietuvos Respublikos elektroninių pinigų ir elektroninių pinigų įstaigų įstatymo, Lietuvos banko nutarimų ir gerosios saugumo praktikos standartų. Taigi BDAR nuostatų laikymasis Lietuvos banko atliekamo tyrimo metu nebuvo vertintas, dėl to pirmosios instancijos teismas ir atsakovas pagrįstai vertino, kad Lietuvos bankas neatliko asmens duomenų apsaugos kontrolės ir Lietuvos banko atlikto tyrimo nėra pagrindo vertinti kaip analogiško Inspekcijos atliktam tyrimui.

68.       Pareiškėjui teigiant, jog jis yra baudžiamas du kartus, išplėstinė teisėjų kolegija pažymi, kad Lietuvos Respublikos Konstitucijos 31 straipsnio 5 dalyje įtvirtinta nuostata, kad niekas negali būti baudžiamas už tą patį nusikaltimą antrą kartą. Ši Konstitucijos nuostata, kaip ir kitų Konstitucijos 31 straipsnio dalių normos, yra skirtos teisingumo principų įgyvendinimui baudžiamojoje teisenoje (Konstitucinio Teismo 2000 m. vasario 10 d. nutarimas), tačiau, kaip ne kartą yra išaiškinęs Konstitucinis Teismas, Konstitucijos 31 straipsnio 5 dalyje atsispindintis teisės principas non bis in idem, reiškia, kad asmuo negali būti baudžiamas antrą kartą už tą patį teisės pažeidimą (pvz., Konstitucinio Teismo 2009 m. birželio 8 d. nutarimas) – šis konstitucinis principas taikytinas ir kitų teisės pažeidimų atžvilgiu (Lietuvos vyriausiojo administracinio teismo 2015 m. gegužės 25 d. nutartis administracinėje byloje Nr. A-1441-502/2015). Non bis in idem principas nereiškia, kad už teisės pažeidimą asmeniui apskritai negali būti taikomos skirtingos teisinės atsakomybės rūšys. Šis principas nedraudžia taikyti asmeniui kitų atsakomybės rūšių, kurių pagrindinė paskirtis nėra baudimas (pavyzdžiui, civilinę atsakomybę), taip pat nedraudžia už tą pačią veiką bausti skirtingus asmenis ar bausti tą patį asmenį už skirtingas veikas (Lietuvos vyriausiojo administracinio teismo 2011 m. rugpjūčio 1 d. nutartis administracinėje byloje Nr. A858-2651/2011).

69.       BDAR 149 konstatuojamojoje dalyje įtvirtinta, kad valstybės narės turėtų galėti nustatyti taisykles dėl baudžiamųjų sankcijų už šio reglamento pažeidimus, be kita ko, už nacionalinių taisyklių, priimtų pagal šį reglamentą ir neviršijant jo nuostatų, pažeidimus. Tomis baudžiamosiomis sankcijomis taip pat gali būti leidžiama konfiskuoti pelną, gautą pažeidus šį reglamentą. Tačiau nustatant baudžiamąsias sankcijas už tokių nacionalinių taisyklių pažeidimus ir nustatant administracines sankcijas neturėtų būti pažeistas ne bis in idem principas, kaip jį aiškina Teisingumo Teismas.

70.       Europos Sąjungos Teisingumo Teismas yra pažymėjęs, kad ne bis in idem principas draudžia skirti kelias sankcijas už tą patį neteisėtą elgesį, jeigu įvykdytos trys sąlygos: identiškos faktinės aplinkybės, tas pats pažeidėjas ir tas pats saugomas teisinis interesas (2020 m. kovo 4 d. sprendimas byloje Mowi ASA, C-10/18 P, EU:C:2020:149, 72 punktas).

