Administracinė byla Nr. eA-483-821/2025

Teisminio proceso Nr. 3-61-3-03223-2022-9

Procesinio sprendimo kategorijos: 3.5; 22.7; 26

 (S)

 

 

 

LIETUVOS VYRIAUSIASIS ADMINISTRACINIS TEISMAS

 

NUTARTIS

LIETUVOS RESPUBLIKOS VARDU

 

2025 m. kovo 26 d.

Vilnius

 

Lietuvos vyriausiojo administracinio teismo teisėjų kolegija, susidedanti iš teisėjų Ivetos Pelienės (pranešėja), Ernesto Spruogio ir Skirgailės Žalimienės (kolegijos pirmininkė),

teismo posėdyje apeliacine rašytinio proceso tvarka išnagrinėjo administracinę bylą pagal pareiškėjo Viešojo valdymo agentūros apeliacinį skundą dėl Regionų administracinio teismo 2024 m. vasario 20 d. sprendimo administracinėje byloje pagal pareiškėjo Viešojo valdymo agentūros skundus atsakovui Valstybinei duomenų apsaugos inspekcijai (tretieji suinteresuoti asmenys – Informatikos ir ryšių departamentas prie Lietuvos Respublikos vidaus reikalų ministerijos, Lietuvos Respublikos vidaus reikalų ministerija, J. R. ir L. P.) dėl sprendimų panaikinimo.

 

Teisėjų kolegija

 

nustatė:

 

I.

 

1.       Pareiškėjas Viešojo valdymo agentūra (buvęs pavadinimas Valstybės tarnybos departamentas prie Lietuvos Respublikos vidaus reikalų ministerijos) (toliau – ir pareiškėjas, Agentūra, VTD) kreipėsi į teismą su skundu ir prašė panaikinti Valstybinės duomenų apsaugos inspekcijos (toliau – ir atsakovas, Inspekcija, VDAI) 2022 m. birželio 30 d. sprendimo Nr. 3R-479 (2.13-1.E) „Dėl J. R. 2021-06-22 ir 2021-07-12 skundų“ dalį, kuria J. R. (toliau – ir duomenų subjektas) skundai pripažinti pagrįstais (toliau – ir Sprendimas dėl pažeidimo).

2.       Prie nagrinėjamos bylos prijungtoje byloje pareiškėjas prašo panaikinti VDAI 2022 m. rugsėjo 12 d. sprendimą Nr. 3R-773 (2.13-1.E) „Dėl administracinės baudos skyrimo valstybės tarnybos departamentui prie Lietuvos Respublikos vidaus reikalų ministerijos“, kuriuo už 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – ir BDAR) 5 straipsnio 1 dalies a ir f punktų nuostatų pažeidimus pareiškėjui paskirta 4 500 eurų bauda (toliau – ir 2022 m. rugsėjo 12 d. sprendimas).

3.       Pareiškėjas skundus grindė šiais argumentais:

3.1.       VDAI priėmė nepagrįstą ir neteisėtą Sprendimą dėl pažeidimo, kuris yra nemotyvuotas, neatitinka Lietuvos Respublikos viešojo administravimo įstatymo (toliau – ir VAĮ) 10 straipsnio 5 dalies reikalavimų, taip pat bendrųjų teisės principų. Pažeidimas konstatuotas neįvertinus visų nagrinėjamam ginčui svarbių aplinkybių, nes pareiškėjas aktyviai, operatyviai ir savo kompetencijos bei suteiktų įgaliojimų ribose ėmėsi visų priemonių, siekiant užtikrinti tinkamą, savalaikį duomenų subjekto skundų nagrinėjimą, taip pat užtikrinti tinkamą asmens duomenų apsaugą Agentūroje. Pareiškėjas įvykdė visus VDAI nurodymus: 2022 m. kovo 15 d., 2021 m. liepos 17 d. bei 2021 m. spalio 18 d. raštais VDAI pateikė paaiškinimus ir dokumentus, susijusius su duomenų subjekto skundais, pateiktais VDAI, taip pat pakartotinai pateikė paaiškinimus ir informaciją, susijusią su tyrimo atlikimu. VDAI pagal pateiktus dokumentus galėjo įvertinti, kiek kartų duomenų subjekto asmens duomenys valstybės tarnautojų registre (toliau – ir VATARAS) buvo tikrinti teisėtai ir neteisėtai, tačiau užuot tai padariusi, ketvirtą kartą (2022 m. kovo 17 d.) nurodė pareiškėjui pateikti informaciją ir dokumentus. Pareiškėjas operatyviai teikė VDAI duomenis apie priemones, kurių ėmėsi po nustatyto pažeidimo. Tokiais veiksmais atsakovas pareiškėjui sukėlė perteklinę administracinę naštą ir vilkino duomenų subjekto skundų nagrinėjimą.

3.2.       J. R. kreipėsi į VDAI su skundu 2021 m. birželio 22 d. (VDAI užregistruotas 2021 m. birželio 24 d.). Sprendimas dėl pažeidimo priimtas tik 2022 m. birželio 30 d., pažeidžiant imperatyvią Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo (toliau – ir ADTAĮ) 30 straipsnio 2 dalies nuostatą, jog bendras skundo ar jo dalies nagrinėjimo terminas negali viršyti 6 mėnesių nuo skundo gavimo priežiūros institucijoje dienos. Atsakovas, neturėdamas tam teisinio pagrindo bei viršydamas jam suteiktų įgaliojimų ribas, vertino duomenų subjekto asmens duomenų peržiūras nuo 2019 m. kovo 16 d. iki 2021 m. gegužės 24 d. (iš viso 244 peržiūras), o ne už laikotarpį nuo 2019 m. liepos 17 d. iki 2021 m. gegužės 24 d. (ADTAĮ 27 str. 1 d. 8 p.). Be to, duomenų subjektas prašė įvertinti asmens duomenų peržiūras nuo 2019 m. liepos 17 d. iki 2021 m. gegužės 24 d. (iš viso 229 peržiūras). Sprendime dėl pažeidimo VDAI nevertino, kiek peržiūrų buvo atlikta teisėtai (tvarkant personalo duomenis, fiksuojant tarnybinės veiklos vertinimo rezultatus, formuojant privalomas anketas ir pan.). Pareiškėjas nebuvo informuotas apie vertinamas 244 peržiūras, tokiu būdu VDAI pažeidė pareiškėjo teisę į gynybą, nes nesudarė galimybės pateikti savo gynybinės pozicijos.

3.3.       2019 m. sausio 1 d. įsigaliojus Lietuvos Respublikos valstybės tarnybos įstatymo Nr. VIII-1316 pakeitimo įstatymui, VATARAS valdytoju nuo 2019 m. sausio 1 d. vietoj pareiškėjo tapo Lietuvos Respublikos vidaus reikalų ministerija (toliau – ir VRM) (Lietuvos Respublikos valstybės tarnybos įstatymo (toliau – ir VTĮ) 53 str.), o tvarkytoju nuo 2019 m. rugpjūčio 1 d. yra Informatikos ir ryšių departamentas prie Lietuvos Respublikos vidaus reikalų ministerijos (toliau – ir IRD, Informatikos ir ryšių departamentas). IRD pagal kompetenciją atliko duomenų paieškos auditą, įvedė papildomus paieškos laukus, t. y. ieškant asmens duomenų reikia įvesti šios paieškos tikslą. Pareiškėjas neturi nei įgaliojimų, nei techninių galimybių savarankiškai tikrinti VATARAS kiek kartų, kokiu pagrindu, kokie pareiškėjo darbuotojai ir valstybės tarnautojai tikrino, peržiūrėjo ar tvarkė trečiųjų asmenų duomenis. Dėl techninių klaidų ištaisymo pareiškėjas taip pat turi kreiptis į IRD, kaip pagrindinį VATARAS tvarkytoją. Pareiškėjas yra VATARAS tvarkytojas tik pagal jam suteiktą kompetenciją, t. y. naudojasi tik personalo valdymo ir centralizuotai vykdomų konkursų moduliais.

3.4.       VDAI nepagrįstai pareiškėjui taikė Europos duomenų apsaugos valdybos 2020 m. rugsėjo 2 d. Gairėse 07/2020 dėl valdytojo ir tvarkytojo (pateikta viešam svarstymui) (toliau – ir Gairės 2020) išdėstytas nuostatas dėl valdytojo ir tvarkytojo vidinių išteklių sąvokos. VRM, Agentūra ir IRD yra atskiros biudžetinės įstaigos, todėl pareiškėjo darbuotojai (ir buvusi pareiškėjo VTD Atrankų skyriaus vyriausioji specialistė L. P. (toliau – ir Specialistė)) nėra VATARAS valdytojo VRM darbuotoja, t. y. pareiškėjo darbuotojai negali būti laikomi valdytojo vidiniais ištekliais, VATARAS valdytojo (VRM) vidiniais ištekliais galėtų būti laikomi tik VRM darbuotojai. Duomenų saugumo pažeidimo tyrimą vykdė pagrindinis VATARAS tvarkytojas IRD. Sprendime dėl pažeidimo nurodyta VDAI išvada, kad pareiškėjas yra įgaliotas atlikti asmens duomenų, tvarkomų VATARAS, saugumo pažeidimų tyrimą bei kitas reikalingas asmens duomenų saugumo pažeidimo valdymo procedūras, teikti pranešimus apie asmens duomenų saugumo pažeidimus VDAI ir duomenų subjektams bei atlikti Asmens duomenų saugumo pažeidimų valdymo tvarkant asmens duomenis teisės aktais įgaliotiems duomenų tvarkytojams Lietuvos Respublikos vidaus reikalų ministerijos valdomuose registruose ir valstybės informacinėse sistemose tvarkos aprašo, patvirtinto Lietuvos Respublikos vidaus reikalų ministro 2020 m. rugpjūčio 28 d. įsakymu Nr. 1V-865, (toliau – ir Aprašas) 6 ir 19 punktuose nurodytus veiksmus, yra nepagrįsta.

3.5.       VDAI nevertino duomenų saugumo pažeidimo keliamo pavojaus duomenų subjekto teisėms ir laisvėms, neatsižvelgė į tai, kad nebuvo nustatyta, jog duomenys būtų pateikti tretiesiems asmenims ar atsirastų kitos BDAR preambulės 75 punkte nurodytos sąlygos, apibūdinančios įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms. Duomenų subjektas nepateikė tokių įrodymų. Pareiškėjas neturi įgaliojimų ir techninių galimybių audituoti ir administruoti VATARAS. Pareiškėjas pagal kompetenciją ėmėsi visų įmanomų organizacinių ir techninių priemonių, kad ateityje nepasikartotų panašūs atvejai.

3.6.       Dėl neteisėtų peržiūrų skaičiaus ir galimo sekimo bei galimo duomenų nutekinimo paaiškinta, kad laikotarpiu nuo 2019 m. liepos 17 d. iki 2021 m. gegužės 24 d. 98 iš 229 peržiūrų atliktos neteisėtai, jas atliko 14 pareiškėjo darbuotojų. Laikotarpiu nuo 2019 m. liepos 17 d. iki 2021 m. gegužės 24 d. 4 pareiškėjo darbuotojai turėjo teisę peržiūrėti duomenų subjekto asmens duomenis VATARAS pagal einamas pareigas. VDAI Sprendime dėl pažeidimo taip pat nustatė, kad duomenų subjekto VATARAS asmens duomenų peržiūra dalies darbuotojų buvo atlikta dėl jų vykdomų funkcijų, tačiau kiti VTD darbuotojai VATARAS tikslinosi kolegos gimimo datą, kad galėtų pasveikinti. Specialistė duomenų subjekto duomenis VATARAS tikrino 13 kartų, administruodama jai priskirtus konkursus ir atrankas, nes žinojo, jog jos buvusi kolegė ieško teisinio darbo ir domisi darbo vietomis kitose įstaigose. VDAI neįvertino šių aplinkybių, taip pat to, jog duomenų subjektas nepagrįstai teigė, kad pareiškėjo darbuotojai jį persekioja (4 VTD darbuotojai jo duomenis VATARAS peržiūrėjo teisėtai). Administruojant vieną konkursą, vienas darbuotojas gali atlikti iki keliasdešimt peržiūrų, apie tai duomenų subjektas žino, nes pats vykdė analogiškas funkcijas, 13 kartų peržiūra negali būti prilyginama nuolatiniam sekimui.

3.7.       VDAI nepagrįstai skyrė administracinę baudą Agentūrai. Pareiškėjas įvykdė visus VDAI nurodymus, aktyviai bendradarbiavo, pagrindinis VATARAS tvarkytojas yra ne pareiškėjas, o IRD. Pareiškėjas negali savarankiškai audituoti ir modernizuoti VATARAS, negali sukontroliuoti ir valdyti kontrolės procesų. Pažeidimas buvo pavienis ir nedelsiant buvo imtasi visų priemonių dėl pažeidimo aplinkybių ir priežasčių ištyrimo, atsakomybės pritaikymo, analogiškais atvejais, kai įstaigų darbuotojai netinkamai naudojasi registrais ar informacinėmis sistemomis tikrinant asmenų duomenis, ir dėl to buvo taikyta tarnybinė atsakomybė. VDAI prieš įstaigas nesiėmė jokių veiksmų, darant išvadą, kad užteko taikytos tarnybinės atsakomybės, keleto vieno asmens duomenų peržiūrų objektyviai negalima laikyti itin dideliu galimai neteisėtų peržiūrų skaičiumi, o skiriant baudą svarbu įvertinti ir pažeidimo mastą bei pasekmes, galimas pažeidimas nebuvo tyčinis, nebuvo padaryta žala, todėl VDAI, skirdama baudą, padarė esminius baudos skyrimo procedūros pažeidimus (pažeidė ADTAĮ 32 str. 3 d., nenurodydama pažeidimo padarymo momento, kuris pagal pateiktus duomenis viršija 2 metų laikotarpį, ADTAĮ 34 str. 3 d., 10 d. 4–7 p.), vertinant tai, kad VDAI skyrė baudą pareiškėjui už kito fizinio asmens, tapusio savarankišku duomenų valdytoju, pažeidimus, t. y. netinkamai nustatytas atsakomybės subjektas.

