Administracinė byla Nr. eI2-9950-1114/2023
Teisminio proceso Nr. 3-61-3-06555-2023-1
Procesinio sprendimo kategorijos: 26; 55.1
(S)

VILNIAUS APYGARDOS ADMINISTRACINIS TEISMAS
SPRENDIMAS
LIETUVOS RESPUBLIKOS VARDU
2023 m. lapkričio 15 d.
Vilnius
Vilniaus apygardos administracinio teismo teisėjų kolegija, susidedanti iš teisėjų Indrė Pukanasytės-Biekšės (kolegijos pirmininkas ir pranešėjas), Gedimino Užubalio ir Indrės Žvaigždinienės,
sekretoriaujant Dovilei Toleikienei,
dalyvaujant pareiškėjos akcinės bendrovės „Klaipėdos mediena“ atstovei advokatei Astai Kederytei,
atsakovės Valstybinės duomenų apsaugos inspekcijos atstovei Virginijai Karužienei,
viešame teismo posėdyje, žodinio proceso tvarka išnagrinėjo administracinę bylą pagal pareiškėjos akcinės bendrovės „Klaipėdos mediena“ skundą atsakovei Valstybinei duomenų apsaugos inspekcijai dėl sprendimo panaikinimo, tretieji suinteresuotieji asmenys Lietuvos Respublikos sveikatos apsaugos ministerija ir VĮ „Registrų centras“.
Teismas
nustatė:
1. Pareiškėja akcinė bendrovė „Klaipėdos mediena“ kreipėsi į teismą su skundu ir prašo: 1) panaikinti Valstybinė duomenų apsaugos inspekcijos (toliau – ir Inspekcija, VDAI) 2023 m. kovo 22 d. sprendimą Nr. 3R-294(2.13-1.E) (toliau – ir Sprendimas); 2) įpareigoti Inspekciją duoti nurodymą elektroninės sveikatos paslaugų ir bendradarbiavimo infrastruktūros informacinės sistemos (toliau – ir ESPBI IS) duomenų valdytojui Lietuvos Respublikos sveikatos apsaugos ministerijai (toliau – ir SAM) sukurti galimybę ESPBI IS apriboti pareiškėjos prieigą prie sistemoje esančių asmens duomenų pagal poreikį; 3) priteisti iš Inspekcijos pareiškėjos patirtas bylinėjimosi išlaidas.
2. Teigia, kad 2023 m. kovo 29 d. iš Inspekcijos gavo informacinio pobūdžio raštą, kuriuo pareiškėja buvo informuota apie atliktą jos inicijuotą tyrimą ir jo rezultatus, t. y. pareiškėja buvo informuota apie Inspekcijos Sprendimą, kuriuo konstatuota, kad 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (toliau – ir BDAR) nuostatų pažeidimo nenustatyta.
3. Pareiškėja paaiškina, jog yra gamybinė įmonė, užsiimanti baldų ir kitų medienos gaminių gamyba. Nurodo, jog 1999 m. birželio 9 d. jai buvo išduota įstaigos asmens sveikatos priežiūros licencija Nr. 455 (toliau – ir Licencija), kurios pagrindu pareiškėja turi teisę užsiimti asmens sveikatos priežiūros veikla ir teikti bendrosios praktikos slaugos ir bendruomenės slaugos paslaugas. Pareiškėja savo gamybinės veiklos teritorijoje yra įrengusi pirmosios medicininės pagalbos punktą, kuriame profesinės sveikatos specialistas teikia pirmąją medicininę pagalbą savo darbuotojams.
4. Nurodo, kad vadovaujantis Lietuvos Respublikos Sveikatos priežiūros įstaigų įstatymo (toliau – ir SPĮĮ) 45 straipsnio 1 dalies 41 punktu, nuo 2022 m. rugsėjo 1 d. privalėjo su VĮ Registrų centras (toliau – ir Registrų centras, RC) sudaryti sutartį dėl naudojimosi ESPBI IS bei veiklą reguliuojančių teisės aktų nustatyta tvarka pildyti elektroninius dokumentus ir teikti duomenis į ESPBI IS. Atsižvelgiant į tai nurodo, kad 2022 m. rugsėjo 5 d. pareiškėja buvo priversta sudaryti duomenų teikimo sutartį sveikatos priežiūros įstaigoms, kurios e-sveikatos paslaugomis naudojasi per e-sveikatos portalą Nr. KM-2022-0480/23.8. Pareiškėja paaiškina, jog šia sutartimi įsipareigojo į Registrų centro tvarkomą ESPBI IS įtraukti tvarkomus savo darbuotojų asmeninius sveikatos duomenis, o tuo tarpu Registrų centras įsipareigojo nuo ESPBI IS veiklos pradžios teikti pareiškėjai visus, ne tik jos darbuotojų, ESPBI IS esančius elektroninės sveikatos istorijos duomenis.
5. Pažymi, jog pateikus prašymą apriboti prieigą prie ESPBI IS esančių asmens duomenų, suteikiant prieigą tik prie pareiškėjos darbuotojų, Registrų centras paaiškino, kad ESPBI IS techninės savybės neleidžia to padaryti, todėl pareiškėjai tapo prieinami visi ESPBI IS fiksuoti sveikatos istorijos duomenys: visų asmenų fizinės būklės diagnozės; informacija apie visų asmenų gydymą; visiems asmenims priskirti elektroniniai receptai; visų asmenų laboratorinių tyrimų siuntimai ir atsakymai; visiems asmenims priskirti siuntimai konsultacijoms; visų asmenų medicininiai vaizdai; informaciją apie visų asmenų skiepus; visų asmenų sveikatos pažymos; ir kiti e-ESPBI IS tvarkomi visi asmens duomenys.
6. Teigia, kad 2022 m. rugsėjo 16 d. pateikė prašymą Inspekcijai įvertinti, ar ESPBI IS neturėjimas techninių savybių apriboti vartotojo, kuriam duomenys nėra reikalingi, prieigos prie asmens duomenų, įskaitant specialių kategorijų asmens duomenų, nepažeidžia BDAR 25 straipsnio ir kitų BDAR numatytų reikalavimų. Pareiškėja nurodo, jog nustačius, kad pažeidimai egzistuoja, papildomai prašė įpareigoti atitinkamus subjektus sukurti galimybę ESPBI IS apriboti vartotojams prieigą prie sistemoje esančių asmens duomenų pagal poreikį.
7. Nurodo, jog 2022 m. spalio 28 d. gavo Inspekcijos raštą, kuriuo buvo informuota, kad Inspekcija inicijavo ESPBI IS duomenų valdytojo Lietuvos Respublikos sveikatos apsaugos ministerijos ir pagrindinio duomenų tvarkytojo VĮ Registrų centro patikrinimą dėl galimų BDAR nuostatų pažeidimų.
8. Be kita ko pareiškėja pažymi, jog 2022 m. spalio 6 d. kreipėsi į Registrų centrą su prašymu suteikti reikiamą informaciją, kad suprasti, kaip vykdomas asmens duomenų tvarkymas ESPBI IS, ar tikrai visi asmens duomenų apsaugą reglamentuojančiuose teisės aktuose nustatyti reikalavimai yra įgyvendinami ir kt. atsižvelgiant į tai, 2022 m. spalio 31 d. gavo atsakymą iš Registrų centro su labai abstrakčiais atsakymais arba išvis jų nepateikiant. Teigia, kad atsakymas buvo surašytas visiškai neįsigilinus į situaciją ir nepagrindžiant vykdomo asmens duomenų tvarkymo teisėtumo. Vietoj to, kad Registrų centras pateiktų konkrečias teisės aktų normas, kurios padėtų pareiškėjai įvertinti asmens duomenų tvarkymo teisėtumą, buvo pateikti tik teisės aktų pavadinimai, perkeliant naštą pačiai pareiškėjai išsiaiškinti, ar Registrų centro prižiūrimoje ESPBI IS tvarkomi asmens duomenys yra tvarkomi teisėtai.
9. Teigia, jog 2023 m. balandžio 25 d. gavus ginčijamą Sprendimą ir su juo susipažinus, yra visiškai nesuvokiama, kaip suteikiant gamybinei įmonei prieigą prie visų Lietuvos gyventojų sveikatos duomenų, kai tai gamybinei įmonei tokie asmens duomenys nėra reikalingi, gali būti įvertinta kaip pagrįstas specialių kategorijų asmens duomenų tvarkymas, t. y. atitinkantis BDAR reikalavimus.
10. Pažymi, jog išanalizavus Sprendimą, darytina išvada, kad tyrimas nebuvo atliktas išsamiai, o nustatytos aplinkybės yra neišsamios ir netgi klaidinančios.
11. Nurodo, kad Inspekcijos nustatyta aplinkybė, kurią paaiškino SAM – „kadangi Bendrovė, kaip sveikatos priežiūros įstaiga (toliau – ir SPĮ), turi Licenciją užsiimti asmens sveikatos priežiūros veikla ir turi teisę savo darbuotojams teikti pirmąją medicininę pagalbą, tai Bendrovės sveikatos priežiūros specialistai, užregistravę paciento apsilankymą Bendrovėje, vadovaujantis Elektroninės sveikatos paslaugų ir bendradarbiavimo infrastruktūros informacinės sistemos naudojimo tvarkos aprašu, turi prieigą prie visų tik to paciento sveikatos duomenų, esančių ESPBI IS“, yra neišsamiai ištirta. Mano, jog tokia SAM pateikto paaiškinimo formuluotė yra klaidinanti, kadangi skaitytojui leidžia susidaryti įspūdį, kad pareiškėjai yra suteikiama prieiga tik prie pareiškėjos darbuotojų asmens duomenų, nors iš tiesų yra suteikta galimybė prieiti prie bet kurio asmens duomenų, tarp jų ir sveikatos duomenų, esančių ESPBI IS.
12. Teigia, jog Inspekcijos Sprendime nurodoma, kad „Registrų centras pabrėžia, kad atsižvelgiant į nurodytą teisinį reglamentavimą bei Sutartį, Bendrovė negauna prieigos prie asmens duomenų tol, kol nėra užregistruojamas paciento apsilankymas SPĮ (Bendrovėje), o apsilankymą užregistruoti galima tik vadovaujantis aukščiau paminėto Aprašo nustatyta tvarka. Kitaip tariant, Bendrovė turi prieigą ne prie visų pacientų ESPBI IS duomenų, o tik prie tų pacientų, kurių apsilankymą SPĮ (Bendrovėje) teisės aktų nustatyta tvarka yra užregistravusi Bendrovė“. Pareiškėja mano, kad tokia Registrų centro pozicija yra klaidinanti ir priešinga tikrovei.
13. Atkreipia dėmesį, kad Sprendime taip sudėtingai aprašoma „apsilankymo SPĮ užregistravimo“ procedūra, kuri, neturinčiam prieigos prie ESPBI IS, gali atrodyti kaip pakankama reikšmingų veiksmų seka, tačiau realybėje, tai tik kelių pelės mygtukų paspaudimų klausimas, kas tikrai nėra pagrįsta ir realų tikslą (duomenų apsaugą) užtikrinanti tvarka. Kaip pavyzdį pateikia prie skundo pridėtas pacientų apsilankymo registravimo ekrano nuotraukas iš kurių pasak pareiškėjos matyti, kad jai tereikia pažymėti įvykį ir pateikti trumpą aprašymą, dėl ko asmuo kreipėsi bei paspausti „registruoti vizitą“. Atlikus šiuos veiksmus, pareiškėja gauna apie tą asmenį absoliučiai visą informaciją, esančią ESPBI IS.
14. Be to pažymi, kad Inspekcija Sprendime nėra išanalizavusi aplinkybių, kokiu teisėtu pagrindu ir tikslu pareiškėjai yra pateikiama pakankamai daug asmens duomenų apie asmenis, kurių apsilankymas SPĮ net nėra užregistruotas. Kaip pavyzdį pateikia prie skundo pridėtą bendros informacijos apie pacientą ekrano nuotrauka, iš kurios pasak pareiškėjos matoma bendra informacija apie pacientą, t. y. pareiškėja gauna prieigą prie šių duomenų: asmens vardo, pavardės, amžiaus, ESI numerio (paciento sistemoje numeris), asmens kodo, draudžiamojo asmens identifikacinio kodo (DIK), gimimo datos, lyties, el. pašto adreso, telefono numerio, deklaruotos vietos adreso, gyvenamosios vietos adreso, susijusių asmenų informacija: vardas, pavardė, giminystės ryšys (šiuo konkrečiu atveju informacija apie vaikus), jų ESI numeris, taip pat pirminės sveikatos priežiūros įstaigos pavadinimas, šeimos gydytojo vardas, pavardė ir data, nuo kada gydomasi pas tą šeimos gydytoją. Pažymi, kad ši informacija nėra reikalinga, kad pareiškėjos specialistė galėtų suteikti pirmąją medicinos pagalbą.
15. Pareiškėja atkreipia dėmesį, kad jos specialistė teikia skubiąją pagalba iki kol atvyks greitoji medicinos pagalba, kuri perima tolesnį paciento gydymą/gaivinimą/tvarstymą ir kt. Pirmosios pagalbos teikimas yra skubus ir neatidėliotinas, kad būtų veiksmingas, tad, kad ir kaip išsamiai Inspekcijos Sprendime pateikiamos pareiškėjos specialistės teisės gauti vienokią ar kitokią informaciją apie pacientą, teigia, jog realybėje, ji neturi laiko registruoti paciento apsilankymo SPĮ, analizuoti visą jo sveikatos istoriją ir pan.
16. Taip pat nurodo, kad Inspekcija nenagrinėjo ir neišsiaiškino, kokiu BDAR nustatytu pagrindu ir kokiu tikslu pareiškėjai yra sukurta lengva galimybė prieiti prie kitų, ne pareiškėjos darbuotojų asmens duomenų.
17. Be kita ko pabrėžia, kad daugelis Sprendime nurodytų SAM ir Registrų centro pateiktų paaiškinimų yra teisės aktuose numatytų pareigų pareiškėjai, kaip SPĮ, atkartojimas taip, lyg siekiant nuslėpti ar nukreipti Inspekcijos dėmesį nuo tikrojo tyrimo objekto. Paaiškina, jog pirmiausia SAM, o ne kas kitas, turi pareigą, numatytą BDAR, t. y. aukštesnės galios teisės akte nei nurodomi ir cituojami aprašai, nuostatai ir pan. Sprendime, užtikrinti tvarkomų asmens duomenų tinkamą ir teisėtą tvarkymą ir jų saugumą.
18. Teigia, jog BDAR 25 straipsnyje nustatyta, kad duomenų valdytojas (šiuo atveju būtų SAM) įgyvendina tinkamas technines ir organizacines priemones, kuriomis užtikrina, kad standartizuotai būtų tvarkomi tik tie asmens duomenys, kurie yra būtini kiekvienam konkrečiam duomenų tvarkymo tikslui. Ta prievolė taikoma surinktų asmens duomenų kiekiui, jų tvarkymo apimčiai, jų saugojimo laikotarpiui ir jų prieinamumui. Visų pirma tokiomis priemonėmis užtikrinama, kad standartizuotai be fizinio asmens įsikišimo su asmens duomenimis negalėtų susipažinti neribotas fizinių asmenų skaičius.