71.       Aiškindamas dvigubą baudimą už tą patį pažeidimą draudžiančias Žmogaus teisių ir pagrindinių laisvių apsaugos konvencijos (toliau – ir Konvencija) 7 protokolo 4 straipsnio nuostatas, Europos Žmogaus Teisių Teismas yra pasisakęs, jog non bis in idem (arba ne bis in idem) principas pažeidžiamas tada, kai nustatoma, kad asmuo antrą kartą baudžiamas (traukiamas baudžiamojon atsakomybėn) už identiškus arba iš esmės tokius pat teisiškai reikšmingus faktus (tą patį poelgį). Konvencijos 7 protokolo 4 straipsnis turi būti suprantamas ir aiškinamas taip, kad principu non bis in idem būtų draudžiama persekioti ir / arba bausti asmenį antrą kartą už pažeidimą, jeigu jis kyla iš identiškų arba iš esmės tokių pat faktų (įvykių), dėl kurių asmuo jau buvo nubaustas. Sprendžiant, ar konkrečiu atveju nebuvo pažeistas non bis in idem principas, turi būti atsižvelgiama į šias aplinkybes: 1) ar asmuo buvo baudžiamas, t. y. ar jam paskirta sankcija yra kriminalinio (baudžiamojo) pobūdžio Konvencijos prasme; 2) ar asmuo buvo baudžiamas už tą patį teisės pažeidimą (pažeidimo tapatumas); 3) ar asmuo buvo baudžiamas pakartotinai; 4) ar pakartotinai baudžiamas tas pats asmuo (asmens tapatumas) (žr. inter alia Europos Žmogaus Teisių Teismo 2009 m. vasario 10 d. sprendimą byloje S. Z. prieš Rusiją, pareiškimo Nr. 14939/03, 2009 m. rugsėjo 16 d. sprendimą byloje Routsalainen prieš Suomiją, pareiškimo Nr. 13079/03. taip pat žr., pvz., Lietuvos vyriausiojo administracinio teismo 2012 m. lapkričio 8 d. nutartį administracinėje byloje Nr. A442-3046/2012; 2015 m. gegužės 25 d. nutartį administracinėje byloje Nr. A-1441-502/2015). Taigi pagal Konvencijos nuostatas asmuo negali būti baudžiamas du kartus už tapatų pažeidimą, tačiau su juo suderinamas atsakomybės taikymas asmeniui už skirtingus pažeidimus.

72.       Šiuo atveju nėra pagrindo vertinti, kad Inspekcijai paskyrus pareiškėjui baudą už asmens duomenų tvarkymo pažeidimą pareiškėjas buvo nubaustas du kartus ir non bis in idem principas buvo pažeistas. Tokia išvada darytina įvertinus tai, kad Inspekcija atsakomybę taikė už BDAR nuostatų pažeidimus, o Lietuvos bankas atliko tyrimą dėl Elektroninių pinigų ir elektroninių pinigų įstaigų įstatymo, Lietuvos banko nutarimų ir gerosios saugumo praktikos standartų laikymosi, t. y. tyrimai buvo atliekami skirtingų institucijų ir dėl skirtingų teisinio reguliavimo nuostatų laikymosi. Be to, Lietuvos bankas įpareigojo pareiškėją pašalinti nurodytus teisės aktų pažeidimus ir veiklos trūkumus, tačiau ekonominio pobūdžio sankcijos pareiškėjui netaikė. Taip pat pažymėtina, kad teisės aktai nenumato draudimo skirtingoms institucijoms vienu metu atlikti ūkio subjekto neplaninį patikrinimą, o Viešojo administravimo įstatymo (2017 m. lapkričio 16 d. redakcija) 364 straipsnio 10 dalyje yra aptartas planinių patikrinimų atlikimas: vienu metu gali būti atliekami ne daugiau kaip du ūkio subjekto veiklos planiniai patikrinimai; priežiūrą atliekantys subjektai, kurių priežiūros dalykas ir forma yra tarpusavyje susiję, gali atlikti bendrą dviejų ar daugiau priežiūrą atliekančių subjektų planinį patikrinimą, jeigu taip sumažėja priežiūros našta ūkio subjektui.