4.       Pareiškėjas papildomuose rašytiniuose paaiškinimuose nurodė, kad darbdavys negali atsakyti visapusiškai už darbuotojo neteisėtus veiksmus. Agentūra taikė Specialistei išankstines prevencines priemones: konfidencialumo pasižadėjimas, supažindinimas su Asmens duomenų tvarkymo, saugojimo ir šių duomenų subjektų teisių įgyvendinimo Valstybės tarnybos departamente prie Lietuvos Respublikos vidaus reikalų ministerijos tvarkos aprašu, patvirtintu VTD direktoriaus 2019 m. balandžio 11 d. įsakymu Nr. 27V-94, (toliau – ir Agentūros aprašas), mokymai ir kitos priemonės.

5.       Atsakovas VDAI atsiliepimuose į skundus prašė juos atmesti. Atsakovas atsiliepimus į skundus grindė šiais argumentais:

5.1.       Pareiškėjas 2021 m. liepos 14 d., 2021 m. spalio 18 d. ir 2022 m. kovo 14 d. paaiškinimuose nenurodė, kokių priemonių buvo imtasi, kai Agentūra nustatė, kad duomenų subjekto duomenys buvo peržiūrimi VATARAS neturint tam teisėto pagrindo. Pareiškėjas nepateikė duomenų, kaip buvo dokumentuoti nustatyti pažeidimai bei kokių priemonių imtasi, kad ateityje tokie atvejai nepasikartotų. Dėl to pareiškėjas 2022 m. kovo 17 d. raštu pakartotinai įpareigotas pateikti šiuos duomenis. Atsakovas, siekdamas surinkti duomenų subjekto skundams reikalingą informaciją, kreipėsi į VRM, IRD, Lietuvos Respublikos teisingumo ministeriją, vadovaudamasis BDAR 58 straipsnio 1 dalies a punktu, ne kartą kreipėsi į pareiškėją, prašydamas pateikti paaiškinimus ir pateikti įrodymus tam, kad būtų surinkta visa reikiama informacija, būtų gauti skundžiamo asmens paaiškinimai. Teisės aktai neriboja kreipimosi į skundžiamą asmenį kartų, nagrinėjant skundus ar atliekant tyrimus. Pagal BDAR duomenų valdytojas (šiuo atveju pareiškėjas), įgyvendindamas atskaitomybės principą, privalo įrodyti, kad jo skundžiami veiksmai atitinka BDAR reikalavimus.

5.2.       Pareiškėjas nepagrindė įrodymais, jog dalis VTD darbuotojų tikslinosi kolegės (duomenų subjekto) gimimo datą tam, kad ją galėtų pasveikinti, jog duomenys niekur nebuvo panaudoti, minėti darbuotojai griežtai įspėti ateityje dėl gimimo datos teirautis tik asmeniškai konkretaus kolegos, kurį nori pasveikinti su gimtadieniu. VDAI nepateikti 19 pareiškėjo darbuotojų sąrašai su duomenimis, nepateikti sąrašai asmenų, kurie duomenų subjekto duomenis tikrino VATARAS teisėtai, vykdydami jiems pavestas funkcijas, kurie neteisėtai, taip pat nepateikti įrodymai, kad iš asmenų, kurie tikrino duomenų subjekto duomenis, buvo paprašyta pateikti paaiškinimus, nepateikti ir minėtų asmenų gauti paaiškinimai dėl duomenų tikrinimo.

5.3.       Sprendimas dėl pažeidimo priimtas praleidus ADTAĮ įtvirtintą skundo nagrinėjimo terminą, tačiau šiuo pagrindu Sprendimas dėl pažeidimo negali būti panaikintas. ADTAĮ ir BDAR nėra numatyti skundo nagrinėjimo terminai, kuriems suėjus skundas nebegali būti nagrinėjamas ir pripažįstamas pagrįstu. Skundo nagrinėjimas užtruko dėl skundų nagrinėjimo sudėtingumo, didelės apimties, poreikio pakartotinai ne vieną kartą kreiptis į skundžiamą asmenį dėl papildomos informacijos pateikimo. Atsakovas skundo nagrinėjimo metu nuolat atliko veiksmus, siekiant kuo greičiau išnagrinėti skundą (išskyrus laikotarpį, kuomet skundą nagrinėjantis asmuo laikinai atliko Priežiūros skyriaus vedėjo funkcijas, dėl ko buvo itin išaugęs darbo krūvis ir užimtumas), VDAI neturėjo tyčios vilkinti duomenų subjekto skundų nagrinėjimą, dėjo visas pastangas aiškinantis galimo teisės pažeidimo padarymo aplinkybes, siekiant nustatyti, ar buvo padarytas teisės pažeidimas.

5.4.       Nors Sprendime dėl pažeidimo aiškiai nepažymėta, jog pagal duomenų subjekto pateiktą IRD sąrašą buvo nustatyta, kad pareiškėjo darbuotojai laikotarpiu nuo 2019 m. kovo 16 d. iki 2021 m. gegužės 24 d. asmens duomenis VATARAS tikrino 244 kartus, tačiau aktualus laikotarpis pagal duomenų subjekto prašymą yra 2019 m. liepos 17 d. iki 2021 m. gegužės 24 d., kuriuo metu buvo atliktos 229 peržiūros, o įvertinus, kad VDAI niekada nebuvo atskleista, kada ginčo asmens duomenys VATARAS buvo tikrinti teisėtai, pareiškėjas nepaaiškino, dėl kokių laikotarpių buvo kreiptasi į jo darbuotojus, siekiant gauti iš jų paaiškinimus, Sprendime dėl pažeidimo tikslingai peržiūros neskaidytos į aktualius laikotarpius pagal skundo dalyką. VDAI 2022 m. kovo 17 d. rašte nurodė, kad nagrinėja du duomenų subjekto skundus, kuriuose skundžiamasi, kad laikotarpiu nuo 2019 m. kovo 16 d. iki 2021 m. gegužės 24 d. pareiškėjo darbuotojai peržiūrėjo asmens duomenis VATARAS 244 kartus, iš kurių net 98 kartus duomenys peržiūrėti neteisėtai.

5.5.       Pareiškėjas laikytinas VATARAS duomenų ir asmens duomenų tvarkytoju. BDAR nėra įtvirtintos sąvokos pagrindinis tvarkytojas ir kiti duomenų tvarkytojai. VRM pateikė paaiškinimą, kad VATARAS veiklos teisiniai pagrindai (įskaitant VATARAS paskirtį, objektus, valdytoją, tvarkytojus) nustatyti VTĮ bei Valstybės tarnautojų registro nuostatuose, patvirtintuose Lietuvos Respublikos Vyriausybės 2002 m. rugpjūčio 10 d. nutarimu Nr. 1255, (toliau – ir VATARAS nuostatai), pagal VTĮ 53 straipsnio 4 dalį bei VATARAS nuostatų 8.2 punktą VATARAS duomenų ir asmens duomenų tvarkytoju yra laikytina Agentūra.

5.6.       Nagrinėjamu atveju buvo pažeistas duomenų subjekto asmens duomenų saugumas, t. y. konfidencialumo pažeidimas, sistemingai juos peržiūrint pareiškėjo darbuotojams be jokio teisėto tikslo, pažeidimas atitinka BDAR 4 straipsnio 12 dalyje numatytą asmens duomenų saugumo pažeidimo apibrėžimą, 29 straipsnio duomenų apsaugos darbo grupės Gairėse dėl pranešimo apie asmens duomenų saugumo pažeidimą pagal Reglamentą (ES) 2016/679 pateiktą asmens duomenų saugumo pažeidimo apibrėžimo išaiškinimą, 29 straipsnio duomenų apsaugos darbo grupės Nuomonėje 03/2014 dėl pranešimo apie asmens duomenų saugumo pažeidimą konfidencialumo pažeidimo apibrėžimą.

5.7.       Pareiškėjas, vadovaudamasis Aprašo 2 punktu, turėjo teikti pranešimus apie asmens duomenų saugumo pažeidimus VDAI ir duomenų subjektams. Nei IRD, nei pareiškėjas neinformavo VDAI apie nustatytus saugumo pažeidimus, o VDAI pasiteiravus pareiškėjo, ar buvo dokumentuoti asmens duomenų saugumo pažeidimo metu nustatyti faktai ir tyrimo rezultatai, nurodyta, kad informaciją apie galimą asmens duomenų saugumo pažeidimą pareiškėjas gavo iš pagrindinio VATARAS asmens duomenų tvarkytojo (IRD), kuriam teikė informaciją apie VTD atliktus veiksmus dėl šio asmens duomenų saugumo pažeidimo. Asmens duomenų saugumo pažeidimas buvo žinomas ir VATARAS asmens duomenų valdytojui (VRM). BDAR 33 straipsnio 1 ir 5 dalies nuostatas pagal kompetenciją įgyvendina VATARAS asmens duomenų valdytojas. Duomenų valdytojas, naudodamasis tinkamomis techninėmis ir organizacinėmis priemonėmis, turi sugebėti identifikuoti ir ištirti galimai įvykusį asmens duomenų apsaugos pažeidimą ir imtis taisomųjų veiksmų. Nors Agentūra yra VATARAS duomenų ir asmens duomenų tvarkytoja, tačiau, remiantis Aprašu, turėjo apie nustatytą saugumo pažeidimą informuoti VDAI bei imtis kitų asmens duomenų saugumo pažeidimo valdymo procedūrų, nes dėl tokių Agentūros darbuotojų neteisėtų veiksmų ir jų apimties kilo pavojus duomenų subjekto teisėms ir laisvėms.

5.8.       Aplinkybė, jog pareiškėjas neįgyvendino su asmens duomenų saugumo pažeidimu susijusių funkcijų (tyrimas, dokumentavimas, informavimas), tačiau, įvykus asmens duomenų saugumo pažeidimui, ėmėsi aktyvių veiksmų pažeidimui pašalinti, nešalina pareiškėjo atsakomybės dėl prieigos prie asmens duomenų be leidimo suteikimo. Įvertinusi, kad Agentūra ir IRD, kaip VATARAS duomenų tvarkytojai bei VATARAS asmens duomenų tvarkytojai, netinkamai įgyvendino jiems pavestas teises ir pareigas pagal Aprašą, VDAI teikė nurodymą VRM aiškiai sureguliuoti duomenų tvarkytojų teises ir pareigas, susijusias su asmens duomenų tvarkymu, atliekamu VRM vardu VATARAS, rekomenduojant peržiūrėti ir kitų duomenų tvarkytojų teises ir pareigas, susijusias su asmens duomenų tvarkymu, atliekamu VRM vardu, tvarkomų VRM valdomuose registruose ir valstybės informacinėse sistemose.

5.9.       Laikotarpiu nuo 2019 m. liepos 17 d. iki 2021 m. gegužės 24 d. buvo atliktos 229 duomenų subjekto asmens duomenų peržiūros, kurias vykdė 19 Agentūros darbuotojų, pareiškėjas nenurodė tikslaus skaičiaus, kiek kartų duomenys tikrinti teisėtai, todėl pagrįstai vertinta, kad pareiškėjo darbuotojai nebuvo tinkamai supažindinti (apmokyti) su duomenų tvarkymo taisyklėmis, nuostatais (be kita ko, Agentūros aprašo 10 punktu), kad Agentūroje nebuvo vykdoma darbuotojų duomenų tvarkymo teisėtumo kontrolė, kuri sudarytų prielaidas prevenciškai užkardyti neteisėtą asmens duomenų tvarkymą, kaip to reikalauja BDAR 32 straipsnio 4 dalies, 24 straipsnio 1 dalies nuostatos. Agentūros nurodytos organizacinės ir techninės priemonės, kad ateityje nepasikartotų panašūs atvejai, Agentūroje buvo vykdomos po pažeidimų, todėl nepanaikina pareiškėjo atsakomybės. Atsižvelgiant į itin didelį pareiškėjo darbuotojų skaičių, kurie tikrino daugybę kartų duomenų subjekto duomenis VATARAS, neturėdami tam teisėto pagrindo ir teisėto tikslo, pažeisdami saugos politiką įgyvendinančius teisės aktus, kurie yra privalomi VATARAS tvarkytojams bei naudotojams (įskaitant Agentūrą), nuspręsta, kad pareiškėjas pažeidė BDAR 5 straipsnio 1 dalies a ir f punktus.

