Administracinė byla Nr. eA-98-968/2025

Teisminio proceso Nr. 3-61-3-00677-2023-0

Procesinio sprendimo kategorija 26

 (S)

LIETUVOS VYRIAUSIASIS ADMINISTRACINIS TEISMAS

NUTARTIS

LIETUVOS RESPUBLIKOS VARDU

2025 m. gegužės 28 d.

Vilnius

Lietuvos vyriausiojo administracinio teismo išplėstinė teisėjų kolegija, susidedanti iš teisėjų Ryčio Krasausko (pranešėjas), Beatos Martišienės, Ivetos Pelienės, Egidijaus Šileikio ir Skirgailės Žalimienės (kolegijos pirmininkė),

teismo posėdyje apeliacine rašytinio proceso tvarka išnagrinėjo administracinę bylą pagal pareiškėjo valstybės įmonės „Regitra“ (nuo 2024 m. birželio 7 d. – akcinė bendrovė „Regitra“) apeliacinį skundą dėl Vilniaus apygardos administracinio teismo (nuo 2024 m. sausio 1 d. – Regionų administracinis teismas) 2023 m. birželio 9 d. sprendimo administracinėje byloje pagal pareiškėjo valstybės įmonės „Regitra“ skundą atsakovui Valstybinei duomenų apsaugos inspekcijai (trečiasis suinteresuotas asmuo – E. B.) dėl sprendimo dalies panaikinimo.

Išplėstinė teisėjų kolegija

nustatė:

I.

1.       Pareiškėjas valstybės įmonė (toliau – ir VĮ) „Regitra“ (toliau – ir pareiškėjas) kreipėsi į teismą su skundu, prašydamas: 1) panaikinti atsakovo Valstybinės duomenų apsaugos inspekcijos (toliau – ir atsakovas, Inspekcija) 2022 m. gruodžio 28 d. sprendimo Nr. 2R-6851 (2.13.) (pagal bylos duomenis 2022 m. gruodžio 22 d. sprendimo Nr. 3R-1160 (2.13-1.E)) „Dėl E. B. 2022-01-25 skundo“ (toliau – ir Sprendimas) rezoliucinės dalies 1 ir 2 punktų nuostatas; 2) atmesti trečiojo suinteresuoto asmens E. B. (toliau – ir Duomenų subjektas) skundo dalį dėl asmens duomenų rinkimo apimties ir jų perdavimo kitiems tretiesiems asmenims.

2.       Kreipdamasis į teismą, pareiškėjas nurodė šiuos pagrindinius argumentus:

2.1.                      Ginčas kilo dėl VĮ „Regitra“ Duomenų subjekto atžvilgiu atliktų prevencinių tyrimų. Pirmasis prevencinis tyrimas dėl netinkamo klientų aptarnavimo eiliškumo valdymo (toliau – ir Tyrimas Nr. 1) buvo pradėtas pagal vidiniu informacijos apie pažeidimus teikimo kanalu (toliau – ir Kanalas) 2021 m. lapkričio 3 d. gautą informaciją, kad Duomenų subjektas nesilaikė VĮ „Regitra“ generalinio direktoriaus 2021 m. liepos 26 d. įsakymu Nr. 1V-353 patvirtinto Klientų eilių valdymo ir kontrolės tvarkos aprašo (toliau – ir Klientų eilių valdymo aprašas) ir VĮ „Regitra“ generalinio direktoriaus 2020 m. birželio 16 d. įsakymu Nr. (1.1E)-1V-299 (2021 m. liepos 13 d. įsakymo Nr. 1V-326 redakcija) patvirtintos Asmenų aptarnavimo valstybės įmonės „Regitra“ padaliniuose tvarkos (toliau – ir Tvarka) reikalavimų. Tyrimui Nr. 1 atlikti VĮ „Regitra“ Korupcijos prevencijos (atitikties) pareigūnas (toliau – ir Pareigūnas), vykdydamas jam pavestas funkcijas, 2021 m. lapkričio 5 d. pateikė prašymą VĮ „Regitra“ Informacinių technologijų (toliau – ir IT) departamentui pateikti Kelių transporto priemonių registravimo sistemoje (KETRIS) įformintų transporto priemonių (toliau – ir TP) registravimo paslaugų duomenis, kurie buvo naudojami patvirtinti arba paneigti pranešime pateiktą informaciją apie galimus klientų aptarnavimo eiliškumo pažeidimus. Pareigūnas, įvertinęs gautą informaciją ir surinktus duomenis, priėmė sprendimą 2021 m. lapkričio 10 d. tarnybiniu pranešimu „Dėl netinkamo klientų aptarnavimo eiliškumo valdymo“ (toliau – ir Pranešimas Nr. 1) informuoti VĮ „Regitra“ generalinį direktorių (toliau – ir Direktorius), kad būtų inicijuotas darbo pareigų pažeidimo tyrimas. Antrasis prevencinis tyrimas dėl netinkamo darbuotojo elgesio (toliau – ir Tyrimas Nr. 2) buvo pradėtas atsižvelgus į tai, kad Kanalu 2021 m. spalio 30 d. buvo gauta pirminė informacija, kuri vėliau papildyta, apie tai, jog Duomenų subjektas, tikėtina, savo darbo metu (VĮ „Regitra“ teritorijoje) sudarė transporto priemonės pirkimo–pardavimo sandorį (2021 m. gegužės 27 d.) (toliau – ir Sandoris), Sandorio tinkamai ir laiku nedeklaravo bei tokiu būdu sukėlė rūpesčių TP pardavėjui ir, tikėtina, pakenkė VĮ „Regitra“ reputacijai. Tyrimas Nr. 2 buvo atliekamas esant įtarimams, kad Duomenų subjektas, tikėtina, užsiima automobilių prekyba. Kadangi šio Duomenų subjekto papildomo veikimo nepavyko įrodyti, įtarimas nebuvo įrašytas į tarnybinį pranešimą dėl darbo pareigų pažeidimo tyrimo inicijavimo. Duomenų tvarkymo kontekste yra ypač svarbu, jog Pareigūnui kyla pareiga patikrinti visą pranešime pateikiamą informaciją apie galimai padarytus pažeidimus. Jeigu nepasitvirtina arba neužtenka pakankamai įrodymų dėl galimai pažeistų teisės aktų, dar nereiškia, jog Pareigūnas neturėjo pareigos patikrinti informaciją, kad asmens duomenų tvarkymo tikslas buvo nepakankamas.

2.2.                      VĮ „Regitra“ generalinio direktoriaus 2021 m. lapkričio 16 d. įsakymu Nr. 1V-468 „Dėl Darbo pareigų pažeidimo tyrimo komisijos sudarymo“ sudaryta komisija atliko inicijuotų galimų Duomenų subjekto darbo pareigų pažeidimų tyrimą ir 2022 m. kovo 24 d. išvada Nr. 2V-526 „Dėl valstybės įmonės „Regitra“ Klaipėdos filialo specialisto E. B. darbo pareigų pažeidimo“ konstatavo, kad Duomenų subjektas pažeidė VĮ „Regitra“ teisės aktų nuostatas ir tokiu būdu padarė darbo pareigų pažeidimą, bei pasiūlė Direktoriui įspėti Duomenų subjektą. VĮ „Regitra“ generalinis direktorius 2022 m. balandžio 4 d. įsakymu Nr. P-66 „Dėl E. B. darbo pareigų pažeidimo ir Klaipėdos filialo darbo organizavimo kontrolės“ paskyrė Duomenų subjektui įspėjimą. 2021 m. gruodžio 10 d. buvo gautas Duomenų subjekto atstovo raštas dėl galimo asmens duomenų apsaugos pažeidimo. VĮ „Regitra“ į jį atsakė 2021 m. gruodžio 31 d. raštu, įskaitant VĮ „Regitra“ duomenų apsaugos pareigūno (mažosios bendrijos (toliau – ir MB) „Duomenų apsaugos ir saugumo sprendimai“) atliktą situacijos vertinimo ataskaitą. 2022 m. sausio 4 d. buvo gautas pakartotinis Duomenų subjekto kreipimasis su prašymu įvertinti rašte pateikiamas aplinkybes bei atsakyti į keliamus klausimus. VĮ „Regitra“ 2022 m. sausio 11 d. pateikė Duomenų subjektui atsakymą. Duomenų subjektas su šiuo atsakymu nesutiko ir 2021 m. sausio 25 d. pateikė Inspekcijai skundą, kurio pagrindu priimtas ginčijamas Sprendimas.

2.3.                      Inspekcija Sprendimu nusprendė pripažinti pagrįstu Duomenų subjekto skundo dalį dėl jo asmens duomenų rinkimo apimties ir duomenų perdavimo tretiesiems asmenims (Sprendimo rezoliucinės dalies 1 p.) ir skirti VĮ „Regitra“ papeikimą (Sprendimo rezoliucinės dalies 2 p.). VĮ „Regitra“ manymu, Inspekcijos Sprendimas yra nepagrįstas ir neteisėtas, neatitinka administraciniam sprendimui keliamų reikalavimų, todėl naikintinas.

2.4.                      Inspekcija netinkamai vertino VĮ „Regitra“ vidinę dokumentaciją dėl elektroninių komunikacijos priemonių naudojimo bei nepagrįstai įžvelgė teisės aktų prieštaravimą, nors jie reglamentuoja skirtingas sritis bei jais siekiama įgyvendinti skirtingus tikslus, t. y. VĮ „Regitra“ generalinio direktoriaus 2018 m. liepos 2 d. įsakymu Nr. V-18/108 (2021 m. rugsėjo 14 d. įsakymo Nr. 1V-402 redakcija) patvirtintomis Asmens duomenų tvarkymo VĮ „Regitra“ taisyklėmis (toliau – ir Taisyklės) nustatomi reikalavimai darbuotojui, tvarkant VĮ „Regitra“ asmens duomenis bei atliekamas darbuotojo informavimas apie jo atžvilgiu VĮ „Regitra“ atliekamą asmens duomenų tvarkymą, o VĮ „Regitra“ generalinio direktoriaus 2017 m. rugsėjo 29 d. įsakymu Nr. V-197 patvirtintu VĮ „Regitra“ darbuotojų etikos kodeksu (2020 m. gegužės 29 d. įsakymo Nr. (1.1E)-1V-264 redakcija) (toliau – ir Etikos kodeksas) yra nustatomos darbuotojų elgesio normos ir veiklos principai, kuriais vadovaujantis yra stiprinamas VĮ „Regitra“ ir jos darbuotojų autoritetas, nepriklausomumas, ugdoma atsakomybė už savo veiksmus ir pan. Dėl neva nepakankamai aiškaus vidinio reglamentavimo, Inspekcija sprendė, kad VĮ „Regitra“ pažeidė skaidrumo ir sąžiningumo principus (2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – ir BDAR) 5 str. 1 d. a p.):

2.4.1.                      Taisyklėse įtvirtinta, kad asmeninių poreikių tenkinimas turi būti ribotas, t. y. aiškiai nustatomas apribojimas dėl darbo priemonių naudojimo asmeniniams poreikiams. Nepaisant to, kad VĮ „Regitra“ nedetalizuoja, kokie darbuotojo asmeniniai poreikiai gali būti patenkinami naudojantis darbo priemonėmis, toks apribojimas turėtų būti suprantamas pagal apdairaus, rūpestingo, atidaus, t. y. racionalaus, protingo asmens (lot. bonus pater familias) elgesio adekvačioje situacijoje etaloną;

2.4.2.                      Protingas, racionalus darbuotojo elgesys darbo vietoje bei darbo metu turėtų būti suprantamas kaip VĮ „Regitra“ Etikos kodekso nustatytų elgesio normų ir veiklos principų laikymasis. Taigi, tiek Taisyklių, tiek Etikos kodekso nuostatos turėtų būti aiškinamos kompleksiškai. Ribotas asmeninių poreikių patenkinimas darbinėmis elektroninės komunikacijos priemonėmis, pavyzdžiui, laisvesniu nuo darbo metu (per pertrauką, esant mažam klientų kiekiui ir pan.) darbiniu kompiuteriu apsilankant žinių portaluose, taip pat pagal poreikį jungiantis prie banko ar kitų portalų, nepažeistų Etikos kodekse įtvirtintų principų.

2.4.3.                      Duomenų subjektas buvo aiškiai informuotas bei turėjo suprasti, jog asmeninius poreikius darbo metu bei darbo priemonėmis gali tenkinti ribota apimtimi, t. y. elgiantis sąžiningai, rūpestingai, dorai bei atsakingai atliekant savo pareigas. Todėl VĮ „Regitra“ nepažeidė skaidrumo ir (ar) sąžiningumo principų.

2.5.                      Inspekcija netinkamai vertino VĮ „Regitra“ vidinėje dokumentacijoje (t. y. Taisyklių 89 p.) nustatytus procedūrinius darbuotojų elektroninių komunikacijų priemonių stebėjimo draudimus (t. y. siekiant minėto stebėjimo konfidencialumui užtikrinti) bei neįvertino, kad kitais teisės aktais nustatytos Pareigūno teisės ir (ar) jam suteikti įgaliojimai būtini darbinėms funkcijoms atlikti (viešojo intereso labui atliekamoms užduotims vykdyti) yra nepagrįstai apribojami. Inspekcija taip pat nevertino Pareigūno statuso savarankiškumo ir nepriklausomumo svarbos jam paskirtoms funkcijoms atlikti.

2.5.1.                      Vadovaudamasi Lietuvos Respublikos korupcijos prevencijos įstatymu, VĮ „Regitra“ yra pasitvirtinusi savo korupcijos prevencijos politiką, kurioje, be kita ko, yra ir korupcijos prevencijos (atitikties) pareigūno pareigybė. Vadovaujantis Lietuvos Respublikos Vyriausybės 2018 m. lapkričio 14 d. nutarimu Nr. 1133 patvirtintu Vidinių informacijos apie pažeidimus teikimo kanalų įdiegimo ir jų funkcionavimo užtikrinimo tvarkos aprašu (toliau – ir Tvarkos aprašas), VĮ „Regitra“ generalinio direktoriaus 2020 m. balandžio 28 d. įsakymu Nr. (1.1E)-1V-184 patvirtintu Informacijos apie pažeidimus teikimo ir tvarkymo valstybės įmonėje „Regitra“ tvarkos aprašu (toliau – ir Aprašas), buvo įdiegtas vidinis informacijos apie pažeidimus teikimo kanalas. VĮ „Regitra“ generalinio direktoriaus 2020 m. balandžio 29 d. įsakymu Nr. (1.1E)-1V-188 buvo paskirtas VĮ „Regitra“ kompetentingas subjektas, atliekantis minėtuose tvarkos aprašuose nurodytas funkcijas – Pareigūnas, o VĮ „Regitra“ generalinio direktoriaus 2019 m. spalio 29 d. įsakymu Nr. (1.1E)-V-165 patvirtinta Pareigūno pareiginė instrukcija (toliau – ir Instrukcija);

2.5.2.                      Taisyklių 89 punkte aprašoma procedūra iš esmės reglamentuoja tik bendro pobūdžio taisykles, apribojančias prieigos teises prie duomenų, taip siekiant užtikrinti duomenų konfidencialumą, tačiau nenumato išimtinių (specialių) duomenų tvarkymo atvejų ir (ar) konkrečių duomenų rinkimo procedūrų tais atvejais, kai darbuotojo (t. y. Pareigūno) prieigos teisės prie duomenų nėra ribojamos. Todėl susiklosčiusi situacija turėtų būti vertinama kompleksiškai, t. y. pritaikant ją konkrečiam atvejui: Pareigūnas pagal teisės aktų ir (ar) Direktoriaus jam suteiktus įgaliojimus turėjo teisę tvarkyti (rinkti) Duomenų subjekto duomenis (įskaitant asmens duomenis), reikalingus pažeidimui nagrinėti; šios teisės ribojimas ir (ar) kontrolė neleistų Pareigūnui tinkamai atlikti savo funkcijų (t. y. trukdytų funkcijas atlikti) bei pažeistų pagrindinius teisės aktų principus ir reikalavimus;

2.5.3.                      Pareigūnui siekiant tinkamai atlikti savo funkcijas yra būtinas jo veiklos nepriklausomumas ir savarankiškumas. Priešingu atveju Pareigūnas negalės tinkamai ir efektyviai atlikti savo pareigų, bus sudaroma galimybė piktnaudžiauti ir (ar) net korupcijai. Esant situacijai, kai Taisyklių 89 punkto nuostata prieštarauja kitiems teisės aktams, kuriais nustatomos Pareigūno teisės ir įgaliojimai, ši teisinė kolizija turėtų būti sprendžiama taikant sisteminį teisės aktų aiškinimo metodą bei vadovaujantis hierarchijos taisykle, jog aukštesnės teisinės galios teisės aktas turi pirmenybę prieš žemesnės teisinės galios aktą (lot. lex superior derogat legi inferiori);

2.5.4.                      Inspekcijos priimtas sprendimas dėl Pareigūno teisių ir įgaliojimų ribojimo yra nepagrįstas, o jo nepanaikinus gali būti sukurtas pavojingas precedentas (t. y. sukuriama darbuotojo teisės į privatumą viršenybė prieš visuomenę bei viešojo intereso labui atliekamą asmens duomenų tvarkymą), dėl kurio VĮ „Regitra“ ir (ar) kitose valstybės įmonėse gali būti sudaroma galimybė darbuotojams piktnaudžiauti ir (ar) atsirasti Korupcijos prevencijos įstatymo pažeidimams.

2.6.                      Inspekcija, vertindama Tyrimo Nr. 2 tikslus bei nurodydama, jog rinkta informacija apie Duomenų subjekto naršymo internete istoriją galėjo būti panaudota tik vienu tikslu – patvirtinti arba paneigti informaciją apie konkretų sandorį, pritaikydama duomenų kiekio mažinimo principą, nepagrįstai susiaurino Pareigūno atliekamo tyrimo apimtį bei apribojo teisės aktais numatytą Pareigūno laisvę savarankiškai spręsti dėl atliekamam tyrimui reikalingos duomenų apimties. Pareigūno rinkta informacija (nuo 2021 m. gegužės mėn. iki 2021 m. lapkričio mėn., t. y. nuo galimo pažeidimo padarymo mėnesio iki pažeidimo išnagrinėjimo dienos) nebuvo skirta tik patvirtinti arba paneigti informaciją apie Duomenų subjekto neva sudarytą Sandorį, šia informacija buvo ketinama nustatyti daugiau panašių atvejų bei įsitikinti, jog Duomenų subjekto pažeidimai nėra nuolatinio / pasikartojančio pobūdžio, taip pat siekiant įvertinti, ar Duomenų subjektas darbo vietoje, darbo metu neužsiima pašaliniais su jo darbo pareigomis nesuderinamais veiksmais, pažeidžiančiais VĮ „Regitra“ Etikos kodeksą ir (ar) kitus teisės aktus:

2.6.1.                      Inspekcija, vertindama Tyrimo Nr. 2 metu surinktų duomenų reikalingumą (būtinumą), neatsižvelgė į VĮ „Regitra“ atsakymuose nurodytus duomenų tvarkymo tikslus bei Pareigūno nepriklausomumo ir savarankiškumo statusą. Pareigūno veikloje taikant duomenų kiekio mažinimo principą (t. y. renkant kuo mažiau duomenų), atliekami tyrimai gali būti neišsamūs ir (ar) nepagrįsti. Jei Inspekcija būtų tyrusi aptariamas aplinkybes bei jų svarbą Pareigūno funkcijoms vykdyti bei kompleksiškai įvertinusi kitus Taisyklių punktus, reglamentuojančius darbuotojo darbo vietos stebėsenos ir kontrolės priemonių taikymą, ji būtų nustačiusi, jog duomenų kiekio mažinimo principo taikymas konkretaus tyrimo atžvilgiu nėra proporcingas ribojimas, nes šie duomenys VĮ „Regitra“ yra tvarkomi siekiant konkrečių tikslų: nustatyti sukčiavimo ar nusižengimų atvejus, taip pat reikalingas prevencines priemones (Taisyklių 87.3 p.); užtikrinti darbuotojui skirtų informacinių ir telekomunikacinių technologijų išteklių naudojimą teisėtais tikslais (Taisyklių 87.5 p.); užtikrinti tinkamą VĮ „Regitra“ teikiamų paslaugų kokybės lygį (Taisyklių 87.7 p.); užtikrinti apsaugą nuo neteisėtų darbuotojo veiksmų (Taisyklių 87.8 p.);

2.6.2.                      Inspekcijos Sprendimas dėl duomenų kiekio mažinimo principo pažeidimo turėtų būti panaikintas. Panaikinus Inspekcijos sprendimą dėl duomenų kiekio mažinimo principo pažeidimo, Inspekcijos nevertinta Tyrimo Nr. 2 metu tvarkytų duomenų apimtis turėtų būti laikoma tinkama. Pasikeitus anksčiau minėtų aplinkybių vertinimui, Inspekcija turėtų iš naujo vertinti bei spręsti dėl Pareigūno rinktų duomenų apimties proporcingumo.

2.7.                      Inspekcija, Sprendime netinkamai įvertinusi Pareigūnui suteiktas teises ir (ar) įgaliojimus bei nepagrįstai apribojusi Pareigūno nepriklausomumą ir savarankiškumą, taip pat priėmė nepagrįstą sprendimą dėl duomenų rinkimo trukmės (apimties), taikant principą, jog iš neteisės negali atsirasti teisė (lot. ex injuria jus non oritur). Atitinkamai, nustačius, kad duomenų kiekio mažinimo principas nebuvo pažeistas, Inspekcija turėtų iš naujo vertinti bei spręsti dėl Pareigūno rinktų duomenų apimties proporcingumo.