19. Mano, jog duomenų valdytojas turėtų parinkti tokias numatytąsias duomenų tvarkymo nuostatas ir parinktis (ir už jas atsakyti), kad standartizuotai būtų atliekamas tik toks duomenų tvarkymas, kuris būtinas nustatytam, teisėtam tikslui pasiekti. Tai reiškia, kad standartizuotai duomenų valdytojas renka ne daugiau duomenų, nei būtina, netvarko surinktų duomenų didesne apimtimi, nei būtina jų tikslams pasiekti, ir nesaugo duomenų ilgiau nei būtina. Pagrindinis reikalavimas yra tas, kad tvarkant duomenis būtų standartizuotai taikoma duomenų apsauga.
20. Taip pat pažymi, jog priimant sprendimus tinkamų techninių ir organizacinių priemonių parengimo metu, reikia atsižvelgti į padidėjusį pavojų vientisumo ir konfidencialumo, duomenų kiekio mažinimo ir saugojimo trukmės apribojimo principams, kai renkami dideli išsamių asmens duomenų kiekiai, ir palyginti jį su mažesniu pavojumi, renkant mažiau informacijos ir (arba) mažiau išsamią informaciją apie duomenų subjektus. Bet kuriuo atveju pagal standartinį nustatymą netvarkomi asmens duomenys, kurie nebūtini konkrečiam duomenų tvarkymo tikslui.
21. Pabrėžia, kad duomenų valdytojas turėtų nustatyti apribojimus, susijusius su tuo, kas turi galimybę susipažinti su asmens duomenimis, ir su tokios galimybės rūšimis, remdamasis būtinumo įvertinimu, taip pat užtikrinti, kad asmens duomenys iš tiesų būtų prieinami tiems, kam tai būtina ir kada tai būtina. Duomenų tvarkymo metu prieigos kontrolė turėtų būti taikoma visam duomenų srautui. Taip pat nurodo, kad duomenų valdytojas privalo įvertinti, ar numatyti asmens duomenų tvarkymo tikslai gali būti pasiekti tvarkant mažesnį kiekį asmens duomenų arba turint mažiau išsamių asmens duomenų ar apibendrintus asmens duomenis, ar apskritai netvarkant asmens duomenų.
22. Atsižvelgiant į visą tai, pareiškėja mano, jog akivaizdu, kad ji gali toliau vykdyti savo veiklą, turėdama ribotą prieigą prie asmens duomenų. Teigia, jog privalomai gaudama neribotą prieigą prie ESPBI IS esančių specialių kategorijų asmens duomenų, yra priverčiama pažeisti asmens duomenų apsaugą reglamentuojančius teisės aktus. Pareiškėja akcentuoja, kad gauna prieigą prie specialių kategorijų asmens duomenų, kurie jai yra absoliučiai nereikalingi – taip pažeidžiamas duomenų kiekio mažinimo principas. Taip pat be pagrindo užkraunama našta užtikrinti ne tik savo teikiamų duomenų apie darbuotojus saugumą ir tinkamą jų tvarkymą, bet ir pasirūpinti visų kitų ESPBI IS esančių asmens duomenų saugumu ir tinkamu tvarkymu.
23. Pareiškėjos nuomone, sutarties dėl naudojimosi ESPBI IS su Registrų centru sudarymo metu, turėtų būti pagrįstai įvertinta ir atitinkamai susitarta dėl konkrečios ir tik pareiškėjai reikalingos informacijos pateikimo/prieigos suteikimo. Teikiamos informacijos įvertinimo metu, vadovaujantis BDAR nuostatomis ir principais, būtų nustatyta kokia asmens duomenų apimtis yra būtina, kad pareiškėja galėtų tinkamai teikti savo darbuotojams pirmąją medicinos pagalbą, ir tik dėl šių asmens duomenų gavimo per ESPBI IS būtų sudaryta atitinkama sutartis. Tokiu atveju pareiškėja nebūtų priversta gauti perteklinės informacijos, pažeisti BDAR įtvirtintų principų bei nuolatos turėti labai aukštą asmens duomenų pažeidimo atsiradimo rizikos lygį ir dėl to galinčių kilti skaudžių pasekmių. Kitu atveju, pareiškėja per prievartą gaudama perteklinius asmens duomenis, yra pastatoma į nepalankią padėtį, t. y. asmens duomenų saugumo pažeidimo atveju, galėtų grėsti reikšmingo dydžio bauda, pretenzijos ir civiliniai ieškiniai su reikalavimais iš duomenų subjektų dėl patirtos žalos, o taip pat, ir pareiškėjos dalykinės reputacijos praradimas.
24. Atsižvelgiant į visa tai mano, kad Sprendimas negali būti ir nėra teisėtas ir pagrįstas teisės aktų nuostatomis, objektyviu aplinkybių įvertinimu, nuodugniu bei išsamiu jų ištyrimu, bendrųjų protingumo, teisingumo ir proporcingumo principų laikymusi, todėl turėtų būti panaikintas.
25. Pareiškėjos atstovė teismo posėdžio metu prašė skundą tenkinti, palaikė skunde pateiktus argumentus ir reikalavimus.
26. Inspekcija teismui pateiktame atsiliepime nurodo, jog su pareiškėjos skundu nesutinka ir prašo teismo jį atmesti kaip nepagrįstą.
27. Pažymi, kad nagrinėjamu atveju yra būtina atriboti dvi pareiškėjos veiklas – gamybinę ir sveikatinimo. Pabrėžia, kad Licencijoje nenurodyta, jog pareiškėja gali teikti su sveikatinimu susijusias paslaugas tik savo darbuotojams, joje nurodyta, kad pareiškėjai suteikiama teisė „užsiimti asmens sveikatos priežiūros veikla ir teikti šias paslaugas“.
27.1. Akcentuoja, kad šias paslaugas teikia ne gamybos darbuotojas, o profesinės sveikatos specialistas, kurio kvalifikaciniai reikalavimai nustatyti Profesinės sveikatos specialistų, galinčių dirbti įmonėse, kvalifikacinių reikalavimų apraše (toliau – ir Aprašas). Nurodo, kad Aprašo 4 punkte nustatyta, kad profesinės sveikatos specialistais įmonėse gali dirbti sveikatos priežiūros specialistai: (4.1) įgiję darbo medicinos gydytojo profesinę kvalifikaciją; (4.2) baigę visuomenės sveikatos studijas ir įgiję aukštąjį arba jam prilygintą aukštojo mokslo išsilavinimą; (4.3) įgiję medicinos gydytojo profesinę kvalifikaciją; (4.4) įgiję bendrosios praktikos slaugytojo profesinę kvalifikaciją ar bendrosios praktikos slaugytojo profesinei kvalifikacijai prilyginamą profesinę kvalifikaciją, papildomai baigę ne trumpesnius kaip 120 valandų tobulinimo kursus, apimančius visas Aprašo 6 ir 7 punktuose išvardytas sritis.
27.2. Atsižvelgiant į tai nurodo, kad pareiškėjos skundo suformuotas nepasitenkinimas, jog jai yra nesuvokiama, kaip suteikiant gamybinei įmonei prieigą prie visų Lietuvos gyventojų sveikatos duomenų, kai tokie asmens duomenys nėra reikalingi, gali būti įvertinta kaip pagrįstas specialių kategorijų asmens duomenų tvarkymas, t. y. atitinkantis BDAR reikalavimus, Inspekcijos Sprendimu atmestinas kaip nepagrįstas, kadangi pareiškėja pati savo iniciatyva nusprendė užsiimti asmens sveikatos priežiūros veikla tuo pačiu prisiimdama sveikatos priežiūros įstaigoms keliamus reikalavimus, nustatytus Apraše, SPĮĮ ir kituose sveikatinimo veiklą reglamentuojančiuose teisės aktuose.
27.3. Taip pat atmestinu laiko pareiškėjos skundo argumentą, kad jai yra suteikta prieiga prie visų Lietuvos gyventojų sveikatos duomenų, kai tokie asmens duomenys nėra reikalingi. Inspekcija pažymi, kad pareiškėjai savaime nėra matomi visų Lietuvos gyventojų duomenys ir jos pareiga yra užtikrinti, kad būtų tvarkomi (peržiūrimi) tik tų asmenų duomenys, kurie susiję su įmonės veikla ir tik tie duomenys, kurie yra reikalingi. Atkreipia dėmesį į tai, kad daugumos informacinių sistemų ir registrų veikimas yra toks pats – nėra apribojamas konkretus sąrašas duomenų, prie kurių konkretus duomenų gavėjas gali turėti prieigos teises, pavyzdžiui, jeigu juridinis asmuo savo funkcijoms vykdyti pasirašo duomenų gavimo sutartį dėl nekilnojamojo turto duomenų gavimo iš Nekilnojamojo turto registro, juridiniam asmeniui nėra apribojamas registre esančių duomenų matymas pagal konkretų sąrašą ir pats juridinis asmuo privalo užtikrinti, kad peržiūrės tik tuos duomenis, kurie yra būtini jo funkcijoms vykdyti ir dėl kurių gavimo buvo pasirašyta sutartis.
28. Inspekcija teigia, jog komentuodama apsilankymo registravimo procedūrą, pareiškėja nurodo, kad jai tereikia pažymėti įvykį ir pateikti trumpą aprašymą, dėl ko asmuo kreipėsi bei paspausti „registruoti vizitą“, tačiau atkreipia dėmesį, jog pareiškėja pamiršo paminėti, kad pirmiausia reikia žinoti asmens, kuris atvyko ar ketina atvykti į SPĮ tapatybę, t. y. jį identifikuojančius duomenis, o jei tokios asmens realybėje nėra, tai ir pareiškėjos nurodyti veiksmai yra neteisėti. Nurodo, jog atsižvelgdama į Sprendime aprašytą „apsilankymo SPĮ užsiregistravimo procedūrą“, Inspekcija sprendžia, kad Elektroninės sveikatos paslaugų ir bendradarbiavimo infrastruktūros informacinės sistemos naudojimo tvarkos apraše nustatyta prieigos prie ESPBI IS tvarkomų asmens duomenų procedūra nesuteikia galimybės teisėtai prieiti prie bet kurio asmens duomenų, t. y. pareiškėjo nurodytu atveju būtina turėti naujam apsilankymui registruojamo asmens (paciento) identifikuojančius duomenis, kurių neteisėtas panaudojimas užtraukia atsakomybę.
28.1. Taip pat nurodo, jog pareiškėjos panaudota frazė „sukurta lengva galimybė“ yra vertinamojo pobūdžio, nepagrįsta jokiais faktiniais argumentais, o Sprendime pateikti argumentai paremti teisės aktuose nustatyta pacientų registravimo procedūra, kuri įrodo, kad pareiškėjos įdarbintas sveikatos priežiūros specialistas gali turėti prieigos teises tik prie tų asmens duomenų, kurių apsilankymą registravo.
29. Pabrėžia, kad ESPBI IS tvarkomus duomenis gauna ne pareiškėja, kaip juridinis asmuo, užsiimantis gamybine veikla, o jos, kaip asmens sveikatos priežiūros veikla užsiimančios ir teikiančios šias paslaugas, profesinės sveikatos specialistas, kuriam keliami atitinkamai teisės aktuose nustatyti reikalavimai, įskaitant reikalavimą saugoti paciento paslaptį, kuri negali būti atskleidžiama net ir darbdaviui.
29.1. Nurodo, jog pagal ESPBI IS nuostatų 38.8 papunktį, prieigos teisės nustatomos atsižvelgiant į sveikatinimo specialisto profesinę kvalifikaciją ir sveikatinimo įstaigos rūšį pagal teikiamas paslaugas.
29.2. Pažymi, jog ir pagal teisinį reglamentavimą, prieigos teisė prie paciento, kuriam teikiama pagalba, duomenų suteikiama būtent jį gydančiam specialistui ir tai atitinka pareiškėjos skunde pateiktam pavyzdžiui, kai galimybė susipažinti su paciento byla suteikiama tik tiems medicinos darbuotojams, kurie yra paskirti gydyti atitinkamą pacientą.
29.3. Pabrėžia ir tai, kad būtinosios ir (ar) pirmosios medicinos pagalbos teikimo atvejai yra labai įvairūs, todėl iš anksto nėra galimybės nustatyti, kokie duomenys, kokiu atveju bus reikalingi.
30. Trečiasis suinteresuotas asmuo Registrų centras atsiliepime teismo prašo antrąjį skundo reikalavimą atmesti kaip nepagrįstą, o kitus reikalavimus spręsti teismo nuožiūra.
31. Papildomai Registrų centras nurodo, jog atsižvelgiant į teisinį reglamentavimą, bei į 2022 m. rugsėjo 5 d. sutarties nuostatas, pareiškėja negauna prieigos prie asmens duomenų tol, kol nėra užregistruojamas paciento apsilankymas SPĮ, o apsilankymą užregistruoti galima tik vadovaujantis Elektroninės sveikatos paslaugų ir bendradarbiavimo infrastruktūros informacinės sistemos naudojimo tvarkos aprašo (toliau – ir ESPBI IS aprašas) nustatyta tvarka. Tai reiškia, kad pareiškėja turi prieigą ne prie visų pacientų ESPBI IS duomenų, o tik prie tų pacientų, kurių apsilankymą SPĮ teisės aktų nustatyta tvarka pareiškėja yra užregistravusi. Pažymi, jog duomenų tvarkymas kitais nei sutartyje nustatytais tikslais ar jų tvarkymas nesant teisinio pagrindo, nesilaikant teisės aktų reikalavimų ir sutarties, yra neteisėtas. Pabrėžia ir tai, kad pareiškėja rinkdama ir tvarkydama paciento duomenis taip pat turi užtikrinti BDAR 5 straipsnio nustatytų principų laikymąsi. Atsižvelgiant į tai mano, kad Inspekcijos išvada, jog kiekviena SPĮ (įskaitant jos sveikatos specialistus) yra atsakinga, kad pacientų asmens duomenų tvarkymas būtų vykdomas tik pagal teisės aktuose nustatytus reikalavimus, kurių pagrindu kiekviena SPĮ turi prieigą ne prie visų pacientų ESPBI IS duomenų, o tik prie tų pacientų, kurių apsilankymą teisės aktų nustatyta tvarka SPĮ yra užregistravusi, yra teisinga bei pagrįsta.
32. Registrų centras taip pat nurodo, kad jo manymu Inspekcija motyvuotai, aiškiai ir pagrįstai nurodė, kad duomenų valdytojas įrodė, jog ESPBI IS nuostatuose ir Lietuvos Respublikos sveikatos apsaugos ministro 2016 m. sausio 18 d. patvirtintame ESPBI IS Techniniame aprašyme (specifikacijoje) Nr. VI. 1 (Nr. 22-1) (toliau - ir Specifikacija) nustatytos priemonės, susijusios su prieigos teisių naudotojams suteikimu ESPBI IS, yra tinkamos, kad būtų užtikrintas tinkamas asmens (įskaitant sveikatos) duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas).