5.10.       Atsakovas skyrė pareiškėjui administracinę baudą, įvertinęs visas nustatytas aplinkybes pagal BDAR 83 straipsnio 2 dalį, atsižvelgęs į pažeidimo mastą ir pobūdį (itin didelis pareiškėjo darbuotojų skaičius, kurie tikrino daugybę kartų duomenų subjekto duomenis VATARAS, neturėdami tam teisėto pagrindo ir teisėto tikslo, pažeisdami saugos politiką įgyvendinančius teisės aktus, kurie yra privalomi VATARAS tvarkytojams bei naudotojams, įskaitant ir Agentūrą), nustatęs, jog Agentūra pažeidė BDAR 5 straipsnio 1 dalies a ir f punktus, įvertinęs ir tai, kad po nustatyto asmens duomenų saugumo pažeidimų pareiškėjo taikyti taisomieji veiksmai nepanaikino jo atsakomybės už nustatytus pažeidimus. Kadangi Agentūra laikytina VATARAS duomenų tvarkytoju ir VATARAS asmens duomenų tvarkytoju, šiais pagrindais atsakomybė turi būti taikoma būtent pareiškėjui už netinkamai įgyvendinamus teisės aktus, reguliuojančius asmens duomenų tvarkymą. Agentūrai taikytinos BDAR 5 straipsnio 1 dalies a punkto, f punkto, 32 straipsnio 4 dalies, 29 straipsnio, Gairių 2020, 2021 m. liepos 7 d. Gairių Nr. 07/2020 (toliau – ir Gairės 2021) 81 punkto, BDAR 28 straipsnio 20 dalies nuostatos. Pareiškėjo argumentai dėl jo kaltės formos, negali lemti baudos skyrimo ar neskyrimo, ar baudos dydžio. Pareiškėjas laiku teikė paaiškinimus, tačiau jų pateikimas VDAI dar savaime nelemia išvadų, kad pareiškėjas bendradarbiavo su VDAI. Agentūra neteikė visų VDAI prašomų duomenų.

6.       Trečiasis suinteresuotas asmuo IRD atsiliepime į skundą prašė jį atmesti. Trečiasis suinteresuotas asmuo atsiliepimą į skundą grindė tuo, kad pareiškėjas yra VATARAS tvarkytojas. Agentūrai, kaip VATARAS tvarkytojai, pavesta įgyvendinti duomenų subjekto teises, taip pat atlikti asmens duomenų saugumo pažeidimų valdymo funkcijas (be kita ko, atlikti asmens duomenų saugumo pažeidimų tyrimą bei kitas pažeidimo valdymo procedūras, teikti pranešimus apie asmens duomenų saugumo pažeidimus VDAI ir duomenų subjektams, dokumentuoti ir registruoti duomenų saugumo pažeidimus).

7.       Trečiasis suinteresuotas asmuo J. R. atsiliepimuose į pareiškėjo skundus prašė juos atmesti. Trečiasis suinteresuotas asmuo atsiliepimus į skundus grindė šiais argumentais:

7.1.       Specialistė peržiūrėjo duomenų subjekto duomenis ne 13, o 63 kartus, tai patvirtina IRD 2021 m. birželio 9 d. rašte Nr. 9R-1233 (toliau – ir 2021 m. birželio 9 d. raštas) pateikta informacija. Agentūra, tirdama Specialistės tarnybinį nusižengimą, paprašė jos pasiaiškinti dėl 11 peržiūrų, nors žinojo apie IRD 2021 m. birželio 9 d. raštu pateiktą asmens duomenų peržiūrų sąrašą, tačiau juo nesivadovavo, tyrimą atliko nevisapusiškai ir neobjektyviai.

7.2.       Daug pareiškėjo darbuotojų peržiūrėjo duomenų subjekto duomenis VATARAS. Darbuotojai, peržiūrėję trečiojo suinteresuoto asmens duomenis, susipažino su labai dideliu informacijos kiekiu apie jos privatų gyvenimą. Beveik 2 metus Agentūra duomenų subjekto asmens duomenis VATARAS tvarkė, pažeisdama teisę į duomenų apsaugą. Sistemingas asmens duomenų tvarkymo pažeidimas užkirto kelią duomenų subjektui kontroliuoti savo asmens duomenis, paneigė jo teisę į Lietuvos Respublikos Konstitucijoje įtvirtiną privatų gyvenimą. Tai patvirtina ir Agentūros 2021 m. liepos 8 d. tarnybinio tyrimo išvada Nr. 27L-273 „Dėl L. P. tarnybinio nusižengimo“ (toliau – ir Išvada), jog buvo pažeista nustatyta VATARAS naudojimosi tvarka, neteisėtai sužinoti duomenys (asmeninė informacija), kurios neturėjo teisės sužinoti ir pažeistos duomenų subjekto teisės ir teisėti lūkesčiai į tinkamą ir teisėtą jo asmens duomenų tvarkymą. Dėl to pareiškėjo argumentas, kad sekimas negalėjo sukelti rimto pavojaus duomenų subjekto teisėms ir laisvėms, nepagrįstas.

7.3.       Skundo nagrinėjimo terminai VDAI neturi įtakos pareiškėjo padarytiems pažeidimams kvalifikuoti ir nesudaro pagrindo panaikinti Sprendimą dėl pažeidimo. Pareiškėjui bauda paskirta pagrįstai.

8.       Trečiasis suinteresuotas asmuo VRM atsiliepime į skundą nurodė, kad VATARAS veiklos teisiniai pagrindai (įskaitant VATARAS paskirtį, objektus, valdytoją, tvarkytojus) nustatyti VTĮ 53 straipsnyje, VATARAS nuostatuose. Vadovaujantis VTĮ 53 straipsnio 4 dalimi ir VATARAS nuostatų 8.2 punktu, VATARAS tvarkytoju laikytinas pareiškėjas, vadovaujantis VTĮ 53 straipsnio 2 dalimi, VATARAS valdytoju laikytina VRM. Reorganizavus VATARAS, jo valdytoju buvęs paskirtas ir valdytojo teises ir pareigas įgyvendinęs pareiškėjas nuo 2019 m. rugpjūčio 31 d. atlieka tik VATARAS tvarkytojo funkcijas, numatytas VATARAS nuostatų 10 punkte. Registre tvarkomos elektroninės informacijos sauga užtikrinama vadovaujantis Kai kurių Lietuvos Respublikos vidaus reikalų ministerijos valdomų registrų ir valstybės informacinių sistemų duomenų saugos nuostatais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2017 m. gruodžio 22 d. įsakymu Nr. 1V-883 (toliau – ir VRM duomenų saugos nuostatai), Kai kurių Lietuvos Respublikos vidaus reikalų ministerijos valdomų registrų ir valstybės informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklėmis (toliau – ir VRM elektroninės informacijos tvarkymo taisyklės) ir Kai kurių Lietuvos Respublikos vidaus reikalų ministerijos valdomų registrų ir valstybės informacinių sistemų naudotojų administravimo taisyklėmis (toliau – ir VRM administravimo taisyklės), patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2018 m. lapkričio 26 d. įsakymu Nr. 1V-871, kurie privalomi VATARAS tvarkytojams bei naudotojams (įskaitant pareiškėją ir jo paskirtus naudotojus). VATARAS naudotojams draudžiama naudoti asmens duomenis su vykdomomis darbo ir tarnybinėms funkcijomis nesusijusiems tikslams ar juos atskleisti (VATARAS nuostatų 54 p., VRM duomenų saugos nuostatų 65, 67, 68 p., VRM administravimo taisyklių 5 p.). Pareiškėjui, kaip VATARAS tvarkytojui, pavesta įgyvendinti duomenų subjekto teises. Pareiškėjas įgaliotas atlikti asmens duomenų, tvarkomų VATARAS, saugumo pažeidimų tyrimą bei kitas reikalingas asmens duomenų saugumo pažeidimo valdymo procedūras, teikti pranešimus apie asmens duomenų saugumo pažeidimus VDAI ir duomenų subjektams. Pareiškėjas, kaip VATARAS tvarkytojas, nustato informacijos apie galimą asmens duomenų saugos pažeidimą gavimo, nagrinėjimo ir asmens duomenų saugos pažeidimo tyrimo ir asmens duomenų saugos pažeidimo poveikio duomenų subjektų teisėms ir laisvėms vertinimo procedūras, dokumentuoja ir registruoja visus asmens duomenų saugumo pažeidimus duomenų tvarkytojo nustatyta tvarka.

9.       Trečiasis suinteresuotas asmuo L. P. nepateikė atsiliepimo į skundus.

 

II.

 

10.       Regionų administracinis teismas 2024 m. vasario 20 d. sprendimu atmetė pareiškėjo skundus.

11.       Teismas nustatė šias bylai reikšmingas aplinkybes:

11.1.       J. R. 2021 m. birželio 24 d. kreipėsi į VDAI su skundu, kuriame nurodė, kad laikotarpiu nuo 2020 m. gruodžio 15 d. iki 2021 m. balandžio 14 d. 7 kartus Agentūros Specialistė peržiūrėjo jos asmens duomenis VATARAS (2021 m. balandžio 3 d. 23:14:01, 2021 m. kovo 7 d. 22:08:28, 2021 m. vasario 18 d. 18:09:40, 2021 m. sausio 31 d. 18:50:42, 2021 m. sausio 13 d. 22:53:27, 2021 m. sausio 5 d. 22:46:10, 2020 m. gruodžio 21 d. 22:17:40). Duomenų subjektas pažymėjo, kad nurodytu laiku jis nesinaudojo Agentūros paslaugomis (nedalyvavo jokiame organizuotame Agentūros konkurse ir (ar) atrankoje), todėl Specialistė neturėjo jokio pagrindo peržiūrėti jo asmens duomenų. Be to, duomenys peržiūrėti nakties ir ne darbo metu.

11.2.       Iš VDAI Sprendimo dėl pažeidimo matyti, kad VDAI papildomai nepasisakė dėl šio pirminio skundo. Pažymėjo, jog Specialistė buvo viena iš Agentūros darbuotojų, peržiūrėjusių duomenų subjekto asmens duomenis VATARAS, todėl iš esmės Agentūra išnagrinėjo ir pripažino pagrįstu J. R. 2021 m. liepos 12 d. patikslintą skundą, kuriame ji nurodė, kad laikotarpiu nuo 2019 m. liepos 17 d. iki 2021 m. gegužės 24 d. 14 Agentūros darbuotojų duomenų subjekto asmens duomenis VATARAS peržiūrėjo 229 kartus. Tik 4 Agentūros darbuotojai turėjo teisę peržiūrėti duomenų subjekto asmens duomenis VATARAS, tačiau kiti tokios teisės neturėjo. J. R. vertinimu, ji buvo sistemingai beveik 2 metus dėl nežinomų priežasčių persekiojama Agentūros darbuotojų, jos duomenys galimai buvo nutekinti tretiesiems asmenims. Duomenų subjekto skundas buvo pildytas 2021 m. gruodžio 1 d. ir 2021 m. gruodžio 22 d.

11.3.       VDAI, nagrinėdama duomenų subjekto skundus, 2021 m. birželio 29 d., 2021 m. rugsėjo 30 d. ir 2021 m. gruodžio 21 d. ir 2022 m. kovo 17 d. nurodymais įpareigojo Agentūrą pateikti išsamius paaiškinimus ir juos pagrindžiančius įrodymus dėl trečiojo suinteresuoto asmens J. R. skunduose nurodytos Agentūros veiklos, susijusios su jos asmens duomenų tvarkymu. VDAI taip pat įpareigojo Agentūrą pateikti duomenis, ar nustatyti pažeidimai buvo dokumentuoti, kokių veiksmų Agentūra ėmėsi, kad nustatyti pažeidimai nepasikartotų ateityje.

11.4.       Agentūra 2021 m. liepos 14 d., 2021 m. spalio 18 d., 2022 m. kovo 14 d. ir 2022 m. balandžio 30 d. paaiškinimuose pateikė J. R. skundams nagrinėti reikalingą informaciją, vykdė VDAI nurodymus ir pateikė duomenis apie nustatytų pažeidimų dokumentavimą bei kokių priemonių Agentūra ėmėsi, kad ateityje tokie atvejai nepasikartotų. Agentūra 2021 m. liepos 8 d. parengė Išvadą, kurioje nurodė, kad Specialistė neturėjo nei teisinio, nei faktinio pagrindo tvarkyti, t. y. peržiūrėti J. R. asmens duomenis VATARAS. Agentūros direktorius 2021 m. liepos 13 d. įsakymu Specialistei paskyrė tarnybinę nuobaudą – papeikimą. Dėl kitų Agentūros darbuotojų, peržiūrėjusių duomenų subjekto asmens duomenis VATARAS, nurodė, kad 4 darbuotojai turėjo teisę peržiūrėti jos asmens duomenis VATARAS, nes tai buvo susiję su jų vykdomomis funkcijomis, kiti siekė sužinoti duomenų subjekto gimimo datą. Nei vienas iš Agentūros darbuotojų duomenų subjekto asmens duomenų neperdavė tretiesiems asmenims.

11.5.       IRD 2022 m. kovo 17 d. raštu Nr. 2R-1191 informavo VDAI, kad VATARAS valdytojas ir VATARAS tvarkomų asmens duomenų valdytojas yra VRM, kuri buvo informuota apie galimą VATARAS tvarkomų asmens duomenų saugumo pažeidimą.