73.       Pareiškėjas apeliaciniame skunde teigia, kad pirmosios instancijos teismas nepagrįstai atsisakė vertinti pareiškėjo į bylą papildomai pateiktą IT sistemos MIP analizės ataskaitą, kurią atliko UAB Heksimus (IV t., b. l. 16–24).

74.       Pirmosios instancijos teismas nurodė, kad pareiškėjo teismui pateikta IT sistemos MIP analizės ataskaita, kurią atliko UAB „Heksimus“, negali būti laikoma patikima, neaiški ją atlikusių asmenų kvalifikacija, be to, analizė neatlikta laiku.

75.       Lietuvos vyriausiasis administracinis teismas ne kartą yra pabrėžęs, jog įrodinėjimo procese reikšmingi tik tie įrodymai, kurie yra susiję su nagrinėjama byla (2011 m. liepos 15 d. nutartis administracinėje byloje Nr. A575-3022/2011).

76.       Išplėstinė teisėjų kolegija vertina, kad pirmosios instancijos teismo ir Inspekcijos argumentai dėl to, jog nėra pagrindo vadovautis IT sistemos MIP analizės ataskaita, kurią atliko UAB Heksimus“, yra pagrįsti. Išplėstinė teisėjų kolegija taip pat pažymi, kad, kaip matyti iš pateiktos ataskaitos (IV t., b. l. 16–24), analizė atlikta vertinant pareiškėjo 2019 m. birželio 6 d. sistemos versijos programinio kodo iškarpą, taip pat 2018 m. gegužės 25 d. versiją, kai byloje nagrinėjamam pažeidimui yra aktuali 2018 m. liepos 9-10 d. programinio kodo versija. Tai, kad šioje analizėje nurodoma, kad „Šiuo metu MisterTango, UAB Mokėjimo inicijavimo paslaugai (MIP) vykdyti naudojasi Amazon Web Services (trump. AWS) resursais ir šios paslaugos (Selenium Web Driver) funkcija, kuria būtų daromi mokėtojo el. bankininkystės darbalaukio duomenų momentiniai ekrano vaizdai (MEV), mūsų analizuotoje sistemos versijos progr. kodo iškarpoje (įvardintoje kaip 2019/06/06 d. versija) faktiškai nebuvo naudojama“, nepagrindžia, kad 2018 m. liepos 910 d. programinis kodas taip pat nesudarė galimybės pareiškėjui daryti mokėtojo el. bankininkystės darbalaukio duomenų MEV. Inspekcija nurodė (IV t., b. l. 31), kad pareiškėjas nepateikė pažeidimo nustatymo dienos (2018 m. liepos 9 d.) IT sistemos žurnalų įrašų failų, todėl nėra galimybės įsitikinti, kokie IT sistemos įvykiai (įskaitant ir saugumo įvykius) buvo juose užfiksuoti, iš kokių ir prie kokių IP adresų ir kas bei kada jungėsi ir panašiai. Dėl to, kad ataskaitoje pateikta analizė atlikta vertinant bylai neaktualios sistemos versijos programinio kodo iškarpą ir dėl šio motyvo ji nepagrindžia bylai reikšmingų aplinkybių, ataskaitą atlikusių asmenų kvalifikacijos išplėstinė teisėjų kolegija detaliau nevertina.

 

Dėl dokumentų pateikimo pareiškėjui

 

77.       Pareiškėjas teigia, jog Inspekcija nepateikė jam teismo sprendime minimo AB SEB banko 2018 m. liepos 27 d. rašto Nr. 01.08-878 (III t., b. l. 638), nesuteikė galimybės susipažinti su Latvijos domenų apsaugos inspekcijos 2018 m. liepos 30 d. raštu (III t., b. l. 637), nepateikė informacijos apie susirašinėjimą su Estijos priežiūros institucija.