33. Atkreipia dėmesį, į pareiškėjos skundo reikalavimą įpareigoti Inspekciją duoti nurodymą ESPBI IS duomenų valdytojui SAM sukurti galimybę ESPBI IS apriboti pareiškėjos prieigą prie sistemoje esančių asmens duomenų pagal poreikį. Šiuo atveju visų pirma, pažymi, kad teismas nėra viešojo administravimo institucija ir neatlieka viešojo administravimo atitinkamoje srityje, tik sprendžia ginčus dėl teisės, todėl neįpareigoja viešojo administravimo subjekto priimti konkretaus turinio administracinį sprendimą, o įpareigoja tik iš naujo atlikti veiksmus, kurie pripažinti atliktais nesilaikant teisės aktų reikalavimų. Antra, toks reikalavimas negalėtų būti įgyvendinamas net ir tenkinus pareiškėjos skundą, nes tokiu atveju tektų pertvarkyti visą ESPBI IS, derinant informacinę sistemą prie kiekvienos SPĮ poreikių ir reikalavimų, kas nėra nei pagrįsta, nei įmanoma.
34. Atsakovės atstovė prašė skundą atmesti, palikti VDAI Sprendimo nepanaikinti, palaikė atsiliepime pateiktus argumentus.
35. Trečiasis suinteresuotas asmuo SAM atsiliepimo į pareiškėjos skundą nepateikė.
Teismas
konstatuoja:
36. Nagrinėjamoje byloje ginčas kilo dėl VDAI Sprendimo teisėtumo ir pagrįstumo. Pareiškėja teismo prašo: 1) panaikinti VDAI Sprendimą; 2) įpareigoti VDAI duoti nurodymą ESPBI IS duomenų valdytojui SAM sukurti galimybę ESPBI IS apriboti pareiškėjos prieigą prie sistemoje esančių asmens duomenų pagal poreikį; 3) priteisti iš VDAI pareiškėjos patirtas bylinėjimosi išlaidas.
37. Remiantis bylos medžiaga, nustatyta:
37.1. Pareiškėja yra įmonė, gaminanti baldus ir kitus medienos gaminius.
37.2. 1999-06-09 pareiškėjai buvo išduota licencija Nr. 455, suteikianti teisę pareiškėjai užsiimti asmens sveikatos priežiūros veikla ir teikti šias paslaugas – nuo 2006-08-29 adresu (duomenys neskelbtini), slaugos: bendruomenės, bendrosios praktikos.
37.3. Pareiškėja savo gamybinės veiklos teritorijoje yra įrengusi pirmosios medicininės pagalbos punktą, kuriame profesinės sveikatos specialistas teikia pirmąją medicininę pagalbą pareiškėjos darbuotojams.
37.4. Pareiškėja su valstybės įmone Registrų centras (toliau ir – RC) 2022-09-05 yra sudariusi Duomenų teikimo sutartį sveikatos priežiūros įstaigoms, kurios e. sveikatos paslaugomis naudojasi per e. sveikatos portalą, (toliau ir – Duomenų teikimo sutartis). Duomenų teikimo sutartyje nustatyta, kad:
37.4.1. pareiškėja įsipareigoja RC tvarkomai ESPBI IS išskirtinai per ESPBI IS portalą teikti savo tvarkomus duomenis, nurodytus Duomenų teikimo sutarties 1.1.1 ir 1.1.2 papunkčiuose (1.1 papunktis); RC įsipareigoja nuo ESPBI IS veiklos pradžios teikti pareiškėjai duomenis, nurodytus Sveikatos priežiūros įstaigų informacinių sistemų susiejimo su e. sveikatos paslaugų ir bendradarbiavimo infrastruktūra reikalavimuose ir techninėse sąlygose, patvirtintose Lietuvos Respublikos sveikatos apsaugos ministro 2010-12-17 įsakymu Nr.V-1079, (toliau ir – Sąlygos) 21 punkte, ir pacientų elektroninės sveikatos istorijos (toliau ir – ESI) duomenis, būtinus sveikatos priežiūros paslaugoms teikti, kai ESPBI IS yra užregistruotas paciento apsilankymas, sveikatos priežiūros specialistas yra pacientą gydantis šeimos gydytojas ir/ar konkretų ESI įrašą sukūręs asmuo (1.2 papunktis).
37.4.2. Duomenų teikimo sutartyje numatytus duomenis pareiškėja ir RC teikia ir gauna vadovaudamosi BDAR 6 straipsnio 1 dalies c punktu ir 9 straipsnio 2 dalies h punktu; Lietuvos Respublikos sveikatos sistemos įstatymo (toliau ir – SSĮ) 131 straipsniu; Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo (toliau ir – VIIVĮ) 35, 36 ir 38 straipsniais; ESPBI IS nuostatų 16.6, 18.9, 37.2, 37.4 papunkčiais ir 43 punktu; Elektroninės sveikatos paslaugų ir bendradarbiavimo infrastruktūros informacinės sistemos naudojimo tvarkos aprašo, patvirtinto Lietuvos Respublikos sveikatos apsaugos ministro 2015-05-26 įsakymu Nr. V-657, (toliau ir – Aprašas) 7 punktu (2 punktas).
37.4.3. Pareiškėja gautus duomenis, įskaitant ir asmens duomenis, naudoja sveikatos priežiūros paslaugų teikimo ir suteiktų sveikatos priežiūros paslaugų apskaitos tikslu (8 punktas).
37.4.4. Pareiškėja turi teisę gauti duomenis ir juos teikti į ESPBI IS tik tiesiogiai per ESPBI IS portalą, nenaudojant jokių papildomų informacinių sistemų (9 punktas).
37.4.5. RC ir pareiškėja užtikrina Duomenų teikimo sutarties pagrindu gaunamų duomenų saugą vadovaudamiesi: Lietuvos Respublikos sveikatos apsaugos ministerijos valdomų ir valstybės įmonės Registrų centro tvarkomų elektroninės sveikatos sistemos informacinių sistemų duomenų saugos nuostatais, patvirtintais Lietuvos Respublikos sveikatos apsaugos ministro 2019-07-03 įsakymu Nr. V-777 (toliau ir – Saugos nuostatai), Elektroninės sveikatos paslaugų ir bendradarbiavimo infrastruktūros informacinės sistemos nuostatų, patvirtintų Lietuvos Respublikos Vyriausybės 2011-09-07 nutarimu Nr. 1057, (toliau ir – ESPBI IS nuostatai) VI skyriuje ,,ESPBI IS duomenų sauga“ nustatyta tvarka (15 punktas).
37.5. Pareiškėja 2022-09-22 raštu Nr. KLMED/22S-236 kreipėsi į VDAI paaiškindama, kad vadovaujantis Lietuvos Respublikos sveikatos priežiūros įstaigų įstatymo (toliau ir – SPĮĮ) nuostatomis, teikiant su sveikatinimo veikla susijusias paslaugas, nuo 2022-09-01 privaloma naudotis ESPBI IS, todėl pareiškėja buvo priversta sudaryti Duomenų teikimo sutartį (dėl naudojimosi ESPBI IS) su RC, kuria pareiškėja įsipareigojo į RC tvarkomą ESPBI IS įtraukti tvarkomus pareiškėjos darbuotojų sveikatos duomenis, o RC įsipareigojo nuo ESPBI IS veiklos pradžios teikti pareiškėjai visus, ne tik pareiškėjos darbuotojų, ESPBI IS esančius elektroninės sveikatos istorijos duomenis. Pareiškėjai pateikus prašymą apriboti prieigą prie ESPBI IS esančių asmens duomenų, RC paaiškino, kad ESPBI IS techninės savybės neleidžia to padaryti, todėl pareiškėjai tapo prieinami visi ESPBI IS fiksuoti sveikatos istorijos duomenys: asmenų fizinės būklės diagnozės; informaciją apie asmenų gydymą; asmenims priskirti elektroniniai receptai; asmenų laboratorinių tyrimų siuntimai ir atsakymai; asmenims priskirti siuntimai konsultacijoms; asmenų medicininiai vaizdai; informaciją apie asmenų skiepus; asmenų sveikatos pažymos; ir kiti e-sveikatos sistemoje tvarkomi asmens duomenys. Pareiškėja gauna prieigą prie specialių kategorijų asmens duomenų, kurie jai yra absoliučiai nereikalingi. Taigi, pareiškėjai be pagrindo užkraunama našta užtikrinti ne tik savo teikiamų duomenų apie darbuotojus saugumą ir tinkamą jų tvarkymą, bet ir pasirūpinti visų kitų ESPBI IS sistemoje esančių asmens duomenų saugumu ir tinkamu tvarkymu. Prašė įvertinti, ar ESPBI IS neturėjimas techninių savybių apriboti vartotojo, kuriam duomenys nėra reikalingi, prieigos prie asmens duomenų, įskaitant specialių kategorijų asmens duomenų, nepažeidžia BDAR 25 str. ir kitų BDAR numatytų reikalavimų. Nustačius, kad pažeidimai egzistuoja, prašė įpareigoti sukurti galimybę ESPBI IS vartotojams apriboti prieigą prie sistemoje esančių asmens duomenų pagal poreikį. Pažymėjo, kad pareiškėjos pagrindinė veikla yra gamyba, o ne specialių kategorijų duomenų tvarkymas.
37.6. VDAI 2022-10-28 raštu informavo pareiškėją, kad, atsižvelgdama į pareiškėjos 2022-09-22 rašte Nr. KLMED/22S2-36 pateiktą informaciją, susijusią su prieigos teisių naudotojams suteikimu ESPBI IS, VDAI inicijavo ESPBI IS duomenų valdytojo SAM ir pagrindinio duomenų tvarkytojo RC patikrinimą dėl galimų BDAR pažeidimų.
37.7. Pareiškėja 2022-10-06 raštu (RC gautu 2022-10-10) kreipėsi į RC, paaiškindama, kad RC, suteikdamas pareiškėjai prieigą prie visų asmens duomenų, esančių ESPBI IS, atskleidžiant pareiškėjai tokį didelį kiekį specialių kategorijų asmens duomenų, kurie pareiškėjai nereikalingi, pažeidžia BDAR įtvirtintus principus; paprašė RC suteikti pareiškėjai su tuo susijusią informaciją.
37.8. RC 2023-10-31 raštu, atsakydamas į pareiškėjos 2022-10-06 raštą (RC gautą 2022-10-10), paaiškino, kad:
37.8.1. ESPBI IS tvarkomų duomenų apsauga užtikrinama vadovaujantis šiais teisės aktais: Saugos nuostatais; Lietuvos Respublikos sveikatos apsaugos ministerijos valdomų ir valstybės įmonės Registrų centro tvarkomų elektroninės sveikatos sistemos informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklėmis, patvirtintomis Lietuvos Respublikos sveikatos apsaugos ministro 2020-11-25 įsakymu Nr. V-2723, Lietuvos Respublikos sveikatos apsaugos ministerijos valdomų ir valstybės įmonės Registrų centro tvarkomų elektroninės sveikatos sistemos informacinių sistemų naudotojų administravimo taisyklėmis Lietuvos Respublikos sveikatos apsaugos ministro 2020-11-25 įsakymu Nr. V-2723.
37.8.2. Atkreipė dėmesį, kad pagal SPĮĮ 45 straipsnio 1 dalies 41 punktą, Asmens sveikatos priežiūros įstaiga privalo ESPBI IS veiklą reguliuojančių teisės aktų nustatyta tvarka sudaryti sutartį dėl naudojimosi ESPBI IS ir ESPBI IS pildyti elektroninius dokumentus bei teikti jų duomenis į ESPBI IS. Sutarties sudarymo faktas sukuria teises ir pareigas jos šalims. Sutartyje numatyta, kad RC įsipareigoja nuo ESPBI IS veiklos pradžios teikti sveikatos priežiūros įstaigai (pareiškėja laikoma sveikatos priežiūros įstaiga atsižvelgiant į turimą sveikatos priežiūros įstaigos licenciją) (toliau ir – SPĮ) duomenis, nurodytus Sąlygų 21 punkte, ir ESI duomenis, būtinus sveikatos priežiūros paslaugoms teikti, kai ESPBI IS yra užregistruotas paciento apsilankymas, sveikatos priežiūros specialistas yra pacientą gydantis šeimos gydytojas ir / ar konkretų ESI įrašą sukūręs asmuo. SPĮ gautus duomenis, įskaitant ir asmens duomenis, naudoja sveikatos priežiūros paslaugų teikimo ir suteiktų sveikatos priežiūros paslaugų apskaitos tikslu. Taip pat SPĮ užtikrina, kad asmens duomenis tvarkyti įgalioti asmenys būtų raštu įsipareigoję užtikrinti konfidencialumą. Sutartyje aiškiai apibrėžtos nuostatos dėl duomenų naudojimo tikslo ir tvarkos, numatyta kaip turi būti užtikrinama duomenų sauga.
37.8.3. Aprašas nustato ESPBI IS naudotojų teises ir pareigas naudojantis ESPBI IS, kiek tai susiję su duomenų tvarkymu ir peržiūra ESPBI IS, pacientų atvykimo į asmens sveikatos priežiūros įstaigą fakto registravimu, elektroninės sveikatos istorijos tvarkymu, pranešimų siuntimu, apskaitos ir statistinių duomenų teikimu, siuntimų išdavimu, skiepų kalendoriaus tvarkymu, medicininių vaizdų duomenų įvedimu ir peržiūra naudojantis ESPBI IS priemonėmis, pacientų naudojimusi elektroninėmis sveikatos paslaugomis. Apraše numatyta, kad prieiga prie paciento duomenų suteikiama tik atlikus numatytus aktyvius veiksmus, t. y. pacientui atvykus į asmens sveikatos priežiūros įstaigą, pagal pateiktą asmens tapatybę patvirtinantį dokumentą turi būti nustatyta paciento tapatybė ir e. sveikatos portale ar asmens sveikatos priežiūros įstaigos informacinėje sistemoje (toliau ir – SPĮ IS) nurodyti pacientą identifikuojančius duomenis; patikrinus informaciją apie paciento draustumo būseną, taip pat ar pacientą gydantis gydytojas dirba asmens sveikatos priežiūros įstaigoje, į kurią atvyko pacientas, peržiūrėjus pacientui išduotų aktualių siuntimų sąrašą, SPĮ IS arba e. sveikatos portale nurodoma paciento atvykimo priežastis, būdas ir kiti teisės aktuose nurodyti duomenys; užregistravus paciento atvykimo į asmens sveikatos priežiūros įstaigą faktą, ESPBI IS tai asmens sveikatos priežiūros įstaigai, į kurią atvyko pacientas, suteikia prieigą prie paciento ESI. Tai reiškia, kad tik pacientui kreipusis į SPĮ, atlikus visus teisės aktuose numatytus veiksmus, suteikiama prieiga prie paciento asmens duomenų. Pažymėjo, kad, atsižvelgiant į išdėstytus duomenų teikimo pagrindus ir naudojimo tikslus, pareiškėja negauna prieigos prie specialių kategorijų asmens duomenų tol, kol nėra užregistruojamas paciento apsilankymas SPĮ, o apsilankymą užregistruoti galima tik vadovaujantis paminėto Aprašo nustatyta tvarka bei duomenų teikimo sutartimi.