11.6.       VDAI 2022 m. birželio 30 d. Sprendimu dėl pažeidimo pripažino J. R. skundus pagrįstais. VDAI, įvertinusi tai, kad laikotarpiu nuo 2019 m. kovo 16 d. iki 2021 m. gegužės 24 d. duomenų subjekto duomenys 19 Agentūros darbuotojų buvo peržiūrėti net 244 kartus, iš jų dauguma atvejų neturint tam teisėto tikslo ir pagrindo, pažeidžiant saugos politiką įgyvendinančius teisės aktus, kurie yra privalomi VATARAS tvarkytojams bei naudotojams (įskaitant Agentūrai), nustatė BDAR 5 straipsnio 1 dalies a ir f punktų pažeidimus. Taip pat VDAI konstatavo, kad Agentūros darbuotojai nebuvo tinkamai supažindinti (apmokyti) su duomenų tvarkymo taisyklėmis, nuostatais, Agentūroje nebuvo vykdoma Agentūros darbuotojų duomenų tvarkymo teisėtumo kontrolė, kurios metu gali būti nustatytas neteisėtas duomenų tvarkymas. Be to, Agentūra neinformavo VDAI apie nustatytą saugumo pažeidimą, šią pareigą atliko IRD.

11.7.       VDAI 2022 m. rugsėjo 12 d. sprendimu už BDAR 5 straipsnio 1 dalies a ir f punktų nuostatų pažeidimus pareiškėjui paskyrė 4 500 eurų baudą. Sprendime vertintos aplinkybės dėl pažeidimo pobūdžio, sunkumo ir trukmės (itin didelis Agentūros darbuotojų skaičius, kurie tikrino daugybę kartų duomenų subjekto duomenis VATARAS, neturėdami tam teisėto pagrindo ir teisėto tikslo, pažeisdami saugos politiką įgyvendinančius teisės aktus; pripažintas BDAR 5 straipsnio 1 dalies a ir f punktų pažeidimas; duomenys periodiškai buvo tikrinami VATARAS nuo 2019 m. kovo 16 d. iki 2021 m. gegužės 24 d., taigi pažeidimai yra tęstinio pobūdžio ir truko ilgą laiką; dėl tokio duomenų tvarkymo duomenų subjektui buvo užkirstas kelias kontroliuoti savo duomenis, todėl žala duomenų subjektui negali būti vertinama kaip nedidelė; šios aplinkybės vertinamos kaip Agentūros atsakomybę sunkinantis veiksnys), pažeidimo tyčios ar aplaidumo (nustatytas aplaidumas, atsižvelgus į tai, jog fiksuotas itin didelis Agentūros darbuotojų skaičius, kurie tikrino daugybę kartų duomenų subjekto duomenis VATARAS, neturėdami tam teisėto pagrindo ir teisėto tikslo, pažeisdami saugos politiką įgyvendinančius teisės aktus, taigi Agentūra nevykdė ar netinkamai vykdė Agentūros darbuotojų duomenų tvarkymo teisėtumo kontrolę, kurios metu galėjo būti nustatytas neteisėtas duomenų tvarkymas; tai nevertinama kaip atsakomybę sunkinanti ar lengvinanti aplinkybė), bendradarbiavimo su VDAI siekiant atitaisyti pažeidimą ir sumažinti galimą neigiamą jo poveikio laipsnį (Agentūra paaiškinimus į VDAI raštus teikė tinkamai ir laiku, tačiau neatsižvelgiama į bendradarbiavimą, kuris yra privalomas pagal teisės aktus), BDAR 58 straipsnio 2 dalyje nurodytų priemonių taikymo Agentūrai (anksčiau taisomosios priemonės dėl to paties dalyko nebuvo taikytos, todėl šis aspektas nevertintas), kitos atsakomybę lengvinančios ar sunkinančios aplinkybės (nenustatyta; Agentūros priemonės, kurių ji ėmėsi po pažeidimo paaiškėjimo, negali būti vertinamos kaip atsakomybę švelninantis veiksnys, kadangi padarytas pažeidimas dėl savo pobūdžio iš esmės negali būti atitaisytas, taip pat VDAI nebuvo pateikta jokių duomenų, kad Agentūra kokiais nors būdais siekė sumažinti neigiamą jo poveikį). Atsižvelgęs į tai, kad Agentūros bendras aktualus biudžeto pajamų dydis yra 1 585 000 Eur, todėl atsakovas 4 500 Eur baudą laikė proporcinga poveikio priemone siekiant, kad Agentūra ateityje užtikrintų BDAR nuostatų laikymąsi.

12.       Teismas nustatė, jog ginčo santykius reguliuoja BDAR, ADTAĮ, Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymas, VTĮ, VATARAS nuostatai, Agentūros aprašas, Aprašas, VRM duomenų saugos nuostatai, VRM elektroninės informacijos tvarkymo taisyklės ir VRM administravimo taisyklės, Priėmimo į valstybės tarnautojo pareigas organizavimo tvarkos aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2018 m. lapkričio 28 d. nutarimu Nr. 1176.

13.       Vertindamas skundo argumentus dėl procedūrinių pažeidimų, teismas vadovavosi ADTAĮ 30 straipsnio 2 dalimi, Lietuvos vyriausiojo administracinio teismo praktika šiuo aspektu ir nustatė, jog byloje nėra ginčo, kad Sprendimo dėl pažeidimo priėmimo terminas (dėl skundų) buvo praleistas. Teismas vertino, jog byloje nėra įrodymų, kad VDAI būtų sąmoningai vilkinusi skundų nagrinėjimą, todėl atmetė pareiškėjo argumentus, susijusius su 4 nepagrįstais nurodymais, kuriais neva atsakovas vilkino skundų išnagrinėjimą, kaip stokojančius pagrįstumo. Teismas aptarė VDAI ir Agentūros susirašinėjimą, VDAI valstybės tarnautojų, atliekančių tikrinimus, pareigas, įtvirtintas Valstybinės duomenų apsaugos inspekcijos vykdomų tyrimų ir (ar) patikrinimų atlikimo taisyklių, patvirtintų VDAI direktoriaus 2019 m. liepos 17 d. įsakymu Nr. 1T-92(1.12.E), 56 punkte, akcentavo, jog duomenų subjekto 2021 m. birželio 22 d. skundas ir 2021 m. liepos 12 d. skundas nebuvo tapatūs, t. y. 2021 m. birželio 22 d. skundu jis kreipėsi nurodydamas, kad viena Agentūros darbuotoja be teisėto pagrindo VATARAS peržiūrėjo duomenų subjekto asmens duomenis, 2021 m. liepos 12 d. skunde jis nurodė, kad 19 Agentūros darbuotojų VATARAS peržiūrėjo jo asmens duomenis, bei, įvertinęs duomenų subjekto skundų nagrinėjimo aplinkybes, duomenų apimtį, klausimo sudėtingumą, ir tai, kad VDAI nagrinėdama duomenų subjekto skundus turėjo surinkti, išanalizuoti ir apibendrinti tikrinimui reikalingą informaciją, atmetė pareiškėjo argumentus dėl sąmoningai vilkinto duomenų subjekto skundų nagrinėjimo VDAI. Nors Sprendimas dėl pažeidimų buvo priimtas vėliau nei ADTAĮ nustatytas terminas, tačiau, teismo vertinimu, tai nėra esminis procedūrinis pažeidimas, kuris būtų lėmęs skundą padavusio asmens teisių pažeidimą ir kuris galėtų būti pagrindu panaikinti Sprendimą dėl pažeidimo. Pareiškėjas skunde tik bendrai nurodė, kad terminas buvo praleistas, tačiau nedetalizavo, kokios neigiamos pasekmės jam kilo dėl to. Teismas nurodė, kad ADTAĮ 30 straipsnio 2 dalyje nustatytas terminas nėra naikinamais. Teismas nenustatė, kad buvo pažeistos esminės procedūros ir taisyklės, turinčios užtikrinti visapusišką, išsamų ir objektyvų skundų dėl asmens duomenų tvarkymo išnagrinėjimą.

14.       Dėl neva VDAI viršytų įgaliojimų Sprendime dėl pažeidimo vertinus duomenų subjekto asmens duomenų peržiūras nuo 2019 m. kovo 16 d. iki 2021 m. gegužės 24 d., o ne už laikotarpį nuo 2019 m. liepos 17 d. iki 2021 m. gegužės 24 d., teismas vadovavosi ADTAĮ 27 straipsnio 1 dalies 8 punktu, analizavo duomenų subjekto 2021 m. liepos 12 d. skundo turinį ir pažymėjo, jog nors VDAI atkreipė dėmesį, kad duomenų subjekto asmens duomenis Agentūros darbuotojai VATARAS peržiūrėjo nuo 2019 m. kovo 16 d. iki 2021 m. gegužės 24 d., tačiau atsakovas, atsižvelgdamas į ADTAĮ 27 straipsnio 1 dalies 8 punktą ir duomenų subjekto 2021 m. liepos 12 d. skunde patikslintą laikotarpį, pažeidimą pripažino ir baudą paskyrė už laikotarpį nuo 2019 m. liepos 17 d. iki 2021 m. gegužės 24 d. Agentūros darbuotojai laikotarpiu nuo 2019 m. liepos 17 d. iki 2021 m. gegužės 24 d. tikrino duomenų subjekto duomenis VATARAS, duomenų subjektas skundą pateikė nesuėjus 2 metų senaties terminui, todėl teismas atmetė šį pareiškėjo argumentą.

15.       Teismas atmetė skundo argumentus dėl VDAI pažeistos pareiškėjo teisės į gynybą, nes duomenų subjekto 2021 m. liepos 12 d. skundas, kaip ir IRD raštai, kuriais duomenų subjektas grindė savo argumentus, buvo pateikti Agentūrai. Agentūra buvo susipažinusi su duomenų subjekto argumentais, dėl jų galėjo pasisakyti ir pateikti paaiškinimus.

16.       Vertindamas skundo argumentus dėl VATARAS tvarkytojo, teismas vadovavosi BDAR 4 straipsnio 2, 8 punktais, VATARAS nuostatų 2, 7–8, 8.2 punktais, Valstybės tarnybos departamento prie Lietuvos Respublikos vidaus reikalų ministerijos nuostatų, patvirtintų Lietuvos Respublikos vidaus reikalų ministro 2018 m. gruodžio 31 d. įsakymu Nr. 1V-983 (2019 m. sausio 1 d. redakcija; neteko galios nuo 2023 m. spalio 1 d.), 1, 8, 10.1 punktais ir priėjo prie išvados, kad VATARAS tvarkytoju laikytinas pareiškėjas. Teismas pažymėjo, jog aplinkybė, kad IRD taip pat yra VATARAS tvarkytojas nepaneigia to, kad pareiškėjas taip pat laikytinas VATARAS tvarkytoju.

17.       Teismas dėl skundo argumentų, kad Agentūros darbuotojai negali būti laikomi valdytojo „vidiniais ištekliais“, kaip nurodoma Gairėse 2020, analizavo VDAI Sprendimą dėl pažeidimo šiuo aspektu ir sutiko su VDAI išvada, kad Agentūra duomenų subjekto asmens duomenis VATARAS tvarkė naudodama savo vidinius išteklius, t. y. darbuotojus, suteikdama jiems VATARAS prieigą, reikalingą jų darbo funkcijoms atlikti. Teismas pažymėjo, kad pareiškėjo argumentai dėl vidinių išteklių sampratos nėra pagrįsti teisiniu reguliavimu, pagal kurį viešojo administravimo subjektas atlieka tam tikrą vidaus administravimo veiklą, prie kurios priskiriama veikla, kuria užtikrinamas viešojo administravimo subjekto, turinčio viešojo juridinio asmens statusą, savarankiškas funkcionavimas (struktūros tvarkymas, dokumentų, personalo, turimų materialinių ir finansinių išteklių valdymas), kad jis galėtų atlikti viešąjį administravimą (VAĮ 2 str. 17 d.). Teismas vadovavosi BDAR 29 straipsniu, nurodė, kad pažeidimo laikotarpiu Agentūros pavaldume buvusi Specialistė ar kiti neteisėtai trečiojo suinteresuoto asmens J. R. asmens duomenis tvarkę pareiškėjo darbuotojai sukelia pareiškėjo, kaip darbdavio ir asmens duomenų tvarkytojo, atsakomybę BDAR teisinio reguliavimo kontekste.

18.       Teismas atmetė pareiškėjo teiginius, kad jis nėra įgaliotas atlikti asmens duomenų, tvarkomų VATARAS, saugumo pažeidimų tyrimą bei kitas reikalingas asmens duomenų saugumo pažeidimo valdymo procedūras, teikti pranešimus apie asmens duomenų saugumo pažeidimus atsakovui ir duomenų subjektams, motyvuodamas tuo, kad pareiškėjas yra VATARAS tvarkytojas, todėl jam pavesta įgyvendinti duomenų subjekto teises, jis yra įgaliotas atlikti asmens duomenų, tvarkomų VATARAS, saugumo pažeidimų tyrimą bei kitas reikalingas asmens duomenų saugumo pažeidimo valdymo procedūras, teikti pranešimus apie asmens duomenų saugumo pažeidimus atsakovei ir duomenų subjektams (Aprašo 2 p.).