78.       Pareiškėjas nurodo, kad jo teisė susipažinti su visa tyrimo medžiaga buvo pažeista, be to, pagal Viešojo administravimo įstatymo 368 straipsnio 4 dalį, sprendimas, priimtas ūkio subjekto veiklą reglamentuojančių teisės aktų pažeidimo byloje, grindžiamas tik tais įrodymais, kurie buvo ištirti bylos nagrinėjimo metu ir su kuriais turėjo galimybę susipažinti ūkio subjektas. Turi būti pateikti motyvai dėl visų bylai reikšmingų aspektų, kuriuos savo paaiškinime ar nagrinėjant žodžiu ūkio subjektas buvo paminėjęs.

79.       Išplėstinė teisėjų kolegija pažymi, kad asmens duomenų apsaugos priežiūrą atliekančiam subjektui Viešojo administravimo įstatymo 368 straipsnio 4 dalies nuostatos buvo rekomendacinės (Viešojo administravimo įstatymo 368 str. 7 d.). Be to, ginčui aktualus Viešojo administravimo įstatymo 43 straipsnis (2010 m. birželio 22 d. įstatymo Nr. XI-934 redakcija) nustatė, kad jeigu kituose įstatymuose nustatyti ūkio subjektų veiklos priežiūrai taikytini reikalavimai prieštarauja šio įstatymo ketvirtojo skirsnio nuostatoms, taikomas šis įstatymas, išskyrus atvejus, kai kiti specialūs priežiūrą reglamentuojantys įstatymai įtvirtina privalomus Europos Sąjungos teisės aktų ar Lietuvos Respublikos tarptautinių sutarčių reikalavimus arba įtvirtina ūkio subjektams palankesnį reglamentavimą.

80.       Ūkio subjekto teisę susižinti su tyrimo duomenimis reguliuoja Asmens duomenų teisinės apsaugos įstatymo 17 straipsnis, kurio 2 dalies 4 punkte yra įtvirtinta, kad tikrinamas asmuo, pareiškėjas, skundžiamas asmuo ir pažeidimo padarymu įtariamas asmuo taip pat turi teisę susipažinti su tyrimo ir (ar) patikrinimo atlikimo, skundo nagrinėjimo ir administracinės baudos skyrimo medžiaga, išskyrus valstybės, tarnybos, profesinę, komercinę ar kitą įstatymų saugomą paslaptį sudarančią informaciją.

81.       BDAR 83 straipsnio 8 dalyje numatyta, kad priežiūros institucijos naudojimuisi įgaliojimais pagal šį straipsnį (bendrosios administracinių baudų skyrimo sąlygos) taikomos atitinkamos procedūrinės garantijos laikantis Sąjungos teisės aktų ir valstybės narės teisės aktų, įskaitant veiksmingas teismines teisių gynimo priemones ir tinkamą procesą. Taigi pareiškėjui turėjo būti užtikrinamos veiksmingos teisminės teisių gynimo priemonės ir tinkamas procesas.

82.       Europos Sąjungos Pagrindinių teisių chartijos 41 straipsnio 2 dalyje nustatyta, kad teisė į gerą administravimą apima, be kita ko, kiekvieno asmens teisę būti išklausytam prieš taikant bet kokią individualią jam nepalankią priemonę, kiekvieno asmens teisę susipažinti su savo byla, laikantis teisėto konfidencialumo ir profesinio bei verslo slaptumo, ir administracijos pareigą pagrįsti savo sprendimus. Suformuotoje Europos Sąjungos Teisingumo Teismo jurisprudencijoje įtvirtinta, kad teisės į gynybą paisymas per visą procedūrą, kuri pradėta prieš asmenį ir gali būti užbaigta jo nenaudai priimtu teisės aktu, yra pagrindinis Sąjungos teisės principas. Pagal šį principą reikalaujama, kad asmeniui, prieš kurį kompetentinga institucija pradėjo administracinę procedūrą, būtų suteikta galimybė per šią procedūrą veiksmingai pareikšti savo nuomonę dėl nurodytų faktų ir aplinkybių tikrumo bei reikšmingumo, taip pat dėl dokumentų, kuriuos kompetentinga institucija panaudojo savo teiginiui dėl Sąjungos teisės pažeidimo pagrįsti (žr. 2014 m. balandžio 30 d. Sprendimo Tisza Er?m? / Komisija, T468/08, EU:T:2014:235, 204 punktą ir jame nurodytą jurisprudenciją).