37.8.4. SPĮĮ 45 straipsnio 7 punktas įpareigoja saugoti paciento medicininę paslaptį (išskyrus atvejus, kai asmens sveikatos priežiūros įstaiga privalo pateikti informaciją apie pacientą arba kai pacientas duoda sutikimą skelbti informaciją apie jo sveikatos būklę), todėl asmens duomenų tvarkymas kitais tikslais nei nustatyta, asmens duomenų tvarkymas nesant teisinio pagrindo yra neteisėtas ir negalimas.
37.9. VDAI 2022-10-19 raštu Nr. 2R-5339 (2.7.E) „Dėl informacijos pateikimo“ kreipėsi į SAM ir RC dėl informacijos pateikimo.
37.10. SAM 2022-11 raštu atsakė į VDAI 2022-10-19 raštą Nr. 2R-5339 (2.7.E) ir paaiškino, kad:
37.10.1. ESPBI IS nuostatų 38.3 ir 38.8 papunkčių reikalavimai, nustatantys, kad Saugos posistemės funkcijos yra riboti prieigos teises prie ESPBI IS realizuotų elektroninių dokumentų formų dalių, prie kurių prieiga gali būti suteikiama nustatytiems naudotojams ir (ar) nustatytam laikotarpiui ir užtikrinti, kad prieigos teisės būtų nustatomos atsižvelgiant į sveikatinimo specialisto profesinę kvalifikaciją ir sveikatinimo įstaigos rūšį pagal teikiamas paslaugas, ESPBI IS yra įgyvendinti atsižvelgiant į Lietuvos Respublikos sveikatos apsaugos ministro 2016-01-18 patvirtintą Elektroninės sveikatos paslaugų ir bendradarbiavimo infrastruktūros informacinės sistemos Techninį aprašymą (toliau ir – Specifikacija) Nr. V1.1 (Nr. 22-1). Specifikacijos 4.5 dalyje „IS naudotojams teikiama informacija“ (49 psl.) numatyta, kad teisę matyti visus paciento ESI asmens duomenis, įskaitant paciento uždraustus rodyti tam tikrus ESI asmens duomenis, turi paciento šeimos gydytojas ir sveikatinimo specialistai, teikiantys būtinąją medicinos pagalbą pacientui.
37.10.2. Būtinosios medicinos pagalbos teikimo tvarkos ir masto aprašo, patvirtinto Lietuvos Respublikos sveikatos apsaugos ministro 2004-04-08 įsakymu Nr. V-208, 7 punkte nustatyta, kad būtinoji medicinos pagalba apima ir pirmąją medicinos pagalbą.
37.10.3. Kadangi pareiškėja (SPĮ) turi licenciją užsiimti asmens sveikatos priežiūros veikla ir turi teisę savo darbuotojams teikti pirmąją medicininę pagalbą, tai SPĮ sveikatos priežiūros specialistai, užregistravę paciento apsilankymą SPĮ vadovaudamiesi Aprašu, turi prieigą prie visų tik to paciento sveikatos duomenų, esančių ESPBI IS.
37.10.4. SPĮĮ 45 straipsnio 7 punktas įpareigoja sveikatos priežiūros specialistus saugoti paciento medicininę paslaptį (išskyrus atvejus, kai asmens sveikatos priežiūros įstaiga privalo pateikti informaciją apie pacientą arba kai pacientas duoda sutikimą skelbti informaciją apie jo sveikatos būklę), todėl asmens duomenų tvarkymas kitais tikslais nei nustatyta, asmens duomenų tvarkymas nesant teisinio pagrindo yra neteisėtas ir negalimas. Analogiškai, kaip pažeidimas, būtų traktuojama ir situacija, jeigu SPĮ naršytų po trečiųjų asmenų sveikatos duomenis (ne darbuotojų – pacientų). Tuomet būtų galima kelti atsakomybės klausimą būtent tai SPĮ, kadangi tokios teisės ji neturi ir šis veiksmas būtų nesuderinamas su jos sudaryta duomenų tvarkymo sutartimi.
37.11. RC, atsakydama į VDAI 2022-10-19 raštą Nr. 2R-5339 (2.7.E), 2022-11-10 raštu Nr. S-47741(1.4 E) paaiškino, kad:
37.11.1. SPĮĮ 45 straipsnyje yra nustatytos asmens sveikatos priežiūros įstaigos pareigos, viena jų nustatyta pastarojo straipsnio 1 dalies 1 punkte, - užtikrinti būtinąją medicinos pagalbą; 1 dalies 41 punkte numatyta asmens sveikatos priežiūros įstaigos pareiga ESPBI IS veiklą reguliuojančių teisės aktų nustatyta tvarka sudaryti sutartį dėl naudojimosi ESPBI IS ir ESPBI IS pildyti elektroninius dokumentus bei teikti jų duomenis į ESPBI IS. SPĮĮ 45 straipsnio 7 punktas įpareigoja asmens sveikatos priežiūros įstaigą saugoti paciento medicininę paslaptį (išskyrus atvejus, kai asmens sveikatos priežiūros įstaiga privalo pateikti informaciją apie pacientą arba kai pacientas duoda sutikimą skelbti informaciją apie jo sveikatos būklę).
37.11.2. Atsižvelgiant į tai, pareiškėja, kuriai 1999-06-09 išduota Įstaigos asmens sveikatos priežiūros licencija Nr. 455, su RC 2022-09-05 sudarė Duomenų teikimo sutartį, kurioje nustatyta duomenų teikimo tvarka, teisėto duomenų tvarkymo sąlygos ir teisiniai pagrindai, duomenų apimtis, apibrėžtas duomenų naudojimo tikslas, nustatytos duomenų saugą užtikrinančios priemonės, numatytos kitos Duomenų teikimo sutarties šalių teisės ir pareigos. Duomenų teikimo sutartyje numatyta, kad RC įsipareigoja nuo ESPBI IS veiklos pradžios teikti pareiškėjai (SPĮ) duomenis, nurodytus Sąlygų 21 punkte, ir pacientų ESI duomenis, būtinus sveikatos priežiūros paslaugoms teikti, kai ESPBI IS yra užregistruotas paciento apsilankymas, sveikatos priežiūros specialistas yra pacientą gydantis šeimos gydytojas ir / ar konkretų ESI įrašą sukūręs asmuo. Duomenų teikimo sutartyje apibrėžta, kad pareiškėja gautus duomenis, įskaitant ir asmens duomenis, naudoja sveikatos priežiūros paslaugų teikimo ir suteiktų sveikatos priežiūros paslaugų apskaitos tikslu. Taip pat minėtoje sutartyje įtvrirtinta pareiškėjos pareiga užtikrinti, kad asmens duomenis tvarkyti įgalioti asmenys būtų raštu įsipareigoję užtikrinti konfidencialumą. Duomenų teikimo sutartyje numatyta kaip turi būti užtikrinama duomenų sauga, įskaitant, kad pareiškėja įsipareigojusi užtikrinti Duomenų teikimo sutartimi gautų duomenų saugą savo lėšomis ir priemonėmis; užtikrinti duomenų saugą vadovaujantis Saugos nuostatais ir nuostatų VI skyriuje ,,ESPBI IS duomenų sauga“ nustatyta tvarka; privalo turėti technines ir organizacines priemones, skirtas identifikuotis ir perduodamų duomenų vientisumui užtikrinti.
37.11.3. Aprašas nustato ESPBI IS naudotojų teises ir pareigas naudojantis ESPBI IS, kiek tai susiję su duomenų tvarkymu ir peržiūra ESPBI IS, pacientų atvykimo į asmens sveikatos priežiūros įstaigą fakto registravimu, elektroninės sveikatos istorijos tvarkymu, pranešimų siuntimu, apskaitos ir statistinių duomenų teikimu, siuntimų išdavimu, skiepų kalendoriaus tvarkymu, medicininių vaizdų duomenų įvedimu ir peržiūra naudojantis ESPBI IS priemonėmis, pacientų naudojimusi elektroninėmis sveikatos paslaugomis. Apraše numatyta, kad prieiga prie paciento duomenų suteikiama tik atlikus numatytus aktyvius veiksmus, t. y., pacientui atvykus į asmens sveikatos priežiūros įstaigą, pagal pateiktą asmens tapatybę patvirtinantį dokumentą turi būti nustatyta paciento tapatybė ir e. sveikatos portale ar asmens SPĮ informacinėje sistemoje (SPĮ IS) nurodyti pacientą identifikuojančius duomenis; patikrinus informaciją apie paciento draustumo būseną, taip pat, ar pacientą gydantis gydytojas dirba asmens sveikatos priežiūros įstaigoje, į kurią atvyko pacientas, peržiūrėjus pacientui išduotų aktualių siuntimų sąrašą, SPĮ IS arba e. sveikatos portale nurodoma paciento atvykimo priežastis, būdas ir kiti teisės aktuose nurodyti duomenys; užregistravus paciento atvykimo į asmens SPĮ faktą, ESPBI IS tai asmens SPĮ, į kurią atvyko pacientas, suteikia prieigą prie paciento ESI. Tai reiškia, kad tik pacientui kreipusis į SPĮ, atlikus visus teisės aktuose numatytus veiksmus, suteikiama prieiga prie to paciento asmens duomenų.
37.11.4. Pažymėta, kad, atsižvelgiant į nurodytą teisinį reglamentavimą, Duomenų teikimo sutartį, pareiškėja negauna prieigos prie asmens duomenų tol, kol nėra užregistruojamas paciento apsilankymas SPĮ (pas pareiškėją), o apsilankymą užregistruoti galima tik vadovaujantis aukščiau paminėto Aprašo nustatyta tvarka. Kitaip tariant, pareiškėja turi prieigą ne prie visų pacientų ESPBI IS duomenų, o tik prie tų pacientų, kurių apsilankymą SPĮ (pas pareiškėją) teisės aktų nustatyta tvarka yra užregistravusi pareiškėja.
37.11.5. Dėl pareiškėjos prieigos teisių prie paciento, kurio apsilankymas registruotas SPĮ (pas pareiškėją), visų sveikatos istorijos duomenų, atsižvelgiant į ESPBI IS nuostatų 38.3 ir 38.8 papunkčių reikalavimus, nustatančius, kad ESPBI IS Saugos posistemės funkcijos yra riboti prieigos teises prie ESPBI IS realizuotų elektroninių dokumentų formų dalių, prie kurių prieiga gali būti suteikiama nustatytiems naudotojams ir (ar) nustatytam laikotarpiui ir užtikrinti, kad prieigos teisės būtų nustatomos atsižvelgiant į sveikatinimo specialisto profesinę kvalifikaciją ir sveikatinimo įstaigos rūšį pagal teikiamas paslaugas, pažymėtina, kad pareiškėjai prieigos teisės prie Duomenų teikimo sutartyje numatytų duomenų suteiktos laikantis minėtų ESPBI IS nuostatų reikalavimų, kurie ESPBI IS šiuo atveju yra įgyvendinti atsižvelgiant į Specifikaciją, kurios 4.5 dalyje „IS naudotojams teikiama informacija“ numatyta, kad teisę matyti visus paciento ESI asmens duomenis, įskaitant paciento uždraustus rodyti tam tikrus ESI asmens duomenis, turi paciento šeimos gydytojas ir sveikatinimo specialistai, teikiantys būtinąją medicinos pagalbą pacientui. Būtinosios medicinos pagalbos teikimo tvarkos ir masto aprašo, patvirtinto Lietuvos Respublikos sveikatos apsaugos ministro 2004-04-08 įsakymu Nr. V-208, 7 punkte nustatyta, kad būtinoji medicinos pagalba apima pirmąją medicinos pagalbą.
37.11.6. Pareiškėjos (kuri turi teisę savo darbuotojams teikti pirmąją medicininę pagalbą) sveikatos priežiūros specialistai turi prieigą prie paciento, kai užregistruojamas paciento apsilankymas SPĮ (pas pareiškėją) vadovaujantis aukščiau paminėto Aprašo nustatyta tvarka, duomenų, numatytų Duomenų teikimo sutartyje, kurie gali būti naudojami tik šioje sutartyje apibrėžtu tikslu, tuo tarpu duomenų tvarkymas kitais nei Duomenų teikimo sutartyje nustatytais tikslais, jų tvarkymas nesant teisinio pagrindo, nesilaikant aukščiau paminėtų teisės aktų reikalavimų ir sutarties, yra neteisėtas. Pareiškėja rinkdama ir tvarkydama paciento duomenis taip pat turi užtikrinti BDAR 5 straipsnyje nustatytų principų laikymąsi
37.12. VDAI 2023-01-24 raštu Nr. 2R-418 (2.14.E) kreipėsi į SAM ir RC papildomos informacijos.
37.13. SAM 2023-02 raštu atsakė į VDAI 2023-01-24 raštą Nr. 2R-418 (2.14.E) ir paaiškino, kad:
37.13.1. Dėl to, kaip yra įgyvendinta ESPBI IS nuostatų 38.8 papunkčio nuostata dėl prieigos teisių sąsajos su sveikatinimo specialisto profesine kvalifikacija. Paaiškino kad ESPBI IS nuostatuose vartojama sąvoka „sveikatinimo specialistas“ yra bendrinė sąvoka ir yra apibrėžta ESPBI IS nuostatų 4.7. papunktyje kaip apimanti visus specialistus, užsiimančius asmens sveikatos priežiūros, visuomenės sveikatos priežiūros, farmacine ar kitomis sveikatinimo veiklomis, kurių rūšis ir reikalavimus ją vykdantiems subjektams nustato Sveikatos apsaugos ministras. Bet kokiam sveikatinimo specialistui (užsiimančiam ar asmens sveikatos priežiūros, ar visuomenės sveikatos priežiūros, ar farmacine, ar kitomis sveikatinimo veiklomis) (toliau – sveikatinimo specialistas) Sveikatos apsaugos ministro įsakymais yra priskirtos veiklos teisės ir pareigos. Pvz. Lietuvos medicinos norma MN 125:2022 „Ergoterapeutas“, patvirtinta Lietuvos Respublikos sveikatos apsaugos ministro 2016-04-28 įsakymu Nr. V-544, nustato ergoterapeuto teises, pareigas ir kompetenciją. Sveikatinimo specialistų veiklai ir pareigų atlikimui užtikrinti reikalinga prieiga prie ESPBI IS. Nuostatų 38.8 papunkčio reikalavimai, kad prieigos teisės prie ESBI IS būtų nustatomos atsižvelgiant į sveikatinimo specialisto profesinę kvalifikaciją ir sveikatinimo įstaigos rūšį pagal teikiamas paslaugas ESPBI IS yra įgyvendinti vadovaujantis reikalavimais, nustatytais Specifikacijos 7.3.7. skyriuje „ESPBI IS Saugos posistemės (F.10.) reikalavimai“, kur numatyta, kad ESPBI IS privalo suteikti priemones, leidžiančias vykdyti ir valdyti leidimus prisijungti prie ESPBI IS pagal veiklos tipą (leidimus, kurie suteikiami atsižvelgiant į atsakomybę ar funkcijas atitinkamoje veiklos operacijoje ar procese, pvz. sveikatingumo specialistas, slaugos ir akušerijos specialistas ir pan. ). Sveikatinimo specialistų profesinės kvalifikacijos nustatytos Sveikatinimo veiklos specialistų profesinių kvalifikacijų klasifikatoriuje, patvirtintame Lietuvos Respublikos sveikatos apsaugos ministro 2020-09-23 įsakymu Nr. V-2101.