19.       Dėl BDAR 5 straipsnio 1 dalies a ir f punktų pažeidimo teismas vertino skundo argumentus, VDAI Sprendimo dėl pažeidimo motyvus šiuo aspektu, vadovavosi VATARAS nuostatų 14.1 punktu, BDAR 4 straipsnio 2 punktu, 5 straipsnio 1–2 dalimis, 6 straipsnio 1 dalimi ir nustatė, kad aptariamu atveju įvyko asmens duomenų atskleidimas (arba prieigos prie duomenų suteikimas) duomenų gavėjams, kurie neturėjo konkrečiu atveju tokio leidimo (prieigos) gauti ir kad neribotos prieigos prie VATARAS esamiems pareiškėjo darbuotojams suteikimas asmeninimas tikslams (pvz., sužinoti kolegės gimtadienio datą) nėra tinkama organizacinė, techninė vidaus administravimo priemonė viešojo administravimo subjekte, kuriam keliami nepiktnaudžiavimo valdžia, proporcingumo, skaidrumo, įstatymo viršenybės, atsakomybės už priimtus sprendimus ir kiti viešojo administravimo reikalavimai (principai) (VAĮ 3 str.). Teismas sprendė, kad VDAI pagrįstai Sprendime dėl pažeidimo konstatavo asmens duomenų saugumo (konfidencialumo) pažeidimą, pasireiškusį sistemingai Agentūros darbuotojams be teisėto tikslo peržiūrint vieno asmens VATARAS kaupiamus duomenis. Teismas vadovavosi BDAR preambulės 39 punktu, 32–35 straipsniais, akcentavo, kad VATARAS tvarkytojas yra ir pareiškėjas, kuris turėjo įgyvendinti buvusios darbuotojos (duomenų subjekto) tinkamą asmens duomenų tvarkymą VATARAS, užtikrinti, kad Agentūros darbuotojai VATARAS peržiūrėtų asmens duomenis tik vykdydami jiems pavestas užduotis. Teismas atmetė pareiškėjo argumentus, kad VRM laikytinas pagrindiniu VATARAS valdytoju ir dėl to jam neturėtų kilti atsakomybė už asmens duomenų saugumo pažeidimą. Teismas nurodė, jog tai, kad kitos institucijos taip pat laikytinos VATARAS tvarkytoju pagal esamą teisinį reguliavimą, nešalina pareiškėjo, kaip vieno VATARAS duomenų tvarkytojo, atsakomybės už asmens duomenų pažeidimus, kuriuos atliko jo pavaldume esantys darbuotojai.

20.       Teismas nustatė, to skunde neneigia ir pareiškėjas, kad 11 Agentūros darbuotojų laikotarpiu nuo 2019 m. liepos 17 d. iki 2021 m. gegužės 24 d. duomenų subjekto duomenis VATARAS tikrino be teisėto pagrindo: 6 darbuotojai tikslinosi kolegės gimimo datą, 4 darbuotojai negalėjo nurodyti jokios priežasties, viena darbuotoja (Specialistė) paaiškinimuose nurodė, kad ją su duomenų subjektu siejo draugiški santykiai, ji žinojo, kad kolegė nori keisti darbą, kolegė žodžiu buvo minėjusi, jog jei pasitaikytų informacija apie darbdavių pageidaujamą darbuotoją su teisine kvalifikacija bei patirtimi, esant galimybei ją informuotų arba pasiūlytų jos kandidatūrą busimiems darbdaviams (Agentūros 2021 m. liepos 1 d. raštas Nr. 27D-1841, IRD 2021 m. gegužės 24 d. ir 2021 m. birželio 9 d. raštai, Specialistės 2021 m. birželio 2 d. paaiškinimai). Teisėtai VATARAS peržiūras apie duomenų subjekto asmens duomenis atliko 4 darbuotojai. Teismas vertino, jog pareiškėjas iš IRD raštų ir Agentūros darbuotojų paaiškinimų turėjo suprasti, kad dalis Agentūros darbuotojų atliko VATARAS duomenų subjekto asmens duomenų peržiūras be teisėto pagrindo. Duomenų subjektas teikė Agentūrai tikslius duomenis apie peržiūras, Agentūrai taip pat buvo pateikti IRD raštai, kuriuose buvo nurodyti itin detalūs peržiūrų duomenys, pareiškėjas taip pat gavo darbuotojų paaiškinimus, taigi ne tik turėjo suprasti apie BDAR pažeidimus, padarytus Agentūroje, bet ir VDAI paprašius pateikti Agentūros darbuotojų sąrašus su duomenimis, taip pat pateikti sąrašą asmenų, kurie duomenų subjekto duomenis tikrino VATARE teisėtai, vykdydami jiems pavestas funkcijas, o kurie neteisėtai. Byloje nėra paneigta VDAI pozicija, kad pareiškėjas ne visus duomenis pateikė. Teismas atmetė pareiškėjo argumentus, kad iš Sprendimo dėl pažeidimo nėra aišku, kiek Agentūros darbuotojų su duomenų subjekto asmens duomenimis VATARAS susipažino teisėtai, o kiek ne, nes VDAI aptarė tiek IRD raštus, tiek pareiškėjo pateiktus dokumentus, t. y. Sprendimas dėl pažeidimo atitinka objektyvumo ir išsamumo reikalavimus. Teismas nurodė, kad bet kuriuo atveju atskaitomybės principas taikytinas asmens duomenų tvarkytojui, o ne priežiūros institucijai, nes būtent asmens duomenų tvarkytojas privalo pagrįsti asmens duomenų tvarkymo teisėtumą, skaidrumą, saugumo laikymąsi ir kitų asmens duomenų tvarkymo principų įgyvendinimą.

21.       Teismas, vertindamas skundo argumentus dėl nepažeisto duomenų subjekto asmens duomenų saugumo, sistemingai juos peržiūrint Agentūros darbuotojams be jokio teisėto tikslo, ir kad jis įvyko dėl asmens duomenų saugumo priemonių trūkumo, vadovavosi Agentūros aprašo nuostatomis ir nustatė, kad nepateikti įrodymai, jog buvo iki duomenų tvarkymo pažeidimų imtasi tinkamų ir pakankamų organizacinių, techninių priemonių tam, kad būtų užkardytas netinkamas asmens duomenų tvarkymas, ypač, kai identifikuojamas neįprastai didelis vieno asmens duomenų užklausų skaičius. Teismas pažymėjo, jog vien nustatytas pažeidimo pobūdis ir mastas patvirtina, kad pareiškėjas netaikė tinkamų ir pakankamų vidaus organizacinių ir techninių priemonių, naudodamas savo vidinius personalo išteklius. Agentūra tik 2021 m. rugpjūčio 17 d. suorganizavo Agentūros darbuotojams mokymus dėl asmens duomenų tvarkymo. Visi Agentūros valstybės tarnautojai ir darbuotojai, dirbantys pagal darbo sutartį, su atmintine dėl asmens duomenų tvarkymo Agentūroje buvo supažindinti 2021 m. rugsėjo 17 d., taip pat vykdant VRM 2021 m. rugpjūčio 30 d. pavedimo Nr. IVPR-19 2 punkte nurodytą priemonę – tobulinti vidinius procesus, atliko patikrinimą. IRD VATARAS įvedė papildomus paieškos laukus. Tačiau, teismas nurodė, jog šie veiksmai atlikti VDAI nagrinėjant duomenų subjekto skundus.

22.       Teismas nenustatė pagrindo nepritarti VDAI išvadomis, kad Agentūra po nustatytų asmens duomenų saugumo pažeidimų ėmėsi taisomųjų veiksmų, tokių kaip – gavusi IRD pranešimus ėmė tirti neteisėtų veiksmų aplinkybes, informavo apie nustatytus faktus IRD, ėmėsi kitų organizacinių ir techninių priemonių, kaip vidiniai mokymai, atmintinės paruošimas, kad panašūs atvejai ateityje nepasikartotų, tačiau šie veiksmai buvo vykdomi jau po tęstinį laikotarpį įvykusių asmens duomenų pažeidimų, todėl veiksmai, kuriuos atliko Agentūra po pažeidimo nustatymo, nesudaro pagrindo panaikinti Agentūros atsakomybę už nustatytus asmens duomenų pažeidimus Agentūroje, kurie truko tęstinį laikotarpį ir jį padarė nemažas (apie 10) Agentūros darbuotojų skaičius. Nustatęs, kad apie 10 Agentūros darbuotojų, tęstinį laikotarpį, daugybę kartų (apie 100 peržiūrų), neturėdami tam teisėto pagrindo ir teisėto tikslo, pažeisdami VATARAS saugos politiką įgyvendinančius aktus, atliko duomenų subjekto asmens duomenų peržiūrą VATARAS, Agentūra nepateikė duomenų, kad iki asmens duomenų pažeidimų Agentūroje buvo vykdoma Agentūros darbuotojų duomenų tvarkymo teisėtumo kontrolė, teismas priėjo prie išvados, kad pareiškėjas pagrįstai pripažintas pažeidęs BDAR 5 straipsnio 1 dalies a ir f punktus, nes duomenų subjekto VATARAS duomenys Agentūroje buvo tvarkomi neteisėtai, neužtikrinant asmens duomenų saugumo.

23.       Teismas teisiškai nereikšmingais pripažino pareiškėjo teiginius, kad Agentūros darbuotojai, susipažinę su duomenų subjekto asmens duomenimis VATARAS, jų neperdavė kitiems asmenims, nes nebuvo konstatuotas neteisėtas asmens duomenų perdavimas.

24.       Vertindamas skundo argumentus dėl pareiškėjui paskirtos 4 500 Eur baudos pagrįstumo, teismas vadovavosi ADTAĮ 31 straipsnio 2 dalies 1 punktu, BDAR 58 straipsnio 2 dalies i punktu, 83 straipsnio 1 dalimi, 2 dalies a ir e punktais, 5 dalies a punktu, analizavo VDAI 2022 m. rugsėjo 12 d. sprendimo turinį ir sprendė, kad atsakovas pagrįstai padarė išvadą, jog proporcinga ir pakankama poveikio priemonė Agentūrai yra administracinės 4 500 Eur baudos skyrimas. Teismas pažymėjo, kad Agentūrai skirta 4 500 Eur bauda, kuri įvertinus konstatuoto pažeidimo pobūdį, kitas poveikio priemonėms skirti reikšmingas aplinkybes, nesudaro pagrindo sutikti su skundo argumentais dėl poveikio priemonės neadekvatumo.

25.       Teismas konstatavo, kad VDAI teisingai taikė teisės normas, išsamiai išnagrinėjo faktines bylos aplinkybes, priėmė pagrįstus sprendimus, atitinkančius VAĮ 10 straipsnio reikalavimus.

 

III.

 

26.       Pareiškėjas Agentūra apeliaciniame skunde prašo panaikinti Regionų administracinio teismo 2024 m. vasario 20 d. sprendimą ir priimti naują sprendimą – panaikinti VDAI Sprendimą dėl pažeidimo, 2022 m. rugsėjo 12 d. sprendimą. Netenkinus šio pareiškėjo prašymo, prašo pakeisti Regionų administracinio teismo 2024 m. vasario 20 d. sprendimą – pakeisti VDAI 2022 m. rugsėjo 12 d. sprendimu skirtą baudą į papeikimą.

27.       Pareiškėjas apeliacinį skundą grindžia šiais pagrindiniais argumentais:

27.1.       VDAI priimti sprendimai yra neteisėti, nes atsakomybė turėjo būti taikoma Agentūros darbuotojui, o ne Agentūrai. Tai patvirtina viešai skelbiamas VDAI 2022 m. gegužės 31 d. sprendimas dėl neteisėto sveikatos duomenų tvarkymo (toliau – ir VDAI 2022 m. gegužės 31 d. sprendimas) (yra byloje), kuriame aptariamas beveik identiškas atvejis kaip ir nagrinėjamoje byloje. Darbdavys negali atsakyti už darbuotojo neteisėtus veiksmus. Agentūra taikė Specialistei išankstines prevencines priemones: konfidencialumo pasižadėjimas, supažindinimas su Agentūros aprašu, mokymai ir kitos priemonės. Teismas nepasisakė šiuo aspektu.

27.2.       Kadangi skundžiamame sprendime teismas sprendė, jog Agentūra duomenų subjekto asmens duomenis VATARAS tvarkė naudodama savo vidinius išteklius, t. y. darbuotojus, vadinasi darbuotojas yra atsakomybės subjektas. Aptarus VATARAS nuostatų 7–9 punktus, pažymima, kad IRD yra atskiras Valstybės tarnybos informacinių išteklių skyrius, kuris atsakingas už VATARAS funkcionavimą, tvarkymą, naujų technologijų taikymo analizavimą ir t. t. Įvykus nagrinėjamam duomenų saugumo pažeidimui, IRD atliko duomenų paieškos auditą, įvedė papildomus paieškos laukus. Agentūra, vykdydama VRM 2021 m. rugpjūčio 30 d. pavedimo Nr. IVPR-19 2 punkte nurodytą priemonę Agentūros duomenų apsaugos pareigūnui periodiškai ne rečiau kaip du kartus per metus atlikti VATARAS įrašų patikrinimus, atliekant šiuos patikrinimus kreipiasi į IRD dėl duomenų pateikimo – Agentūra neturi įgaliojimų, nei techninių galimybių savarankiškai tikrinti VATARAS, kiek kartų, kokiu pagrindu, kokie Agentūros darbuotojai ir valstybės tarnautojai tikrino, peržiūrėjo ar tvarkė trečiųjų asmenų duomenis. Dėl techninių klaidų ištaisymo Agentūra taip pat turi kreiptis į IRD, todėl šie faktai įrodo, kad tik IRD yra pagrindinis VATARAS tvarkytojas. Teismo sprendime netiksliai nurodyta data ir aplinkybė, kada Agentūra buvo VATARAS valdytoju. Agentūra VATARAS valdytojo teisių ir pareigų neteko nuo 2019 m. sausio 1 d. (perėmė VRM), o pagrindinio VATARAS tvarkytojo teisių ir pareigų – nuo 2019 m. rugpjūčio 1 d. (perėmė IRD). Teismas skundžiamame sprendime padarė netinkamą išvadą dėl VATARAS tvarkytojo. Agentūra yra tik VATARAS naudotojas, skunde pabrėžęs, kad inicijavo saugos priemonę – prieš peržiūrint duomenis, nurodyti tikslą – už pagrindinį tvarkytoją.