83.       Byloje nagrinėjamu atveju svarbu akcentuoti tai, kad Inspekcija savo Sprendime nesivadovavo AB „SEB banko“ 2018 m. liepos 27 d. raštu Nr. 01.08-878, taip pat Latvijos domenų apsaugos inspekcijos 2018 m. liepos 30 d. raštu, kaip ir Estijos priežiūros institucijos raštu. Taigi šiais dokumentais pareiškėjo padarytas pažeidimas nėra grindžiamas, dėl to nėra pagrindo teigti, kad pareiškėjo teisė susipažinti su tyrimo duomenis, kuriais Inspekcija grindė pareiškėjo pažeidimą, buvo nepagrįstai apribota. Papildomai pažymėtina, kad galiausiai Latvijos domenų apsaugos inspekcijos 2018 m. liepos 30 d. raštas ir AB „SEB bankas“ 2018 m. liepos 27 d. raštas Nr. 01.08-878, nors pareiškėjui tiesiogiai ir nebuvo pateikti, Inspekcijai juos pateikus į bylą, pareiškėjas turėjo galimybę su jais susipažinti ir pateikti argumentus teismui (III t., b. l. 637, 638).

84.       BDAR 60 straipsnio 1 dalyje numatyta, jog vadovaujanti priežiūros institucija pagal šį straipsnį bendradarbiauja su kitomis susijusiomis priežiūros institucijomis stengdamasi rasti konsensusą. Vadovaujanti priežiūros institucija ir susijusios priežiūros institucijos tarpusavyje keičiasi visa atitinkama informacija. Pagal to paties straipsnio 3 dalį, vadovaujanti priežiūros institucija nedelsdama perduoda atitinkamą informaciją šiuo klausimu kitoms susijusioms priežiūros institucijoms. Ji nedelsdama pateikia sprendimo projektą kitoms susijusioms priežiūros institucijoms, kad jos pateiktų savo nuomonę, ir deramai atsižvelgia į jų nuomones; o pagal 12 dalį, vadovaujanti priežiūros institucija ir kitos susijusios priežiūros institucijos pagal šį straipsnį privalomą informaciją viena kitai teikia elektroninėmis priemonėmis, naudodamosi standartizuota forma.

85.       Inspekcija nurodė, kad Estijos priežiūros institucija tarptautinio bendradarbiavimo vidinėje platformoje informavo, kad jos Lietuvos Inspekcijos atliekamas tyrimas nedomina. 

86.       Išplėstinė teisėjų kolegija pažymi, kad šiuo klausimu aktualus Europos Sąjungos Teisingumo Teismo 2020 m. gruodžio 17 d. sprendimas byloje C-342/19 P De Masi ir Varoufakis prieš ECB, kuriame šis teismas pripažino, kad galimybė susipažinti su Europos Centrinio Banko (toliau – ir ECB) parengtu ar gautu dokumentu, skirtu naudoti per svarstymus ir preliminarias konsultacijas ECB viduje, taip pat ECB keičiantis nuomonėmis su nacionalinėmis valdžios institucijomis, nesuteikiama netgi po to, kai sprendimas jau yra priimtas, nebent tą dokumentą atskleisti reikalautų viršesnis viešasis interesas (66 punktas). Konstitucinis Teismas ne kartą yra pažymėjęs, kad Europos Sąjungos Teisingumo Teismo jurisprudencija, kaip teisės aiškinimo šaltinis, yra svarbi ir Lietuvos teisės aiškinimui bei taikymui (Konstitucinio Teismo 2006 m. gruodžio 21 d., 2007 m. gegužės 15 d., 2008 m. gruodžio 4 d., 2009 m. kovo 27 d. nutarimai). nurodytos Europos Sąjungos Teisingumo Teismo praktikos spręstina, kad atitinkamais atvejais kai kurie duomenys gali būti pripažįstami išskirtinai vidinio pobūdžio informacija ir gali būti neatskleisti pareiškėjui netgi po sprendimo priėmimo.