2.8.                      Inspekcija netinkamai interpretavo VĮ „Regitra“ Aprašo nuostatas bei netinkamai įvertino kitiems tretiesiems asmenims (Klaipėdos filialo direktoriui V. B. ir vyr. specialistui R. D.) (toliau – ir Tretieji asmenys) pateiktos informacijos turinį, neatsižvelgė į informaciją, jog Tretieji asmenys jau turėjo informaciją apie galimą pažeidimą, kuris buvo tiriamas atliekant Tyrimą Nr. 2, nes pranešimas, kurio pagrindu buvo pradėtas Tyrimas Nr. 2, jau buvo siųstas Tretiesiems asmenims. Inspekcija taip pat neatsižvelgė į informaciją apie Trečiųjų asmenų įtraukimą į atliekamą Tyrimą Nr. 2, todėl sprendė, kad VĮ „Regitra“ neįrodė Trečiųjų asmenų informavimo reikalingumo:

2.8.1.                      Pareigūnas, atlikdamas tyrimus, laikosi griežtų konfidencialumo sąlygų, todėl tyrimo metu surinktais Duomenų subjekto asmens duomenimis ir (ar) jų turiniu su Trečiaisiais asmeninis nesidalino (t. y. su asmens duomenų turiniu (pvz., naršymo istorija) kiti darbuotojai susipažinti negalėjo, išskyrus IT departamento darbuotojus, kurie šiuos duomenis ir pateikė);

2.8.2.                      Žinant, jog Inspekcija susipažino su Trečiųjų asmenų pareigybių instrukcijomis bei jomis rėmėsi priimant sprendimą dėl neteisėto asmens duomenų atskleidimo Tretiesiems asmenimis, akivaizdu, jog turėjo papildomai įvertinti jų atliekamas darbines funkcijas bei priimant sprendimą dėl duomenų atskleidimo reikalingumo vadovautis šia informacija. Inspekcijos argumentai, kad VĮ „Regitra“ nepagrindė informacijos atskleidimo būtinumo, tai laikant pakankamu pagrindu konstatuoti vientisumo ir konfidencialumo principo pažeidimą, nėra pagrįsti.

3.       Atsakovas Inspekcija atsiliepime į skundą prašė jį atmesti. Atsakovas atsiliepimą į skundą grindė šiais pagrindiniais argumentais:

3.1.                      Sprendimas priimtas išnagrinėjus ir įvertinus visas reikšmingas aplinkybes, VĮ „Regitra“ neįrodė, kad atsakovas būtų pažeidęs objektyvumo, nešališkumo principus, o tyrimą, pagal Duomenų subjekto skunde nurodytas aplinkybes, atlikęs neišsamiai.

3.2.                      Dėl Taisyklių ir Etikos kodekso kompleksinio aiškinimo atsakovas pabrėžė, jog vadovavosi teismų praktika bei 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyva 95/46/EB įsteigtos Asmenų apsaugos tvarkant asmens duomenis darbo grupės (29 straipsnio duomenų apsaugos darbo grupės) 2017 m. birželio 8 d. nuomonėje 2/2017 dėl duomenų tvarkymo darbe (toliau – ir Nuomonė) padarytomis išvadomis. Nuomonėje yra pateikta rekomendacija darbdaviui įgyvendinti ir paskelbti priimtino naudojimo politikos priemones kartu su privatumo politikos priemonėmis, bendrai išdėstant, kaip leidžiama naudoti organizacijos tinklą ir įrangą, ir tiksliai išvardinant, kaip tvarkomi duomenys. Kompleksiškai aiškinant Taisyklių ir Etikos kodekso nuostatas, turėtų būti suprantama, kad jeigu vienas aktas leidžia elektroninės komunikacijos priemones, skirtas tiesioginėms darbuotojo darbo funkcijoms atlikti, naudoti ir ribotiems asmeniniams poreikiams patenkinti, tuomet Etikos kodeksas turi išvardinti tuos ribotus asmeninius poreikius, kuriuos leidžiama darbuotojams tenkinti. Etikos kodeksas nepaaiškina, o priešingai – nustato draudimą naudoti darbo priemones asmeniniams poreikiams tenkinti.

3.3.                      Priimant ginčijamą Sprendimą buvo įvertinti VĮ „Regitra“ paaiškinimai, vidiniai teisės aktai, Pareigūno funkcijos, uždaviniai, teisės, įtvirtintos Instrukcijoje, tačiau, vykdant Pareigūno funkcijas, Pareigūnui taikytini Taisyklių 89, 90 punktuose nustatyti reikalavimai dėl darbuotojų naudojimosi tarnybiniais telefonais ir kompiuteriniu tinklu žurnalų duomenų peržiūros tvarkos. Nesilaikydamas šių reikalavimų Pareigūnas viršijo savo įgaliojimus.

3.4.                      Duomenų subjekto skundo nagrinėjimo metu Inspekcija, įvertinus surinktą informaciją, nustatė, kad Pareigūnas, gavęs Kanalu pranešimą apie tai, jog Duomenų subjektas galbūt savo darbo metu (VĮ „Regitra“ teritorijoje) sudarė Sandorį, kurio tinkamai ir laiku nedeklaravo bei tokiu būdu sukėlė rūpesčių TP pardavėjui ir galimai pakenkė VĮ „Regitra“ reputacijai, taip pažeisdamas Etikos kodeksą, siekdamas patvirtinti ar paneigti gautame pranešime nurodytas aplinkybes, elektroniniu paštu išsiuntė paklausimą Duomenų subjektui, prašydamas pasiaiškinti dėl nurodytų aplinkybių, taip pat tuo pačiu, siekdamas nustatyti, ar Duomenų subjektas netenkina asmeninių poreikių darbo metu (pvz., ar neužsiima automobilių paieška / prekyba), įpareigojo Regitros IT departamento darbuotojus pateikti Duomenų subjekto lankymosi internete istoriją. Pareigūnas, peržiūrėjęs Duomenų subjekto lankymosi internete istoriją, sprendė, kad Duomenų subjektas lankėsi interneto svetainėse, kurios akivaizdžiai nesusijusios su jo darbine veikla. Inspekcija, atsižvelgdama į Aprašo 26 punktą, vertino, kad E. B. lankymosi interneto svetainėse istorija niekaip negali paneigti ar patvirtinti Kanalu gautos informacijos apie darbo metu, tikėtina, VĮ „Regitra“ teritorijoje įvykusį Sandorį, kurio metu buvo galimai pakenkta VĮ „Regitra“ reputacijai bei pažeistas Etikos kodeksas, todėl sprendė, kad VĮ „Regitra“, rinkdama informaciją apie Duomenų subjekto lankymąsi interneto svetainėse, pažeidė duomenų mažinimo principą, įtvirtintą BDAR 5 straipsnio 1 dalies c punkte.

3.5.                      Teikdama paaiškinimus, VĮ „Regitra“ nepagrindė informacijos pateikimo Tretiesiems asmenims būtinumo, nepaaiškino, kodėl informaciją apie Duomenų subjektą tiek tiesioginis vadovas, tiek vyresnysis specialistas privalėjo žinoti. Peržiūrėjus Trečiųjų asmenų pareigybės instrukcijas, nenustatyta, kad Tretieji asmenys turi teisę susipažinti su informacija apie Duomenų subjekto netinkamus veiksmus, atsižvelgiant į Aprašo 33 ir 34 punktus, todėl Inspekcija sprendė, kad informacija buvo teikiama neteisėtai.

4.       Trečiasis suinteresuotas asmuo E. B. atsiliepime į skundą prašė jį atmesti, nurodydamas šiuos pagrindinius argumentus:

4.1.                      Instrukcijos nuostata apie Pareigūno pavaldumą Direktoriui neapriboja Pareigūno savarankiškumo ir nepriklausomumo, o užtikrina, jog Pareigūnas nepiktnaudžiautų savo pareigomis ir neviršytų jam suteiktų įgaliojimų. Skunde ignoruojami VĮ „Regitra“ vidiniai teisės aktai, kuriais reglamentuotas duomenų tvarkymas (Taisyklių 89 p., VĮ „Regitra“ generalinio direktoriaus 2017 m. rugpjūčio 25 d. įsakymu Nr. V-167 patvirtinto Darbuotojų darbo pareigų pažeidimų, tyrimo ir darbuotojų įspėjimo tvarkos aprašo (toliau – ir Tyrimo aprašas) 16.2 p.). Tyrimo aprašo nuostata, kad komisijai draudžiama tirti situacijas, nesusijusias su darbuotojo vykdomomis darbo pareigų funkcijomis, nurodo, kad Duomenų subjekto asmeninis privatus gyvenimas negali būti siejamas su jo atliekamomis darbinėmis pareigomis ir funkcijomis.

4.2.                      Direktoriaus rezoliucija suteikia teisinį pagrindą Pareigūnui tinkamai ir objektyviai atlikti pareigas ir nesudaro galimybės piktnaudžiauti užimamomis pareigomis, be to, Instrukcijos 5.1 punkte numatyti Pareigūno įgaliojimai perduoti Direktoriaus nurodymus parengti reikiamus raštus, dokumentus ar informaciją departamentų, skyrių vadovams, atskiriems vykdytojams. Inspekcija pagrįstai sprendė dėl Pareigūno įgaliojimų apimties, priešingu atveju būtų neužtikrinta asmens teisė į privatumą, suteikiant galimybę Pareigūnui piktnaudžiauti einamomis pareigomis ir suteiktais įgaliojimais.

4.3.                      Dėl tyrimo vykdymo apimties trečiasis suinteresuotas asmuo pažymėjo, jog duomenys apie Duomenų subjekto naršymo internete istoriją Sprendime pagrįstai vertinti kaip pertekliniai. VĮ „Regitra“ darbo tvarkos taisyklių, patvirtintų VĮ „Regitra“ generalinio direktoriaus 2017 m. gruodžio 28 d. įsakymu Nr. 271, 23 punktas nustato darbuotojo, dirbančio kompiuteriu, teisę po kiekvienos valandos nepertraukiamo darbo daryti iki 10 minučių pertrauką, kuri įskaitoma į darbo laiką, todėl Duomenų subjektas nepažeidė Etikos kodekso ir nepakenkė VĮ „Regitra“ reputacijai, pasinaudodamas šia teise. Vadovaujantis Aprašo 28.3 punkto („informaciją apie pažeidimą persiųsti įgaliotai tirti institucijai, jei gautos informacijos turinys leidžia pagrįstai manyti, kad yra rengiama, daroma ar padaryta nusikalstama veika, administracinis nusižengimas ar gautos informacijos nagrinėjimas nepriskiriamas įmonės kompetencijai“), 28.4 punkto („informacijos apie pažeidimą nenagrinėti, jei nustatytos aprašo 29 punkte numatytos aplinkybės“), 29.3 punkto („Pateikta informacija apie pažeidimą nenagrinėjama, kai: <...> informaciją apie pažeidimą nagrinėja kita institucija“) nuostatomis, pranešėjui turėjo būti pasiūlyta kreiptis į teisėsaugos ar teisminę instituciją dėl, jo manymu, pažeistų jo teisių, taigi atsakovas teisingai sprendė, kad VĮ „Regitra“ neįrodė Trečiųjų asmenų informavimo reikalingumo.

II.

5.       Vilniaus apygardos administracinis teismas 2023 m. birželio 9 d. sprendimu tenkino VĮ „Regitra“ skundą iš dalies. t. y. pakeitė Inspekcijos Sprendimo rezoliucinės dalies 1 punktą, pašalinant kaip papildomą pažeidimą kvalifikaciją dėl „duomenų perdavimo tretiesiems asmenims“ pažeidimo, kitą skundo dalį atmetė.

6.       Teismas nustatė šias faktines aplinkybes:

6.1.                      Duomenų subjektas 2018 m. liepos 17 d. buvo pasirašytinai susipažindintas su Taisyklėmis. 2020 m. balandžio 28 d. VĮ „Regitra“ patvirtintas Aprašas, kuriuo buvo įdiegtas vidinis informacijos apie pažeidimus teikimo kanalas. 2020 m. balandžio 29 d. paskirtas VĮ „Regitra“ kompetentingas subjektas, atliekantis Korupcijos prevencijos (atitikties) pareigūno funkcijas.

6.2.                      Kanalu 2021 m. spalio 30 d. gauta informacijos apie tai, kad Duomenų subjektas, tikėtina, savo darbo metu (VĮ „Regitra“ teritorijoje) sudarė Sandorį, jo tinkamai ir laiku nedeklaravo bei tokiu būdu sukėlė rūpesčių TP pardavėjui ir, tikėtina, pakenkė VĮ „Regitra“ reputacijai, taip pažeisdamas Etikos kodeksą. Pranešimo pagrindu VĮ „Regitra“ inicijuotas patikrinimas dėl Duomenų subjekto netinkamo elgesio (Tyrimas Nr. 2).

6.3.                      VĮ „Regitra“ inicijuotas patikrinimas dėl netinkamo klientų aptarnavimo eiliškumo valdymo (Tyrimas Nr. 1), jį grindžiant 2021 m. lapkričio 3 d. Kanalu gauta informacija, kurioje nurodyta, kad Duomenų subjektas, tikėtina, nesilaikė Klientų valdymo aprašo ir Tvarkos reikalavimų.

6.4.                      Pareigūnas, atlikdamas Tyrimą Nr. 1, 2021 m. lapkričio 5 d. pateikė prašymą VĮ „Regitra“ IT departamentui pateikti KETRIS įformintų TP registravimo paslaugų duomenis bei duomenis iš informacinės klientų aptarnavimo sistemos Q-Matic, tokiu būdu buvo surinkti duomenys už laikotarpį nuo 2021 m. spalio 29 d. iki 2021 m. gruodžio 12 d.

6.5.                      Pareigūnas, atlikdamas Tyrimą Nr. 2, 2021 m. lapkričio 5 d. pateikė prašymą VĮ „Regitra“ IT departamentui pateikti Duomenų subjekto lankymosi internete istoriją už laikotarpį nuo 2021 m. gegužės 1 d. iki 2021 m. lapkričio 4 d. IT departamentas 2021 m. lapkričio 5 d. surinko ir pateikė Pareigūnui Duomenų subjekto lankymosi internete istoriją už nurodytą laikotarpį. Pareigūno 2021 m. lapkričio 5 d. elektroniniu laišku dėl, tikėtina, netinkamų Duomenų subjekto veiksmų informuotas VĮ „Regitra“ Klaipėdos filialo direktorius V. B. ir vyresnysis specialistas R. D., kurio pareiga buvo kontroliuoti Duomenų subjekto atliekamas funkcijas ir organizuoti jo darbą (Tretieji asmenys).

6.6.                      Pareigūnas Pranešimu Nr. 1 informavo Direktorių, kad būtų inicijuotas darbo pareigų pažeidimo tyrimas dėl Duomenų subjekto. Pranešime Nr. 1 nurodyta, jog, „vykdydamas valstybės įmonės „Regitra“ korupcijos rizikos vertinimą dėl klientų aptarnavimo eiliškumo valdymo, atlikau prevencinį patikrinimą dėl klientų aptarnavimo, teikiant transporto priemonių registravimo paslaugas. Patikrinimas atliktas išanalizavus valstybės įmonės „Regitra“ IT departamento pateiktus duomenis dėl KETRIS įformintų TP registravimo paslaugų ir juos sugretinus su Q-Matic sistemoje esančia aktualia informacija, kaip darbuotojai kviečia klientus aptarnavimui. Patikrinimo metu nustatyti 45 atvejai, už laikotarpį nuo 2021-08-12 iki 2021-10-29, kai Klaipėdos filialo specialistas E. B. valstybės įmonės „Regitra“ klientams suteikė TP registracijos paslaugas galimai nesilaikant klientų aptarnavimui taikomų reikalavimų“.

6.7.                      Pareigūnas 2021 m. lapkričio 11 d. surašė tarnybinį pranešimą (toliau – ir Pranešimas Nr. 2) dėl netinkamo darbuotojo elgesio, kuriuo informavo Direktorių apie inicijuotą darbo pareigų pažeidimo tyrimą. Pranešime Nr. 2 nurodyta jog „įvertinus aplinkybę, kad darbuotojas darbo metu skyrė laiko asmeninių poreikių tekinimui, susipažinau su VĮ „Regitra“ IT departamento man pateikta informacija apie E. B. lankymosi internete istoriją. <...> Detalesnę informaciją dėl lankymosi interneto svetainėse galėsiu pateikti darbo pareigų pažeidimo komisijai“.

6.8.                      VĮ „Regitra“ generalinio direktoriaus 2021 m. lapkričio 16 d. įsakymu Nr. 1V-468 „Dėl Darbo pareigų pažeidimo tyrimo komisijos sudarymo“ sudaryta komisija atliko inicijuotų galimų darbuotojo darbo pareigų pažeidimų tyrimą. VĮ „Regitra“ Duomenų subjektui 2021 m. lapkričio 23 d. per DocLogix sistemą įteikė pranešimą apie darbo pareigų pažeidimą, kuriame nurodyta, kad Duomenų subjektas yra „įtariamas padaręs darbo pareigų pažeidimą, vykdydamas pavestas funkcijas, klientams suteikė transporto priemonių registracijos paslaugas galimai nesilaikant klientų aptarnavimui taikomų reikalavimų, darbo metu skyrė laiko asmeninių poreikių tenkinimui įsigyjant ir parduodant transporto priemonę (VIN: (duomenys neskelbtini))“.

6.9.                      Regitros duomenų apsaugos pareigūno 2022 m. sausio 3 d. raštu, atsakant į Duomenų subjekto 2021 m. gruodžio 10 d. paklausimą, nurodyta, kad „valstybės įmonės „Regitra“ Duomenų apsaugos pareigūnui MB „Duomenų apsaugos ir saugumo sprendimai“, veikiančiam pagal 2021-03-25 paslaugų teikimo sutartį Nr. 2021-ST-67, atlikus situacijos vertinimą (vertinimo ataskaita pridedama) buvo nustatyta, jog Korupcijos prevencijos (atitikties) pareigūnas, atlikdamas savo pareigas bei vykdydamas jam priskirtas funkcijas (įskaitant įgaliojimus), teisėtai rinko ir (ar) tvarkė darbuotojo E. B. asmens duomenis <…> asmens duomenų apsaugos pažeidimo faktas nebuvo nustatytas“. Šiuo raštu pateiktoje 2021 m. gruodžio 31 d. vertinimo ataskaitoje nurodyta, kad „valstybės įmonės „Regitra“ generalinis direktorius, vykdydamas teisės aktų numatytas pareigas, savo nurodymu (įsakymu) paskyrė Korupcijos prevencijos (atitikties) pareigūną bei pareigybine instrukcija suteikė jam įgaliojimus gauti iš padalinių vadovų, kitų Įmonės darbuotojų, Įmonės komisijų, komitetų ir darbo grupių darbui ir pavestiems uždaviniams įgyvendinti reikiamus duomenis ir informaciją, įskaitant ir asmeninio pobūdžio informaciją, reikalingą galimų korupcinio pobūdžio veikų prevencijai ar aplinkybių identifikavimui“.

6.10.                      VĮ „Regitra“ duomenų apsaugos pareigūno 2022 m. sausio 11 d. raštu, atsakant į Duomenų subjekto 2022 m. sausio 4 d. paklausimą, nurodyta, kad „<...> duomenų apsaugos pareigūno nuomone, Korupcijos prevencijos (atitikties) pareigūno tyrimui rinkta (tvarkyta) Duomenų subjekto asmens duomenų apimtis (t. y. 6 mėn. laikotarpis) yra pagrįsta ir proporcinga siekiamam tikslui bei nepažeidžia Duomenų subjekto teisių ir (ar) laisvių“, „<…> išanalizavus valstybės įmonės „Regitra“ asmens duomenų tvarkymo taisyklių 89 p. nuostatas, manytina, jog šiame punkte aprašoma susipažinimo su darbuotojo naudojimosi tarnybiniais telefonais ir kompiuteriniu tinklu žurnalų duomenimis procedūra reglamentuoja tik IT darbuotojų atliekamas valstybės įmonės „Regitra“ darbuotojų naudojimosi tarnybiniais telefonais ir kompiuteriniu tinklu žurnalų duomenų peržiūras ir nenumato konkrečių minėtų duomenų naudojimo atvejų ir (ar) konkrečių veiksmų kiekvienu iš šių atvejų sekos ar pan., todėl gali būti aiškinama kompleksiškai, pritaikant ją konkrečiam atvejui (pvz., atsižvelgiant į teisės aktų numatytas išimtis)“. <…> „Duomenų apsaugos pareigūno nuomone, valstybės įmonės „Regitra“ asmens duomenų tvarkymo taisyklių reikalavimai ir principai nebuvo pažeisti bei atitiko minėtų teisės aktų reikalavimus“.

6.11.                      Inspekcijoje 2022 m. sausio 25 d. gautas Duomenų subjekto skundas (Inspekcijos reg. Nr. R-451 (2.13.Mr)), kuriuo E. B. prašė įvertinti ir pateikti išvadą, ar VĮ „Regitra“ teisėtai rinko jo asmens duomenis tokia apimtimi (nuo 2021 m. gegužės mėn. iki 2021 m. lapkričio mėn.), ar tokia asmens duomenų rinkimo apimtis (6 mėn. laikotarpis) atitiko nagrinėjamo galimo pažeidimo aplinkybes bei tyrimo tikslus, taip pat ar tinkamai buvo užtikrintas BDAR nuostatų, susijusių su asmens duomenų apsauga, įgyvendinimas bei Taisyklių, įskaitant ir 79, 89 punktuose numatytų reikalavimų, laikymasis.