37.13.2. Dėl to, kokių kvalifikacijų sveikatinimo specialistai, išskyrus šeimos gydytojus, turi prieigą prie visų ESPBI IS duomenų ir kur (kokiame teisės akte) tai nustatyta. Teisę matyti visus ESPBI IS esančius paciento ESI asmens duomenis nustatyta šiuose teisės aktuose: Specifikacijos 4.5 dalyje „IS naudotojams teikiama informacija“ nustatyta, kad teisę matyti visus paciento ESI asmens duomenis, įskaitant paciento uždraustus rodyti tam tikrus ESI asmens duomenis, turi paciento šeimos gydytojas, sveikatinimo specialistai, teikiantys būtinąją medicinos pagalbą pacientui, ir sveikatinimo specialistai, pateikę uždraustus rodyti ESI įrašus; Duomenų subjektų teisių įgyvendinimo Elektroninėje sveikatos paslaugų ir bendradarbiavimo infrastruktūros informacinėje sistemoje tvarkos aprašo, patvirtinto Lietuvos Respublikos sveikatos apsaugos ministro 2018-07-04 įsakymu Nr. V-769 „Dėl duomenų subjektų teisių įgyvendinimo Elektroninės sveikatos paslaugų ir bendradarbiavimo infrastruktūros informacinėje sistemoje tvarkos aprašo patvirtinimo“, 15.3.1. papunktyje nustatyta, kad teisę matyti visus duomenų subjekto ESI asmens duomenis, įskaitant duomenų subjekto uždraustus rodyti tam tikrus ESI asmens duomenis, turi duomenų subjekto šeimos gydytojas ir sveikatinimo specialistai, teikiantys būtinąją medicinos pagalbą pacientui.
37.13.3. Dėl to, pagal kokį teisės aktą nustatomos profesinės sveikatos specialistų bei sveikatinimo specialistų, teikiančių būtinąją medicinos pagalbą pacientui, prieigos prie ESPBĮ IS teisės? SAM paaiškino, kad „profesinės sveikatos specialistas“ yra bendrinė sąvoka ir yra apibrėžta Profesinės sveikatos specialistų veiklos apraše (parengtame Higienos instituto vykdant Nacionalinio darbuotojų saugos ir sveikatos 2017–2021 metų veiksmų plano, patvirtinto Lietuvos Respublikos socialinės apsaugos ir darbo ministro ir Lietuvos Respublikos sveikatos apsaugos ministro 2017-05-22 įsakymu Nr. A1-256/V-584, priemonę Nr. 2.5.1.) kaip sveikatos priežiūros specialistas, turintis aukštąjį medicinos, visuomenės sveikatos ar slaugos išsilavinimą ir atitinkantis Profesinės sveikatos specialistų, galinčių dirbti įmonėse, kvalifikacinių reikalavimų apraše, patvirtintame Lietuvos Respublikos sveikatos apsaugos ministro 2008-04-08 įsakymu Nr. V-271 „Dėl Profesinės sveikatos specialistų, galinčių dirbti įmonėse, kvalifikacinių reikalavimų aprašo patvirtinimo“, nustatytus reikalavimus. Visų sveikatinimo specialistų, įskaitant profesinės sveikatos specialistų bei sveikatinimo specialistų, teikiančių būtinąją medicinos pagalbą pacientui, prieigos prie ESPBI IS teisės nustatomos vadovaujantis ESPBI IS nuostatų 38.8 papunkčio reikalavimais ir įgyvendinamos vadovaujantis Specifikacijos reikalavimais.
37.14. RC 2023-02-07 raštu Nr. S-5121 (1.4E), atsakydamas į VDAI 2023-01-24 raštą Nr. 2R-418 (2.14.E), paaiškino:
37.14.1. RC, kaip ESPBI IS tvarkytojas, įgyvendindamas ESPBI IS nuostatus, veikia vadovaudamasis ESPBI IS valdytojo SAM priimtais teisės aktais ir nurodymais.
37.14.2. ESPBI IS nuostatų 38.3 ir 38.8 papunkčių reikalavimai dėl prieigos teisių suteikimo įgyvendinami atsižvelgiant į Specifikaciją. Specifikacijos 7.3.7 dalyje (skyriuje) „ESPBI IS Saugos posistemės (F.10.) reikalavimai" pateikiamos lentelės Nr. 78, kurioje nurodyti ESPBI IS Saugos posistemės funkcionalumo reikalavimai, 10 punkte numatytas reikalavimas suteikti ESPBI IS naudotojams galimybę naudotis ESPBI IS funkcijomis atsižvelgiant į jų tapatybę, vaidmenį, įstaigą, atstovavimo tipą, pareigas, profesinę kvalifikaciją; 11 punkte nurodytas reikalavimas suteikti priemones, leidžiančias vykdyti ir valdyti leidimus prisijungti prie ESPBI IS pagal veiklos tipą (leidimus, kurie suteikiami atsižvelgiant į atsakomybę ar funkcijas atitinkamoje veiklos operacijoje ar procese, pvz. sveikatingumo specialistas, slaugos ir akušerijos specialistas ir pan.). Sveikatinimo specialistų profesinės kvalifikacijos nustatytos Sveikatinimo veiklos specialistų profesinių kvalifikacijų klasifikatoriuje, patvirtintame Lietuvos Respublikos sveikatos apsaugos ministro 2020-09-23 įsakymu Nr. V-2101 (toliau ir – Klasifikatorius).
37.14.3. Specifikacijos 4.5 dalyje (skyriuje) „IS naudotojams teikiama informacija“ numatyta, kad teisę matyti visus paciento ESI (elektroninės sveikatos istorija) asmens duomenis, įskaitant paciento uždraustus rodyti tam tikrus ESI asmens duomenis, turi paciento šeimos gydytojas ir sveikatinimo specialistai, teikiantys būtinąją medicinos pagalbą pacientui, taip pat sveikatinimo specialistai, pateikę uždraustus rodyti ESI įrašus. Be to, Duomenų subjektų teisių įgyvendinimo Elektroninėje sveikatos paslaugų ir bendradarbiavimo infrastruktūros informacinėje sistemoje tvarkos aprašo, patvirtinto Lietuvos Respublikos sveikatos apsaugos ministro 2018-07-04 įsakymu Nr. V-769 (toliau – DS aprašas) 15.3 papunktyje nustatyta, kokie sveikatinimo specialistai turi teisę matyti visus duomenų subjekto ESI asmens duomenis, įskaitant duomenų subjekto uždraustus rodyti tam tikrus ESI asmens duomenis. Pažymėta, kad į tokių sveikatinimo specialistų sąrašą patenka ir sveikatinimo specialistai, teikiantys būtinąją medicinos pagalbą pacientui (DS aprašo 15.3.1 papunktis).
37.14.4. Pareiškėjai yra išduota įstaigos asmens sveikatos priežiūros licencija Nr. 455, kurios pagrindu pareiškėja turi teisę savo darbuotojams teikti pirmąją medicininę pagalbą. Vadovaujantis SPĮĮ 45 straipsnio 1 dalies 1 punktu, viena iš asmens sveikatos priežiūros įstaigos pareigų - užtikrinti būtinąją medicinos pagalbą. Pagal Licencijoje nurodytas veiklas, pareiškėjai leistinos šios veiklos: bendrosios praktikos slauga ir bendruomenės slauga. Pagal Lietuvos Respublikos slaugos praktikos ir akušerijos praktikos įstatymo 2 straipsnio 4 dalį, bendroji slaugos praktika - tai pastarojo įstatymo ir kitų teisės aktų reglamentuotos bendrosios praktikos slaugytojo, turinčio galiojančią bendrosios slaugos praktikos licenciją, teikiamos asmens sveikatos priežiūros paslaugos; pagal 2 straipsnio 5 dalį, bendrosios praktikos slaugytojas - asmuo, pastarojo įstatymo ir kitų teisės aktų nustatyta tvarka įgijęs bendrosios praktikos slaugytojo profesinę kvalifikaciją. Klasifikatoriaus 1.61 papunktyje yra nurodyta bendrosios praktikos slaugytojo kvalifikacija (kodas 222101). Pagal SAM patvirtintos Lietuvos medicinos normos MN 28:2019 „Bendrosios praktikos slaugytojas“, patvirtinta Lietuvos Respublikos sveikatos apsaugos ministro 2011-06-08 įsakymu Nr. V-591 „Dėl Lietuvos medicinos normos MN 28:2019 „Bendrosios praktikos slaugytojas“ patvirtinimo“ 10.1 papunktį, bendrosios praktikos slaugytojas privalo teikti būtinąją medicinos pagalbą teisės aktų nustatyta tvarka.
37.15. RC 2022-11-08 rašte Nr. S-47091 (1.4 E) „Dėl informacijos pateikimo“, adresuotame SAM (atsakant į SAM 2022-10-26 raštą Nr. 10-4209) paaiškinta, kad:
37.15.1. Atsižvelgiant į SPĮĮ 45 straipsnio 1 dalies 41 punktą, kuriame nustatyta, kad asmens sveikatos priežiūros įstaigos pareiga ESPBI IS veiklą reguliuojančių teisės aktų nustatyta tvarka sudaryti sutartį dėl naudojimosi ESPBI IS ir ESPBI IS pildyti elektroninius dokumentus bei teikti jų duomenis į ESPBI IS, pareiškėja su RC yra sudariusi Duomenų teikimo sutartį, kurios sudarymo faktas sukuria teises ir pareigas jos šalims. Duomenų teikimo sutartyje numatyta, kad RC įsipareigoja nuo ESPBI IS veiklos pradžios teikti sveikatos priežiūros įstaigai (pareiškėja laikoma sveikatos priežiūros įstaiga atsižvelgiant į turimą sveikatos priežiūros įstaigos licenciją, išduotą 1999-06-08 m. birželio 8 d. ) duomenis, nurodytus Sąlygų 21 punkte, ir pacientų ESI duomenis, būtinus sveikatos priežiūros paslaugoms teikti, kai ESPBI IS yra užregistruotas paciento apsilankymas, sveikatos priežiūros specialistas yra pacientą gydantis šeimos gydytojas ir / ar konkretų ESI įrašą sukūręs asmuo. SPĮ gautus duomenis, įskaitant ir asmens duomenis, naudoja sveikatos priežiūros paslaugų teikimo ir suteiktų sveikatos priežiūros paslaugų apskaitos tikslu. Taip pat SPĮ užtikrina, kad asmens duomenis tvarkyti įgalioti asmenys būtų raštu įsipareigoję užtikrinti konfidencialumą. Duomenų teikimo sutartyje aiškiai apibrėžtos nuostatos dėl duomenų naudojimo tikslo ir tvarkos, numatyta kaip turi būti užtikrinama duomenų sauga.
37.15.2. Aprašas nustato ESPBI IS naudotojų teises ir pareigas naudojantis ESPBI IS, kiek tai susiję su duomenų tvarkymu ir peržiūra ESPBI IS, pacientų atvykimo į asmens sveikatos priežiūros įstaigą fakto registravimu, elektroninės sveikatos istorijos tvarkymu, pranešimų siuntimu, apskaitos ir statistinių duomenų teikimu, siuntimų išdavimu, skiepų kalendoriaus tvarkymu, medicininių vaizdų duomenų įvedimu ir peržiūra naudojantis ESPBI IS priemonėmis, pacientų naudojimusi elektroninėmis sveikatos paslaugomis. Apraše numatyta, kad prieiga prie paciento duomenų suteikiama tik atlikus numatytus aktyvius veiksmus, t. y. pacientui atvykus į asmens sveikatos priežiūros įstaigą, pagal pateiktą asmens tapatybę patvirtinantį dokumentą turi būti nustatyta paciento tapatybė ir e. sveikatos portale ar asmens sveikatos priežiūros įstaigos informacinėje sistemoje (SPĮ IS) nurodyti pacientą identifikuojančius duomenis; patikrinus informaciją apie paciento draustumo būseną, taip pat ar pacientą gydantis gydytojas dirba asmens sveikatos priežiūros įstaigoje, į kurią atvyko pacientas, peržiūrėjus pacientui išduotų aktualių siuntimų sąrašą, SPĮ IS arba e. sveikatos portale nurodoma paciento atvykimo priežastis, būdas ir kiti teisės aktuose nurodyti duomenys; užregistravus paciento atvykimo į asmens sveikatos priežiūros įstaigą faktą, ESPBI IS tai asmens sveikatos priežiūros įstaigai, į kurią atvyko pacientas, suteikia prieigą prie paciento ESI. Tai reiškia, kad tik pacientui kreipusis į SPĮ, atlikus visus teisės aktuose numatytus veiksmus, suteikiama prieiga prie paciento asmens duomenų. Taigi pareiškėja negauna prieigos prie specialių kategorijų asmens duomenų tol, kol nėra užregistruojamas paciento apsilankymas SPĮ, o apsilankymą užregistruoti galima tik vadovaujantis aukščiau paminėto Aprašo nustatyta tvarka bei Duomenų teikimo sutartimi.
37.15.3. SPĮĮ 45 straipsnio 7 punktas įpareigoja saugoti paciento medicininę paslaptį (išskyrus atvejus, kai asmens sveikatos priežiūros įstaiga privalo pateikti informaciją apie pacientą arba kai pacientas duoda sutikimą skelbti informaciją apie jo sveikatos būklę), todėl asmens duomenų tvarkymas kitais tikslais nei nustatyta, asmens duomenų tvarkymas nesant teisinio pagrindo yra neteisėtas ir negalimas.