87.       Atsižvelgusi į šią teismo praktiką, taip pat į tai, kad pareiškėjo nurodoma kaip jam nepateikta informacija nesudarė tų tyrimo duomenų, kuriais Inspekcija grindė pareiškėjo padarytą pažeidimą, ir nesudarė administracinės baudos skyrimo medžiagos, o daugiau atitinka vidinio pobūdžio institucijos informaciją, be to, galiausiai ši informacija pareiškėjui buvo atskleista, išplėstinė teisėjų kolegija vertina, kad nėra pagrindo spręsti, jog pareiškėjo teisė į veiksmingą teisinę gynybą ar tinkamą procesą buvo nepagrįstai apribota ar Inspekcija, pareiškėjui tiesiogiai nepateikdama minėtų duomenų, padarė esminį procedūrinį tinkamo tyrimo pažeidimą.

88.       Apibendrindama, išplėstinė teisėjų kolegija vertina, kad Inspekcija išsamiai nustatė faktines aplinkybes, taip pat atliko išsamų tyrimą ir teisinį nustatytų faktų vertinimą (kvalifikavimą), tinkamai ištyrė ir įvertino byloje aptartas aplinkybes ir pateiktus įrodymus bei priėmė motyvuotą sprendimą.

 

Dėl baudos skyrimo

 

89.       BDAR 83 straipsnio 1 dalyje įtvirtina, jog kiekviena priežiūros institucija užtikrina, kad pagal šį straipsnį skiriamos administracinės baudos už 4, 5 ir 6 dalyse nurodytus šio reglamento pažeidimus kiekvienu konkrečiu atveju būtų veiksmingos, proporcingos ir atgrasomos.

90.       BDAR 83 straipsnio 2 dalyje nustatyta, kad administracinės baudos, atsižvelgiant į kiekvieno konkretaus atvejo aplinkybes, skiriamos kartu su 58 straipsnio 2 dalies a–h punktuose ir j punkte nurodytomis priemonėmis arba vietoj jų. Sprendžiant dėl to, ar skirti administracinę baudą, ir sprendžiant dėl administracinės baudos dydžio kiekvienu konkrečiu atveju deramai atsižvelgiama į šiuos dalykus: a) pažeidimo pobūdį, sunkumą ir trukmę, atsižvelgiant į atitinkamo duomenų tvarkymo pobūdį, aprėptį ar tikslą, taip pat į nukentėjusių duomenų subjektų skaičių ir jų patirtos žalos dydį; b) tai, ar pažeidimas padarytas tyčia, ar dėl aplaidumo; c) bet kuriuos veiksmus, kurių duomenų valdytojas arba duomenų tvarkytojas ėmėsi, kad sumažintų duomenų subjektų patirtą žalą; d) duomenų valdytojo arba duomenų tvarkytojo atsakomybės dydį, atsižvelgiant į jų pagal 25 ir 32 straipsnius įgyvendintas technines ir organizacines priemones; e) bet kuriuos to duomenų valdytojo arba duomenų tvarkytojo svarbius ankstesnius pažeidimus; f) bendradarbiavimo su priežiūros institucija siekiant atitaisyti pažeidimą ir sumažinti galimą neigiamą jo poveikį laipsnį; g) asmens duomenų, kuriems pažeidimas turi poveikį, kategorijas; h) tai, kokiu būdu priežiūros institucija sužinojo apie pažeidimą, visų pirma tai, ar duomenų valdytojas arba duomenų tvarkytojas pranešė apie pažeidimą (jei taip – kokiu mastu); i) jei atitinkamam duomenų valdytojui arba duomenų tvarkytojui dėl to paties dalyko anksčiau buvo taikytos 58 straipsnio 2 dalyje nurodytos priemonės – ar laikytasi tų priemonių; j) ar laikomasi patvirtintų elgesio kodeksų pagal 40 straipsnį arba patvirtintų sertifikavimo mechanizmų pagal 42 straipsnį; ir k) kitus sunkinančius ar švelninančius veiksnius, susijusius su konkretaus atvejo aplinkybėmis, pavyzdžiui, finansinę naudą, kuri buvo gauta, arba nuostolius, kurių buvo išvengta, tiesiogiai ar netiesiogiai dėl pažeidimo.