27.3.       Teismas nepagrįstai konstatavo, kad Agentūroje neužtikrinamas asmens duomenų saugumas. Asmens duomenų saugumo užtikrinimo priemonės Agentūroje vykdomos nuolat taip, kaip tai numatyta teisės aktuose: Agentūros aprašas yra peržiūrimas kasmet, funkcijas vykdo asmens duomenų apsaugos pareigūnas, kurio kontaktai skelbiami viešai, su dokumentu supažindinami visi darbuotojai pasirašytinai priėmimo į darbą metu, o su Agentūros aprašo pakeitimais – dokumentų valdymo sistemoje. Prieš pradėdami eiti pareigas darbuotojai pasirašo Konfidencialumo pažymėjimą (Agentūros aprašo 5 priedas), 2021 m. rugpjūčio 17 d. organizuoti vidiniai mokymai, parengta atmintinė dėl asmens duomenų tvarkymo, su kuria darbuotojai supažindinami priėmimo į darbą metu, reguliariai siunčiami darbuotojams pranešimai apie asmens duomenų tvarkymą, vedami mokymai, atliekami darbuotojų patikrinimai (2022 m. sausio 28 d., 2022 m. liepos 21 d. patikrinimo pažymos), kurių metu nenustatyta neteisėtų asmens duomenų tikrinimų. Tačiau išlieka nerūpestingo ar neapdairaus elgesio rizika, atsižvelgiant į Agentūros tvarkomų asmens duomenų apimtis.

27.4.       Jeigu teismas spręstų, kad vis dėlto Agentūra yra atsakomybės subjektas, 4 500 Eur bauda galėtų būti sušvelninta, apsiribojant papeikimu (BDAR preambulės 148 p.), atsižvelgiant į tai, kad: pažeidimas yra nedidelio masto (bendradarbiai pažiūrėjo gimimo dieną, informavo duomenų subjektą apie konkursus, kad galėtų juose dalyvauti), nepadaryta žalos (duomenys nenutekinti, duomenų subjektas pasveikintas, bendradarbė rūpinosi jos karjera), pažeidimas nebuvo pripažintas tyčiniu, nebuvo padaryta kitų pažeidimų anksčiau, Agentūra taikė jai prieinamas saugos priemones, nėra sunkinančių aplinkybių, Agentūra pamoką išmoko ir tobulina savo procesus, bendradarbiavo su VDAI, IRD, VRM, bauda jokio efekto neduotų, nes papildomos priemonės jau taikomos, tiesiog sumažėtų Agentūros biudžetas, papildomų finansavimų nenumatyta.

28.       Atsakovas VDAI atsiliepime į apeliacinį skundą prašo Vilniaus apygardos administracinio teismo (neteisingai nurodytas teismo pavadinimas laikytinas rašymo apsirikimu ir taisytinas į Regionų administracinio teismo) 2024 m. vasario 20 d. sprendimą palikti nepakeistą, o apeliacinį skundą atmesti.

29.       Atsakovas atsiliepime į apeliacinį skundą pakartoja atsiliepimų į skundus, teiktus teismui, argumentus, sutinka su skundžiamu teismo sprendimu ir teigia, kad:

29.1.       Teismas aiškiai apibrėžė, kas yra duomenų tvarkytojas, ir VATARAS tvarkytoju pagrįstai laikė pareiškėją, pažymėjęs, kad aplinkybė, jog IRD taip pat yra VATARAS tvarkytojas, nepaneigia, kad Agentūra taip pat laikytina VATARAS tvarkytoja. Šiuo aspektu išsamiai pasisakė VRM 2022 m. birželio 10 d. raštu Nr. 1D-3202 (VDAI reg. Nr. 1R-3245 (2.13.Mr)).

29.2.       Aptarus BDAR 29 straipsnį, Gaires 2020, Gaires 2021, pabrėžta, kad Agentūra yra atsakinga už tai, kad jos darbuotojai neturėdami tam teisėto tikslo ir pagrindo tikrino duomenų subjekto duomenis VATARAS. Agentūra, kaltindama vieną darbuotoją, elgiasi nesąžiningai, nes duomenų subjekto skundo nagrinėjimo metu buvo nustatyta, kad jo asmens duomenis tikrino ne tik Specialistė, bet ir kiti Agentūros darbuotojai. Agentūra neužtikrino tinkamų organizacinių ir techninių priemonių.

29.3.       Agentūros išvardintos asmens duomenų saugumą užtikrinančios priemonės, kurios buvo Agentūros vykdomos iki gauto IRD pranešimo, tiek ir po gauto pranešimo, taip pat nurodytos naujos priemonės, kurios buvo įgyvendintos siekiant, kad panašūs atvejai daugiau nepasikartotų, tuo lyg ir pripažįsta, kad ankščiau taikytos asmens duomenų saugumo priemonės buvo nepakankamos ir neužtikrinančios tinkamo asmens duomenų tvarkymo.

29.4.       Teismų praktikoje pripažįstama VDAI diskrecija parinkti, kokias poveikio priemones taikyti. Teismas, įvertinęs asmens duomenų saugumo pažeidimų pobūdį, mastą, trukmę, pagrįstai sprendė, kad atsakovo paskirta poveikio priemonė už nustatytus pažeidimus yra adekvati. Pareiškėjas nepateikė jokių svarių argumentų, kurie sudarytų pagrindą naikinti teismo sprendimą ar švelninti jam paskirtą poveikio priemonę.

30.       Trečiasis suinteresuotas asmuo IRD atsiliepime į apeliacinį skundą prašo pareiškėjo apeliacinį skundą atmesti, Vilniaus apygardos administracinio teismo (neteisingai nurodytas teismo pavadinimas laikytinas rašymo apsirikimu ir taisytinas į Regionų administracinio teismo) 2024 m. vasario 20 d. sprendimą palikti nepakeistą.

31.       IRD atsiliepime į apeliacinį skundą vadovaujasi pagrindiniais VATARAS veikimą reguliuojančiais teisės aktais ir akcentuoja, kad Agentūra taip pat yra VATARAS tvarkytoja (VATARAS nuostatų 8.2 p.) ir turi vykdyti įstatymuose nustatytas pareigas. VATARAS tvarkytojams ir naudotojams yra privalomi elektroninės informacijos saugos politiką įgyvendinantys teisės aktai. VATARAS naudotojams draudžiama naudoti asmens duomenis su vykdomomis darbo ir tarnybinėms funkcijomis nesusijusiems tikslams ar juos atskleisti. Agentūra yra VATARAS duomenų tvarkytojas bei turi užtikrinti, kad jos darbuotojai duomenų peržiūras (tvarkymą) vykdytų tik nustatytoms funkcijoms atlikti, o ne asmeniniais tikslais. Agentūra yra įgaliota atlikti asmens duomenų, tvarkomų VATARAS, saugumo pažeidimų tyrimą bei kitas reikalingas asmens duomenų saugumo pažeidimo valdymo procedūras, teikti pranešimus apie asmens duomenų saugumo pažeidimus atsakovui ir duomenų subjektams.

32.       Trečiasis suinteresuotas asmuo J. R. atsiliepime į apeliacinį skundą prašo apeliacinį skundą atmesti, Regionų administracinio teismo 2024 m. vasario 20 d. sprendimą palikti nepakeistą.

33.       J. R. atsiliepimą į apeliacinį skundą grindžia šiais pagrindiniais argumentais:

33.1.       Pareiškėjo siekis perkelti visą atsakomybę už neteisėtą asmens duomenų tvarkymą darbuotojams, prieštarauja BDAR reikalavimams. Atsakomybė už duomenų apsaugos užtikrinimą tenka ne tik asmenims, bet ir institucijai, kaip duomenų valdytojui. Nepaisant išankstinių prevencinių priemonių, faktas, kad pažeidimai įvyko, rodo, kad Agentūra nesugebėjo užtikrinti pakankamo asmens duomenų apsaugos lygio. BDAR nereikalauja absoliutaus kiekvieno darbuotojo veiksmo stebėjimo, tačiau reikalauja, kad būtų nustatyti aiškūs veiksmų, susijusių su asmens duomenų tvarkymu, ribojimai, veiksmingos kontrolės ir auditavimo procedūros, siekiant užkirsti kelią neteisėtam duomenų naudojimui (pvz., BDAR 24, 28, 32 str.). Pareiškėjo argumentai demonstruoja esmines klaidingas sampratas, susijusias su organizacinės kontrolės ir atsakomybės principais, nes kontrolė – tai ne tik tiesioginis stebėjimas, bet ir veiksmingų procedūrų, mokymų bei priemonių, užtikrinančių teisėtą asmens duomenų tvarkymą, įgyvendinimas. Agentūra privalėjo ne tik deklaratyviai, bet ir praktiškai įrodyti, jog yra įdiegusi efektyvias priemones, užtikrinančias duomenų apsaugą.

33.2.       Pareiškėjo interpretacija, jog VDAI 2022 m. gegužės 31 d. sprendimas nustato darbuotoją, kaip atsakomybės subjektą, todėl teismas turėtų taikyti tą patį principą ir pareiškėjui, yra klaidinga. Teismo vertinimas, kad Agentūra tvarkė duomenų subjekto asmens duomenis naudodama savo darbuotojus, suteikdama jiems prieigą prie VATARAS, nėra pagrindas nukreipti visą atsakomybę tik į darbuotojus, apeinant Agentūros atsakomybę. VDAI 2022 m. gegužės 31 d. sprendimas nagrinėjo labai specifinę situaciją, tačiau kiekvienas atvejis turi būti vertinamas individualiai, atsižvelgiant į konkrečias aplinkybes, įskaitant duomenų tvarkytojo veiksmus, siekiant užkirsti kelią neteisėtam duomenų tvarkymui ir užtikrinti duomenų apsaugą.

33.3.       Pareiškėjas neteisingai aiškina savo poziciją VATARAS, ignoruodamas aplinkybę, kad bet kuri institucija, turinti teises naudotis VATARAS ir jo duomenimis, prisiima atsakomybę už šių duomenų teisėtą tvarkymą. Pareiškėjo argumentai dėl kreipimosi į IRD dėl papildomos saugumo priemonės įdiegimo akivaizdžiai rodo, kad Agentūra supranta būtinybę stiprinti duomenų apsaugą, tačiau šis veiksmas negali būti suprantamas kaip pakankamas argumentas atleisti pareiškėją nuo atsakomybės už netinkamą duomenų tvarkymą.

33.4.       Teisinės baudos paskirtis yra atgrasyti ir užtikrinti BDAR laikymąsi, o ne sukelti finansinių sunkumų. Pareiškėjo teiginys, kad bauda neduotų jokio efekto, rodo nesupratimą, kad baudos taikomos už jau įvykdytus pažeidimus kaip būdas pabrėžti teisės normų svarbą ir būtinybę jų laikytis. Baudos dydis susijęs su pažeidimo sunkumu, o ne su institucijos finansinėmis galimybėmis. Argumentas, kad pažeidimas buvo nedidelio masto, yra nepagrįstas, nes net 19 skirtingų asmenų peržiūrėjo duomenų subjekto asmens duomenis VATARAS 244 kartus per beveik 2 metus, ir negali būti laikomas pagrindu baudai sušvelninti iki papeikimo. Pareiškėjo vertinimas dėl nepadarytos žalos rodo teisinių principų nesupratimą ir BDAR menkinimą, o atsakomybė už asmens duomenų apsaugos pažeidimus apima ne tik tyčines, bet ir neatsargias veiklas. BDAR nustato, kad baudos ir sankcijos už pažeidimus turi būti veiksmingos, proporcingos ir atgrasomos (BDAR 67 str.), nepriklausomai nuo to, ar organizacija anksčiau buvo padariusi pažeidimus. Agentūra nepateikė įrodymų apie mokymus, todėl kyla abejonių dėl jų prevencinių priemonių efektyvumo, nepakanka informacijos apie duomenų saugos pareigūno veiksmus iki pažeidimo, o po pažeidimo įgyvendintos papildomos priemonės atskleidžia, kad pradinės saugumo priemonės nebuvo veiksmingos ar netinkamai pritaikytos. Agentūros prašymas sumažinti baudą, motyvuojant sunkinančių aplinkybių nebuvimu, rodo pareiškėjo padaryto pažeidimo rimtumo, masto ir pasekmių ignoravimą, o argumentas apie išmoktą pamoką ir vykdomas taisomąsias priemones neatitinka nei vieno iš baudos skyrimo kriterijų, ypač atsižvelgiant į atgrasymo principą.

 

Teisėjų kolegija

 

konstatuoja:

 

IV.

 

34.       Nagrinėjamoje byloje ginčas kilo dėl Valstybinės duomenų apsaugos inspekcijos 2022 m. birželio 30 d. sprendimo rezoliucinės dalies 1 punkto, kuriuo duomenų subjekto skundas pripažintas pagrįstu, taip pat dėl VDAI 2022 m. rugsėjo 12 d. sprendimo, kuriuo už BDAR 5 straipsnio 1 dalies a ir f punktų pažeidimą pareiškėjui Agentūrai skirta 4 500 Eur bauda, teisėtumo ir pagrįstumo.