37.15.4. Elektroninės sveikatos paslaugų ir bendradarbiavimo infrastruktūros informacinės sistemos nuostatų, patvirtintų Lietuvos Respublikos Vyriausybės 2011-09-07 nutarimu Nr. 1057, 38.3 ir 38.8 papunkčių reikalavimai, nustatantys, kad Saugos posistemės funkcijos yra riboti prieigos teises prie ESPBI IS realizuotų elektroninių dokumentų formų dalių, prie kurių prieiga gali būti suteikiama nustatytiems naudotojams ir (ar) nustatytam laikotarpiui ir užtikrinti, kad prieigos teisės būtų nustatomos atsižvelgiant į sveikatinimo specialisto profesinę kvalifikaciją ir sveikatinimo įstaigos rūšį pagal teikiamas paslaugas, ESPBI IS įgyvendinti atsižvelgiant į Specifikaciją, kurios 4.5 dalyje „IS naudotojams teikiama informacija“ (49 psl.) numatyta, kad teisę matyti visus paciento ESI asmens duomenis, įskaitant paciento uždraustus rodyti tam tikrus ESI asmens duomenis, turi paciento šeimos gydytojas ir sveikatinimo specialistai, teikiantys būtinąją medicinos pagalbą pacientui. Dėl šių priežasčių pareiškėja (kuri pažymėjo savo rašte RC, kad turi teisę savo darbuotojams teikti pirmąją medicininę pagalbą ir dėl to savo gamybinės veiklos teritorijoje yra įrengusi pirmosios medicininės pagalbos punktą, kuriame teikiama pirmoji medicininė pagalba pareiškėjos darbuotojams) sveikatos priežiūros specialistai turi prieigą prie visų paciento, kai užregistruojamas paciento apsilankymas SPĮ vadovaujantis aukščiau paminėto Aprašo nustatyta tvarka, sveikatos duomenų. Pažymėta, kad būtinosios medicinos pagalbos teikimo tvarkos ir masto aprašo, patvirtinto Lietuvos Respublikos sveikatos apsaugos ministro 2004-04-08 m. balandžio 8 d. įsakymu Nr. V-208, 7 punktas numato, kad būtinoji medicinos pagalba apima pirmąją medicinos pagalbą.
37.16. VDAI priėmė Sprendimą, kuriuo nusprendė konstatuoti, kad pažeidimų nenustatyta, taip pat konstatavo, kad:
37.16.1. ESPBI IS nuostatų 12 punkte nustatyta, kad: (12.1) ESPBI IS valdytojas – SAM; (12.2.1) pagrindinis ESPBI IS tvarkytojas – Registrų centras; (12.2.2) ESPBI IS tvarkytojai – sveikatinimo įstaigos, kurios pagal 12.3 ir 12.4.1 papunkčius yra ESPBI IS duomenų teikėjos ir duomenų gavėjos. Atitinkamai, pareiškėja, gavusi licenciją ir sudariusi Duomenų teikimo sutartį, kaip ir kitos SPĮ, yra ESPBI IS duomenų tvarkytoja ir jos atliekamas duomenų tvarkymas turi atitikti tiek ESPBI IS nuostatuose, tiek ir Duomenų teikimo sutartyje nustatytus reikalavimus.
37.16.2. BDAR 5 straipsnio 1 dalies f punkte nustatyta, kad asmens duomenys turi būti tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas). Pagal BDAR 5 straipsnio 2 dalį, duomenų valdytojas yra atsakingas už tai, kad būtų laikomasi BDAR 5 straipsnio 1 dalies, ir turi sugebėti įrodyti, kad jos laikomasi (atskaitomybės principas).
37.16.3. SAM ir RC nurodytos priemonės, susijusios su prieigos teisių naudotojams suteikimu ESPBI IS, yra nustatytos: ESPBI IS nuostatų 38.3 ir 38.8 papunkčiuose, ESPBI IS nuostatų VI skyriuje ,,ESPBI IS duomenų sauga“, Specifikacijos 4.5 dalyje, Apraše, Duomenų subjektų teisių įgyvendinimo Elektroninėje sveikatos paslaugų ir bendradarbiavimo infrastruktūros informacinėje sistemoje tvarkos aprašo 15.3 papunktyje bei kituose šiame sprendime SAM ir RC minėtuose teisės aktuose.
37.16.4. Pagal BDAR 24 straipsnio 1 dalį, atsižvelgdamas į duomenų tvarkymo pobūdį, aprėptį, kontekstą bei tikslus, taip pat į įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas įgyvendina tinkamas technines ir organizacines priemones, kad užtikrintų ir galėtų įrodyti, kad duomenys tvarkomi laikantis BDAR. Tos priemonės prireikus peržiūrimos ir atnaujinamos.
37.16.5. Vertindama SAM ir RC pateiktą informaciją bei nurodytą teisinį reglamentavimą, VDAI sprendžia, kad duomenų valdytojas įrodė, jog ESPBI IS nuostatuose ir Specifikacijoje nustatytos priemonės, susijusios su prieigos teisių naudotojams suteikimu ESPBI IS, yra tinkamos, kad būtų užtikrintas tinkamas asmens (įskaitant sveikatos) duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas).
37.16.6. Pažymėtina ir tai, kad nepaisant ESPBI IS naudojamų techninių prieigos teisių suteikimo priemonių yra svarbi ir pačių sveikatos priežiūros specialistų atsakomybė. Vadovaujantis BDAR 29 straipsniu, duomenų tvarkytojas ir bet kuris duomenų valdytojui arba duomenų tvarkytojui pavaldus asmuo, galintis susipažinti su asmens duomenimis, negali tų duomenų tvarkyti, išskyrus atvejus, kai duomenų valdytojas duoda nurodymus juos tvarkyti, nebent tai daryti reikalaujama pagal Europos Sąjungos ar valstybės narės teisę.
37.16.7. SPĮĮ 45 straipsnio 7 punkte nustatyta, kad SPĮ privalo saugoti paciento medicininę paslaptį, išskyrus atvejus, kai asmens sveikatos priežiūros įstaiga privalo pateikti informaciją apie pacientą arba kai pacientas duoda sutikimą skelbti informaciją apie jo sveikatos būklę. Vadovaudamasi šia nuostata, darytina išvada, kad kiekviena SPĮ (įskaitant jos sveikatos specialistus) yra atsakinga, kad pacientų asmens duomenų tvarkymas būtų vykdomas tik pagal teisės aktuose nustatytus reikalavimus, kurių pagrindu kiekviena SPĮ turi prieigą ne prie visų pacientų ESPBI IS duomenų, o tik prie tų pacientų, kurių apsilankymą teisės aktų nustatyta tvarka SPĮ yra užregistravusi.
38. BDAR nustatyta:
38.1. Duomenų valdytojas visų pirma turėtų būti įpareigotas įgyvendinti tinkamas ir veiksmingas priemones ir galėti įrodyti, kad duomenų tvarkymo veikla atitinka BDAR, įskaitant priemonių veiksmingumą. Tomis priemonėmis turėtų būti atsižvelgta į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat į pavojų fizinių asmenų teisėms ir laisvėms (preambulės 74 punktas).
38.2. Įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms gali kilti dėl tokio asmens duomenų tvarkymo, kurio metu galėtų būti padarytas kūno sužalojimas, materialinė ar nematerialinė žala, visų pirma kai dėl tvarkymo gali kilti diskriminacija, būti pavogta ar suklastota tapatybė, būti padaryta finansinių nuostolių, pakenkta reputacijai, prarastas asmens duomenų, kurie saugomi profesine paslaptimi, konfidencialumas, neleistinai panaikinti pseudonimai arba padaryta kita didelė ekonominė ar socialinė žala; kai duomenų subjektai gali netekti galimybės naudotis savo teisėmis ir laisvėmis ar jiems užkertamas kelias kontroliuoti savo asmens duomenis; <...> tvarkant genetinius duomenis, sveikatos duomenis ar duomenis apie lytinį gyvenimą; <...> kai tvarkomi pažeidžiamų fizinių asmenų, visų pirma vaikų, asmens duomenys; arba kai duomenų tvarkymas apima didelį kiekį asmens duomenų ir daro poveikį daugeliui duomenų subjektų (preambulės 75 punktas).
38.3. Pavojaus duomenų subjekto teisėms ir laisvėms tikimybė ir rimtumas turėtų būti nustatomi atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus. Pavojus turėtų būti vertinamas remiantis objektyviu įvertinimu, kurio metu nustatoma, ar duomenų tvarkymo operacijos yra susijusios su pavojumi arba dideliu pavojumi (preambulės 76 punktas).
38.4. Duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip antai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas (4 straipsnio 2 punktas).
38.5. Asmens duomenų saugumo pažeidimas – saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami persiųsti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų be leidimo gaunama prieiga (4 straipsnio 12 punktas).
38.6. Sveikatos duomenys – asmens duomenys, susiję su fizine ar psichine fizinio asmens sveikata, įskaitant duomenis apie sveikatos priežiūros paslaugų teikimą, atskleidžiantys informaciją apie to fizinio asmens sveikatos būklę (4 straipsnio 15 punktas).
38.7. Asmens duomenys turi būti: a) duomenų subjekto atžvilgiu tvarkomi teisėtu, sąžiningu ir skaidriu būdu (teisėtumo, sąžiningumo ir skaidrumo principas); <...> f) tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas) (5 straipsnio 1 dalis).
38.8. Duomenų valdytojas yra atsakingas už tai, kad būtų laikomasi 1 dalies, ir turi sugebėti įrodyti, kad jos laikomasi (atskaitomybės principas) (5 straipsnio 2 dalis).
38.9. Sveikatos duomenys priskiriami specialiųjų kategorijų asmens duomenims, kurių tvarkymui keliami griežtesni reikalavimai (9 straipsnis). Valstybės narės gali toliau taikyti arba nustatyti papildomas sąlygas, įskaitant apribojimus, genetinių duomenų, biometrinių duomenų arba sveikatos duomenų tvarkymui (9 straipsnio 4 dalis).
38.10. Atsižvelgdamas į duomenų tvarkymo pobūdį, aprėptį, kontekstą bei tikslus, taip pat į įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas įgyvendina tinkamas technines ir organizacines priemones, kad užtikrintų ir galėtų įrodyti, kad duomenys tvarkomi laikantis BDAR; tos priemonės prireikus peržiūrimos ir atnaujinamos (24 straipsnio 1 dalis). Kai tai proporcinga duomenų tvarkymo veiklos atžvilgiu, 1 dalyje nurodytos priemonės apima duomenų valdytojo įgyvendinamą atitinkamą duomenų apsaugos politiką (24 straipsnio 2 dalis).
38.11. Atsižvelgdamas į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas bei duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat į duomenų tvarkymo keliamus įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas, tiek nustatydamas duomenų tvarkymo priemones, tiek paties duomenų tvarkymo metu, įgyvendina tinkamas technines ir organizacines priemones, kaip antai pseudonimų suteikimą, kuriomis siekiama veiksmingai įgyvendinti duomenų apsaugos principus, kaip antai duomenų kiekio mažinimo principą, ir į duomenų tvarkymą integruoti būtinas apsaugos priemones, kad jis atitiktų šio reglamento reikalavimus ir apsaugotų duomenų subjektų teises (25 straipsnio 1 dalis).
38.12. Duomenų valdytojas įgyvendina tinkamas technines ir organizacines priemones, kuriomis užtikrina, kad standartizuotai būtų tvarkomi tik tie asmens duomenys, kurie yra būtini kiekvienam konkrečiam duomenų tvarkymo tikslui. Ta prievolė taikoma surinktų asmens duomenų kiekiui, jų tvarkymo apimčiai, jų saugojimo laikotarpiui ir jų prieinamumui. Visų pirma tokiomis priemonėmis užtikrinama, kad standartizuotai be fizinio asmens įsikišimo su asmens duomenimis negalėtų susipažinti neribotas fizinių asmenų skaičius (25 straipsnio 2 dalis).
38.13. Kai duomenys turi būti tvarkomi duomenų valdytojo vardu, duomenų valdytojas pasitelkia tik tuos duomenų tvarkytojus, kurie pakankamai užtikrina, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos tokiu būdu, kad duomenų tvarkymas atitiktų šio reglamento reikalavimus ir būtų užtikrinta duomenų subjekto teisių apsauga (28 straipsnio 1 dalis).
38.14. Duomenų tvarkytojas ir bet kuris duomenų valdytojui arba duomenų tvarkytojui pavaldus asmuo, galintis susipažinti su asmens duomenimis, negali tų duomenų tvarkyti, išskyrus atvejus, kai duomenų valdytojas duoda nurodymus juos tvarkyti, nebent tai daryti reikalaujama pagal Sąjungos ar valstybės narės teisę (29 straipsnis).
38.15. Atsižvelgdamas į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas bei duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat duomenų tvarkymo keliamus įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas ir duomenų tvarkytojas įgyvendina tinkamas technines ir organizacines priemones, kad būtų užtikrintas pavojų atitinkančio lygio saugumas (32 straipsnio „Duomenų saugumas“ 1 dalis).
38.16. Nustatant tinkamo lygio saugumą visų pirma atsižvelgiama į pavojus, kurie kyla dėl duomenų tvarkymo, visų pirma dėl netyčinio arba neteisėto persiųstų, saugomų ar kitaip tvarkomų duomenų sunaikinimo, praradimo, pakeitimo, atskleidimo be leidimo ar neteisėtos prieigos prie jų (32 straipsnio „Asmens duomenų saugumas“ 2 dalis).
38.17. Kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus duomenų fizinių asmenų teisėms ir laisvėms, duomenų valdytojas nepagrįstai nedelsdamas praneša apie asmens duomenų saugumo pažeidimą duomenų subjektui (34 straipsnio 1 dalis).
38.18. Tais atvejais, kai dėl duomenų tvarkymo rūšies, visų pirma, kai naudojamos naujos technologijos, ir atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, fizinių asmenų teisėms bei laisvėms gali kilti didelis pavojus, duomenų valdytojas, prieš pradėdamas tvarkyti duomenis, atlieka numatytų duomenų tvarkymo operacijų poveikio asmens duomenų apsaugai vertinimą (35 straipsnio 1 dalis).
39. SPĮĮ nustatyta, kad asmens sveikatos priežiūros įstaiga privalo: 1) užtikrinti būtinąją medicinos pagalbą; <...>; 41) ESPBI IS veiklą reguliuojančių teisės aktų nustatyta tvarka sudaryti sutartį dėl naudojimosi ESPBI IS ir ESPBI IS pildyti elektroninius dokumentus bei teikti jų duomenis į ESPBI IS; <...> 7) saugoti paciento medicininę paslaptį, išskyrus atvejus, kai asmens sveikatos priežiūros įstaiga privalo pateikti informaciją apie pacientą arba kai pacientas duoda sutikimą skelbti informaciją apie jo sveikatos būklę; (45 straipsnio 1 dalis).