91.       BDAR 83 straipsnio 5 dalyje numatyta, kad pažeidus toliau išvardytas nuostatas, pagal 2 dalį skiriamos administracinės baudos iki 20 000 000 Eur arba, įmonės atveju – iki 4 % jos ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė: pagrindinius duomenų tvarkymo principus, įskaitant sutikimo sąlygas, pagal 5, 6, 7 ir 9 straipsnius (a); duomenų subjekto teises pagal 12–22 straipsnius (b); asmens duomenų perdavimą duomenų gavėjui trečiojoje valstybėje arba tarptautinei organizacijai pagal 44–49 straipsnius (c); prievoles pagal valstybės narės teisės aktus, priimtus pagal IX skyrių (d); jei nesilaikoma priežiūros institucijos nurodymo arba laikino ar nuolatinio duomenų tvarkymo apribojimo arba duomenų srautų sustabdymo pagal 58 straipsnio 2 dalį arba nesuteikiama prieigos galimybė pažeidžiant 58 straipsnio 1 dalį (e).

92.       Dėl pareiškėjo argumentų, kad Inspekcija nepagrįstai neindividualizavo baudų už kiekvieną BDAR pažeidimą atskirai, pažymėtina, jog Inspekcija teismo posėdžio pirmosios instancijos teisme metu dėl to, kaip konkrečiai už kiekvieną pažeidimą paskyrė baudą, paaiškino, kad pagal BDAR 83 straipsnio 3 dalį, jei duomenų valdytojas arba duomenų tvarkytojas, atlikdamas tą pačią tvarkymo operaciją ar susijusias tvarkymo operacijas, tyčia ar dėl aplaidumo pažeidžia kelias šio reglamento nuostatas, bendra administracinės baudos suma nėra didesnė nei suma, kuri nustatyta už rimčiausią pažeidimą. Inspekcijos Sprendime nurodyta, kad skiriant administracinę baudą, bendra administracinės baudos suma nustatoma pagal rimčiausią pažeidimą, t. y. pagal BDAR 83 straipsnio 5 dalį už BDAR 5 straipsnio pažeidimą. Pagal BDAR nuostatas nėra būtina paskirti baudą už kiekvienos BDAR nuostatos pažeidimą atskirai, be to, bauda pareiškėjui iš esmės yra skirta už vieną padarytą pažeidimą, kuris suponavo skirtingų BDAR nuostatų nesilaikymą.

93.       Nors baudų skyrimui pagal BDAR nuostatas dėl asmens duomenų tvarkymo pažeidimo Viešojo administravimo įstatymo 4 skirsnio normos dėl ūkio subjektų veiklos priežiūros nėra taikomos dėl Viešojo administravimo įstatyme numatytų išimčių (43 str.) ir dėl to, kad baudų skyrimo klausimas yra detaliai aptartas BDAR, proporcingos baudos reikalavimai yra numatyti ir BDAR nuostatose (83 str. 1 d.). Be to, skiriamos administracinės baudos pagal BDAR reikalavimus turi būti ne tik proporcingos, bet ir veiksmingos bei atgrasomos (BDAR 83 str. 1 d.).