6.12.                      Komisija 2022 m. kovo 24 d. patvirtino išvadą Nr. 2V-526 „Dėl valstybės įmonės „Regitra“ Klaipėdos filialo specialisto E. B. darbo pareigų pažeidimo“, kuria nustatė, kad Duomenų subjektas pažeidė VĮ „Regitra“ teisės aktų nuostatas ir tokiu būdu padarė darbo pareigų pažeidimą bei pasiūlė Direktoriui įspėti E. B., kad tuo atveju, jei per paskutinius dvylika mėnesių bus padarytas antras toks pat darbo pareigų pažeidimas, darbdavys turi teisę nutraukti darbo sutartį darbdavio iniciatyva dėl darbuotojo kaltės. VĮ „Regitra“ generalinio direktoriaus 2022 m. balandžio 4 d. įsakymu Nr. P-66 „Dėl E. B. darbo pareigų pažeidimo ir Klaipėdos filialo darbo organizavimo kontrolės“ Duomenų subjektui paskirtas įspėjimas.

6.13.                      VĮ „Regitra“ 2022 m. birželio 16 d. raštu Nr. S-8167 (Inspekcijos registracijos Nr. 1R-3393(2.13.Mr)) pateikė Inspekcijai paaiškinimą dėl Duomenų subjekto skundo. VĮ „Regitra“ 2022 m. lapkričio 4 d. raštu (Inspekcijos reg. Nr. 1R-6572(2.13.Mr)) pateikė atsakovui papildomą paaiškinimą, nurodydama, kad Duomenų subjekto asmens duomenys buvo renkami ir tvarkomi Pareigūnui nagrinėjant Kanalu gautą informaciją apie galimus Duomenų subjekto atliktus pažeidimus, vadovaujantis BDAR 6 straipsnio 1 dalies c ir e punktuose numatytomis duomenų tvarkymo teisėtumo sąlygomis. Teisinė prievolė VĮ „Regitra“ bei užduotis, atliekama viešo intereso labui, nustatyta: Korupcijos prevencijos įstatymo 3, 4, 9, 23 straipsniuose, Lietuvos Respublikos pranešėjų apsaugos įstatymo 16 straipsnyje, Tvarkos aprašo 3, 11–13 punktuose.

6.14.                      Inspekcija Sprendimu dalį E. B. skundo dėl Duomenų subjekto asmens duomenų rinkimo apimties ir duomenų perdavimo Tretiesiems asmenims pripažino pagrįstu (Sprendimo rezoliucinės dalies 1 p.), skyrė VĮ „Regitra“ papeikimą (Sprendimo rezoliucinės dalies 2 p.), o kitą E. B. skundo dalį dėl Duomenų subjekto asmens duomenų tvarkymo (rinkimo) teisėtumo atmetė (Sprendimo rezoliucinės dalies 3 p.).

6.15.                      Inspekcija Sprendime dėl teisėtų asmens duomenų tvarkymo sąlygų nurodė, jog, įvertinus Instrukcijoje nustatytas Pareigūno funkcijas ir teises, galima išvada, kad Pareigūnas tiria gautus pranešimus ir turi teisę gauti informaciją iš nepavaldžių darbuotojų. VĮ „Regitra“ E. B. asmens duomenų tvarkymą Pareigūnui nagrinėjant Kanalu gautą informaciją grindė BDAR 6 straipsnio 1 dalies c ir e punktuose numatytomis duomenų tvarkymo teisėtumo sąlygomis. Atsižvelgiant į Korupcijos prevencijos įstatymą, Aprašą, Tvarkos aprašą, Instrukcijoje nustatytas Pareigūno funkcijas ir teises, daroma išvada, kad Pareigūnas, pradėdamas rinkti informaciją Tyrimo Nr. 2 metu, tai darė vadovaudamasis Aprašo 26 punktu, todėl laikytina, kad jis elgėsi teisėtai, remiantis BDAR 6 straipsnio 1 dalies e punkte įtvirtinta sąlyga, o Tyrimo Nr. 1 atveju laikytina, jog, nesant įrodymų apie 2021 m. lapkričio 3 d. pranešimo gavimą, VĮ „Regitra“ Duomenų subjekto asmens duomenis tvarkė remdamasi BDAR 6 straipsnio 1 dalies e punktu, Pareigūnui teisėtai rinkus informaciją pagal Instrukcijos 4 punktą.

6.16.                      Inspekcija Sprendime dėl Duomenų subjekto asmens duomenų rinkimo tikslų ir apimties nustatė, kad Tyrimo Nr. 1 metu Pareigūnas rinko informaciją iš anksto nustatytu tikslu, t. y. siekiant patvirtinti arba paneigti faktą, kad Duomenų subjektas pažeidžia klientų aptarnavimo eiliškumą, duomenys iš KETRIS įformintų TP registravimo paslaugų bei iš informacinės klientų aptarnavimo sistemos Q-Matic buvo rinkti pagrįstai iš anksto nustatytu tikslu ir yra proporcingi siekiamam tikslui nustatyti. Dėl Tyrimo Nr. 2 metu tvarkytų asmens duomenų, įskaitant E. B. interneto svetainių istorijos peržiūrą, nustatyta, jog VĮ „Regitra“ tinkamai neįgyvendinus BDAR preambulės 39 punkto, 12 straipsnio 1 dalies reikalavimų dėl duomenų subjekto supažindinimo su jo duomenų tvarkymo tvarka, apimtimi, VĮ „Regitra“ laikytina pažeidusi BDAR 5 straipsnio 1 dalyje nustatytą sąžiningumo principą, atsižvelgiant į tai, jog asmens duomenų tvarkymo nuostatos (Taisyklių 87 p.) nebuvo aiškios, išsamios, nuoseklios. E. B. naršymo duomenys, susiję su ribotu asmeninių poreikių tenkinimu (pvz., apsilankymu interneto banke, soc. medijose, žinių portaluose ar pan.), nebuvo įtraukti į Pareigūno atliekamus tyrimus (duomenys buvo renkami su tikslu tinkamai išnagrinėti gautus pranešimus apie darbuotojo galimai atliktus neteisėtus veiksmus, pvz., 2021 m. lapkričio 4 d. pranešimą apie darbuotojo veiksmus, kai darbo metu, VĮ „Regitra“ teritorijoje (2021 m. gegužės 27 d.) įsigijo transporto priemonę) bei neturėjo įtakos darbo pažeidimo tyrimo inicijavimui, Pareigūnas nesilaikė Taisyklių 89 ir 90 punktuose nustatytos procedūros, todėl laikyta, jog Pareigūnas veikė viršydamas teisės aktuose nustatytus įgaliojimus, taip pat pažeidė duomenų mažinimo principą (BDAR 5 str. 1 d. c p.), duomenų rinkimo trukmė negali būti pripažinta proporcinga siekiamam tikslui.

6.17.                      Inspekcija Sprendime dėl duomenų atskleidimo Tretiesiems asmenims nustatė, jog, teikdama paaiškinimus Inspekcijai, VĮ „Regitra“ nepagrindė informacijos pateikimo Tretiesiems asmenims būtinumo ir atitikties Taisyklių 33–34 punktams, be kita ko, Trečiųjų asmenų pareigybių instrukcijose nesant nustatytai šių asmenų teisei susipažinti su informacija apie E. B. atžvilgiu gautą informaciją apie jo netinkamus veiksmus.

6.18.                      VĮ „Regitra“, nesutikdama su Sprendimu, jį apskundė Vilniaus apygardos administraciniam teismui.

7.       Teismas pažymėjo, kad nėra ginčijama Sprendimo dalis, kuria atmesta Duomenų subjekto skundo dalis dėl jo asmens duomenų rinkimo teisėtumo.

8.       Teismas, aptaręs BDAR preambulės 39 punktą, 5 straipsnio 1 dalies, 12 straipsnio 1 dalies nuostatas, 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyva 95/46/EB įsteigtos Asmenų apsaugos tvarkant asmens duomenis darbo grupės (toliau – ir 29 straipsnio duomenų apsaugos darbo grupė) Gairių dėl skaidrumo pagal Reglamentą 2016/679 (toliau – ir Skaidrumo gairės) 10–11, 17, 24 paragrafus, 29 straipsnio duomenų apsaugos darbo grupės Nuomonę, atsižvelgęs į Lietuvos vyriausiojo administracinio teismo praktiką duomenų kiekio mažinimo, priežiūros institucijos privalomo atlikti tyrimo aspektais, vadovavosi Asmens duomenų tvarkymo VĮ „Regitra“ taisyklėmis ir nustatė, kad jose nurodoma, jog informacinės ir telekomunikacinės priemonės darbuotojams skirtos tiesioginėms darbuotojo darbo funkcijoms atlikti ir ribotiems asmeniniams poreikiams patenkinti, tačiau VĮ „Regitra“ pasilieka teisę vykdyti darbuotojų elektroninės komunikacijos stebėjimą Taisyklių 87 punkte nustatytais pagrindais. Teismas nustatė, kad Sprendime atsakovas vertino, jog Taisyklės neįvardija, kas yra riboti asmeniniai poreikiai, ir minėtos Taisyklių nuostatos prieštarauja Etikos kodekso 3.3.2 papunktyje įtvirtintai nuostatai „nenaudoti darbinei veiklai skirto laiko, Įmonės darbo priemonių bei finansinių ir materialinių išteklių, intelektinės nuosavybės savo, savo artimųjų bei kitų asmenų poreikiams tenkinti“, todėl vidinis VĮ „Regitra“ asmens duomenų teisinis reguliavimas nepakankamai aiškus ir išsamus, ypač atsižvelgiant į teisinį reguliavimą, teismų praktiką dėl duomenų subjektui pateikiamos informacijos kokybės, prieinamumo, išsamumo ir faktinio turinio. Teismas sutiko su atsakovo pozicija, jog vidinis VĮ „Regitra“ asmens duomenų teisinis reguliavimas aiškiai nenustatė naudojimosi informacinėmis ir telekomunikacinėmis priemonėmis ribotiems asmeniniams poreikiams turinio, todėl Duomenų subjektui negalėjo būti iš anksto aiškiai suprantamos naršymo internete darbo kompiuteriu pasekmės jo asmens duomenų ir privataus gyvenimo apsaugai. Atsižvelgęs į minėtas aplinkybes dėl ginčo duomenų tvarkymo (t. y. E. B. naršymo internete darbo kompiuteriu duomenų rinkimo), teisinį reguliavimą ir teismų praktiką, teismas sprendė, jog Sprendimu pagrįstai nustatytas BDAR 5 straipsnio 1 dalies a punkto (skaidrumo ir sąžiningumo principo) pažeidimas.

9.       Teismas iš Taisyklių 89 punkto turinio nustatė, kad naudojimosi tarnybiniais telefonais ir kompiuteriniu tinklu žurnalų duomenis gali peržiūrėti tik VĮ „Regitra“ IT departamento darbuotojai Direktoriaus raštišku nurodymu, kai aiškiai apibrėžti įtarimai dėl neteisėtų darbuotojo veiksmų. Kadangi byloje nėra Direktoriaus raštiško nurodymo minėtu tikslu, teismas sprendė, jog Inspekcija pagrįstai vertino, kad Pareigūnas nesilaikė Taisyklėse nustatytos procedūros dėl Duomenų subjekto naršymo internete duomenų rinkimo. Teismas aptarė Inspekcijos 2018 m. liepos 2 d. rekomendacijos „Dėl reikalavimų teisės aktų projektams, kuriais reglamentuojamas asmens duomenų tvarkymas“ (toliau – ir Inspekcijos rekomendacija) turinį ir atmetė VĮ „Regitra“ teiginį, jog Taisyklių nustatyta procedūra netaikoma Pareigūnui, atsižvelgiant į jo savarankiškumo ir nepriklausomumo reikalavimus, kadangi Apraše ir jokiame kitame korupcijos prevenciją reglamentuojančiame teisės akte nėra nustatyta specialių normų dėl naršymo internete duomenų rinkimo įgaliojimų Pareigūnui, detalizuojant Inspekcijos rekomendacijoje nurodytus teisinio reguliavimo aspektus. Teismas pažymėjo, kad teisėtas asmens duomenų tvarkymas aptariamu teisiniu pagrindu, dėl kurio nėra byloje ginčo, numato papildomas jo taikymo sąlygas ar kriterijus (BDAR 6 str. 3–4 d.). Duomenų tvarkymo tikslas yra būtinas, siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas. Tame teisiniame pagrinde galėtų būti išdėstytos konkrečios nuostatos pagal BDAR taikomų taisyklių pritaikymui, įskaitant bendrąsias sąlygas, reglamentuojančias duomenų valdytojo atliekamo duomenų tvarkymo teisėtumą, tvarkytinų duomenų rūšis, atitinkamus duomenų subjektus, subjektus, kuriems asmens duomenys gali būti atskleisti, ir tikslus, dėl kurių asmens duomenys gali būti atskleisti, tikslo apribojimo principą, saugojimo laikotarpius ir duomenų tvarkymo operacijas bei duomenų tvarkymo procedūras, įskaitant priemones, kuriomis būtų užtikrintas teisėtas ir sąžiningas duomenų tvarkymas, kaip antai tas, kurios skirtos kitiems specialiems IX skyriuje numatytiems duomenų tvarkymo atvejams. Atitinkamai tai, kad VĮ „Regitra“ skunde teismui labiau detalizuoja ir tikslina aptariamų šioje byloje asmens duomenų tvarkymo tikslus, nepaneigia Inspekcijos nustatytų faktinių aplinkybių ir to, kad negali būti teisėtai suabsoliutinamas vieno įmonės pareigūno nepriklausomumas, nors įmonės vidaus tvarka nurodo kitokią procedūrą. Teismas pažymėjo, jog asmens privatus gyvenimas ir jo apsauga, įskaitant ir darbinėje veikloje, yra konstitucinė vertybė, todėl intervencija ir asmens duomenų rinkimas, susijęs su privačiu darbuotojų gyvenimu, turi būti ne tik teisėtai, bet ir aiškiai, skaidriai ir sąžiningai apibrėžtas duomenų tvarkytojo bei pats asmens duomenų tvarkymas turi būti atliekamas laikantis iš anksto nustatytų procedūrų, su kuriomis darbuotojai yra supažindinti. Teismas vertino, jog skundo teismui argumentai, susiję su tuo, kad „turėtų būti suprantama...“, „laikytina...“ ar „turėjo būti suprantama...“, tik patvirtina Inspekcijos išvadas dėl nepakankamo duomenų tvarkymo skaidrumo ir sąžiningumo bei duomenų kiekio mažinimo principų laikymosi aptariamu atveju pažeidimo.

10.       Teismas nustatė, kad Inspekcija Sprendime vertino, jog Pareigūnas rinko ginčo informaciją Tyrimui Nr. 2 Aprašo 26 punkto (Pareigūnui gavus informaciją apie pažeidimą (Duomenų subjektas, tikėtina, savo darbo metu (VĮ „Regitra“ teritorijoje) sudarė Sandorį, jo tinkamai ir laiku nedeklaravo bei tokiu būdu sukėlė rūpesčių TP pardavėjui ir, tikėtina, pakenkė VĮ „Regitra“ reputacijai, taip pažeisdamas Etikos kodeksą) ir ją vertinant) pagrindu, ko VĮ „Regitra“ neginčija.

11.       Nesutikdama su Sprendimo išvada, kad buvo pažeistas BDAR 5 straipsnio 1 dalies c punkte nustatytas duomenų mažinimo principas, kad E. B. naršymo internete istorija nebuvo būtina patvirtinti ar paneigti Kanalu gautą pranešimą apie Sandorį ir su juo susijusias aplinkybes, VĮ „Regitra“ nurodė, jog Pareigūnas asmens duomenis rinko, be kita ko, siekdamas įsitikinti, ar darbuotojas darbo metu neužsiima asmeninių poreikių tenkinimui (pvz., ar neužsiima automobilių paieška ar prekyba). Teismas, atsižvelgęs į Pranešime Nr. 2 nurodytą tyrimo tikslą (vertinant gautą informaciją dėl, tikėtina, netinkamo Klaipėdos filialo specialisto E. B. elgesio, įsigyjant automobilį, kurio VIN: (duomenys neskelbtini), iš pardavėjo užsieniečio G. P.) ir į Sprendimu nustatytą asmens duomenų tvarkymo pagrindą, atmetė šį VĮ „Regitra“ teiginį.

12.       Atsižvelgęs į tai, kad Pareigūnas rinko ginčo informaciją Aprašo 26 punkto pagrindu, teismas vertino, jog E. B. naršymo internete istorija nebuvo būtina Sandorio aplinkybėms nustatyti, Inspekcija pagrįstai sprendė, jog toks ginčo duomenų tvarkymas pažeidė duomenų mažinimo principą (duomenys nėra būtini teisėtam tikslui pasiekti). Teismas sutiko su Sprendimo išvada, kad atitinkamai duomenų rinkimo trukmė (naršymo internete istorijos duomenys buvo renkami už laikotarpį nuo 2021 m. gegužės 1 d. iki 2021 m. lapkričio 4 d. – daugiau nei 6 mėnesius), negali būti pripažinta proporcinga siekiamam tikslui. Tyrimo metu kilus naujų įtarimų buvo pagrindas laikantis nustatytos tvarkos kreiptis į Direktorių dėl tyrimo tikslų išplėtimo ir papildomų duomenų rinkimo. Teismas nepagrįstais pripažino skunde šiuo aspektu nurodomus išplėstus tikslus, kurių nepatvirtina pirminiai tyrimo dokumentai, ir jų pagrindu, nesant Direktoriaus išankstinio pavedimo IT specialistams, Duomenų subjekto naršymo internete istorijos duomenys buvo renkami išplečiant laikotarpį iki pusės metų, nors žinoma, kad tiriamas galimos korupcijos atvejis vyko konkrečią datą. Taigi, teismas atmetė šią skundo dalį.

13.       Vertindamas duomenų perdavimą Tretiesiems asmenims, teismas aptarė Sprendimo turinį, VĮ „Regitra“ skundo argumentus šiuo aspektu (Tretieji asmenys pagal užimamas pareigas yra atsakingi už VĮ „Regitra“ ir (ar) filialo veiklos organizavimą, jiems ginčo asmens duomenys buvo reikalingi jų pareiginėse instrukcijose nurodytoms darbo funkcijoms vykdyti, atsakovas neįvertino Aprašo nuostatų), vadovavosi Aprašo nuostatomis ir nustatė, kad ginčo duomenys apie Duomenų subjekto, tikėtina, padarytą pažeidimą, laikantis konfidencialumo principo, galėjo būti perduoti tik pažeidimą nagrinėjantiems asmenims. Atsakovas Sprendime įvertino minėtas Aprašo nuostatas, Trečiųjų asmenų pareigybių instrukcijas, kuriomis skunde remiasi VĮ „Regitra“, tačiau nenustatė, kad Tretieji asmenys turi teisę susipažinti su informacija apie Duomenų subjekto atžvilgiu gautą informaciją dėl jo galbūt netinkamų veiksmų.

14.       Teismas analizavo Trečiųjų asmenų pareiginių instrukcijų nuostatas dėl vykdomų funkcijų ir vertino, jog Duomenų subjekto galimo pažeidimo tyrimo funkcijos ar teisės minėtomis instrukcijomis nėra nustatytos, tačiau surinkti asmens duomenys ir jų turinys kitiems darbuotojams ir nebuvo atskleistas. Teismas nustatė, kad pats galimo pažeidimo faktas Tretiesiems asmenims tapo žinomas gavus pirminį pranešimą, todėl el. laišku pakartotinis informavimas apie patį galimo pažeidimo faktą, kuris ir taip šiems darbuotojams buvo žinomas, nesudaro pagrindo papildomai aptariamo informavimo kvalifikuoti asmens duomenų tvarkymo pažeidimu, juolab kai Trečiųjų asmenų pareiginėse instrukcijose yra numatytos pavaldžių asmenų ar tam tikrų darbuotojų kontrolės funkcijos. Teismas nurodė, kad darbuotojų kontrolės funkcijos tinkamas atlikimas, neturint būtinos informacijos, neįmanomas, aptarė sąvoką „tretieji asmenys“ (BDAR 4 str. 10 p.) ir priėjo prie išvados, kad šiuo atveju pagal nustatytas faktines aplinkybes nenustatytas asmens duomenų atskleidimas Tretiesiems asmenims. Sprendime pažymėta, jog svarstant dėl asmens duomenų tvarkymo skaidrumo ir sąžiningumo turi būti laikomasi ir BDAR 25 straipsnio 1 dalies, 32 straipsnio 4 dalies, preambulės 39 punkto, 12 straipsnio 1 dalies dėl tinkamų organizacinių, techninių ir vidaus priemonių įdiegimo. Atitinkamai teismas nusprendė pakeisti Sprendimo rezoliucinės dalies 1 punktą, pašalinant kaip papildomą pažeidimo kvalifikaciją dėl „duomenų perdavimo tretiesiems asmenims“ pažeidimo.