40. Pareiškėja skunde paaiškina, kad ji pateikė prašymą apriboti prieigą prie ESPBI IS esančių asmens duomenų, suteikiant pareiškėjai prieigą tik prie pareiškėjos darbuotojų asmens duomenų, tačiau jai buvo paaiškinta, kad techninės savybės neleidžia to padaryti; pareiškėjai yra suteikta galimybė „prieiti“ prie bet kurio asmens duomenų, tarp jų ir sveikatos duomenų, esančių ESPBI IS. Pareiškėja paaiškina, kad jai suteikta galimybė „prieiti“ prie visų ESPBI IS fiksuotų sveikatos istorijos duomenų: visų asmenų fizinės būklės diagnozės; informacija apie visų asmenų gydymą; visiems asmenims priskirtų elektroninių receptų; visų asmenų laboratorinių tyrimų siuntimų ir atsakymų; visiems asmenims priskirtų siuntimų konsultacijoms; visų asmenų medicininių vaizdų; informacijos apie visų asmenų skiepus; visų asmenų sveikatos pažymų ir visų kitų ESPBI IS tvarkomų asmens duomenų. Pareiškėja teigia, kad jai neaišku, kaip suteikiant gamybinei įmonei (pareiškėjai) prieigą prie visų Lietuvos gyventojų sveikatos duomenų, kai pareiškėjai tokie duomenys nereikalingi, gali būti vertinama kaip pagrįstas specialiųjų kategorijų asmens duomenų tvarkymas, atitinkantis BDAR. Pareiškėja mano, kad priimant ginčijamą Sprendimą, tyrimas nebuvo atliktas išsamiai, o nustatytos aplinkybės yra neišsamios ir klaidinančios; paaiškina, kad VDAI nenagrinėjo ir nesiaiškino, kokiu BDAR nustatytu pagrindu ir kokiu tikslu pareiškėjai yra sukurta lengva galimybė „prieiti“ prie kitų, ne pareiškėjos darbuotojų asmens duomenų; pareiškėjai be pagrindo „užkraunama našta“ užtikrinti ne tik pareiškėjos teikiamų duomenų apie darbuotojus saugumą ir tinkamą jų tvarkymą, bet ir pasirūpinti visų kitų ESPBI IS esančių asmens duomenų saugumu ir tinkamu tvarkymu; pareiškėja nuolatos turi labai aukštą asmens duomenų pažeidimo atsiradimo rizikos lygį ir dėl to galinčių kilti skaudžių pasekmių.
41. Kaip matyti iš bylos medžiagos, pareiškėjos pagrindinė veikla yra baldų ir kitų medienos gaminių gamyba; sveikatos priežiūros paslaugų teikimas nėra jos pagrindinė veikla – pareiškėja turi licenciją, suteikiančią teisę pareiškėjai užsiimti asmens sveikatos priežiūros veikla ir adresu (duomenys neskelbtini), teikti slaugos: bendruomenės, bendrosios praktikos paslaugas. Pareiškėja savo gamybinės veiklos teritorijoje yra įrengusi pirmosios medicininės pagalbos punktą, kuriame profesinės sveikatos specialistas teikia pirmąją medicininę pagalbą pareiškėjos darbuotojams, jiems patyrus kūno sužalojimų darbe. Dėl šių aplinkybių ginčas byloje nekyla.
42. Kaip matyti iš bylos medžiagos, prieiga prie konkretaus asmens duomenų, esančių ESPBI IS, suteikiama atlikus Apraše numatytus aktyvius veiksmus, pareiškėja negauna prieigos prie asmens duomenų tol, kol nėra užregistruojamas paciento apsilankymas pas pareiškėją. Kaip matyti iš bylos medžiagos, byloje iš esmės nėra ginčo dėl to, kad teoriškai ir praktiškai pareiškėja/jos darbuotojai galėtų atlikę Apraše numatytus veiksmus gauti prieigą prie bet kurio asmens, kuris nėra pareiškėjos darbuotojas, asmens duomenų, įskaitant specialiosios kategorijos – sveikatos – asmens duomenis. Pareiškėja nori, kad jai būtų suteikta prieiga tik prie jos darbuotojų asmens duomenų.
43. Kaip matyti iš anksčiau nurodytų BDAR nuostatų, BDAR yra akcentuojama, kad: 1) duomenų valdytojas turi įgyvendinti veiksmingas priemones; 2) duomenų valdytojas turi įgyvendinti tinkamas technines priemones, atsižvelgdamas į techninių galimybių išsivystymo lygį, duomenų tvarkymo pobūdį, aprėptį, kontekstą, tikslus, įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms; 3) pavojaus duomenų subjektų teisėms ir laisvėms tikimybė ir rimtumas turėtų būti nustatomi atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą, tikslus; 4) įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms gali kilti tvarkant genetinius duomenis, sveikatos duomenis (asmens duomenis, susijusius su asmens fizine ar psichine sveikata, atskleidžiančius informaciją apie fizinio asmens sveikatos būklę), duomenis apie lytinį gyvenimą, kai tvarkomi pažeidžiamų fizinių asmenų, visų pirma vaikų, asmens duomenys, kai duomenų tvarkymas apima didelį kiekį asmens duomenų ir daro poveikį daugeliui duomenų subjektų; 5) pavojus turėtų būti vertinamas remiantis objektyviu įvertinimu; 6) asmens duomenų saugumo pažeidimas – saugumo pažeidimas, dėl kurio netyčia arba neteisėtai prie asmens duomenų be leidimo gaunama prieiga; 7) asmens duomenys duomenų subjekto atžvilgiu turi būti tvarkomi sąžiningu būdu; 8) tvarkomi tokiu būdu, kad taikant tinkamas technines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų netyčinio praradimo; 9) turi būti įgyvendintos tokios techninės priemonės, kad būtų užtikrintas pavojų atitinkančio lygio saugumas; nustatant tinkamo lygio saugumą turi būti atsižvelgiama į pavojų, kuris kyla dėl netyčinio ar neteisėto tvarkomų duomenų atskleidimo be leidimo ar neteisėtos prieigos prie jų.
44. Teismo vertinimu, atsižvelgiant į aptartas BDAR nuostatas, VDAI atliekant tikrinimą ir priimant Sprendimą, buvo svarbu sistemiškai vertinti tokias aplinkybes kaip: 1) ESPBI IS tvarkomų duomenų kiekį ir pobūdį (tvarkoma labai didelio skaičiaus asmenų asmens duomenys, tvarkomi pažeidžiamų fizinių asmenų asmens duomenys, įskaitant vaikus, tvarkomi specialių kategorijų asmens duomenys – sveikatos duomenys (gali būti, bet iš VDAI Sprendimo neaišku, kad tvarkomi ir genetiniai duomenys); 2) ar sudarant duomenų teikimo sutartis su RC dėl ESPBI IS duomenų teikimo/gavimo, neturi būti atsižvelgiama į tai, ar kitos duomenų teikimo sutarties šalies (ne RC) pagrindinė veikla yra sveikatos priežiūros paslaugų teikimas ar kita veikla, jeigu į tai neturi būti atsižvelgiama, tai kodėl; 3) ar, atsižvelgiant į ESPBI IS tvarkomų duomenų kiekį ir pobūdį, netaikymas tokių techninių priemonių, kurios užtikrintų, kad pareiškėja (ir analogiškoje ar panašioje situacijoje esantys asmenys), praktiškai, faktiškai turėtų prieigą tik prie savo darbuotojų asmens duomenų, o ne prie visų ESPBI IS tvarkomų asmens duomenų, atitinka BDAR 5 straipsnio 1 dalies a punkte įtvirtintą sąžiningumo principą, taip pat BDAR 5 straipsnio 1 dalies f punkte įtvirtintą principą, objektyviai vertinant tai per asmenų, kurių asmens duomenys tvarkomi ESPBI IS, saugumo prizmę; 4) ar, atsižvelgiant į ESPBI IS tvarkomų duomenų kiekį ir pobūdį, netaikymas tokių techninių priemonių, kurios užtikrintų, kad pareiškėja (ir analogiškoje ar panašioje situacijoje esantys asmenys), praktiškai, faktiškai turėtų prieigą tik prie savo darbuotojų asmens duomenų, o ne prie visų ESPBI IS tvarkomų asmens duomenų, yra tinkama, veiksminga ir pateisinama, atsižvelgiant į technologijų išsivystymo lygį; 5) ar, atsižvelgiant į ESPBI IS tvarkomų duomenų kiekį ir pobūdį, netaikymas tokių techninių priemonių, kurios užtikrintų, kad pareiškėja (ir analogiškoje ar panašioje situacijoje esantys asmenys) praktiškai, faktiškai turėtų prieigą tik prie savo darbuotojų asmens duomenų, o ne prie visų ESPBI IS tvarkomų asmens duomenų, yra tinkamo lygio saugumo užtikrinimas, atsižvelgiant į grėsmes, pavojų asmenų teisėms ir laisvėms, kuris gali kilti dėl neteisėtos prieigos prie asmens duomenų, neteisėto asmens duomenų atskleidimo; 6) kokios tikimybės ir rimtumo pavojus fizinių asmenų teisėms gali kilti dėl neteisėtos prieigos prie jų asmens duomenų, neteisėto jų atskleidimo, ypač atsižvelgiant į tai, kad tokiu atveju iš esmės nebelieka galimybės sugrąžinti visko atgal kaip buvę, t. y. į pradinę padėtį; 7) ar, atsižvelgiant į ESPBI IS tvarkomų duomenų kiekį ir pobūdį, argumentas, kad sudarymas galimybės pareiškėjai (ir analogiškoje ar panašioje situacijoje esantiems asmenims) turėti prieigą tik prie ESPBI IS tvarkomų pareiškėjos darbuotojų duomenų nėra techniškai įmanomas, plačiau to neargumentuojant, nemotyvuojant, nevertinant techninių galimybių išsivystymo lygio, yra teisiškai pagrįstas ir atitinka aptartas BDAR nuostatas; 8) kodėl nagrinėjamu atveju iš esmės organizacinėms, o ne techninėms priemonėms teikiama didesnė reikšmė ir prioritetas, kai iš esmės akivaizdu, kad techninės priemonės yra objektyviai vertinant veiksmingesnės už organizacines.
45. Teismo vertinimu, Sprendime yra aprašyta, kokią informaciją VDAI pateikė SAM, RC ir pateiktas lakoniškas VDAI vertinimas, kad „Vertindama SAM ir RC pateiktą informaciją bei nurodytą teisinį reglamentavimą, VDAI sprendžia, kad duomenų valdytojas įrodė, jog ESPBI IS nuostatuose ir Specifikacijoje nustatytos priemonės, susijusios su prieigos teisių naudotojams suteikimu ESPBI IS, yra tinkamos, kad būtų užtikrintas tinkamas asmens (įskaitant sveikatos) duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas)“.
46. Teismo vertinimu, Sprendime nėra atliktas išsamus ir tinkamas Sprendimo priėmimui reikšmingų aplinkybių vertinimas, motyvuotas jų atitikties aptartoms BDAR nuostatoms vertinimas.
47. Atsakovė atsiliepime atkreipė dėmesį, kad daugumos informacinių sistemų ir registrų veikimas yra toks pats – nėra apribojamas konkretus sąrašas duomenų, prie kurių konkretus gavėjas gali turėt prieigos teisę ir pateikia pavyzdį, susijusį su Nekilnojamojo turto registro duomenų teikimu. Teismas pažymi, kad toks argumentas pats savaime nėra pagrindas daryti išvadą, jog toks daugumos informacinių sistemų ir registrų veikimas yra tinkamas, atitinka BDAR reikalavimus. Šiame kontekste ypač pažymėtina tai, kad kiekvienu konkrečiu atveju turi būti vertinamas informacinėje sistemoje, registre tvarkomų asmens duomenų pobūdis, kiekis ir pan.
48. VAĮ 10 straipsnio 5 dalyje nustatyta, kad administraciniame sprendime turi būti nurodyta: <...> 5) administracinio sprendimo teisinis ir faktinis pagrindas ar kitos administraciniam sprendimui įtakos turėjusios aplinkybės; 6) administracinio sprendimo motyvai; 7) administracinio sprendimo apskundimo tvarka, nurodant konkrečią skundą nagrinėjančią instituciją ar įstaigą, skundo padavimo terminą ir teisės aktą, reglamentuojantį apskundimo tvarką; 8) administracinį sprendimą priėmusio asmens vardas, pavardė ir pareigos.
49. Atsižvelgęs į tai, kas išdėstyta, teismas konstatuoja, kad nagrinėjamu atveju Sprendimo faktinio pagrindimo ir motyvų pateikimo trūkumai yra esminiai, todėl, vadovaujantis VAĮ 10 straipsnio 5 dalimi, yra pagrindas pripažinti Sprendimą nepagrįstu bei jį panaikinti.
50. Pareiškėja skunde prašo įpareigoti VDAI duoti nurodymą ESPBI IS duomenų valdytojui SAM sukurti galimybę ESPBI IS apriboti pareiškėjos prieigą prie sistemoje esančių asmens duomenų pagal poreikį.
51. Teismas pažymi, kad Lietuvos Respublikos administracinių bylų teisenos įstatyme (toliau ir – ABTĮ), kituose įstatymuose administraciniams teismams nėra suteikti įgaliojimai tenkinti tokio pobūdžio reikalavimus; administraciniai teismai neturi įgaliojimų perimti viešojo administravimo institucijos/įstaigos funkcijų, nėra suteikti įgaliojimai priimti sprendimų, priskirtinų viešojo administravimo institucijos kompetencijai, įpareigoti viešojo administravimo instituciją/įstaigą priimti konkretaus turinio sprendimą. Atsižvelgiant į tai, pareiškėjos reikalavimas dėl įpareigojimo atmetamas kaip nepagrįstas.
52. Proceso dalyviai procesiniuose dokumentuose išdėstė daugiau argumentų, tačiau, teisėjų kolegijos vertinimu, jie nėra esminiai sprendžiant šią administracinę bylą ir niekaip nekeičia šiame sprendime padarytos išvados, todėl teisėjų kolegija jų nenagrinės. Šiame kontekste paminėtina, kad Europos Žmogaus Teisių Teismo ir Lietuvos vyriausiojo administracinio teismo praktikoje ne kartą pažymėta, jog teismo pareiga pagrįsti priimtą spendimą neturėtų būti suprantama kaip reikalavimas detaliai atsakyti į kiekvieną argumentą (Europos Žmogaus Teisių Teismo 1994 m. balandžio 19 d. sprendimas Van de Hurk prieš Olandiją; 1997 m. gruodžio 19 d. sprendimas Helle prieš Suomiją; Lietuvos vyriausiojo administracinio teismo 2011 m. lapkričio 14 d. nutartis administracinėje byloje Nr. A261-3555/2011).
53. Pareiškėjos skundo vienas reikalavimas patenkintas, todėl sprendžiamas jos patirtų bylinėjimosi išlaidų atlyginimo klausimas.