94.       Pareiškėjo argumentai dėl nepagrįstai paskirtos ir neproporcingos baudos iš esmės yra susiję su tuo, kad pareiškėjo padaryti asmens duomenų tvarkymo pažeidimai nebuvo tinkamai įrodyti. Tačiau išplėstinė teisėjų kolegija konstatavo, kad Inspekcija pagrįstai Sprendime nustatė pareiškėjo padarytus asmens duomenų tvarkymo pažeidimus. Pareiškėjo argumentai, kad jis tinkamai užregistravo ir ištyrė (dokumentavo) incidentą, taip pat atmesti, kaip ir teiginiai dėl to, jog pareiškėjas neturėjo pareigos apie incidentą informuoti Inspekcijos.

95.       Išplėstinė teisėjų kolegija vertina, kad pirmosios instancijos teismas pagrįstai konstatavo, jog Inspekcija, tinkamai pritaikiusi BDAR nuostatas, paskyrė proporcingą padarytiems pažeidimams 61 500 Eur baudą (atitinka 2,5 proc. pareiškėjo 2018 m. finansinių metų bendrosios metinės pasaulinės apyvartos), kuri taip pat vertintina kaip atgrasanti ir veiksminga. Iš Inspekcijos Sprendimo matyti, kad Inspekcija, parinkdama baudos dydį, įvertino tai, kad pareiškėjas informavo Inspekciją apie BDAR reikalavimų užtikrinimui skirtas lėšas bei numatytą biudžetą, skirtą tam, kad būtų nuolat užtikrinama ir prižiūrima atitiktis BDAR reikalavimams, darbuotojų mokymams asmens duomenų apsaugos ir saugumo klausimais, tačiau taip pat įvertino ir aplinkybes, kurios laikytinos atsakomybę sunkinančiomis (BDAR 83 str. 2 d. a, b, c, g ir h p.). Inspekcija įvertino, kad pareiškėjas MEV asmens duomenis neteisėtai tvarkė tyčia, o pareiškėjo argumentai nesudaro pagrindo vertinti, kad pareiškėjo kaltės forma byloje nagrinėjamu atveju turėtų būti kita – pareiškėjas asmenų duomenis tvarkė neskaidriai, didesne apimtimi ir ilgiau nei yra būtina tvarkymo tikslui pasiekti, tai atliko sistemingai ir neužtikrino duomenų saugumo. 

96.       Apibendrindama išdėstytas aplinkybes bei padarytas išvadas, išplėstinė teisėjų kolegija konstatuoja, kad pirmosios instancijos teismas tinkamai įvertino byloje surinktus įrodymus ir nustatė teisiškai reikšmingas aplinkybes bylai išspręsti bei tinkamai taikė ginčą reglamentuojančias teisės normas. Atsižvelgiant į tai, jog pirmosios instancijos teismas bylą iš esmės išsprendė teisingai, o pareiškėjo apeliacinio skundo motyvai nepaneigia pirmosios instancijos teismo padarytų išvadų dėl ginčo esmės, pirmosios instancijos teismo sprendimas paliekamas nepakeistas, o pareiškėjo apeliacinis skundas atmetamas.

 

        Vadovaudamasi Lietuvos Respublikos administracinių bylų teisenos įstatymo 144 straipsnio 1 dalies 1 punktu, išplėstinė teisėjų kolegija

 

nutaria:

 

Pareiškėjo uždarosios akcinės bendrovės Secure Nordic Payments“ (buv. uždaroji akcinė bendrovė „MisterTango“) apeliacinį skundą atmesti.

Vilniaus apygardos administracinio teismo 2019 m. gruodžio 5 d. sprendimą palikti nepakeistą.

Nutartis neskundžiama.

 

 

Teisėjai                                Stasys Gagys

 

 

                                        Rytis Krasauskas 

 

 

Ričardas Piličiauskas

 

 

Ramutė Ruškytė

 

 

Milda Vainienė


Paminėta tekste:
  • eA-2229-968/2021
  • eA-2837-968/2020
  • eA-4388-968/2020
  • A-1441-502/2015