15.       Teismas nurodė, kad kiti VĮ „Regitra“ skundo teismui argumentai nepaneigia nei teisingai nustatytų faktinių asmens duomenų tvarkymo aplinkybių, nei padarytų išvadų. Teismas pažymėjo, kad skirtingi įmonės vidaus dokumentai, nepaisant to, kad skirti reguliuoti skirtingus teisinius santykius ir situacijas, negali toje pačioje įmonėje skirtingai apibrėžti darbuotojo elgesį (vieni ribotai leisti, o kiti visiškai drausti) ir darbdavio teisę dėl darbuotojo asmens duomenų rinkimo. Teismas, kaip akivaizdžiai neatitinkantį situacijos, įvertino skundo argumentą dėl Taisyklių ir Etikos kodekso nuostatų papildomumo, nes šių teisės aktų nuostatos viena kitai prieštarauja ir nesuteikia nei VĮ „Regitra“ pareigūnams, nei darbuotojams aiškumo, skaidrumo ir sąžiningumo tvarkant darbuotojų privačius asmens duomenis darbo funkcijų atlikimo tikslais. Teismas nurodė, kad tik skunde teismui VĮ „Regitra“ bandė aiškiau apibrėžti „ribotus asmeninius poreikius“, kuriuos darbuotojas leistinai ir teisėtai gali darbo vietoje tenkinti naudodamas darbo laiką ir suteiktas priemones. Tačiau teismas vertino, jog tai tik patvirtina Sprendimo argumentaciją dėl pakankamo aiškumo duomenų rinkimo metu nebuvimo. Teismas atmetė VĮ „Regitra“ argumentą, kad Sprendimu kuriamas netinkamas standartas dėl darbuotojų teisės į privatumą viršenybės prieš viešąjį interesą, kaip neatitinkantį Sprendime padarytų išvadų. Inspekcija nustatė, kad teisėtai buvo rinkti duomenys pagal BDAR 6 straipsnio 1 dalies e punktą viešo intereso tikslu, tačiau, teisėtai tvarkant asmens duomenis, būtina laikytis ir kitų asmens duomenų tinkamo tvarkymo principų, o būtent skaidrumo, duomenų kiekio mažinimo, sąžiningumo.

16.       Teismas nustatė, kad VĮ „Regitra“ už Duomenų subjekto asmens duomenų rinkimo apimties pažeidimą buvo paskirtas papeikimas. Inspekcijos įgalinimai imtis tam tikrų taisomųjų veiksmų aptarti BDAR 58 straipsnyje, kurio b punktas numato galimybę skirti asmenims papeikimą. Kadangi VĮ „Regitra“ skunde nenurodė jokių savarankiškų motyvų ir argumentų dėl šios Sprendimo dalies teisėtumo ir / ar pagrįstumo, teismas, nustatęs, kad Inspekcija turi teisę skirti nurodyto pobūdžio poveikio priemonę, įvertinęs tai, kad galimos skirti baudos už asmens duomenų pažeidimus yra laikytinos griežtesnėmis savo pobūdžiu, nusprendė, jog už konstatuotą asmens duomenų tvarkymo pažeidimą paskirta poveikio priemonė yra adekvati.

17.       Teismas nenustatė teisinio pagrindo dėl skundo argumentų panaikinti skundžiamą teisėtą ir pagrįstą administracinį sprendimą, tačiau VĮ „Regitra“ skundą tenkino iš dalies ir pakeitė Sprendimo rezoliucinės dalies 1 punktą.

III.

18.       Pareiškėjas VĮ „Regitra“ apeliaciniame skunde prašo pakeisti Vilniaus apygardos administracinio teismo 2023 m. birželio 9 d. sprendimą (rezoliucinės dalies 3 p.) ir tenkinti skundą dėl Inspekcijos Sprendimo panaikinimo.

19.       VĮ „Regitra“ apeliaciniame skunde pakartoja pirmosios instancijos teismui teikto skundo argumentus, susijusius su VĮ „Regitra“ vidiniu reglamentavimu (Taisyklių 80, 86, 87 p., Etikos kodekso 3.2.2, 4.5, 24 p.), Tyrimu Nr. 2, tikimybe dėl neišsamių ir nepagrįstų tyrimų Pareigūno veikloje taikant susiaurintą duomenų kiekio mažinimo principą, Inspekcijos pozicija suponuojamu pavojingu precedentu, sudarančiu sąlygas darbuotojams piktnaudžiauti bei Korupcijos prevencijos įstatymo pažeidimams atsirasti (t. y. sukuriant visišką darbuotojo teisės į privatumą viršenybę prieš visuomenę bei viešo intereso labui atliekamą asmens duomenų tvarkymą), taip pat Lietuvos vyriausiojo administracinio teismo formuojama praktika Inspekcijos pareigos atlikti išsamų tyrimą aspektu, aptaria skundžiamo teismo sprendimo motyvus ir nesutikimą su juo grindžia šiais pagrindiniais argumentais:

19.1.                      Teismas nevertino VĮ „Regitra“ argumentų, vadovavosi tik atsakovo pateiktu vertinimu. Taisyklių III Skyriuje (11 p.) pateikiama lentelė su VĮ „Regitra“ siekiamais asmens duomenų tvarkymo tikslais, kurioje yra aiškiai išskirtas tikslas – Darbuotojų elektroninės komunikacijos stebėjimas. Šiuo tikslu VĮ „Regitra“ tvarko darbuotojų elektroninės informacijos priemonėse esančios informacijos turinį. VĮ „Regitra“ darbuotojai Taisyklėmis aiškiai informuojami apie jų darbo priemonių naudojimo duomenų tvarkymą bei supažindinami su VĮ „Regitra“ nustatytomis techninėmis ir organizacinėmis saugumo priemonėmis, skirtomis suderinti VĮ „Regitra“ interesų ir darbuotojo teisių bei laisvių (privatumo) proporcingumą. Taigi, Duomenų subjekto asmens duomenys buvo tvarkomi sąžiningu ir skaidriu būdu.

19.2.                      Teismas, sutikdamas su atsakovo pozicija, netinkamai vertino bylos aplinkybes bei, konstatuodamas skaidrumo ir sąžiningumo (BDAR 5 str. 1 d. a p.) principų pažeidimą, klaidingai pritaikė materialiosios teisės normas:

19.2.1.                      BDAR preambulės 39 punktą, 5 straipsnio 1 dalies a punktą, nes Taisyklių nuostatose pateiktas tikslas yra aiškiai apibrėžtas bei teisėtas, todėl tiek Inspekcija, tiek teismas nekėlė klausimų dėl asmens duomenų tvarkymo teisėtumo. BDAR 12 straipsnio 1 dalį kartu su Europos Sąjungos Teisingumo Teismo 2015 m. spalio 1 d. sprendimu byloje Smaranda Bara ir kt., C-201/14, EU:C:2015:638, nes Taisyklės yra pateikiamos darbuotojams glausta, skaidria, suprantama ir lengvai prieinama forma. VĮ „Regitra“ su Taisyklėmis pasirašytinai supažindina visus savo darbuotojus, todėl darbuotojams yra žinoma apie jų asmens duomenų tvarkymą bei turimas duomenų subjekto teises, įskaitant teisę nesutikti;

19.2.2.                      Skaidrumo gairių 10 paragrafą kartu su BDAR 5 straipsnio 1 dalyje nustatytu sąžiningumo principu, kuris susijęs su BDAR 39 konstatuojamąja dalimi, nes Taisyklėse pateikiamas informavimas apie darbuotojų elektroninių komunikacijų priemonių stebėseną, pabrėžiama, jog esant tam tikroms aplinkybėms atitinkami duomenys gal būti peržiūrimi, renkami ir (ar) naudojami VĮ „Regitra“ atsakingų darbuotojų atliekamuose tyrimuose. Darbuotojui neturėtų būti netikėtas toks jo asmens duomenų tvarkymas bei jis turėtų suprasti galimas tokio asmens duomenų tvarkymo pasekmes. Taisyklėse atsižvelgta ir į tai, kad tvarkant darbuotojų asmens duomenis minėtu tikslu galimas poveikis pagrindinėms duomenų subjektų teisėms ir laisvėms, susijusioms su jų asmens duomenų apsauga (pvz., privatumui), todėl techninėmis ir (ar) organizacinėmis saugumo priemonėmis siekiama apriboti šių asmens duomenų tvarkymą. Tokios priemonės, kaip leidimas darbo priemones naudoti tik ribotiems asmeniniams poreikiams tenkinti, bei nustatytos aplinkybės dėl šių duomenų naudojimo pagrįstumo (pvz., Taisyklių 87 p. numatytais atvejais) mažina rizikas dėl galimo neproporcingo darbuotojų privatumo pažeidimo bei tuo pačiu leidžia pasiekti tikslus, dėl kurių šie asmens duomenys tvarkomi;

19.2.3.                      Nuomonėje, be nuostatų apie veiksmingą informavimą apie bet kokią vykdomą stebėseną, pateikiama rekomendacija darbdaviui. VĮ „Regitra“ informuoja savo darbuotojus apie jų atžvilgiu vykdomą stebėseną, jos tikslus ir aplinkybes, įskaitant bendras nuostatas, kaip leidžiama naudotis darbo tinklu ir įranga. Šis informavimas, VĮ „Regitra“ teigimu, atliekamas laikantis pagrindinių skaidrumo ir sąžiningumo principų aspektų, todėl VĮ „Regitra“ asmens duomenų tvarkymas neturėtų būti traktuojamas kaip šių principų pažeidimas. Jeigu teismas nuspręstų, kad VĮ „Regitra“ vykdomas darbuotojų informavimas neužtikrina atitikties rekomendacijoms (pvz., 29 straipsnio duomenų apsaugos darbo grupės gairėms ir pan.), VĮ „Regitra“ turėtų būti teikiamas nurodymas / rekomendacijos dėl dokumentacijos (informavimo) tobulinimo, o ne tiesiog konstatuojamas principo pažeidimas. Šiuo aspektu VĮ „Regitra“ atkreipia dėmesį, jog BDAR principų pažeidimai yra laikomi sunkiausia BDAR pažeidimo forma (pagal BDAR 83 str. 5 p.).

19.3.                      Atsakovo pozicija dėl Etikos kodekso 3.2.2 punkte nurodyto principo neapibrėžtumo, dėl kurio Taisyklėse numatytas darbuotojo informavimas apie jo asmens duomenų tvarkymą pažeidžia BDAR numatytus skaidrumo ir sąžiningumo principus, kuriai teismas pritarė sprendime, yra nesusijusi su asmens duomenų tvarkymu, todėl jai neturėtų būti taikomi BDAR numatyti asmens duomenų tvarkymo principai. Etikos kodeksu yra siekiama visai kito tikslo nei Taisyklėmis, todėl šie vidiniai dokumentai negali vienas kitam prieštarauti. VĮ „Regitra“ aptaria Pranešimo Nr. 2 turinį ir teigia, kad Etikos kodekso 3.2.2 punkto nuostata buvo taikyta kaip pagrindas Duomenų subjekto atžvilgiu inicijuoti darbo pažeidimo tyrimą. Pasekmės Duomenų subjektui kyla ne tik dėl jo naršymo asmeniniais tikslais darbo kompiuteriu internete (nes ribotas asmeninių poreikių tenkinimas nėra draudžiamas), tačiau dėl akivaizdaus darbo laiko naudojimo savo asmeniniams interesams tenkinti darbo metu, darbo vietoje sudarant Sandorį bei tokiu savo elgesiu pažeidžiant ne tik elgesio darbe normas, tačiau ir visuotinai priimtas gero elgesio normas. Teisiniu reguliavimu nėra įmanoma nustatyti visas galimas situacijas bei apibrėžti konkrečių reikalavimų tinkamai tenkinti asmeninius poreikius (pvz., kokiose svetainėse lankytis bei kiek kartų per darbo dieną darbuotojai gali jose apsilankyti ir kiek laiko jose praleisti), nes kiekvieno darbuotojo asmeniniai poreikiai skirtingi, todėl siekiant užtikrinti tiek darbuotojų, tiek darbdavio teisėtus interesus, reglamentavimui naudojami konkretūs principai, kurie gali būti pritaikomi kiekvienai situacijai individualiai. Individualiai situacijai taikomas principas neturėtų būti traktuojamas kaip prieštaravimas kitoms VĮ „Regitra“ nustatytoms tvarkoms.

19.4.                      Teismas sprendime netinkamai vertino VĮ „Regitra“ argumentus, susijusius su Pareigūno savarankiškumu, nepriklausomumu ir jam suteiktais įgaliojimais, todėl pritarė atsakovo pozicijai. Pakartojusi skundo teismui argumentus, susijusius su Pareigūno statusu bei teisės aktais jam suteiktais įgaliojimais, VĮ „Regitra“ akcentuoja Pareigūno įgaliojimus gauti bet kokią VĮ „Regitra“ tvarkomą informaciją (įskaitant asmens duomenis), o teismas laikosi pozicijos, jog Taisyklėse nustatyta konkrečių duomenų rinkimo procedūra pagrįstai riboja Pareigūno savarankiškumą ir nepriklausomumą. Nors Taisyklėse (89 p.) nustatyta procedūra gali klaidinti duomenų subjektus, tačiau nepagrįsta teismo išvada, kad Pareigūnas teisėtai rinkdamas ir tvarkydamas asmens duomenis (nepaisant procedūrinio (skaidrumo) pažeidimo) viršijo savo įgaliojimus.

19.5.                      Teismas pritarė atsakovo pozicijai, kad atitinkama duomenų rinkimo trukmė (daugiau nei 6 mėn.), negali būti pripažinta proporcinga siekiamam tikslui. Tokia Inspekcijos ir teismo pozicija nepagrįstai apriboja Pareigūno savarankiškumą spręsti dėl tyrimui reikalingų duomenų tvarkymo apimties. Nepagrįsta ir teismo išvada dėl kreipimosi į Direktorių dėl tyrimo tikslų išplėtimo ir papildomų duomenų rinkimo. Pareigūno atliekami tyrimai apsiriboja iš konkrečių pranešėjų Kanalu gauta informacija, todėl net jeigu pranešėjas pateikia informaciją apie keletą skirtingų pažeidimų, Pareigūnas šio pranešėjo gautos informacijos pagrindu pradeda vieną pažeidimo tyrimą, kurio metu renka informaciją, susijusią su visais nurodytais pažeidimais. Todėl nepagrįsta teismo pozicija, jog siekiant užtikrinti duomenų kiekio mažinimo principą Pareigūno atliekamas patikrinimas turėjo būti dalinamas į kelis skirtingus tyrimus. Pareigūnui atliekant vieną tyrimą nebuvo pažeistas tikslo apribojimo principas (t. y. darbuotojo naršymo internete duomenys nebuvo naudojami kitais, su pirminiu tikslu nesuderinamais, tikslais, visų pirma, vertinant pirminį tikslą, dėl kurio šie duomenys ir buvo renkami). VĮ „Regitra“ ir Pareigūnas aiškiai nurodė, kad surinktais darbuotojo naršymo internete duomenimis buvo siekiama nustatyti daugiau panašių atvejų bei įsitikinti, jog Duomenų subjekto pažeidimai nėra nuolatinio / pasikartojančio pobūdžio. Būtent todėl ir buvo pasirinktas minėtas naršymo istorijos duomenų rinkimo laikotarpis (t. y. šie duomenys turėjo patvirtinti ar paneigti aplinkybes, jog darbuotojas darbo metu nuolat užsiima automobilių paieška / pardavinėjimu, taip pažeidžiant Etikos kodeksą bei darant žalą VĮ „Regitra“ įvaizdžiui visuomenėje).

20.       Atsakovas Inspekcija atsiliepime į apeliacinį skundą prašo Vilniaus apygardos administracinio teismo 2023 m. birželio 9 d. sprendimą palikti nepakeistą, o apeliacinį skundą atmesti. Atsakovas atsiliepime į apeliacinį skundą pakartoja atsiliepimo į skundą argumentus, susijusius su teisiniu reguliavimu (BDAR, Tvarkos aprašas, Aprašas, Taisyklės, Etikos kodeksas), Skaidrumo gairių, Nuomonės, Instrukcijos nuostatomis, E. B. skundo nagrinėjimo metu nustatytomis aplinkybėmis (VĮ „Regitra“ šiuo aspektu pažeidė duomenų mažinimo principą), sutinka su skundžiamu pirmosios instancijos teismo sprendimu ir papildomai nurodo šiuos argumentus:

20.1.                      Teismas įvertino VĮ „Regitra“ teiginius dėl vidinio teisinio reguliavimo, pritaręs Sprendimo argumentacijai dėl pakankamo aiškumo duomenų rinkimo metu nebuvimo. Tai, kad VĮ „Regitra“ akcentuoja, jog vidiniai teisės aktai negali vienas kitam prieštarauti, tik dar kartą patvirtina teismo nuomonę apie šių teisės aktų prieštaringumą.

20.2.                      Taisyklėse nurodoma, jog informacinės ir telekomunikacinės priemonės darbuotojams skirtos tiesioginėms darbuotojo darbo funkcijoms atlikti ir ribotiems asmeniniams poreikiams patenkinti, tačiau VĮ „Regitra“ pasilieka teisę vykdyti darbuotojų elektroninės komunikacijos stebėjimą Taisyklių 87 punkte nustatytais pagrindais. Taigi, teismas pagrįstai pripažino, kad Taisyklėse ir Etikos kodekse pateikta informacija apie darbo priemonių naudojimą yra klaidinanti ir aiškiai nesuprantama, todėl Inspekcijos Sprendimu pagrįstai nustatytas BDAR 5 straipsnio 1 dalies a punkto (skaidrumo ir sąžiningumo principo) pažeidimas.

20.3.                      Inspekcija pagrįstai konstatavo BDAR 5 straipsnio 1 dalies a ir c punktuose įtvirtintų principų (skaidrumo ir sąžiningumo, duomenų kiekio mažinimo) pažeidimą. Teismas sprendime pažymėjo, kad asmens privatus gyvenimas ir jo apsauga, įskaitant ir darbinėje veikloje, yra konstitucinė vertybė, todėl intervencija ir asmens duomenų rinkimas, susijęs su privačiu darbuotojų gyvenimu, turi būti ne tik teisėtai, bet ir aiškiai, skaidriai ir sąžiningai apibrėžtas duomenų tvarkytojo, o pats asmens duomenų tvarkymas turi būti atliekamas laikantis iš anksto nustatytų procedūrų, su kuriomis darbuotojai yra supažindinti.

20.4.                      Kadangi byloje nebuvo Direktoriaus raštiško nurodymo IT departamento darbuotojui peržiūrėti naudojimosi tarnybiniais telefonais ir kompiuteriniu tinklu žurnalų duomenis, Inspekcija pagrįstai vertino, jog Pareigūnas nesilaikė Taisyklėse nustatytos procedūros dėl duomenų subjekto naršymo internete duomenų rinkimo, taip pat rinkdamas informaciją apie E. B. lankymąsi interneto svetainėse pažeidė duomenų mažinimo principą, įtvirtintą BDAR 5 straipsnio 1 dalies c punkte. Teismas, įvertinęs kitus VĮ „Regitra“ argumentus, pažymėjo, kad negali būti teisėtai suabsoliutinamas vieno įmonės pareigūno nepriklausomumas, nors įmonės vidaus tvarka nurodo kitokią procedūrą.

Išplėstinė teisėjų kolegija

konstatuoja:

IV.

21.       Nagrinėjamoje administracinėje byloje ginčas kilo dėl Valstybinės duomenų apsaugos inspekcijos 2022 m. gruodžio 22 d. sprendimo Nr. 3R-1160 (2.13.-1E) „Dėl E. B. 2022-01-25 skundo“ rezoliucinės dalies 1 ir 2 punktų pagrįstumo bei teisėtumo. Sprendimo rezoliucinės dalies 1 punktu Inspekcija trečiojo suinteresuoto asmens E. B. (Duomenų subjekto) skundo dalį dėl jo asmens duomenų rinkimo apimties ir šių duomenų perdavimo tretiesiems asmenims (VĮ „Regitra“ Klaipėdos filialo direktoriui V. B. ir vyr. specialistui R. D.) pripažino pagrįsta, o 2 punktu nusprendė už šį pažeidimą VĮ „Regitra“ skirti papeikimą.

22.       Pirmosios instancijos teismas pareiškėjo VĮ „Regitra“ skundą tenkino iš dalies ir pakeitė ginčijamo Sprendimo rezoliucinės dalies 1 punktą, pašalindamas kaip papildomą pažeidimą kvalifikuotą duomenų perdavimą tretiesiems asmenims, o kitą skundo dalį atmetė. Pareiškėjas apeliaciniame skunde nesutinka su pirmosios instancijos teismo sprendimo dalimi, kuria jo skundas atmestas. Atsižvelgiant į tai, apeliacine tvarka nagrinėjant bylą pagal pareiškėjo apeliacinį skundą pirmosios instancijos teismo sprendimo pagrįstumas ir teisėtumas tikrinami šiose ribose (Lietuvos Respublikos administracinių bylų teisenos įstatymo 140 str.).