35.       Inspekcija ginčijamu Sprendimu dėl pažeidimo, įvertinusi tai, kad laikotarpiu nuo 2019 m. kovo 16 d. iki 2021 m. gegužės 24 d. J. R. duomenys 19 Agentūros darbuotojų buvo peržiūrėti net 244 kartus, iš jų dauguma atvejų neturint tam teisėto tikslo ir pagrindo, pažeidžiant saugos politiką įgyvendinančius teisės aktus, kurie yra privalomi VATARAS tvarkytojams bei naudotojams (įskaitant Agentūrai), pareiškėją pripažino pažeidus BDAR 5 straipsnio 1 dalies a ir f punktų nuostatas. Inspekcija taip pat konstatavo, kad pareiškėjo darbuotojai nebuvo tinkamai supažindinti (apmokyti) su duomenų tvarkymo taisyklėmis, nuostatais; Agentūroje nebuvo vykdoma Agentūros darbuotojų duomenų tvarkymo teisėtumo kontrolė, kurios metu gali būti nustatytas neteisėtas duomenų tvarkymas; Agentūra neinformavo Inspekcijos apie nustatytą saugumo pažeidimą, šią pareigą atliko IRD. Inspekcija 2022 m. rugsėjo 12 d. sprendimu už BDAR 5 straipsnio 1 dalies a ir f punktų nuostatų pažeidimus pareiškėjui skyrė 4 500 Eur baudą. Spręsdama dėl baudos skyrimo ir jos dydžio Inspekcija atsižvelgė į pažeidimo pobūdį, sunkumą ir trukmę, pažymėdama, kad buvo nustatyta itin didelis Agentūros darbuotojų skaičius, kurie ilgą laiką daugybę kartų tikrino trečiojo suinteresuoto asmens duomenis VATARAS, neturėdami tam pagrindo ir teisėto tikslo, pažeisdami saugos politiką įgyvendinančius teisės aktus bei pažeidžiant BDAR 5 straipsnio 1 dalies a ir f punktus; nustatytą pareiškėjo aplaidumą nevykdant ar netinkami vykdant Agentūros darbuotojų duomenų tvarkymo teisėtumo kontrolę, kurios metu galėjo būti nustatytas neteisėtas duomenų tvarkymas; Agentūros bendradarbiavimo su Inspekcija siekiant atitaisyti pažeidimą ir sumažinti galimą jo neigiamą poveikį laipsnį; Agentūros biudžeto pajamų dydį.

36.       Pirmosios instancijos teismas skundžiamu sprendimu Agentūros skundo netenkino, sutikdamas su Inspekcijos nustatytu BDAR 5 straipsnio 1 dalies a ir f punktuose įtvirtintų teisėtumo, sąžiningumo ir skaidrumo bei vientisumo ir konfidencialumo principų pažeidimu. Teismas vertino, jog aptariamu atveju įvyko asmens duomenų atskleidimas (prieigos prie duomenų suteikimas) duomenų gavėjams, kurie neturėjo konkrečiu atveju tokio leidimo (prieigos) gauti, Sprendime dėl pažeidimo pagrįstai konstatuotas asmens duomenų saugumo (konfidencialumo) pažeidimas, pasireiškęs sistemingai Agentūros darbuotojams be teisėto tikslo peržiūrint vieno asmens VATARAS kaupiamus duomenis. Teismas atmetė pareiškėjo argumentus, kad VRM laikytinas pagrindiniu VATARAS valdytoju ir dėl to jam neturėtų kilti atsakomybė už asmens duomenų saugumo pažeidimą, pažymėdamas, jog tai, kad kitos institucijos taip pat laikytinos VATARAS tvarkytoju pagal esamą teisinį reguliavimą, nešalina pareiškėjo, kaip vieno VATARAS duomenų tvarkytojo, atsakomybės už asmens duomenų pažeidimus, kuriuos atliko jo pavaldume esantys darbuotojai. Teismas atmetė pareiškėjo teiginius, kad jis nėra įgaliotas atlikti asmens duomenų, tvarkomų VATARAS, saugumo pažeidimų tyrimą bei kitas reikalingas asmens duomenų saugumo pažeidimo valdymo procedūras. Teismas sutiko su atsakovo išvada, jog nagrinėjamu atveju administracinės 4 500 Eur baudos skyrimas Agentūrai yra proporcinga ir pakankama poveikio priemonė.

37.       Pareiškėjas apeliaciniame skunde teigia, kad Inspekcijos priimti sprendimai yra neteisėti, nes atsakomybė turėjo būti taikoma Agentūros darbuotojui, o ne Agentūrai. Agentūra laikosi pozicijos, jog teismas padarė netinkamą išvadą dėl VATARAS tvarkytojo, kadangi Agentūra VATARAS valdytojo teisių ir pareigų neteko nuo 2019 m. sausio 1 d. (perėmė VRM), o pagrindinio VATARAS tvarkytojo teisių ir pareigų – nuo 2019 m. rugpjūčio 1 d. (perėmė IRD). Agentūra pažymi, kad teismas nepagrįstai konstatavo, jog Agentūroje neužtikrinamas asmens duomenų saugumas. Tuo atveju jei teismas spręstų, kad Agentūra yra atsakomybės subjektas, 4 500 Eur baudą prašo sušvelninti, apsiribojant papeikimu.

38.       Pagal Lietuvos Respublikos administracinių bylų teisenos įstatymo (toliau – ir ABTĮ) 140 straipsnio 1 dalį teismas, apeliacine tvarka nagrinėdamas bylą, patikrina pirmosios instancijos teismo sprendimo pagrįstumą ir teisėtumą, neperžengdamas apeliacinio skundo ribų. Byloje nenustatytos aplinkybės, dėl kurių turėtų būti peržengtos pareiškėjo apeliacinio skundo ribos, bei nenustatyti sprendimo negaliojimo pagrindai, nurodyti ABTĮ 146 straipsnio 2 dalyje (ABTĮ 140 str. 2 d.), todėl apeliacinės instancijos teismas šią bylą apeliacine tvarka nagrinėja ir patikrina pirmosios instancijos teismo sprendimo pagrįstumą ir teisėtumą, neperžengdamas apeliacinio skundo ribų (ABTĮ 140 str. 1 d.).

39.       BDAR teisinis pagrindas yra Sutarties dėl Europos Sąjungos veikimo (toliau – ir SESV) 16 straipsnis, kuriame įtvirtinta kiekvieno asmens teisė į asmens duomenų apsaugą. Šio reglamento 1 konstatuojamojoje dalyje nurodyta, kad „fizinių asmenų apsauga tvarkant asmens duomenis yra pagrindinė teisė“, ir primenama, kad Chartijos 8 straipsnio 1 dalyje ir SESV 16 straipsnio 1 dalyje numatyta kiekvieno asmens teisė į savo asmens duomenų apsaugą (žr. Europos Sąjungos Teisingumo Teismo 2021 m. birželio 15 d. sprendimo Facebook Ireland ir kt., C-645/19, 44 p.).

40.       Pagal BDAR 4 straipsnio 2 punktą duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip antai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas. Pagal BDAR 4 straipsnio 8 punktą duomenų tvarkytojas tai fizinis arba juridinis asmuo, valdžios institucija ar kita įstaiga, kuri duomenų valdytojo vardu tvarko asmens duomenis.

41.       BDAR 29 straipsnyje, reglamentuojančiame duomenų valdytojui ar duomenų tvarkytojui pavaldžių asmenų atliekamą duomenų tvarkymą, nustatyta, kad duomenų tvarkytojas ir bet kuris duomenų valdytojui arba duomenų tvarkytojui pavaldus asmuo, galintis susipažinti su asmens duomenimis, negali tų duomenų tvarkyti, išskyrus atvejus, kai duomenų valdytojas duoda nurodymus juos tvarkyti, nebent tai daryti reikalaujama pagal Sąjungos ar valstybės narės teisę.

42.       Bet kuris asmens duomenų tvarkymas turėtų būti teisėtas ir sąžiningas (BDAR preambulės 39 konstatuojamoji dalis), todėl BDAR 5 straipsnyje detalizuoti su asmens duomenų tvarkymu susiję principai. Vadovaujantis BDAR 5 straipsnio 1 dalimi, asmens duomenys, be kita ko, turi būti duomenų subjekto atžvilgiu: a) tvarkomi teisėtu, sąžiningu ir skaidriu būdu (teisėtumo, sąžiningumo ir skaidrumo principas); f) tvarkomi tokiu būdu, kad taikant atitinkamas technines ir organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas (vientisumo ir konfidencialumo principas). BDAR 5 straipsnio 2 dalyje įtvirtinta, kad duomenų valdytojas yra atsakingas už tai, kad būtų laikomasi 1 dalies, ir turi sugebėti įrodyti, kad jos laikomasi (atskaitomybės principas).

43.       Teisėjų kolegija, nagrinėdama pareiškėjo apeliacinio skundo argumentus ir tikrindama pirmosios instancijos teismo sprendimo pagrįstumą ir teisėtumą, pažymi, kad nagrinėjamoje byloje pirmosios instancijos teismas pakankamai detaliai išanalizavo teisinius santykius, dėl kurių kilo ginčas, iš esmės teisingai išnagrinėjo ir įvertino Sprendimo dėl pažeidimo ir 2022 m. rugsėjo 12 d. sprendimo turinį, spręsdamas, kad pareiškėjas pagrįstai pripažintas pažeidęs BDAR 5 straipsnio 1 dalies a ir f punktus, kadangi trečiojo suinteresuoto asmens VATARAS duomenys Agentūroje buvo tvarkomi neteisėtai, neužtikrinant asmens duomenų saugumo. Todėl teisėjų kolegija, sutikdama su pirmosios instancijos teismo motyvais dėl pareiškėjo materialiųjų reikalavimų nepagrįstumo, nusprendžia tik papildyti tikrinamo teismo sprendimo motyvus, atsakydama į esminius pareiškėjo apeliaciniame skunde išdėstytus argumentus.

44.       Pareiškėjas apeliaciniame skunde nesutinka su pirmosios instancijos teismo išvada, jog Agentūra yra VATARAS tvarkytoja, pažymėdamas, kad jis yra VATARAS naudotojas, o VATARAS tvarkytoju yra Informatikos ir ryšių departamentas prie Lietuvos vidaus reikalų ministerijos (IRD). Taip pat nurodo, jog Inspekcijos priimti sprendimai yra neteisėti, nes atsakomybė turėjo būti taikoma Agentūros darbuotojui, o ne Agentūrai.

45.       Valstybės tarnautojų registro nuostatų, patvirtintų Lietuvos Respublikos Vyriausybės 2002 m. rugpjūčio 10 d. nutarimu Nr. 1255, 1 punkte, be kita ko, nustatyta, kad šie nuostatai reglamentuoja Valstybės tarnautojų registro paskirtį, objektus, jų duomenis, Registro valdytoją ir tvarkytojus, jų teises, pareigas ir funkcijas.

46.       VATARAS nuostatų 7 punkte nustatyta, kad VATARAS valdytoja, VATARAS tvarkomų asmens duomenų valdytojas yra Lietuvos Respublikos vidaus reikalų ministerija, kuri metodiškai vadovauja Registrų tvarkytojams. VATARAS nuostatų 8 punktas numato, kad Registro tvarkytojai yra: Informatikos ir ryšių departamentas prie Lietuvos Respublikos vidaus reikalų ministerijos (toliau – Informatikos ir ryšių departamentas) yra Registro tvarkytojas ir Registre tvarkomų asmens duomenų tvarkytojas ( 8.1. p.); kiti Registro tvarkytojai ir Registre tvarkomų asmens duomenų tvarkytojai yra valstybės ir savivaldybių institucijos ir įstaigos bei kitos biudžetinės įstaigos (8.2 p.). VATARAS nuostatų 9 punkte numatytos Informatikos ir ryšių departamento, o 10 punkte kitų Registro tvarkytojų teisės, funkcijos ir pareigos.

47.       Duomenų subjektų teisių įgyvendinimo tvarkos aprašo 5 punktas numato, jog duomenų subjekto teises Vidaus reikalų ministerijos vardu įgyvendina juridiniai asmenys, veikiantys kaip teisės aktais įgalioti Vidaus reikalų ministerijos valdomų registrų ir valstybės informacinių sistemų duomenų tvarkytojai (toliau – duomenų tvarkytojai), Aprašo nustatyta tvarka, nebent kituose teisės aktuose, reglamentuojančiuose Vidaus reikalų ministerijos valdomų registrų ir valstybės informacinių sistemų veiklą, nustatyta kitaip.

48.       Asmens duomenų saugumo pažeidimų valdymo tvarkos aprašo 2 punktas numato, jog duomenų tvarkytojai Vidaus reikalų ministerijos vardu atlieka asmens duomenų, tvarkomų Vidaus reikalų ministerijos valdomuose registruose ir valstybės informacinėse sistemose, saugumo pažeidimų (toliau – asmens duomenų saugumo pažeidimas) tyrimą bei kitas reikalingas asmens duomenų saugumo pažeidimo valdymo procedūras, teikia pranešimus apie asmens duomenų saugumo pažeidimus Valstybinei duomenų apsaugos inspekcijai ir duomenų subjektams Aprašo nustatyta tvarka, nebent kituose teisės aktuose, reglamentuojančiuose Vidaus reikalų ministerijos valdomų registrų ir valstybės informacinių sistemų veiklą, nustatyta kitaip.