54. Pareiškėja prašo priteisti iš VDAI pareiškėjai jos patirtas bylinėjimosi išlaidas.
55. Byloje yra 2023-04-20 mokėjimo nurodymas Nr. 820, iš kurio matyti, kad advokatų profesinė bendrija „Newton Law“ už pareiškėją sumokėjo 22,50 Eur žyminio mokesčio. Byloje yra tarp pareiškėjos ir advokatų profesinės bendrijos „Newton Law“ Teisinių paslaugų sutarties Nr. 2023/04/17-01 išrašas, kuris patvirtina, kad advokatų profesinės bendrijos „Newton Law“ yra įgaliota atstovauti pareiškėją. Pareiškėja 2023-10-16 raštu prašo atlyginti 2571,25 Eur patirtų išlaidų advokato teisinėms paslaugoms apmokėti ir į bylą pateikta: 1) 2023-04-30 PVM sąskaita-faktūra (duomenys neskelbtini), pagal kurią pareiškėjos už suteiktas advokato teisines paslaugas mokėtina suma yra 800 Eur be PVM, o su PVM 968 Eur; Suteiktų paslaugų ataskaita, kuri yra priedas prie sąskaitos-faktūros (duomenys neskelbtini), iš kurios matyti, kad paslaugos suteiktos 2023-04-19, suteiktos paslaugos – „susipažinimas su pateiktais dokumentais, jų analizė ir teisinis vertinimas, procesinio dokumento – skundo Vilniaus apygardos administraciniam teismui rengimas, aktualių gairių ir išaiškinimų analizė, papildomos informacijos rinkimas, komunikavimas su Klientu, dokumentų teismui parengimas“, pareiškėjos mokėtina už paslaugas suma – 800 Eur; 2023-05-11 patvirtinimas apie lėšų įskaitymą, iš kurio matyti, kad pareiškėja sumokėjo advokatų profesinei bendrijai „Newton Law“ 968 Eur; 2) 2023-05-31 PVM sąskaita-faktūra (duomenys neskelbtini), pagal kurią pareiškėjos už suteiktas advokato teisines paslaugas mokėtina suma yra 925 Eur be PVM, o su PVM 1119,25 Eur; Suteiktų paslaugų ataskaita, kuri yra priedas prie sąskaitos-faktūros (duomenys neskelbtini), iš kurios matyti, kad paslaugos suteiktos 2023-05-09 „susipažinimas su VDAI sprendimu dėl ESPBI IS, jo analizė ir teisinis vertinimas, papildomos informacijos rinkimas“ ir 2023-05-22 „tolesnis procesinio dokumento – skundo Vilniaus apygardos administraciniam teismui rengimas, aktualių gairių ir išaiškinimų analizė, papildomos informacijos rinkimas, komunikavimas su Klientu, dokumentų teismui parengimas“, pareiškėjos mokėtina už paslaugas suma – 925 Eur; 2023-06-13 patvirtinimas apie lėšų įskaitymą, iš kurio matyti, kad pareiškėja sumokėjo advokatų profesinei bendrija „Newton Law“ 1119,25 Eur; 3) 2023-10-11 PVM sąskaita-faktūra (duomenys neskelbtini), pagal kurią pareiškėjos už suteiktas advokato teisines paslaugas mokėtina suma yra 400 Eur be PVM, o su PVM 484 Eur; Suteiktų paslaugų ataskaita, kuri yra priedas prie sąskaitos-faktūros (duomenys neskelbtini), iš kurios matyti, kad paslaugos suteiktos 2023-10-11 „pasirengimas ir atstovavimas teismo posėdyje 2023-10-17 Vilniaus apygardos administraciniame teisme administracinėje byloje dėl Valstybinės duomenų apsaugos inspekcijos 2023-03-22 sprendimo Nr. 3R-294(2.13-1.E) panaikinimo“, pareiškėjos mokėtina už paslaugas suma – 400 Eur; 2023-10-16 mokėjimo nurodymas Nr. 147, iš kurio matyti, kad pareiškėja sumokėjo advokatų profesinei bendrija „Newton Law“ 484 Eur.
56. ABTĮ nustatyta, kad proceso šalis, kurios naudai priimtas sprendimas, turi teisę gauti iš kitos proceso šalies savo išlaidų atlyginimą (40 straipsnio 1 dalis); proceso šalis, kurios naudai priimtas sprendimas, turi teisę reikalauti atlyginti jai išlaidas advokato ar advokato padėjėjo pagalbai apmokėti (40 straipsnio 5 dalis); atstovavimo išlaidų klausimas sprendžiamas Civilinio proceso kodekso ir kitų teisės aktų nustatyta tvarka (40 straipsnio 5 dalis); dėl išlaidų atlyginimo suinteresuota proceso šalis teismui pateikia prašymą raštu su išlaidų apskaičiavimu ir pagrindimu (41 straipsnio 1 dalis); teismas taip pat turi teisę nukrypti nuo bylinėjimosi išlaidų paskirstymo taisyklių (40 straipsnio 4 dalis).
57. Lietuvos Respublikos civilinio proceso kodekso (toliau ir – CPK) 98 straipsnio 1 dalyje nustatyta, kad šaliai, kurios naudai priimtas sprendimas, teismas priteisia iš antrosios šalies išlaidas už advokato ar advokato padėjėjo, dalyvavusio nagrinėjant bylą, pagalbą, taip pat už pagalbą rengiant procesinius dokumentus bei teikiant konsultacijas. CPK 98 straipsnio 2 dalis nustato, jog šalies išlaidos, susijusios su advokato ar advokato padėjėjo pagalba, atsižvelgiant į konkrečios bylos sudėtingumą ir advokato ar advokato padėjėjo darbo ir laiko sąnaudas, yra priteisiamos ne didesnės, kaip nustatyta Lietuvos Respublikos teisingumo ministro 2004 m. balandžio 2 d. įsakymu Nr. 1R-85 patvirtintų Rekomendacijų dėl civilinėse bylose priteistino užmokesčio už advokato ar advokato padėjėjo teikiamą teisinę pagalbą (paslaugas) maksimalaus dydžio nuostatose (toliau – Rekomendacijos, redakcija galiojanti nuo 2015 m. kovo 20 d.). Rekomendacijų 2 punkte nustatyta, kad teismas, priteisdamas bylinėjimosi išlaidas, atsižvelgia į tokius kriterijus, kaip bylos sudėtingumas, specialių žinių reikalingumas, ankstesnis dalyvavimas toje byloje, ginčijamos sumos dydis, sprendžiamų teisinių klausimų naujumas, kitas svarbias aplinkybes.
58. Pažymėtina, kad iš pateiktų dokumentų, susijusių su bylinėjimosi išlaidomis, atsižvelgiant į jų turinį, datas, į tai, kas sumokėjo žyminį mokestį, nėra aišku, ar žyminis mokestis nėra įtrauktas į pareiškėjos 2023-10-16 raštu prašomą priteisti 2571,25 Eur patirtų išlaidų advokato teisinėms paslaugoms apmokėti, todėl nėra pagrindo jo priteisti atskirai, kaip nepatenkantį į pareiškėjos 2023-10-16 rašte nurodytą sumą.
59. Remiantis Lietuvos teismų informacinės sistemos Liteko duomenimis nustatyta, kad pareiškėja Vilniaus apygardos administracinio teismo administracinėje byloje Nr. eI2-8897-816/2023 2023-04-21 pateikė skundą, kuriame prašė: 1) panaikinti VDAI 2023-03-22 sprendimą Nr. 3R-294(2.13-1.E); 2) įpareigoti ESPBI IS duomenų valdytoją SAM sukurti galimybę ESPBI IS apriboti pareiškėjos prieigą prie sistemoje esančių asmens duomenų pagal poreikį. Teismas 2023-05-16 nutartimi administracinėje byloje Nr. eI2-8897-816/2023 nusprendė pareiškėjos skundą laikyti nepaduotu, nes pareiškėja per teismo nustatytą terminą nepašalino skundo trūkumų.
60. Teismas, atsižvelgdamas į pareiškėjos skundo administracinėje byloje Nr.: eI2-8897-816/2023 keltus reikalavimus, nagrinėjamoje administracinėje byloje pareiškėjos skunde, teismui paduotame 2023-05-23, keliamus reikalavimus, į skundų abejose minėtose administracinėse bylose padavimo terminus, daro išvadą, kad 2023-04-30 PVM sąskaitoje-faktūroje (duomenys neskelbtini), pagal kurią pareiškėjos už suteiktas advokato teisines paslaugas mokėtina su PVM yra 968 Eur, Suteiktų paslaugų ataskaitoje, kuri yra priedas prie sąskaitos-faktūros (duomenys neskelbtini), nurodytos paslaugos, suteiktos ne nagrinėjamoje administracinėje byloje, bet administracinėje byloje Nr. eI2-8897-816/2023. Atsižvelgiant į tai, nėra pagrindo šioje administracinėje byloje priteisti pareiškėjos kitoje, o ne nagrinėjamoje administracinėje byloje, patirtas bylinėjimosi išlaidas.
61. Taigi nagrinėjamoje administracinėje byloje sprendžiamas klausimas dėl pareiškėjai suteiktų paslaugų pagal 2023-05-31 PVM sąskaitą-faktūrą (duomenys neskelbtini), Suteiktų paslaugų ataskaitą, kuri yra priedas prie sąskaitos-faktūros (duomenys neskelbtini), bei pagal 2023-10-11 PVM sąskaita-faktūra (duomenys neskelbtini), Suteiktų paslaugų ataskaitą, kuri yra priedas prie PVM sąskaitos-faktūros (duomenys neskelbtini).
62. Lietuvos vyriausiojo administracinio teismo išplėstinė teisėjų kolegija 2015 m. birželio 9 d. nutartyje administracinėje byloje Nr. P858-104/2014 atkreipė dėmesį į tai, kad ekonomiškumo principas suponuoja byloje dalyvaujančių asmenų pareigą procesinius veiksmus atlikti racionaliai, taupyti savo ir kitų proceso dalyvių lėšas; teismų praktikoje akcentuojama galimybė susigrąžinti tik pagrįstas ir racionalias išlaidas (LVAT 2015 m. liepos 9 d. nutartį administracinėje byloje Nr. Nr. eA-1330-556/2015). Sprendžiant, ar prašomos atlyginti išlaidos buvo būtinos, taip pat turi būti atsižvelgiama į tai, ar proceso šalys savo procesinėmis teisėmis naudojosi sąžiningai, ar proceso šalies išlaidavimas nebuvo perteklinis (LVAT 2015 m. gegužės 15 d. nutartį administracinėje byloje Nr. AS-816-438/2015; 2021 m. gruodžio 1 d. nutartis administracinėje byloje Nr. eAS-763-438/2021); tai reiškia, kad teismui yra suteikta teisė, vadovaujantis sąžiningumo, teisingumo principais bei realumo, būtinumo ir pagrįstumo kriterijais, įvertinti šalių patirtas išlaidas advokato pagalbai apmokėti bei nustatyti jų dydį, kad nebūtų pažeistas šalių lygiateisiškumo principas (LVAT 2016 m. rugsėjo 12 d. nutartis administracinėje byloje Nr. eA-1308-492/2016). Teismui, sprendžiančiam dėl bylinėjimosi išlaidų priteisimo iš pralaimėjusios šalies, esminės įtakos neturi pats susitarimas tarp atstovaujamojo ir atstovo dėl atstovavimo išlaidų dydžio, – sutarties šalys gali neribojamos susitarti dėl išlaidų sumos bei jų atlyginimo tvarkos, tačiau teismas iš pralaimėjusios šalies priteisia tik būtinas, realias ir pagrįstas išlaidas (LVAT 2016 m. rugsėjo 12 d. nutartis administracinėje byloje Nr. eA-1308-492/2016).
63. Lietuvos vyriausiojo administracinio teismo praktikoje nuosekliai laikomasi pozicijos, kad, spręsdamas dėl advokato pagalbai apmokėti išleistos išlaidų dalies dydžio, teismas turi vadovautis CPK 98 straipsnio 2 dalimi ir atsižvelgti į tokias aplinkybes: 1) Rekomendacijose bei šiame teisės akte nurodytus kriterijus; 2) bylos sudėtingumą; 3) advokato darbo ir laiko sąnaudas (LVAT 2018 m. kovo 27 d. nutartį administracinėje byloje Nr. eAS-207-520/2018; 2021 m. gruodžio 1 d. nutartis administracinėje byloje Nr. eAS-763-438/2021). Ne visos faktiškai šalių sumokėtos sumos advokato pagalbai teismo gali būti pripažįstamos pagrįstomis, nes teismas neturi toleruoti pernelyg didelio ir nepagrįsto šalies išlaidavimo; jeigu realiai išmokėtos sumos neatitinka pagrįstumo kriterijaus, tai teismas nustato jų pagrįstą dydį, o kitos dalies išlaidų nepriteisia; tai reiškia, jog teismui yra suteikta teisė, vadovaujantis sąžiningumo, teisingumo principais bei realumo, būtinumo ir pagrįstumo kriterijais, įvertinti šalių patirtas išlaidas advokato pagalbai apmokėti bei nustatyti jų dydį, kad nebūtų pažeistas šalių lygiateisiškumo principas (LVAT 2021 m. gruodžio 1 d. nutartis administracinėje byloje Nr. eAS-763-438/2021).
64. Teismas, atsižvelgdamas į Rekomendacijų 2 punkte įtvirtintus kriterijus, į nagrinėjamos bylos apimtį, sudėtingumą tiek faktų vertinimo, tiek teisės aiškinimo ir taikymo prasme, specialių žinių reikalingumą, į pareiškėjos administracinėje byloje Nr. eI2-8897-816/2023 pateikto skundo turinį, į teismo posėdžio trukmę nagrinėjamoje administracinėje byloje, jo turinį, vadovaudamasis protingumo, sąžiningumo ir teisingumo principais, vertina, kad 2023-05-31 PVM sąskaitoje-faktūroje (duomenys neskelbtini) nurodyta pareiškėjos prašoma priteisti 1119,25 Eur suma mažintina iki 800 Eur su PVM, o 2023-10-11 PVM sąskaitoje-faktūroje (duomenys neskelbtini) nurodyta pareiškėjos prašoma priteisti 484 Eur suma mažintina iki 240 Eur su PVM.
65. Atsižvelgiant į išdėstytą, į tai, kad nagrinėjamoje administracinėje byloje patenkintas vienas iš dviejų pareiškėjos reikalavimų, pareiškėjai iš VDAI priteistina 520 Eur pareiškėjos patirtų bylinėjimosi išlaidų.
Vadovaudamasis Lietuvos Respublikos administracinių bylų teisenos įstatymo 40, 84, 86–87 straipsniais, 88 straipsnio 1 ir 2 punktais, 132, 133 straipsniais, teismas
n u s p r e n d ž i a:
Pareiškėjos akcinės bendrovės „Klaipėdos mediena“ skundą patenkinti iš dalies.
Panaikinti Valstybinės duomenų apsaugos inspekcijos 2023 m. kovo 22 d. sprendimą Nr. 3R-294(2.13-1.E).
Pareiškėjos akcinės bendrovės „Klaipėdos mediena“ prašymą priteisti iš atsakovės Valstybinės duomenų apsaugos inspekcijos pareiškėjos patirtas bylinėjimosi išlaidas patenkinti iš dalies.
Priteisti pareiškėjai akcinei bendrovei „Klaipėdos mediena“, juridinio asmens kodas 240616710, iš atsakovės Valstybinės duomenų apsaugos inspekcijos, juridinio asmens kodas 188607912, 520 Eur (penkis šimtus dvidešimt eurų) bylinėjimosi išlaidų atlyginimą.
Likusią pareiškėjos akcinės bendrovės „Klaipėdos mediena“ skundo ir prašymo priteisti pareiškėjo patirtas bylinėjimosi išlaidas dalį atmesti.
Sprendimas per trisdešimt kalendorinių dienų nuo jo paskelbimo dienos gali būti skundžiamas apeliaciniu skundu Lietuvos vyriausiajam administraciniam teismui, apeliacinį skundą paduodant per Vilniaus apygardos administracinį teismą.
Teisėjai Indrė Pukanasytė-Biekšė
Gediminas Užubalis
Indrė Žvaigždinienė