23.       Nagrinėjant bylą pagal pareiškėjo apeliacinį skundą aktualus Inspekcijos nustatytas pažeidimas dėl Duomenų subjekto asmens duomenų tvarkymo, kuris susijęs su E. B. atžvilgiu atliktu tyrimu dėl galbūt netinkamo darbuotojo elgesio (Tyrimas Nr. 2). Šis tyrimas buvo pradėtas pagal VĮ „Regitra“ vidiniu informacijos apie pažeidimus teikimo kanalu 2021 m. spalio 30 d. gautą ir vėliau papildytą informaciją, jog Duomenų subjektas, tikėtina, savo darbo metu, t. y. 2021 m. gegužės 27 d., VĮ „Regitra“ teritorijoje sudarė transporto priemonės pirkimo–pardavimo sandorį, jo (Sandorio) tinkamai ir laiku nedeklaravo bei tokiu būdu sukėlė rūpesčių TP pardavėjui ir galbūt pakenkė VĮ „Regitra“ reputacijai. VĮ „Regitra“ Inspekcijai teiktuose paaiškinimuose, taip pat teismui teiktuose procesiniuose dokumentuose nurodė, kad Tyrimas Nr. 2 buvo atliekamas, be kita ko, esant įtarimams, jog Duomenų subjektas darbo metu užsiima automobilių prekyba, tačiau to nepavyko įrodyti, todėl šis įtarimas nebuvo įrašytas į tarnybinį pranešimą dėl darbo pareigų pažeidimo tyrimo inicijavimo.

24.       Iš bylos medžiagos nustatyta (ir ginčo dėl to byloje nėra), kad Tyrimą Nr. 2 atliko VĮ „Regitra“ Korupcijos prevencijos (atitikties) pareigūnas E. B., kuris VĮ „Regitra“ generalinio direktoriaus 2020 m. balandžio 29 d. įsakymu Nr. (1.1E)-1V-188 taip pat buvo paskirtas kompetentingu subjektu Lietuvos Respublikos Vyriausybės 2018 m. lapkričio 14 d. nutarimu Nr. 1133 patvirtinto Vidinių informacijos apie pažeidimus teikimo kanalų įdiegimo ir jų funkcionavimo užtikrinimo tvarkos aprašo prasme, t. y. buvo atsakingas už vidinio informacijos apie pažeidimus teikimo kanalo administravimą, šiuo kanalu gautos informacijos apie pažeidimus nagrinėjimą, taip pat asmenų, pateikusių informaciją apie pažeidimus, konfidencialumo užtikrinimą (Tvarkos aprašo 2.1 p.). Pareigūnas, atlikdamas Tyrimą Nr. 2, el. paštu prašė Duomenų subjekto pateikti paaiškinimus dėl su Sandorio sudarymu susijusių aplinkybių. Iš byloje esančio minėtą tyrimą atlikusio VĮ „Regitra“ darbuotojo susirašinėjimo su Duomenų subjektu matyti, kad jis el. laiškuose pasirašinėjo kaip Korupcijos prevencijos (atitikties) pareigūnas, tačiau kartu nurodė, jog duomenis renka kaip VĮ „Regitra“ darbuotojas, atliekantis kompetentingo subjekto funkcijas nagrinėjant Kanalu gautą pranešimą. Be to, atlikdamas minėtą tyrimą, Pareigūnas 2021 m. lapkričio 5 d. kreipėsi į VĮ „Regitra“ Informacinių technologijų departamentą su prašymu pateikti Duomenų subjekto lankymosi internete istoriją už laikotarpį nuo 2021 m. gegužės 1 d. iki 2021 m. lapkričio 4 d. Atitinkamai VĮ „Regitra“ IT departamentas 2021 m. lapkričio 5 d. surinko ir pateikė prašomus duomenis, t. y. Duomenų subjekto lankymosi internete istoriją už nurodytą laikotarpį.

25.       Kiek tai susiję su Tyrimu Nr. 2, Pareigūnas 2021 m. lapkričio 11 d. surašė VĮ „Regitra“ generalinio direktoriaus pavaduotojui, laikinai atliekančiam generalinio direktoriaus funkcijas, adresuotą tarnybinį pranešimą dėl netinkamo darbuotojo elgesio, siūlydamas inicijuoti E. B. darbo pareigų pažeidimo tyrimą. Pranešime Nr. 2 aprašytos su Sandorio sudarymu susijusios aplinkybės, taip pat nurodyta, jog: „Įvertinus aplinkybę, kad darbuotojas darbo metu skyrė laiko asmeninių poreikių tekinimui, susipažinau su VĮ „Regitra“ IT departamento man pateikta informacija apie E. B. lankymosi internete istoriją. Pastebėtina, kad šis darbuotojas darbo metu lankėsi interneto svetainėse, kurios akivaizdžiai nesusijusios su jo darbine veikla, ir darbo laiko neskyrė tinkamam darbo funkcijų vykdymui. Detalesnę informaciją dėl lankymosi interneto svetainėse galėsiu pateikti darbo pareigų pažeidimo komisijai“. Tarnybiniame pranešime pateiktas Pareigūno vertinimas, kad E. B. „savo elgesiu galimai pakenkė VĮ „Regitra“ reputacijai, nes: <...> 5. Darbo laiką skirdamas lankymuisi interneto svetainėse iš darbdavio suteiktų darbo priemonių, kurios akivaizdžiai nesusijusios su jo darbine veikla“. Pranešime Nr. 2 nurodytos 1–4 priežastys, kuriomis remiantis daroma išvada, jog Duomenų subjektas savo elgesiu galbūt pakenkė VĮ „Regitra“ reputacijai, susijusios su Sandorio sudarymo aplinkybėmis.

26.       VĮ „Regitra“ generalinio direktoriaus 2021 m. lapkričio 16 d. įsakymu Nr. 1V-468 buvo sudaryta komisija, kuri atliko inicijuotų galimų darbuotojo (E. B.) darbo pareigų pažeidimų tyrimą. Komisija 2021 m. lapkričio 23 d. E. B. (Duomenų subjektui) įteikė pranešimą, kuriame nurodyta, kad jis įtariamas padaręs darbo pareigų pažeidimą, kadangi, be kita ko, darbo metu skyrė laiko asmeninių poreikių tenkinimui įsigyjant ir parduodant transporto priemonę. Komisija 2022 m. kovo 24 d. patvirtino išvadą Nr. 2V-526, kurioje inter alia (be kita ko) konstatavo, kad dėl Sandorio sudarymo aplinkybių Duomenų subjektas pažeidė Direktoriaus 2017 m. rugsėjo 29 d. įsakymu Nr. V-197 patvirtinto VĮ „Regitra“ darbuotojų etikos kodekso (2020 m. gegužės 29 d. įsakymo Nr. (1.1E)-1V-264 redakcija) 3.3.2 papunkčio (nustatančio reikalavimą nenaudoti darbinei veiklai skirto laiko, įmonės darbo priemonių bei finansinių ir materialinių išteklių, intelektinės nuosavybės savo, savo artimųjų bei kitų asmenų poreikiams tenkinti) ir 4.5 papunkčio (nustatančio reikalavimą savo elgesiu darbe ir ne darbo metu būti pavyzdys kitiems, laikytis visuotinai priimtų gero elgesio normų) nuostatas. Tačiau atsižvelgiant į tai, kad nurodyti pažeidimai, susiję su Sandorio sudarymu, buvo padaryti daugiau kaip prieš 6 mėn., Komisijos išvadoje pažymėta, jog drausminio poveikio priemonės už juos negali būti skiriamos.

27.       Išvadoje taip pat nurodyta, jog „Komisija, vertindama Tarnybiniame pranešime nurodytą aplinkybę, kad E. B. darbo metu lankėsi interneto svetainėse, kurios akivaizdžiai nesusijusios su jo darbine veikla, ir darbo laiko neskyrė tinkamam darbo funkcijų vykdymui, susipažino su Įmonės IT departamento gauta informacija, iš kurios matyti, kad laikotarpiu nuo 2021 m. rugpjūčio 20 d. iki 2021 m. lapkričio 3 d. E. B. lankėsi interneto svetainėse, kurios akivaizdžiai nesusijusios su jo atliekamomis darbo funkcijomis. Taigi, šie E. B. veiksmai formaliai atitinka Etikos kodekso 3.3.2 papunktyje įtvirtintą draudimą naudoti darbinei veiklai skirtą laiką bei įmonės darbo priemones savo poreikiams tenkinti. Tačiau, Komisija mano, kad sprendžiant drausminės atsakomybės taikymo klausimą, būtina nustatyti, ar padarytas darbo drausmės pažeidimas trukdė E. B. tinkamai atlikti jam darbdavio pavestas darbo funkcijas. Įvertinusi darbo rezultatų duomenis (DKAM – darbo krūvio apskaičiavimo metodika), Komisija konstatuoja, jog E. B. darbo rezultatai ženkliai neišsiskiria iš kitų tos pačios srities specialistų. Taigi, darytina išvada, kad šis formalus darbo pareigų pažeidimas nesutrukdė E. B. tinkamai atlikti darbo funkcijas, todėl yra mažareikšmis“. Atsižvelgusi į tai, Komisija siūlė atleisti E. B. nuo drausminės atsakomybės dėl pastarojo pažeidimo. Vis dėlto, nustačiusi ir kitus pažeidimus (dėl klientų aptarnavimo tvarkos (eiliškumo) nesilaikymo), Komisija pasiūlė Direktoriui įspėti E. B., kad tuo atveju, jei per paskutinius dvylika mėnesių bus padarytas antras toks pat darbo pareigų pažeidimas, darbdavys turi teisę nutraukti darbo sutartį darbdavio iniciatyva dėl darbuotojo kaltės. VĮ „Regitra“ generalinio direktoriaus 2022 m. balandžio 4 d. įsakymu Nr. P-66 E. B. (Duomenų subjektui) paskirtas įspėjimas.

28.       Inspekcija, nagrinėdama E. B. skundą dėl jo asmens duomenų tvarkymo atliekant minėtą Tyrimą Nr. 2, sprendė, kad buvo pažeistas BDAR 5 straipsnio 1 dalies a punkte įtvirtintas skaidrumo ir sąžiningumo principas dėl nepakankamai aiškaus VĮ „Regitra“ vidinio reglamentavimo. Inspekcijos vertinimu, Duomenų subjektui suteikta informacija apie darbo priemonių naudojimą asmeniniams poreikiams tenkinti nebuvo pakankamai aiškiai ir išsamiai pateikta galiojančiose tvarkose, kadangi pagal Asmens duomenų tvarkymo VĮ „Regitra“ taisyklių 80 punktą VĮ „Regitra“ suteiktos elektroninės komunikacijos priemonės yra skirtos tiesioginėms darbuotojo darbo funkcijoms atlikti ir ribotiems asmeniniams poreikiams patenkinti, ir turi būti naudojamos taip, kaip tai numatyta VĮ „Regitra“ galiojančiose tvarkose, tačiau aiškiai neįvardyta, kas yra tie riboti asmeniniai poreikiai, kuriuos darbuotojas turi teisę tenkinti, be to, ši nuostata akivaizdžiai prieštarauja Etikos kodekso 3.3.2 papunktyje įtvirtintai nuostatai nenaudoti darbinei veiklai skirto laiko, įmonės darbo priemonių bei finansinių ir materialinių išteklių, intelektinės nuosavybės savo, savo artimųjų bei kitų asmenų poreikiams tenkinti. Inspekcija taip pat padarė išvadą, kad buvo pažeistas BDAR 5 straipsnio 1 dalies c punkte įtvirtintas duomenų kiekio mažinimo principas, nes Duomenų subjekto lankymosi interneto svetainėse istorija už 6 mėn. laikotarpį niekaip negalėjo paneigti ar patvirtinti Kanalu gautos informacijos apie konkrečią datą (2021 m. gegužės 27 d.) galimai darbo metu VĮ „Regitra“ teritorijoje įvykusį Sandorį, kurio metu galbūt buvo pakenkta VĮ „Regitra“ reputacijai bei pažeistas Etikos kodeksas, t. y. tokie duomenys nebuvo būtini siekiamam tikslui (Tyrimui Nr. 2 atlikti). Inspekcijos vertinimu, VĮ „Regitra“, remiantis BDAR 6 straipsnio 1 dalies e punktu (siekiant atlikti užduotį, vykdomą viešojo intereso labui), turėjo teisėtą pagrindą tvarkyti Duomenų subjekto asmens duomenis, tačiau Inspekcija laikosi pozicijos, jog Pareigūnas, tiesiogiai pavesdamas VĮ „Regitra“ Informacinių technologijų departamento darbuotojams pateikti jam Duomenų subjekto lankymosi internete istoriją (manydamas, kad tikslinga išplėsti tyrimo ribas ir papildomai rinkti šiuos duomenis), veikė viršydamas teisės aktuose jam nustatytus įgaliojimus, kadangi tokių duomenų rinkimas pagal Taisyklių 89 punktą leidžiamas tik VĮ „Regitra“ generalinio direktoriaus raštišku nurodymu, bet byloje tokio nurodymo nėra.

29.       Nurodytų byloje nustatytų faktinių aplinkybių kontekste nagrinėdama pareiškėjo apeliaciniame skunde išdėstytus nesutikimo su pirmosios instancijos teismo sprendimu argumentus, išplėstinė teisėjų kolegija sprendžia, kad pirmiausia tikslinga plačiau pasisakyti dėl ginčui aktualių asmens duomenų tvarkymo reikalavimų, be kita ko, kylančių iš minėtų BDAR nuostatų, kurių pažeidimą konstatavo Inspekcija.

Dėl teisės į asmens duomenų apsaugą ir bylai aktualių asmens duomenų tvarkymo reikalavimų

30.       Visų pirma, pažymėtina, kad teisės į asmens duomenų apsaugą tinkamas užtikrinimas yra svarbus Europos Sąjungos tikslas. Europos Sąjungos pagrindinių teisių chartijos (toliau – ir Chartija) 8 straipsnio 1 dalyje ir Sutarties dėl Europos Sąjungos veikimo (toliau – ir SESV) 16 straipsnio 1 dalyje įtvirtinta, kad kiekvienas asmuo turi teisę į savo asmens duomenų apsaugą. Be to, ši teisė yra glaudžiai susijusi su Chartijos 7 straipsnyje įtvirtinta teise į privatų ir šeimos gyvenimą.

31.       Siekiant Europos Sąjungoje sustiprinti asmens teisę į savo asmens duomenų apsaugą bei užtikrinti vienodo ir aukšto lygio fizinių asmenų apsaugą tvarkant jų asmens duomenis, buvo priimtas 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas). Tai tiesiogiai taikomas Europos Sąjungos teisės aktas, kuris Lietuvoje, kaip ir kitose valstybėse narėse, pradėtas taikyti nuo 2018 m. gegužės 25 d. (BDAR 99 str. 2 d.). Šio reglamento 1 konstatuojamojoje dalyje pažymėta, kad „fizinių asmenų apsauga tvarkant asmens duomenis yra pagrindinė teisė“.

32.       Pagal BDAR 4 straipsnio 2 punktą duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip antai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas. Asmens duomenų sąvoka pateikta BDAR 4 straipsnio 1 punkte, pagal kurį asmens duomenys – tai bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (duomenų subjektas); fizinis asmuo, kurio tapatybę galima nustatyti, visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius. Vadovaujantis BDAR 4 straipsnio 7 punktu, duomenų valdytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuris vienas ar drauge su kitais nustato duomenų tvarkymo tikslus ir priemones; kai tokio duomenų tvarkymo tikslai ir priemonės nustatyti Sąjungos arba valstybės narės teisės, duomenų valdytojas arba konkretūs jo skyrimo kriterijai gali būti nustatyti Sąjungos arba valstybės narės teise. Duomenų tvarkytojas – tai fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri duomenų valdytojo vardu tvarko asmens duomenis (BDAR 4 str. 8 p.). Atitinkamai byloje nėra ginčo, kad nagrinėjama situacija, kai VĮ „Regitra“, kaip duomenų valdytojas, ir jos vardu veikiantis Korupcijos prevencijos (atitikties) pareigūnas, atlikdamas Tyrimą Nr. 2, rinko bei toliau tvarkė E. B. (Duomenų subjekto) naršymo internete istorijos duomenis, patenka į nurodytų sąvokų apibrėžtį.

33.       Europos Sąjungos Teisingumo Teismas yra pažymėjęs, kad BDAR siekiamas tikslas, kuris išplaukia iš jo 1 straipsnio ir 1 bei 10 konstatuojamųjų dalių, yra, be kita ko, užtikrinti aukštą fizinių asmenų pagrindinių laisvių ir teisių, visų pirma jų teisės į privatų gyvenimą tvarkant asmens duomenis, įtvirtintos Chartijos 8 straipsnio 1 dalyje ir SESV 16 straipsnio 1 dalyje, apsaugos lygį (žr., pvz., Europos Sąjungos Teisingumo Teismo 2024 m. kovo 7 d. sprendimo byloje IAB Europe, C‑604/22, EU:C:2024:214, 53 p. ir jame nurodytą jurisprudenciją). Šiuo tikslu BDAR II skyriuje yra nustatyti asmens duomenų tvarkymo principai, o III skyriuje nustatytos duomenų subjekto teisės, kurių turi būti paisoma tvarkant asmens duomenis. Konkrečiai kalbant, nepažeidžiant minėto reglamento 23 straipsnyje numatytų išimčių, bet koks asmens duomenų tvarkymas turi, pirma, atitikti BDAR 5 straipsnyje įtvirtintus su tokių duomenų tvarkymu susijusius principus ir tenkinti vieną iš duomenų tvarkymo teisėtumo sąlygų, išvardytų minėto reglamento 6 straipsnyje, antra, būti atliekamas paisant BDAR 12–22 straipsniuose nustatytų duomenų subjekto teisių (žr., pvz., Europos Sąjungos Teisingumo Teismo 2021 m. birželio 22 d. sprendimo byloje Latvijas Republikas Saeima (Baudos taškai), C-439/19, EU:C:2021:504, 96 p.; 2022 m. vasario 24 d. sprendimo byloje Valsts ieņēmumu dienests (Asmens duomenų tvarkymas mokesčių tikslais), C-175/20, EU:C:2022:124, 50 p.; 2024 m. liepos 11 d. sprendimo byloje Meta Platforms Ireland (Atstovaujamasis ieškinys), C‑757/22, EU:C:2024:598, 49 p. ir juose nurodytą jurisprudenciją). BDAR 5 straipsnyje įtvirtinti asmens duomenų tvarkymo principai, kurie taikomi duomenų valdytojui ir kurių laikymąsi jis turi sugebėti įrodyti, kaip to reikalaujama pagal šio straipsnio 2 dalyje įtvirtintą atskaitomybės principą, yra taikomi kartu (žr., pvz., Europos Sąjungos Teisingumo Teismo 2022 m. spalio 20 d. sprendimo byloje Digi, C-77/21, EU:C:2022:805, 24 ir 47 p.).

34.       BDAR 5 straipsnyje detalizuoti su asmens duomenų tvarkymu susiję principai. Pagal BDAR 5 straipsnio 1 dalį asmens duomenys inter alia turi būti: a) duomenų subjekto atžvilgiu tvarkomi teisėtu, sąžiningu ir skaidriu būdu (teisėtumo, sąžiningumo ir skaidrumo principas); b) renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkomi su tais tikslais nesuderinamu būdu <...> (tikslo apribojimo principas); c) adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi (duomenų kiekio mažinimo principas); <...>. BDAR 5 straipsnio 2 dalyje įtvirtinta, jog duomenų valdytojas yra atsakingas už tai, kad būtų laikomasi šio straipsnio 1 dalies, ir turi sugebėti įrodyti, kad jos laikomasi (atskaitomybės principas).

35.       Europos Sąjungos Teisingumo Teismo praktikoje atkreipiamas dėmesys, jog iš BDAR 5 straipsnio matyti, kad asmens duomenų tvarkymas, be kita ko, turi atitikti konkrečius skaidrumo reikalavimus duomenų subjekto, kurio duomenys tvarkomi, atžvilgiu. Šiuo tikslu BDAR III skyriuje, pirma, numatytos tikslios duomenų valdytojo pareigos ir, antra, pripažįstamos įvairios duomenų subjekto teisės tvarkant asmens duomenis, tarp kurių, be kita ko, yra teisė iš duomenų valdytojo gauti informaciją apie tokio tvarkymo tikslus. Konkrečiai kalbant, BDAR 13 straipsnio 1 dalies c ir e punktuose numatyta duomenų valdytojo pareiga, kai asmens duomenys renkami iš duomenų subjekto, informuoti duomenų subjektą apie duomenų tvarkymo tikslus, kurių siekiama šiais duomenimis, ir tokio tvarkymo teisinį pagrindą, taip pat apie tokių duomenų gavėjus arba jų kategorijas. Be to, pagal šio reglamento 12 straipsnio 1 dalį reikalaujama, jog duomenų valdytojas imtųsi tinkamų priemonių, kad, be kita ko, pirmesniame punkte minėta duomenų subjektui pateikta informacija būtų glausta, skaidri, suprantama ir lengvai prieinama, pateikta aiškia ir paprasta kalba. Kaip yra nusprendęs Europos Sąjungos Teisingumo Teismas, BDAR 12 straipsnio 1 dalimi, kurioje išreiškiamas skaidrumo principas, siekiama užtikrinti, kad duomenų subjektas galėtų visapusiškai suprasti jam skirtą informaciją. Pareigos pateikti informaciją laikymosi svarba taip pat patvirtinta BDAR 60 konstatuojamojoje dalyje, kurioje nurodyta, jog pagal sąžiningo ir skaidraus duomenų tvarkymo principus duomenų subjektui pranešama apie vykdomą duomenų tvarkymo operaciją ir jos tikslus, o duomenų valdytojas turėtų pateikti duomenų subjektui visą papildomą informaciją, kuri būtina tam, kad būtų užtikrintas sąžiningas ir skaidrus duomenų tvarkymas, atsižvelgiant į konkrečias asmens duomenų tvarkymo aplinkybes ir kontekstą (žr., pvz., Europos Sąjungos Teisingumo Teismo 2024 m. liepos 11 d. sprendimo byloje Meta Platforms Ireland (Atstovaujamasis ieškinys), C‑757/22, EU:C:2024:598, 53–57 p. ir juose nurodytą jurisprudenciją). Atitinkamai pagal Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo (2018 m. birželio 30 d. įstatymo Nr. XIII-1426 redakcija) (toliau – ir ADTAĮ), kuris taikomas kartu su BDAR ir jo įgyvendinamaisiais teisės aktais (ADTAĮ 1 str. 3 d.), 5 straipsnio, reglamentuojančio asmens duomenų tvarkymo su darbo santykiais susijusiais atvejais ypatumus, 3 dalį (redakcija, galiojusi iki 2024 m. liepos 1 d.), inter alia tvarkant asmens duomenis, susijusius su darbuotojų elgesio stebėsena, šie darbuotojai apie tokį jų asmens duomenų tvarkymą turi būti informuojami pasirašytinai ar kitu informavimo faktą įrodančiu būdu pateikiant BDAR 13 straipsnio 1 ir 2 dalyse nurodytą informaciją.