49.       Apeliacinės instancijos teismo teisėjų kolegija, patikrinusi bylą apeliaciniame skunde nurodytu aspektu dėl VATARAS tvarkytojo, vadovaudamasi šioje nutartyje nurodytomis teisės aktų nuostatomis (nutarties 40 p., 45–46 p.), atsižvelgdama į tai, kad teisės aktai numato kelis VATARAS tvarkytojus, prieina prie išvados, kad VATARAS duomenų ir asmens duomenų tvarkytoju laikytinas ir pareiškėjas, o tai, kad Informatikos ir ryšių departamentas VATARAS nuostatų 8.1 punkte nurodytas VATARAS tvarkytoju, nepaneigia, jog Agentūra taip pat laikytina VATARAS tvarkytoju vadovaujantis 8.2 punktu. Pasisakydama dėl pareiškėjo nurodomos jo darbuotojo atsakomybės, teisėjų kolegija pažymi, jog atsižvelgiant į nutarties 41 punkte aptartą teisinį reglamentavimą, būtent Agentūra kaip darbdavys, nustatantis duomenų tvarkymo tikslus ir priemones, BDAR teisinio reguliavimo kontekste yra atsakinga už BDAR reikalavimų laikymąsi, t. y. už tai, kad jos darbuotojai trečiojo suinteresuoto asmens duomenis VATARE tikrino neturėdami tam teisinio pagrindo ir teisėto tikslo. Be to, skundo nagrinėjimo metu buvo nustatyta, kad trečiojo suinteresuoto asmens duomenis tikrino ne tik Specialistė, bet ir visa eilė kitų Agentūros darbuotojų, todėl apelianto argumentas, kad už neteisėtas peržiūras, kurias atliko kiti Agentūros darbuotojai, atsakinga būtent Specialistė nėra pagrįstas. Taip pat pažymėtina, kad pagal Agentūros veiklą reglamentuojančius teisės aktus (nutarties 47–48 p.) Agentūra yra įgaliota atlikti asmens duomenų, tvarkomų VATARAS, saugumo pažeidimų tyrimą bei kitas reikalingas asmens duomenų saugumo pažeidimo valdymo procedūras, teikti pranešimus apie asmens duomenų saugumo pažeidimus atsakovui ir duomenų subjektams, todėl ir šie pareiškėjo apeliacinio skundo argumentai pripažintini nepagrįstais.

50.       Apeliaciniame skunde pareiškėjas suformulavo alternatyvų reikalavimą, kuriuo prašo sušvelninti skirtą 4500 Eur baudą ir vietoj jos skirti papeikimą.

51.       Inspekcija pareiškėjui paskyrė baudą, numatytą ADTAĮ 33 straipsnio 2 dalyje, pagal kurią valdžios institucijai ar įstaigai, pažeidusiai BDAR 83 straipsnio 5 dalies a–e punktų nuostatas ir (ar) BDAR 83 straipsnio 6 dalį, priežiūros institucija turi teisę skirti administracinę baudą iki 1 procento valdžios institucijos ar įstaigos einamųjų metų biudžeto ir kitų praėjusiais metais gautų bendrųjų metinių pajamų dydžio, bet ne didesnę negu šešiasdešimt tūkstančių eurų.

52.       Pagal BDAR 83 straipsnio 1 dalį, kiekviena priežiūros institucija užtikrina, kad pagal šį straipsnį skiriamos administracinės baudos už 4, 5 ir 6 dalyse nurodytus šio reglamento pažeidimus kiekvienu konkrečiu atveju būtų veiksmingos, proporcingos ir atgrasomos. Sprendžiant dėl to, ar skirti administracinę baudą, ir sprendžiant dėl administracinės baudos dydžio kiekvienu konkrečiu atveju deramai atsižvelgiama į aplinkybių, susijusių su pažeidimo požymiais (jo sunkumu) arba pažeidėjo pobūdžiu, sąrašą (BDAR 83 str. 2 d.). Baudos dydis neturi viršyti BDAR 83 straipsnio 4, 5 ir 6 dalyse numatytų didžiausių sumų. Taigi kiekvienų atveju baudos dydžio nustatymas grindžiamas konkrečiu vertinimu, atliktu laikantis BDAR nustatytų parametrų.

53.       Priežiūros institucija, skirdama administracinę baudą, patikrina, ar baudos suma yra proporcinga tiek pažeidimo sunkumui, tiek įmonės, kuriai priklauso pažeidimą padaręs subjektas, dydžiui (žr. Europos Sąjungos Teisingumo Teismo (toliau – ir ESTT) sprendimo Komisija prieš Graikiją, C-387/97, 90 p., sprendimo Komisija prieš Ispaniją, C-278/01, 41 p.) ir ar skirta bauda neviršija to, kas būtina BDAR tikslams pasiekti (žr. ESTT sprendimo Marine Harvest prieš Komisiją, T-704/14, 580 p., kuriame daroma nuoroda į sprendimą Electrabel prieš Komisiją, T-332/09, 279 p.). Bauda turi turėti atgrasomąjį poveikį. ESTT (didžiosios kolegijos) 2023 m. gruodžio 5 d. sprendime Deutsche Wohnen SE prieš Staatsanwaltschaft Berlin, C-807/21, konstatuota, kad sankcijų sistema, leidžianti skirti administracinę baudą pagal BDAR 83 straipsnį, kai to reikia atsižvelgiant į konkrečias kiekvieno atvejo aplinkybes, skatina duomenų valdytojus ir duomenų tvarkytojus laikytis šio reglamento; dėl atgrasomojo poveikio administracinės baudos prisideda prie fizinių asmenų apsaugos tvarkant asmens duomenis stiprinimo, todėl yra esminis elementas užtikrinant šių asmenų teisių paisymą, atsižvelgiant į šio reglamento tikslą užtikrinti tokiems asmenims aukšto lygio apsaugą tvarkant asmens duomenis (73 p.).

54.       Nagrinėjamu atveju Inspekcija, įvertinusi tyrimo metu nustatytas faktines aplinkybes, vadovaudamasi BDAR nuostatomis, atsižvelgusi į Agentūros bendrą aktualų biudžeto pajamų dydį, pareiškėjui skyrė 4 500 Eur baudą. Pareiškėjo manymu, Inspekcijos paskirta bauda yra per griežta ir vietoj baudos galėtų būti skirtas papeikimas.

55.       Teisėjų kolegija, nesutikdama su tokiu pareiškėjo vertinimu, pažymi, kad Inspekcija, nustatydama administracinės baudos dydį, atsižvelgė į visas reikšmingas aplinkybes ir laikėsi BDAR nustatytų baudos skyrimo taisyklių.

56.       Spręsdama dėl baudos skyrimo Inspekcija atsižvelgė į pažeidimo pobūdį, sunkumą ir trukmę, pažymėdama, kad buvo nustatyta itin didelis Agentūros darbuotojų skaičius, kurie daugybę kartų tikrino trečiojo asmens duomenis VATARAS, neturėdami tam pagrindo ir teisėto tikslo, pažeisdami saugos politiką įgyvendinančius teisės aktus bei pažeidžiant BDAR 5 straipsnio 1 dalies a ir f punktus; pažeidimas buvo tęstinio pobūdžio ir truko ilgą laiką; dėl tokio duomenų tvarkymo duomenų subjektui buvo užkirstas kelias kontroliuoti savo duomenis. Vertindama pažeidimo tyčią ar aplaidumą Inspekcija pareiškėjo veiksmus pripažino aplaidžiais, pažymėdama, kad Agentūra nevykdė ar netinkamai vykdė pareiškėjo darbuotojų duomenų tvarkymo teisėtumo kontrolę, kadangi skundo nagrinėjimo metu buvo nustatytas itin didelis Agentūros darbuotojų skaičius, kurie itin daug kartų tikrino trečiojo suinteresuoto asmens duomenis VATARAS, neturėdami teisėto pagrindo ir teisėto tikslo bei pažeisdami saugos politiką įgyvendinančius teisės aktus privalomus VATARAS tvarkytojams ir naudotojams (taip pat ir Agentūrai). Inspekcija pripažino, jog jau skundo nagrinėjimo metu Agentūra ėmėsi veiksmų, kad sumažintų duomenų subjekto patirtą žalą (gavus pranešimus iš IRD, ėmėsi tyrimo veiksmų ir apie nustatytus faktus informavo IRD, taip pat ėmėsi organizacinių ir techninių priemonių, kad panašūs atvejai nepasikartotų) ir šias priemones vertino kaip švelninančias pareiškėjo atsakomybę. Inspekcija nurodė, jog pareiškėjas skundo nagrinėjimo metu bendradarbiavo, tačiau bendradarbiavimo, privalomo pagal teisės aktus, nevertino nei kaip atsakomybę sunkinančio nei kaip ją lengvinančio veiksnio.

57.       Pareiškėjas apeliaciniame skunde argumentuodamas švelnesnės nuobaudos (papeikimo) skyrimą, teigia, kad pažeidimas buvo nedidelio masto bei duomenų subjektui nebuvo padaryta žala. Pareiškėjas taip pat nurodo, jog pažeidimas nebuvo padarytas tyčia, nebuvo nustatyta sunkinančių aplinkybių.

58.       Teisėjų kolegija nesutinka su pareiškėjo apeliacinio skundo teiginiu, kad pažeidimo mastas nebuvo didelis, kadangi byloje nustatyta, jog net 19 Agentūros darbuotojų per dvejus metus 229 kartus peržiūrėjo trečiojo suinteresuoto asmens duomenis VATARAS sistemoje (11 iš jų duomenis tikrino be teisėto pagrindo). Ilgą laiko tarpą trukęs daugkartinis neteisėtas asmens duomenų rinkimas, net ir nenustačius akivaizdžios materialinės žalos, lėmė tai, kad duomenų subjektas negalėjo kontroliuoti savo asmens duomenų. Nors pareiškėjas nurodo, jog pažeidimas nebuvo padarytas tyčia, tačiau BDAR 83 straipsnyje, reglamentuojančiame administracines baudas, numatyti ne tik tyčiniai bet ir aplaidūs veiksmai. Taigi teisėjų kolegija atmeta pareiškėjo nurodytus argumentus šiuo aspektu kaip nepagrįstus.

59.       Apeliacinės instancijos teismo kolegijos vertinimu, tiek atsakovas, tiek pirmosios instancijos teismas šiuo konkrečiu atveju įvertinę nustatytą asmens duomenų pažeidimo pobūdį, mastą ir trukmę pagrįstai pripažino, jog Agentūrai administracinė bauda skirtina, o Inspekcija, paskirdama pareiškėjui 4 500 Eur dydžio, t. y. iš esmės mažesnę nei numatyta BDAR 83 straipsnio 2 dalyje, baudą pagrįstai ir tinkamai įvertino visas aplinkybes, turinčias reikšmės baudai individualizuoti.

60.       Proceso dalyviai procesiniuose dokumentuose pateikė daugiau argumentų, tačiau, apeliacinės instancijos teismo teisėjų kolegijos nuomone, jie nekeičia šioje nutartyje padarytų išvadų, todėl teisėjų kolegija dėl jų plačiau nepasisako. Šiame kontekste paminėtina, kad Europos Žmogaus Teisių Teismo ir Lietuvos vyriausiojo administracinio teismo praktikoje ne kartą pažymėta, jog teismo pareiga pagrįsti priimtą spendimą neturėtų būti suprantama kaip reikalavimas detaliai atsakyti į kiekvieną argumentą (žr., pvz., Europos Žmogaus Teisių Teismo 1994 m. balandžio 19 d. sprendimą Van de Hurk prieš Olandiją; 1997 m. gruodžio 19 d. sprendimą Helle prieš Suomiją; Lietuvos vyriausiojo administracinio teismo 2011 m. lapkričio 14 d. nutartį administracinėje byloje Nr. A261-3555/2011).

61.       Teisėjų kolegija, apibendrindama šioje nutartyje aptartas bylos faktines ir teisines aplinkybes, konstatuoja, kad pirmosios instancijos teismas tinkamai įvertino byloje surinktus įrodymus ir nustatė teisiškai reikšmingas aplinkybes bylai išspręsti, teisingai pritaikė ginčo santykius reglamentuojančias teisės normas, nenukrypo nuo Lietuvos vyriausiojo administracinio teismo formuojamos praktikos. Pareiškėjo apeliacinio skundo argumentai nepaneigia pirmosios instancijos teismo išvadų pagrįstumo ir teisėtumo, pirmosios instancijos teismo sprendimas yra pagrįstas bylos faktais ir teisės aktų normomis, todėl jis paliekamas nepakeistas, o apeliacinis skundas atmetamas.

Vadovaudamasi Lietuvos Respublikos administracinių bylų teisenos įstatymo 144 straipsnio 1 dalies 1 punktu, 148 straipsnio 1 dalimi, teisėjų kolegija

nutaria:

 

Pareiškėjo Viešojo valdymo agentūros apeliacinį skundą atmesti.

Regionų administracinio teismo 2024 m. vasario 20 d. sprendimą palikti nepakeistą.

Nutartis neskundžiama.

 

 

Teisėjai        Iveta Pelienė

 

 

        Ernestas Spruogis

 

 

        Skirgailė Žalimienė