36.       BDAR preambulės 39 konstatuojamojoje dalyje skelbiama, kad bet kuris asmens duomenų tvarkymas turėtų būti teisėtas ir sąžiningas. Taikant skaidrumo principą, fiziniams asmenims turėtų būti aišku, kaip su jais susiję asmens duomenys yra renkami, naudojami, su jais susipažįstama arba jie yra kitaip tvarkomi, taip pat kokiu mastu tie asmens duomenys yra ar bus tvarkomi. Pagal skaidrumo principą informacija ir pranešimai, susiję su tų asmens duomenų tvarkymu, turi būti lengvai prieinami ir suprantami, pateikiami aiškia ir paprasta kalba. Tas principas visų pirma susijęs su duomenų subjektų informavimu apie duomenų valdytojo tapatybę ir duomenų tvarkymo tikslus, taip pat su tolesniu informavimu, kad būtų užtikrintas sąžiningas ir skaidrus duomenų tvarkymas atitinkamų fizinių asmenų atžvilgiu, jų teise gauti patvirtinimą dėl su jais susijusių asmens duomenų tvarkymo ir teise tuos duomenis gauti. Fiziniai asmenys turėtų būti informuoti apie su asmens duomenų tvarkymu susijusius pavojus, taisykles, apsaugos priemones bei teises ir apie tai, kaip naudotis savo teisėmis tokio asmens duomenų tvarkymo srityje. Visų pirma konkretūs tikslai, kuriais tvarkomi asmens duomenys, turėtų būti aiškūs, teisėti ir nustatyti duomenų rinkimo metu. Asmens duomenys turėtų būti tinkami, susiję su tikslais, kuriais jie tvarkomi, ir riboti pagal tai, kiek jų yra būtina turėti atsižvelgiant į tikslus, kuriais jie tvarkomi; tam pirmiausia reikia užtikrinti, kad asmens duomenų saugojimo laikotarpis būtų tikrai minimalus. Asmens duomenys turėtų būti tvarkomi tik tuomet, jei asmens duomenų tvarkymo tikslo pagrįstai negalima pasiekti kitomis priemonėmis. Siekiant užtikrinti, kad duomenys nebūtų laikomi ilgiau nei būtina, duomenų valdytojas turėtų nustatyti duomenų ištrynimo arba periodinės peržiūros terminus. Reikėtų imtis visų pagrįstų priemonių, siekiant užtikrinti, kad netikslūs asmens duomenys būtų ištaisyti arba ištrinti. Asmens duomenys turėtų būti tvarkomi taip, kad būtų užtikrintas tinkamas asmens duomenų saugumas ir konfidencialumas, be kita ko, užkertant kelią neteisėtai prieigai prie asmens duomenų ir jų tvarkymui skirtos įrangos ar neteisėtam jų naudojimui.

37.       Gairėse dėl skaidrumo pagal Reglamentą 2016/679, kuriose pateikiamos praktinės rekomendacijos ir pagalbiniai paaiškinimai, susiję su asmens duomenų tvarkymo pagal BDAR skaidrumu, akcentuojama, kad vienas iš pagrindinių skaidrumo principo aspektų yra tas, jog duomenų subjektas turėtų galėti iš anksto nustatyti, kokia yra duomenų tvarkymo aprėptis ir pasekmės, ir kad vėliau jam neturėtų būti netikėta, kaip naudojami jo asmens duomenys. Tai taip pat svarbus BDAR 5 straipsnio 1 dalyje nustatyto sąžiningumo principo aspektas, susijęs su BDAR 39 konstatuojamąja dalimi, kurioje teigiama, kad fiziniai asmenys turėtų būti informuoti apie su asmens duomenų tvarkymu susijusius pavojus, taisykles, apsaugos priemones bei teises. Dėl sudėtingo, techninio arba netikėto duomenų tvarkymo pažymėta, kad duomenų valdytojai taip pat turėtų aiškia kalba nurodyti svarbiausias duomenų tvarkymo pasekmes: kitaip tariant, koks yra konkretus faktinis pareiškime ir (arba) pranešime aprašyto duomenų tvarkymo poveikis duomenų subjektui. Laikydamiesi atskaitomybės principo ir atsižvelgdami į BDAR 39 konstatuojamąją dalį, duomenų valdytojai turėtų įvertinti, ar su šiuo duomenų tvarkymu susijusiems fiziniams asmenims gresia koks nors pavojus, į kurį reikėtų atkreipti duomenų subjektų dėmesį. Tai gali padėti apžvelgti duomenų tvarkymo būdus, kurie gali padaryti didžiausią poveikį pagrindinėms duomenų subjektų teisėms ir laisvėms, susijusioms su jų asmens duomenų apsauga (Skaidrumo gairių 10 p.). BDAR nustatyti skaidrumo reikalavimai taikomi nepaisant duomenų tvarkymo teisinio pagrindo, visą duomenų tvarkymo ciklą (Skaidrumo gairių 5 p.).

38.       Vadovaujantis Europos Sąjungos Teisingumo Teismo suformuota jurisprudencija, BDAR 5 straipsnio 1 dalies c punkte įtvirtintas duomenų kiekio mažinimo principas yra proporcingumo principo išraiška (žr., pvz., Europos Sąjungos Teisingumo Teismo 2021 m. birželio 22 d. sprendimo byloje Latvijas Republikas Saeima (Baudos taškai), C‑439/19, EU:C:2021:504, 98 p. ir jame nurodytą jurisprudenciją; 2024 m. sausio 30 d. sprendimo byloje Direktor na Glavna direktsia „Natsionalna politsia“ pri MVR–Sofia, C‑118/22, EU:C:2024:97, 41 p.; 2024 m. spalio 4 d. sprendimo byloje Schrems (Communication de données au grand public), C-446/21, EU:C:2024:834, 50 p.). Atsižvelgdamas į duomenų kiekio mažinimo principą, duomenų valdytojas privalo apriboti nagrinėjamų asmens duomenų rinkimo laikotarpį iki to, kas, atsižvelgiant į siūlomo tvarkymo tikslą, yra griežtai būtina (žr., pvz., Europos Sąjungos Teisingumo Teismo 2022 m. vasario 24 d. sprendimo byloje Valsts ieņēmumu dienests (Asmens duomenų tvarkymas mokesčių tikslais), C‑175/20, EU:C:2022:124, 79 p.). Su duomenų tvarkymo būtinumu susijusi sąlyga turi būti nagrinėjama kartu atsižvelgiant į vadinamąjį „duomenų kiekio mažinimo“ principą, įtvirtintą BDAR 5 straipsnio 1 dalies c punkte, pagal kurį asmens duomenys turi būti „adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi“ (žr., pvz., Europos Sąjungos Teisingumo Teismo 2023 m. liepos 4 d. sprendimo byloje Meta Platforms ir kt. (Bendrosios socialinio tinklo naudojimo sąlygos), C‑252/21, EU:C:2023:537, 109 p. ir jame nurodytą jurisprudenciją). Šiuo aspektu Lietuvos vyriausiasis administracinis teismas taip pat yra akcentavęs, jog BDAR 5 straipsnio 1 dalies c punkte įtvirtintas duomenų kiekio mažinimo principas apriboja duomenų, kurie tvarkomi, apimtį ir tuo pačiu įpareigoja, kad tvarkomi asmens duomenys turi būti ne pernelyg didelės apimties, atsižvelgiant į nustatytus tikslus. Visi asmens duomenys, kurie nėra reikalingi tam tikram tikslui, neturi būti renkami ir (arba) toliau tvarkomi. Pagal minėtą principą duomenų valdytojai turėtų siekti tvarkyti kuo mažiau duomenų apie kiekvieną asmenį, kurių reikia, kad būtų tinkamai įgyvendintas jų tikslas (žr., pvz., Lietuvos vyriausiojo administracinio teismo 2021 m. gruodžio 1 d. nutartį administracinėje byloje Nr. eA-3122-629/2021; 2024 m. birželio 5 d. nutartį administracinėje byloje Nr. eA-151-822/2024).

39.       BDAR 6 straipsnio 1 dalis nustato, kad duomenų tvarkymas yra teisėtas tik tuo atveju, jeigu taikoma bent viena iš šioje dalyje nurodytų sąlygų, ir tik tokiu mastu, kokiu ji yra taikoma, be kita ko: <...> c) tvarkyti duomenis būtina, kad būtų įvykdyta duomenų valdytojui taikoma teisinė prievolė; <...> e) tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas; f) tvarkyti duomenis būtina siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų, išskyrus atvejus, kai tokie duomenų subjekto interesai arba pagrindinės teisės ir laisvės, dėl kurių būtina užtikrinti asmens duomenų apsaugą, yra už juos viršesni, ypač kai duomenų subjektas yra vaikas (šis punktas netaikomas duomenų tvarkymui, kurį valdžios institucijos atlieka vykdydamos savo užduotis). Kaip yra nusprendęs Europos Sąjungos Teisingumo Teismas, kai galima konstatuoti, kad asmens duomenų tvarkymas yra būtinas dėl vieno iš BDAR 6 straipsnio 1 dalies pirmos pastraipos b–f punktuose numatytų pagrindų, nereikia nustatyti, ar toks tvarkymas taip pat susijęs su kitu iš šių pagrindų (žr., pvz., Europos Sąjungos Teisingumo Teismo 2023 m. liepos 4 d. sprendimo byloje Meta Platforms ir kt. (Bendrosios socialinio tinklo naudojimo sąlygos), C?252/21, EU:C:2023:537, 94 p. ir jame nurodytą jurisprudenciją).

40.       Vadovaujantis BDAR 6 straipsnio 2 dalimi, valstybės narės gali toliau taikyti arba nustatyti konkretesnes nuostatas šio reglamento taisyklių taikymui pritaikyti, kiek tai susiję su duomenų tvarkymu, kad būtų laikomasi 1 dalies c ir e punktų, tiksliau nustatydamos konkrečius duomenų tvarkymui keliamus reikalavimus ir kitas teisėto ir sąžiningo duomenų tvarkymo užtikrinimo priemones, įskaitant kitais specialiais IX skyriuje numatytais duomenų tvarkymo atvejais. Pagal BDAR 6 straipsnio 3 dalį, šio straipsnio 1 dalies c ir e punktuose nurodytas duomenų tvarkymo pagrindas nustatomas: a) Sąjungos teisėje; arba b) duomenų valdytojui taikomoje valstybės narės teisėje. Duomenų tvarkymo tikslas nustatomas tame teisiniame pagrinde arba, 1 dalies e punkte nurodyto duomenų tvarkymo atveju, yra būtinas, siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas. Tame teisiniame pagrinde galėtų būti išdėstytos konkrečios nuostatos pagal šį reglamentą taikomų taisyklių pritaikymui, įskaitant bendrąsias sąlygas, reglamentuojančias duomenų valdytojo atliekamo duomenų tvarkymo teisėtumą, tvarkytinų duomenų rūšis, atitinkamus duomenų subjektus, subjektus, kuriems asmens duomenys gali būti atskleisti, ir tikslus, dėl kurių asmens duomenys gali būti atskleisti, tikslo apribojimo principą, saugojimo laikotarpius ir duomenų tvarkymo operacijas bei duomenų tvarkymo procedūras, įskaitant priemones, kuriomis būtų užtikrintas teisėtas ir sąžiningas duomenų tvarkymas, kaip antai tas, kurios skirtos kitiems specialiems IX skyriuje numatytiems duomenų tvarkymo atvejams. Sąjungos arba valstybės narės teisė atitinka viešojo intereso tikslą ir yra proporcinga teisėtam tikslui, kurio siekiama.

41.       BDAR IX skyriuje, kuriame įtvirtintos nuostatos, susijusios su konkrečiais duomenų tvarkymo atvejais, esantis 88 straipsnis reglamentuoja duomenų tvarkymą su darbo santykiais susijusiame kontekste. Šio straipsnio 1 dalyje įtvirtinta, kad valstybės narės gali teisėje ar kolektyvinėse sutartyse numatyti konkretesnes taisykles, kuriomis siekiama užtikrinti teisių ir laisvių apsaugą tvarkant darbuotojų asmens duomenis su darbo santykiais susijusiame kontekste, visų pirma juos įdarbinant, vykdant darbo sutartį, įskaitant teisės aktais arba kolektyvinėmis sutartimis nustatytų prievolių vykdymą, užtikrinant darbo administravimą, planavimą ir organizavimą, lygybę ir įvairovę darbo vietoje, darbuotojų saugą ir sveikatą, darbdavio ar kliento turto apsaugą, taip pat siekiant pasinaudoti su darbo santykiais susijusiomis individualiomis ir kolektyvinėmis teisėmis ir išmokomis, taip pat siekiant nutraukti darbo santykius. Tos taisyklės apima tinkamas ir konkrečias priemones, kuriomis siekiama apsaugoti duomenų subjekto žmogiškąjį orumą, teisėtus interesus ir pagrindines teises, ypatingą dėmesį skiriant duomenų tvarkymo skaidrumui, asmens duomenų perdavimui įmonių grupėje arba bendrą ekonominę veiklą vykdančių įmonių grupėje ir stebėsenos sistemoms darbo vietoje (BDAR 88 str. 2 d.). Šių nuostatų kontekste Europos Sąjungos Teisingumo Teismas yra išaiškinęs, kad BDAR 88 straipsnyje numatytos „konkretesnės taisyklės“ turi būti reglamentuotai sričiai būdingo ir kitokio nei BDAR bendrosios nuostatos norminio turinio, t. y. šiomis taisyklėmis negali būti tik pakartojamos šio reglamento nuostatos, o tuo atveju, jei nėra BDAR 88 straipsnyje nustatytas sąlygas ir apribojimus atitinkančių konkrečių taisyklių, personalo asmens duomenų tvarkymui su darbo santykiais susijusiame kontekste tiek privačiame, tiek viešajame sektoriuje tiesiogiai taikomos BDAR nuostatos (žr., pvz., Europos Sąjungos Teisingumo Teismo 2023 m. kovo 30 d. sprendimo byloje Hauptpersonalrat der Lehrerinnen und Lehrer, C‑34/21, EU:C:2023:270, 61 p., 65 p., 71 p. ir 84 p.).

42.       Nagrinėjamu atveju Inspekcija sprendė, kad VĮ „Regitra“ turėjo teisėtą pagrindą tvarkyti Duomenų subjekto asmens duomenis, remiantis BDAR 6 straipsnio 1 dalies e punktu. Vis dėlto, pastebėtina, kad pareiškėjas Inspekcijai teiktuose paaiškinimuose (pvz., VĮ „Regitra“ 2022 m. lapkričio 3 d. raštas Nr. S-15173 „Dėl papildomos informacijos pateikimo“) nuosekliai teigė, jog ginčo asmens duomenis, be kita ko, tvarkė siekiant įvykdyti jam taikomą teisinę prievolę, t. y. BDAR 6 straipsnio 1 dalies c punkte įtvirtintu pagrindu. Šiuo aspektu pareiškėjas jam taikomą teisinę prievolę iš esmės kildina iš Korupcijos prevencijos įstatymo ir Pranešėjų apsaugos įstatymo bei juos įgyvendinančių teisės aktų.

43.       Konkrečiai dėl BDAR 6 straipsnio 1 dalies e punkte įtvirtinto pagrindo (tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas) Europos Sąjungos Teisingumo Teismas yra nurodęs, jog jį svarbu aiškinti kartu su BDAR 6 straipsnio 3 dalimi, kurioje patikslinta, kad šiame punkte nurodytas duomenų tvarkymo pagrindas yra apibrėžtas Sąjungos teisėje arba duomenų valdytojui taikomos valstybės narės nacionalinėje teisėje. Taigi, pagal BDAR 6 straipsnio 1 dalies e punkto, siejamo su šio reglamento 6 straipsnio 3 dalimi, nuostatas valstybėms narėms leidžiama priimti taisykles, pagal kurias duomenų valdytojai gali tvarkyti asmens duomenis, atlikdami užduotį, vykdomą dėl viešojo intereso arba vykdant viešosios valdžios funkcijas. Tam, jog tokie subjektai teisėtai tvarkytų asmens duomenis pagal BDAR 6 straipsnio 1 dalies e punktą, reikia ne tik to, kad jie galėtų būti laikomi atliekančiais užduotį dėl viešojo intereso, bet ir to, kad asmens duomenų tvarkymas siekiant atlikti tokią užduotį būtų grindžiamas šio reglamento 6 straipsnio 3 dalyje numatytu teisiniu pagrindu (žr., pvz., Europos Sąjungos Teisingumo Teismo 2022 m. spalio 20 d. sprendimo byloje Koalitsia „Demokratichna Bulgaria - Obedinenie“, C-306/21, EU:C:2022:813, 48–52 p.).

44.       Lietuvos vyriausiojo administracinio teismo praktikoje taip pat ne kartą pažymėta, kad paminėta (BDAR 6 str. 1 d. e p.) nuostata aiškintina kartu su teisiniu reguliavimu, įtvirtintu BDAR 6 straipsnio 3 dalyje. Taigi, asmens duomenų tvarkymas BDAR 6 straipsnio 1 dalies e punkto pagrindu galimas tik: (1) kai tai daryti būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas; ir (2) kai toks asmens duomenų tvarkymo būdas yra eksplicitiškai nustatytas Sąjungos arba nacionaliniuose teisės aktuose. Šių kumuliacinių sąlygų buvimą kiekvienu atveju privalo įrodyti asmens duomenų valdytojas ar tvarkytojas, asmens duomenis tvarkantis BDAR 6 straipsnio 1 dalies e punkto pagrindu (žr., pvz., Lietuvos vyriausiojo administracinio teismo 2020 m. liepos 8 d. sprendimą administracinėje byloje Nr. eA-2837-968/2020; 2024 m. kovo 14 d. sprendimą administracinėje byloje Nr. eA-108-822/2024; 2024 m. gegužės 29 d. nutartį administracinėje byloje Nr. eA-394-629/2024; 2024 m. birželio 26 d. nutartį administracinėje byloje Nr. eA-393-525/2024; ir kt.). Reikalavimas dėl kumuliacinių sąlygų taikymo reiškia, kad nenustačius nors vienos iš nurodytų asmens duomenų tvarkymo teisėtumo sąlygų, asmens duomenų tvarkymas būtų neteisėtas. Be to, Lietuvos vyriausiojo administracinio teismo praktikoje pripažįstama, jog duomenų valdytojas privalo įrodyti, kad asmens duomenys galėjo būti tvarkomi ir, kad dėl to nebuvo pažeisti BDAR 5 straipsnio 1 dalyje įtvirtinti su asmens duomenų tvarkymu susiję principai. Tai reiškia, kad duomenų valdytojas turi pareigą pateikti pakankamai tai pagrindžiančių įrodymų (žr., pvz., Lietuvos vyriausiojo administracinio teismo 2020 m. liepos 8 d. sprendimą administracinėje byloje Nr. eA-2837-968/2020; 2021 m. kovo 31 d. nutartį administracinėje byloje Nr. eA-2229-968/2021; 2021 m. liepos 2 d. nutartį administracinėje byloje Nr. eA-745-261/2021; 2021 m. rugsėjo 15 d. sprendimą administracinėje byloje Nr. eA-2066-624/2021; 2024 m. kovo 20 d. nutartį administracinėje byloje Nr. eA-446-552/2024).

45.       Savo ruožtu BDAR 29 straipsnyje, reglamentuojančiame duomenų valdytojui ar duomenų tvarkytojui pavaldžių asmenų atliekamą duomenų tvarkymą, nustatyta, kad duomenų tvarkytojas ir bet kuris duomenų valdytojui arba duomenų tvarkytojui pavaldus asmuo, galintis susipažinti su asmens duomenimis, negali tų duomenų tvarkyti, išskyrus atvejus, kai duomenų valdytojas duoda nurodymus juos tvarkyti, nebent tai daryti reikalaujama pagal Sąjungos ar valstybės narės teisę. Pagal BDAR 32 straipsnio 4 dalį duomenų valdytojas ir duomenų tvarkytojas imasi priemonių, siekdami užtikrinti, kad bet kuris duomenų valdytojui arba duomenų tvarkytojui pavaldus fizinis asmuo, galintis susipažinti su asmens duomenimis, jų netvarkytų, išskyrus atvejus, kai duomenų valdytojas duoda nurodymus juos tvarkyti, nebent tas asmuo privalo tai daryti pagal Sąjungos arba valstybės narės teisę.

46.       Asmens duomenų tvarkymo VĮ „Regitra“ taisyklėse (VĮ „Regitra“ generalinio direktoriaus 2021 m. rugsėjo 14 d. įsakymo Nr. 1V-402 redakcija), su kuriomis Duomenų subjektas pagal bylos duomenis buvo supažindintas, nurodyta, kad šių Taisyklių tikslas – reglamentuoti fizinių asmenų (duomenų subjektų) asmens duomenų tvarkymą VĮ „Regitra“ ir užtikrinti, kad būtų laikomasi BDAR, ADTAĮ, Lietuvos Respublikos darbo kodekso ir kitų teisės aktų, reglamentuojančių asmens duomenų apsaugą. Taisyklių 2 punktas nustato, kad šių Taisyklių privalo laikytis visi VĮ „Regitra“ darbuotojai, tvarkantys VĮ „Regitra“ asmens duomenis, arba tie, kurie eidami savo pareigas juos sužino. Taisyklių 6 punkte įtvirtinta, jog tvarkant asmens duomenis, be kita ko, vadovaujamasi BDAR (6.1 p.), Korupcijos prevencijos įstatymu (6.7 p.), Pranešėjų apsaugos įstatymu (6.8 p.), Lietuvos Respublikos viešųjų ir privačių interesų derinimo įstatymu (6.9 p.) ir kt. Asmens duomenys VĮ „Regitra“ tvarkomi tik teisės aktų nustatyta tvarka, juos gaunant tiesiogiai iš duomenų subjekto, oficialiai užklausiant reikalingą informaciją tvarkančių ir turinčių teisę ją teikti subjektų ar sutarčių bei teisės aktų pagrindu prisijungiant prie atskirus asmens duomenis kaupiančių duomenų bazių, registrų bei informacinių sistemų (Taisyklių 56 p.). VĮ „Regitra“ suteikia įgaliojimus ir prieigos teises tvarkyti asmens duomenis tiems darbuotojams, kurie vykdydami savo funkcijas turi tokius duomenis tvarkyti; darbuotojo įgaliojimai ir prieigos teisės tvarkyti asmens duomenis nustatomi darbuotojo pareiginėje instrukcijoje ir (ar) VĮ „Regitra“ generalinio direktoriaus įsakymu (Taisyklių 67 p.).

47.       Pagal Taisyklių 57 punktą darbuotojai, tvarkantys duomenų subjektų asmens duomenis, arba tie, kurie eidami savo pareigas juos sužino, be kita ko, privalo: laikytis pagrindinių asmens duomenų tvarkymo reikalavimų ir saugumo reikalavimų, įtvirtintų BDAR, ADTAĮ, šiose Taisyklėse ir kituose teisės aktuose (57.1 p.); laikytis konfidencialumo principo ir neatskleisti jokios su asmens duomenimis susijusios asmens informacijos, išskyrus atvejus, kai tokia informacija yra vieša pagal galiojančius Lietuvos Respublikos teisės aktus, ši pareiga saugoti asmens duomenis galioja ir darbuotojui perėjus dirbti į kitas pareigas ar pasibaigus darbo santykiams VĮ „Regitra“ (57.2 p.); neatskleisti, neperduoti ir nesudaryti sąlygų jokiomis priemonėmis susipažinti su asmens duomenimis nė vienam asmeniui, kuris nėra įgaliotas tvarkyti asmens duomenų (57.3 p.); laikytis Taisyklėse nustatytų organizacinių ir techninių asmens duomenų saugumo priemonių, kad būtų užkirstas kelias atsitiktiniam ar neteisėtam asmens duomenų sunaikinimui, pakeitimui, atskleidimui ir bet kokiam kitam neteisėtam tvarkymui, vengti nereikalingų kopijų darymo, nereikalingos (perteklinės) dokumentų kopijos, kuriose nurodomi asmens duomenys, turi būti sunaikinamos taip, kad šių dokumentų nebūtų galima atkurti ir atpažinti jų turinio (57.4 p.); su asmens duomenimis atlikti tik tuos veiksmus, kuriems atlikti suteiktos teisės (57.7 p.).

48.       Taisyklių 11 punkte pateikta lentelė, kurioje nurodyti tikslai ir atitinkami teisiniai pagrindai, kuriais vadovaujantis VĮ „Regitra“ tvarko asmens duomenis (Taisyklių 10 p.), tarp jų: asmenų skundų, prašymų, pranešimų nagrinėjimas (inter alia tvarkomi asmens duomenys – skunde, prašyme nurodyta informacija ir skundo, prašymo nagrinėjimo rezultatai; teisinis asmens duomenų tvarkymo pagrindas – BDAR 6 straipsnio 1 dalies c punktas, konkrečiai – Lietuvos Respublikos teisės aktų, nustatančių asmenų skundų, prašymų, pranešimų nagrinėjimą viešojo administravimo subjektuose, nuostatų vykdymas); VĮ „Regitra“ vidaus administravimas, darbuotojų ir buvusių darbuotojų asmens duomenų tvarkymas (inter alia tvarkomi asmens duomenys – informacija apie dirbtą darbo laiką, atliktus darbus ir užduotis, viešųjų ir privačių interesų deklaravimo duomenys, kiti asmens duomenys, kuriuos tvarkyti VĮ „Regitra“ įpareigoja įstatymai ir kiti teisės aktai (baigtinis darbuotojų asmens duomenų (dokumentų) sąrašas numatytas VĮ „Regitra“ darbuotojų asmens bylų ir kitų veiklos dokumentų administravimo tvarkos apraše); teisinis asmens duomenų tvarkymo pagrindas – BDAR 6 straipsnio 1 dalies a, b, c ir f punktai, 9 straipsnio 2 dalis, konkrečiai – sudarytos darbo sutarties ir su ja susijusių nuostatų vykdymas, korupcijos prevencijos ir skaidrumo užtikrinimas); darbuotojų elektroninės komunikacijos stebėjimas (tvarkomi asmens duomenys – elektroninės informacijos priemonėse esančios informacijos turinys; teisinis asmens duomenų tvarkymo pagrindas – BDAR 6 straipsnio 1 dalies f punktas, t. y. tvarkyti duomenis būtina siekiant teisėtų duomenų valdytojo interesų).

49.       Detaliau VĮ „Regitra“ darbuotojų asmens duomenų tvarkymą reglamentuoja Taisyklių IX skyrius (79–91 punktai). Taisyklių 79 punkte įtvirtinta, kad darbuotojų asmens duomenys tvarkomi vadovaujantis BDAR, ADTAĮ, Darbo kodeksu ir laikantis Taisyklėse bei kituose teisės aktuose nustatytų asmens duomenų apsaugos pagrindinių principų ir reikalavimų. Pagal Taisyklių 80 punktą, darbuotojai VĮ „Regitra“ jiems suteiktas darbo priemones, įskaitant elektroninės komunikacijos priemones, privalo naudoti saugiai ir atsakingai; VĮ „Regitra“ suteiktos elektroninės komunikacijos priemonės yra skirtos tiesioginėms darbuotojo darbo funkcijoms atlikti ir ribotiems asmeniniams poreikiams patenkinti, ir turi būti naudojamos taip, kaip tai numatyta VĮ „Regitra“ galiojančiose tvarkose. Vidaus administravimo (korupcijos prevencijos, viešųjų ir privačių interesų valdymo, pranešėjų apsaugos, lobistinės veiklos priežiūros) tikslais nurodytus darbuotojų asmens duomenis gali tvarkyti tik VĮ „Regitra“ Korupcijos prevencijos (atitikties) pareigūnas ir jį pavaduojantis darbuotojas (Taisyklių 81 p.).

50.       Pagal Taisyklių 85 punktą VĮ „Regitra“ užtikrina darbuotojo teisę į privatumą naudojantis VĮ „Regitra“ suteiktomis informacinėmis ir telekomunikacinėmis priemonėmis. Tačiau Taisyklių 86 punktas įtvirtina, jog darbuotojai, naudodami VĮ „Regitra“ jam skirtus informacinių ir telekomunikacinių technologijų išteklius asmeniniais tikslais, privalo žinoti, kad kompiuterinėse darbo vietose saugoma, tarnybiniu elektroniniu paštu ir (ar) kompiuteriniu tinklu perduodama jų asmeninė informacija gali būti atskleista Taisyklių 87 punkte numatytais atvejais. Atitinkamai Taisyklių 87 punktas nustato, kad atsižvelgiant į tai, jog informacinės ir telekomunikacinės priemonės yra skirtos tiesioginėms darbuotojo darbo funkcijoms atlikti ir ribotiems asmeniniams poreikiams patenkinti, VĮ „Regitra“ pasilieka teisę vykdyti darbuotojų elektroninės komunikacijos stebėjimą. VĮ „Regitra“ įgyvendina tik būtinas darbuotojo darbo vietos stebėsenos ir kontrolės priemones, inter alia norėdama užtikrinti: nustatyti sukčiavimo ar nusižengimų atvejus, taip pat reikalingas prevencines priemones (87.3 p.); darbuotojui skirtų informacinių ir telekomunikacinių technologijų išteklių naudojimą teisėtais tikslais (87.5 p.); apsaugą nuo neteisėtų darbuotojų veiksmų (87.8 p.).

51.       Taisyklių 88 punkte įtvirtinta, kad darbuotojų informacinių ir telekomunikacinių technologijų išteklių naudojimo stebėjimas gali būti vykdomas prisijungiant prie darbuotojui priskirtos darbinės elektroninio pašto dėžutės (88.1 p.) arba prisijungiant prie darbuotojams suteiktų kitų elektroninės komunikacijos priemonių; informacija atskirai nesaugoma, nebent pradedamas vidinis tyrimas (tokiu atveju, tyrimo medžiaga saugoma dvejus metus) arba saugojimą / perdavimą numato teisės aktų reikalavimai (88.2 p.). Darbuotojo naudojimosi tarnybiniais telefonais ir kompiuteriniu tinklu žurnalų duomenis gali peržiūrėti tik VĮ „Regitra“ Informacinių technologijų departamento darbuotojai VĮ „Regitra“ generalinio direktoriaus raštišku nurodymu, kai aiškiai apibrėžti įtarimai dėl neteisėtų darbuotojo veiksmų (Taisyklių 89 p.). Pagal Taisyklių 90 punktą, VĮ „Regitra“ Informacinių technologijų departamento darbuotojai gali pradėti vykdyti darbuotojo kompiuterinės darbo vietos stebėjimą be darbuotojo žinios tik išskirtiniais atvejais, gavę VĮ „Regitra“ generalinio direktoriaus raštišką nurodymą, siekiant apsaugoti VĮ „Regitra“ interesus ir gauti įrodymų, kad darbuotojas darbo metu atlieka neteisėtus veiksmus. Šie veiksmai gali būti vykdomi, jei yra pagrindo manyti, kad egzistuoja aukščiau nurodyti pagrindai, įskaitant darbuotojo elektroninio pašto dėžutėje ir (ar) kitose elektroninio komunikavimo priemonėse yra netinkamo, įstatymus ar VĮ „Regitra“ teisėtus interesus pažeidžiančio turinio informacija arba kilus abejonėms dėl to, ar naudodamasis elektroninės komunikacijos priemonėmis darbuotojas laikosi VĮ „Regitra“ nustatytų taisyklių.

52.       Pagal Taisyklių 59 punktą neautomatiniu būdu tvarkomų asmens duomenų (dokumentų) saugojimo terminai nustatyti VĮ „Regitra“ generalinio direktoriaus patvirtintame kiekvienų metų dokumentacijos plane. Pasibaigus dokumentų, kuriuose yra asmens duomenų, saugojimo terminui, jie naikinami Valstybės įmonės „Regitra“ dokumentų valdymo tvarkos aprašo, patvirtinto VĮ „Regitra“ generalinio direktoriaus 2019 m. gegužės 27 d. įsakymu Nr. V-99, nustatyta tvarka. Automatiniu būdu tvarkomi informacinėse sistemose duomenų subjektų duomenys saugomi VĮ „Regitra“ generalinio direktoriaus patvirtintame kiekvienų metų dokumentacijos plane nurodytais terminais (jei asmens duomenys yra nurodyti dokumentuose) arba tiek laiko, kiek yra reikalingi jų tvarkymo tikslams pasiekti (Taisyklių 60 p.).

53.       Išplėstinė teisėjų kolegija pažymi, kad su darbuotojų ryšiais, įskaitant elektroninėmis priemonėmis, kurios nuosavybės teise priklauso darbdaviui, susijusi darbdavio vykdoma stebėsena gali pažeisti darbuotojų teisę į privatų gyvenimą ir asmens duomenų apsaugą. Šiame kontekste Europos Parlamento ir Tarybos direktyva 95/46/EB įsteigtos Asmenų apsaugos tvarkant asmens duomenis darbo grupės Nuomonėje 2/2017 dėl duomenų tvarkymo darbe atkreipiamas dėmesys, kad iš verslo patalpų vykdomiems elektroniniams ryšiams gali būti taikomos privataus gyvenimo ir korespondencijos sąvokos pagal Žmogaus teisių ir pagrindinių laisvių apsaugos konvencijos 8 straipsnio 1 dalį. Tai, kad elektroninių priemonių nuosavybės teisė priklauso darbdaviui, nepanaikina darbuotojų teisės į savo ryšių, atitinkamų buvimo vietos duomenų ir korespondencijos slaptumą. Žinoma, jeigu taikoma asmeninių įrenginių naudojimo politika, svarbu, kad darbuotojams būtų suteikta galimybė savo asmeninius ryšius apsaugoti nuo bet kokios su darbu susijusios stebėsenos (Nuomonės 6.1 p.). Kiek tai susiję su teisėtais interesais, Nuomonės 6.2 punkte nurodyta, kad kartais kaip teisiniu pagrindu galima pasinaudoti darbdavių teisėtais interesais, tačiau tik tuo atveju, kai duomenų tvarkymas yra griežtai būtinas teisėtu tikslu ir atitinka proporcingumo ir subsidiarumo principus. Prieš pradedant naudoti bet kurią stebėsenos priemonę, turėtų būti atliktas proporcingumo patikrinimas siekiant apsvarstyti, ar visi duomenys yra reikalingi, ar šis duomenų tvarkymas yra svarbesnis už bendrąsias darbuotojų teises į privatumą darbo vietoje ir kokių priemonių turi būti imamasi siekiant užtikrinti, kad būtų kuo mažiau pažeidžiama teisė į privatų gyvenimą ir teisė į ryšių slaptumą.

54.       Dėl skaidrumo Nuomonės 6.3 punkte pažymėta, kad darbuotojai turėtų būti veiksmingai informuojami apie bet kokią vykdomą stebėseną, šios stebėsenos tikslus ir aplinkybes, taip pat apie darbuotojų galimybes užtikrinti, kad stebėsenos technologijomis nebūtų įrašyti jų duomenys. Teisėtos stebėsenos politikos priemonės ir taisyklės turi būti aiškios ir lengvai prieinamos susipažinti. Dėl proporcingumo ir duomenų kiekio mažinimo Nuomonės 6.4 punkte akcentuojama, kad duomenų tvarkymas darbe turi būti proporcingas atsakas į darbdavio patiriamus pavojus. Pavyzdžiui, netinkamo interneto naudojimo atvejus galima aptikti nebūtinai analizuojant svetainių turinį. Jeigu netinkamam naudojimui galima užkirsti kelią (pvz., naudojant interneto filtrus), darbdavys neturi bendros teisės vykdyti stebėseną. Be to, visa apimantis draudimas naudotis ryšių priemonėmis asmeniniais tikslais yra nepraktiškas ir jo laikymuisi užtikrinti gali prireikti neproporcingos stebėsenos. Prevencijai turėtų būti skiriama daugiau dėmesio negu aptikimui – darbdavio interesai geriau įgyvendinami techninėmis priemonėmis užkertant kelią netinkamam interneto naudojimui, o ne plečiant išteklius netinkamo naudojimo atvejams aptikti. Turėtų būti kuo labiau sumažintas nuolatinės stebėsenos metu registruojamos informacijos kiekis ir darbdaviui rodomos informacijos kiekis. Spręsdami dėl naujų technologijų panaudojimo darbdaviai turi atsižvelgti į duomenų kiekio mažinimo principą. Informacija turėtų būti saugoma trumpiausią būtiną laiką ir turėtų būti nurodytas jos saugojimo laikotarpis. Kai informacijos nebereikia, ji turėtų būti iš karto ištrinama.

55.       Europos Tarybos Ministrų Komiteto rekomendacijoje CM/Rec(2015)5 valstybėms narėms dėl asmens duomenų tvarkymo darbo santykių kontekste (toliau – ir Rekomendacija) pabrėžiama, kad tvarkant asmens duomenis darbo tikslais turėtų būti užtikrinta pagarba žmogaus orumui, privatumui ir asmens duomenų apsaugai, siekiant laisvai vystytis darbuotojo asmenybei, taip pat individualių ir socialinių santykių darbo vietoje galimybei (Rekomendacijos 3 p.). Darbdaviai turėtų minimizuoti asmens duomenų tvarkymą, kad jie apimtų tik tuos duomenis, kurių reikia konkrečiais atvejais siekiamam tikslui pasiekti (Rekomendacijos 4.1 p.). Darbdaviai turėtų parengti tinkamas priemones, siekdami užtikrinti, kad jie praktiškai laikytųsi principų ir įsipareigojimų, susijusių su duomenų tvarkymu darbo tikslais. Priežiūros institucijos prašymu darbdaviai turėtų turėti galimybę įrodyti, kad laikosi tokių principų ir įsipareigojimų. Šios priemonės turėtų būti pritaikytos prie tvarkomų duomenų apimties ir pobūdžio, vykdomos veiklos rūšies, taip pat turėtų būti atsižvelgta į galimą poveikį pagrindinėms darbuotojų teisėms ir laisvėms (Rekomendacijos 4.2 p.). Asmens duomenys, kuriuos darbdaviai renka darbo tikslais, turi būti susiję ir neviršyti to, kas būtina, atsižvelgiant į darbo pobūdį ir kintančius darbdavio informacijos poreikius (Rekomendacijos 5.2 p.).

56.       Dėl asmens duomenų tvarkymo skaidrumo Rekomendacijos 10.3 punkte nurodyta, jog turi būti pateiktas ypač aiškus ir išsamus asmens duomenų, kurie gali būti renkami informacinėmis ir ryšių technologijomis, kategorijų aprašymas ir galimas jų naudojimas; šis principas taip pat taikomas konkrečioms tvarkymo formoms, numatytoms šios Rekomendacijos II dalyje. Informacija turėtų būti pateikiama prieinamu formatu ir nuolat atnaujinama; bet kuriuo atveju tokia informacija turėtų būti pateikta prieš darbuotojui atliekant atitinkamą veiklą ar veiksmą ir lengvai pasiekiama per informacines sistemas, kurias paprastai naudoja darbuotojas (Rekomendacijos 10.4 p.). Atitinkamai Rekomendacijos II dalyje esantis 14 punktas skirtas Interneto ir elektroninių ryšių naudojimui darbo vietoje, o 15 punktas – Informacinių sistemų ir technologijų naudojimui darbuotojų stebėjimui, įskaitant vaizdo stebėjimą.

57.       Pagal Rekomendacijos 14.1 punktą darbdaviai turėtų vengti nepateisinamo ir nepagrįsto kišimosi į darbuotojų teisę į privatų gyvenimą. Šis principas taikomas visoms techninėms priemonėms bei informacinėms ir ryšių technologijoms, kurias naudoja darbuotojas. Atitinkami asmenys turėtų būti tinkamai ir periodiškai informuojami taikant aiškią privatumo politiką pagal šios Rekomendacijos 10 punktą. Pateikta informacija turėtų būti nuolat atnaujinama ir turėtų apimti duomenų tvarkymo tikslą, srauto duomenų išsaugojimo arba atsarginės kopijos saugojimo laikotarpį ir elektroninių ryšių duomenų archyvavimą. Tvarkant asmens duomenis, susijusius su darbuotojo lankomais interneto ar intraneto puslapiais, pirmenybė turėtų būti teikiama prevencinėms priemonėms, pvz., filtrų, užkertančių kelią tam tikroms operacijoms, naudojimui ir galimo asmens duomenų stebėjimo laipsniui, teikiant pirmenybę neindividualiam atsitiktiniam anoniminių ar tam tikru būdu apibendrintų duomenų patikrinimui (Rekomendacijos 14.2 p.). Rekomendacijos 15.1 punkte nurodyta, kad neturėtų būti leidžiama diegti ir naudoti informacines sistemas ir technologijas, turint tiesioginį ir pagrindinį tikslą stebėti darbuotojų veiklą ir elgesį. Jei jų diegimas ir naudojimas kitais teisėtais tikslais, pavyzdžiui, siekiant apsaugoti gamybą, sveikatą ir saugą arba užtikrinti veiksmingą organizacijos veiklą, turi netiesioginių pasekmių galimybę stebėti darbuotojų veiklą, turėtų būti taikomi papildomi saugikliai, numatyti šios Rekomendacijos 21 punkte. Informacinės sistemos ir technologijos, kurios netiesiogiai stebi darbuotojų veiklą ir elgesį, turėtų būti specialiai sukurtos ir išdėstytos taip, kad nepakenktų jų pagrindinėms teisėms (Rekomendacijos 15.2 p.). Remiantis Rekomendacijos 21 punktu, darbdaviai, be kita ko, turėtų užtikrinti, kad darbuotojai būtų informuoti prieš diegiant informacines sistemas ir technologijas, leidžiančias stebėti jų veiklą, o pateikta informacija turėtų būti nuolat atnaujinama ir turi būti atsižvelgta į šios Rekomendacijos 10 punktą (dėl duomenų tvarkymo skaidrumo).

58.       Išdėstytų nuostatų kontekste, atsižvelgiant į nagrinėjamoje byloje nustatytas aplinkybes, išplėstinės teisėjų kolegijos vertinimu, toliau tikslinga pasisakyti dėl Tyrimą Nr. 2 atlikusio VĮ „Regitra“ darbuotojo E. B., kurio statusas ginčui aktuliu metu buvo dvejopas, t. y. jis buvo Korupcijos prevencijos (atitikties) pareigūnas ir kartu paskirtas administruoti Kanalą bei nagrinėti juo gautą informaciją apie pažeidimus kompetentingu subjektu, kompetencijos tiriant galimus teisės pažeidimus ir iš šios kompetencijos kylančių įgaliojimų asmens duomenų tvarkymo srityje.

Dėl VĮ „Regitra“ Korupcijos prevencijos (atitikties) pareigūno kompetencijos, vykdant korupcijos prevenciją ir tiriant korupcinio pobūdžio teisės pažeidimus, bei asmens duomenų tvarkymo įgyvendinant šią kompetenciją

59.       Pagrindinius korupcijos prevencijos principus, tikslus ir uždavinius valstybės tarnyboje ir privačiame sektoriuje, korupcijos prevencijos priemones ir jų teisinius pagrindus, korupcijos prevencijos subjektus bei jų teises ir pareigas korupcijos prevencijos srityje ginčui aktualiu (t. y. Tyrimo Nr. 2 atlikimo) laikotarpiu nustatė Korupcijos prevencijos įstatymas (2002 m. gegužės 28 d. įstatymo Nr. IX-904 redakcija, galiojusi iki 2022 m. sausio 1 d., 1 str.). Šiame kontekste pažymėtina, kad iš Korupcijos prevencijos įstatymo projekto aiškinamojo rašto Nr. IXP-1292 matyti, jog vienu iš svarbiausių kriterijų, lemiančių šio įstatymo būtinumą, nurodyti Lietuvos Respublikos prisiimti įsipareigojimai siekiant narystės Europos Sąjungoje.

60.       Kova su korupcija yra įsipareigojimas, kurį valstybės narės prisiėmė ir tarptautiniu, ir Sąjungos lygmeniu. Europos Sąjungos Teisingumo Teismo jurisprudencijoje konstatuota, jog tokie tikslai, kuriais siekiama užtikrinti sprendimus viešajame sektoriuje priimančių asmenų sąžiningumą ir nešališkumą, užkirsti kelią interesų konfliktams ir kovoti su korupcija viešajame sektoriuje, neginčytinai atitinka viešąjį interesą ir todėl yra teisėti. Šie tikslai leidžia apriboti naudojimąsi Chartijos 7 ir 8 straipsniuose garantuojamomis teisėmis, jeigu tokie apribojimai iš tikrųjų atitinka nurodytus tikslus ir yra jiems proporcingi (žr., pvz., Europos Sąjungos Teisingumo Teismo 2022 m. rugpjūčio 1 d. sprendimo byloje OT prieš Vyriausiąją tarnybinės etikos komisiją, C-184/20, EU:C:2022:601, 74–81 p.). Lietuvos vyriausiasis administracinis teismas taip pat yra pažymėjęs, kad įstatymų leidėjas, vertindamas korupcinio pobūdžio veikas, priešingas bendrajam gėriui, net priimdamas specialųjį įstatymą, t. y. Korupcijos prevencijos įstatymą, aiškiai išreiškė valią, jog Lietuvoje su korupcijos reiškiniu turi būti kovojama, kad kova su korupcija yra viešasis interesas, kad tokio neviešo pobūdžio veikoms tirti gali būti naudojamos techninės priemonės, kurių nenaudojimas kovoje su neviešo pobūdžio neteisėtomis veikomis darytų tą kovą menamą ir beprasmę (žr., pvz., Lietuvos vyriausiojo administracinio teismo 2021 m. gruodžio 15 d. nutartį administracinėje byloje Nr. A-2653-815/2021).

61.       Pagal Korupcijos prevencijos įstatymo 2 straipsnio 1 dalį (2003 m. balandžio 3 d. įstatymo Nr. IX-1483 redakcija) korupcijos prevencija – tai korupcijos priežasčių, sąlygų atskleidimas ir šalinimas sudarant bei įgyvendinant atitinkamų priemonių sistemą, taip pat poveikis asmenims siekiant atgrasinti nuo korupcinio pobūdžio nusikalstamų veikų darymo. Korupcijos prevencijos įstatymo 12 straipsnio 4 punkte buvo įtvirtinta, kad šiame įstatyme nustatytą korupcijos prevenciją, be 1–3 punkte nurodytų subjektų, taip pat vykdo kitos valstybės ir savivaldybių bei nevalstybinės įstaigos. Atitinkamai Korupcijos prevencijos įstatymo 16 straipsnio 1 dalyje buvo nustatyta, kad Lietuvos Respublikoje valstybės ir savivaldybių bei nevalstybinės įstaigos, įgyvendindamos šį įstatymą, turi teisę teisės aktų nustatyta tvarka steigti padalinius, skirtus vykdyti korupcijos prevenciją ir kontrolę atitinkamos valstybės ir savivaldybės bei nevalstybinės įstaigos veiklos srityje, arba paskirti asmenis, kuriems pavedama atlikti šią funkciją (1 p.), taip pat nustatyti priemones, skatinančias korupcijos prevencijos užtikrinimą valstybės ir savivaldybių bei nevalstybinėse įstaigose (3 p.). Pagal minėto straipsnio 2 dalį, valstybės ir savivaldybių bei nevalstybinės įstaigos, įgyvendindamos šį įstatymą, be kita ko, privalo pagal kompetenciją įgyvendinti valstybės politiką korupcijos prevencijos srityje (1 p.), užtikrinti, kad būtų vykdomi korupcijos prevenciją nustatančių teisės aktų reikalavimai valstybės ir savivaldybių bei nevalstybinėse įstaigose (2 p.), nedelsdamos šalinti korupcijos prevenciją reglamentuojančių teisės aktų reikalavimų pažeidimus (4 p.), nesudaryti savo veiksmais ar neveikimu sąlygų korupcinio pobūdžio nusikalstamoms veikoms (6 p., 2003 m. balandžio 3 d. įstatymo Nr. IX-1483 redakcija). Valstybės ir savivaldybių įstaigose ir nevalstybinėse įstaigose už korupcijos prevenciją atsako vadovas; atlikdamas šią pareigą, vadovas privalo imtis priemonių, būtinų Korupcijos prevencijos įstatymui įgyvendinti (Korupcijos prevencijos įstatymo 16 str. 3 d.).

62.       Vadovaujantis Korupcijos prevencijos įstatymo 16 straipsnio 1 dalies 3 punktu, VĮ „Regitra“ generalinio direktoriaus 2020 m. birželio 22 d. įsakymu Nr. (1.1E)-1V-308 buvo patvirtinta VĮ „Regitra“ korupcijos prevencijos politika (toliau – ir Politika), kuri nustato pagrindinius taikomus principus ir įsipareigojimus korupcijos prevencijos srityje (Politikos 1 p.), o jos nuostatos privalomos visiems Įmonės (t. y. VĮ „Regitra“) darbuotojams (Politikos 2 p.). Politikos 3 punkte nurodyta, jog ji parengta, be kita ko, vadovaujantis Korupcijos prevencijos įstatymu, Pranešėjų apsaugos įstatymu, taip pat Viešųjų ir privačių interesų derinimo įstatymu. Šiame kontekste pabrėžtina, kad Viešųjų ir privačių interesų derinimo įstatymo (ginčui aktuali 2019 m. birželio 27 d. įstatymo Nr. XIII-2274 redakcija) 1 straipsnyje įtvirtinta šio įstatymo paskirtis – sudaryti sąlygas atskleisti valstybinėje tarnyboje dirbančių asmenų ir šio įstatymo 4 straipsnio 3 dalyje nurodytų asmenų (visi kartu – deklaruojantys asmenys) privačius interesus, užtikrinti, kad priimant sprendimus pirmenybė būtų teikiama viešiesiems interesams, ir užkirsti kelią kilti interesų konfliktams bei plisti korupcijai. Atitinkamai minėto įstatymo 2 straipsnio 2 dalyje interesų konfliktas apibrėžiamas kaip situacija, kai deklaruojantis asmuo, atlikdamas tarnybines pareigas ar vykdydamas tarnybinį pavedimą, turi priimti ar dalyvauti priimant sprendimą arba įvykdyti pavedimą, kurie susiję ir su jo privačiais interesais. Savo ruožtu Pranešėjų apsaugos įstatymas nustato apie pažeidimus įstaigose pranešusių asmenų teises ir pareigas, jų teisinės apsaugos pagrindus ir formas, taip pat šių asmenų apsaugos, skatinimo ir pagalbos jiems priemones, siekiant sudaryti tinkamas galimybes pranešti apie teisės pažeidimus, keliančius grėsmę viešajam interesui arba jį pažeidžiančius, užtikrinti tokių pažeidimų prevenciją ir atskleidimą (Pranešėjų apsaugos įstatymo 1 str. 1 d.; ginčui aktuali 2017 m. lapkričio 28 d. įstatymo Nr. XIII-804 redakcija, galiojusi iki 2022 m. vasario 15 d.). Pranešėjų apsaugos įstatymo 3 straipsnio 1 dalyje nurodyta, jog informacija apie pažeidimus teikiama siekiant apsaugoti viešąjį interesą, o 2 straipsnio 5 dalyje buvo įtvirtinta, kad pažeidimas – tai įstaigoje galbūt rengiama, daroma ar padaryta nusikalstama veika, administracinis nusižengimas, tarnybinis nusižengimas ar darbo pareigų pažeidimas, taip pat šiurkštus privalomų profesinės etikos normų pažeidimas ar kitas grėsmę viešajam interesui keliantis arba jį pažeidžiantis teisės pažeidimas, apie kuriuos pranešėjas sužino iš savo turimų ar turėtų tarnybos, darbo santykių arba sutartinių santykių su šia įstaiga.

63.       VĮ „Regitra“ korupcijos prevencijos politikos IV skyriuje „Korupcijos prevencijos priemonės“ esančiame 11 punkte įtvirtinta, kad korupcijos priežasčių ir sąlygų atskleidimas vykdomas nustatant ir įvertinat rizikos veiksnius, parenkant ir taikant adekvačias prevencines priemones, be kita ko: kiekvienais metais atliekamas Įmonės veiklos srities korupcijos pasireiškimo tikimybės vertinimas, kurio metu vertinami Įmonės veiklą veikiantys išoriniai ir (ar) vidiniai ir (ar) individualūs rizikos veiksniai sudarantys galimybes atsirasti korupcijai (11.1 p.); užtikrinamas viešųjų ir privačių interesų deklaravimas ir interesų konfliktų valdymas, siekiant išvengti neigiamos įtakos nešališkam ir objektyviam pareigų vykdymui (11.3 p.); sudaroma galimybė pateikti informaciją apie galimus pažeidimus Įmonėje (11.6 p.); tiriami atvejai dėl galimų pažeidimų nustatymo (11.9 p.). Pagal Politikos 12 punktą pagrindiniai korupcijos prevencijos politikos įgyvendinimo subjektai yra Įmonės (t. y. VĮ „Regitra“) ir struktūrinių padalinių vadovai, Korupcijos prevencijos (atitikties) pareigūnas, Įmonės Korupcijos prevencijos komisija bei už atskirų antikorupcinės veiklos priemonių vykdymą atsakingais paskirti Įmonės darbuotojai.

64.       VĮ „Regitra“ generalinio direktoriaus 2019 m. spalio 29 d. įsakymu Nr. (1.1E)-V-165) buvo patvirtinta VĮ „Regitra“ Korupcijos prevencijos (atitikties) pareigūno pareiginė instrukcija. Instrukcijos 1 punktas nustato šios pareigybės paskirtį ir veiklos sritį – išorinių, vidinių ar individualių korupcijos rizikos veiksnių valstybės įmonėje „Regitra“ analizė ir prevencinių priemonių bei tyrimų organizavimas. Korupcijos prevencijos (atitikties) pareigūnas yra tiesiogiai pavaldus Įmonės (t. y. VĮ „Regitra“) generaliniam direktoriui (Instrukcijos 2 p.). Pagal Instrukcijos 4 punktą, Korupcijos prevencijos (atitikties) pareigūnas, be kita ko: planuoja ir atlieka funkcijas, susijusias su išorinių, vidinių ar individualių korupcijos rizikos veiksnių Įmonėje apskaita, analize, prevencinių priemonių bei tyrimo organizavimu (4.1 p.); atlieka korupcijos pasireiškimo tikimybės nustatymą, teikia motyvuotas išvadas dėl Įmonės veiklos sričių, kuriose egzistuoja didelė korupcijos pasireiškimo tikimybė (4.2 p.); kontroliuoja Įmonės darbuotojų viešųjų ir privačių interesų deklaravimą (4.5 p.); užtikrina duomenų apsaugai keliamų reikalavimų įgyvendinimą Įmonėje ir jos padaliniuose (4.8 p.); pagal kompetenciją tiria skundus (pranešimus), pareiškimus ir prašymus, rengia atsakymus, vykdo pranešimų apie galimą Įmonės darbuotojų korupciją administravimą ir organizuoja pasitikėjimo linijos palaikymą (4.10 p.). Šiais tikslais, vadovaujantis Instrukcijos 5 punktu, Korupcijos prevencijos (atitikties) pareigūnas inter alia turi teisę ir įgaliojimus: gauti iš padalinių vadovų, kitų Įmonės darbuotojų, Įmonės komisijų, komitetų ir darbo grupių darbui ir pavestiems uždaviniams įgyvendinti reikalingus duomenis ir informaciją, įskaitant ir asmeninio pobūdžio informaciją, reikalingą galimų korupcinio pobūdžio veikų prevencijai ar aplinkybių identifikavimui (5.2 p.); reikalauti, kad darbuotojai laiku įvykdytų pavedimus (5.3 p.); teikti Įmonės generaliniam direktoriui, jo pavaduotojui pasiūlymus dėl darbo organizavimo, darbo efektyvumo pagerinimo, taip pat galimų korupcinio pobūdžio veikų prevencijos ar tokių veikų aplinkybių tyrimo (5.4 p.); peržiūrėti visą darbui reikalingą Įmonės tvarkomuose registruose, informacinėse sistemose ir duomenų bazėse sukaupta informaciją (5.9 p.). Atitinkamai Instrukcijos 6.3 punkte nustatyta Korupcijos prevencijos (atitikties) pareigūno atsakomybė už tinkamą asmens duomenų tvarkymą ir konfidencialios informacijos saugojimą.

65.       Apibendrinant, iš aptarto teisinio reguliavimo matyti, kad VĮ „Regitra“ Korupcijos prevencijos (atitikties) pareigūnas inter alia buvo įgaliotas atlikti su galimais korupcinio pobūdžio teisės pažeidimais ir korupcijos rizikos veiksniais susijusius tyrimus bei kontroliuoti įmonės darbuotojų privačių interesų deklaravimą, valdant galimus viešųjų ir privačių interesų konfliktus, tam gauti reikalingus duomenis bei informaciją, įskaitant asmeninio pobūdžio. Šiame kontekste išplėstinė teisėjų kolegija pažymi, kad viešųjų ir privačių interesų konfliktų valdymas bei galimybė pranešti apie galimus korupcinio pobūdžio teisės pažeidimus neabejotinai yra svarbios priemonės, kurios prisideda prie korupcijos prevencijos bei kontrolės tikslų, o kova su korupcija, kaip minėta, yra viešasis interesas. Šiuo tikslu, be kita ko, buvo sudaryta galimybė VĮ „Regitra“ vidiniu kanalu pateikti informaciją apie galimus pažeidimus įstaigoje, ir VĮ „Regitra“ Korupcijos prevencijos (atitikties) pareigūnas įgaliotas organizuoti šios pasitikėjimo linijos palaikymą, vykdyti pranešimų apie galimą įstaigos darbuotojų korupciją administravimą bei pagal kompetenciją tirti skundus (pranešimus), pareiškimus ir prašymus, rengti atsakymus į juos. Tačiau vien tuo Korupcijos prevencijos (atitikties) pareigūno kompetencija neapsiriboja – ši pareigybė taip pat apima funkcijas, susijusias su išorinių, vidinių ar individualių korupcijos rizikos veiksnių įmonėje analize ir prevencinių priemonių bei tyrimo organizavimu. Atitinkamai Korupcijos prevencijos (atitikties) pareigūnas, be kita ko, turi teisę teikti VĮ „Regitra“ generaliniam direktoriui, jo pavaduotojui pasiūlymus dėl darbo organizavimo, darbo efektyvumo pagerinimo, galimų korupcinio pobūdžio veikų prevencijos ar tokių veikų aplinkybių tyrimo, inter alia inicijuojant galimo darbo pareigų pažeidimo tyrimą. Taigi, VĮ „Regitra“ Korupcijos prevencijos (atitikties) pareigūno kompetencija iš esmės apima: (i) bendrosios (abstrakčiosios) korupcijos prevencijos tikslus, kurie gali pasireikšti tiek ex ante (iš anksto) būdu, kai siekiama iš anksto įvertinti galimas grėsmes, kad būtų galima imtis prevencinių veiksmų (priemonių) joms išvengti, tiek ex post (vėlesnis) būdu, kai siekiama įvertinti apibendrintus empirinius duomenis, kad būtų galima imtis taisomųjų veiksmų (priemonių), jog šios grėsmės ateityje nepasikartotų; (ii) individualiosios korupcijos prevencijos tikslus, kurie pasireiškia galimų korupcinio pobūdžio teisės pažeidimų tyrimu ir gali apimti konkretaus atvejo (asmens veiklos) analizę bei paprastai sietina su galima tarnybine ar darbo pareigų pažeidimo atsakomybe. Be to, šiame kontekste atkreiptinas dėmesys, jog Korupcijos prevencijos (atitikties) pareigūnas, vykdydamas savo funkcijas, yra atsakingas už tinkamą asmens duomenų tvarkymą ir konfidencialios informacijos saugojimą.

Dėl VĮ „Regitra“ kompetentingo subjekto kompetencijos, tiriant vidiniu kanalu gautą informaciją apie galimus pažeidimus, ir asmens duomenų tvarkymo įgyvendinant šią kompetenciją

66.        Pranešėjų apsaugos įstatymo 4 straipsnio, reglamentuojančio informacijos apie pažeidimus pateikimo būdus, 1 dalyje buvo nustatyta, kad asmuo informaciją apie pažeidimą gali pateikti keletu būdų: 1) įstaigoje per vidinį informacijos apie pažeidimus teikimo kanalą; 2) kompetentingai institucijai tiesiogiai; 3) viešai. Pagal Pranešėjų apsaugos įstatymo 2 straipsnio 2 dalį įstaiga – tai viešasis ar privatusis juridinis asmuo, kita organizacija, užsienio juridinio asmens ar organizacijos padalinys, kuriuose galbūt rengiamas, padarytas ar daromas pažeidimas. Vidinis informacijos apie pažeidimus teikimo kanalas – įstaigoje nustatyta tvarka sukurta ir taikoma informacijos apie pažeidimus šioje įstaigoje teikimo, tyrimo ir asmens informavimo procedūra. (Pranešėjų apsaugos įstatymo 2 str. 8 d.). Savo ruožtu kompetentinga institucija Pranešėjų apsaugos įstatymo 2 straipsnio 3 dalyje buvo apibrėžiama kaip subjektas, kuris pagal šį įstatymą priima, pagal kompetenciją nagrinėja arba perduoda kitoms institucijoms nagrinėti pranešimus ar pateiktą informaciją apie pažeidimus, koordinuoja pranešėjų apsaugos ir pagalbos jiems pagal šį įstatymą procesą. Pranešėjų apsaugos įstatyme nustatytas kompetentingos institucijos funkcijas įgyvendina Lietuvos Respublikos prokuratūra (Pranešėjų apsaugos įstatymo 5 str. 2 d.).

67.       Vadovaujantis Pranešėjų apsaugos įstatymo 4 straipsnio 2 dalimi, įstaigoje asmuo informaciją apie pažeidimą teikia per vidinį informacijos apie pažeidimus teikimo kanalą, išskyrus šiame straipsnyje nurodytus atvejus. Atitinkamai to paties straipsnio 3 dalyje buvo nustatyta, kad asmuo dėl pažeidimo kreipiasi tiesiogiai į kompetentingą instituciją, kai yra bent viena iš šių aplinkybių: 1) pažeidimas turi esminę reikšmę viešajam interesui; 2) būtina kuo skubiau užkirsti kelią pažeidimui ar jį nutraukti, nes gali atsirasti didelė žala; 3) vadovaujantys, su įstaiga darbo arba tarnybos ar sutartiniais santykiais siejami asmenys patys galbūt daro ar yra padarę pažeidimus; 4) informacija apie pažeidimą buvo pateikta per vidinį informacijos apie pažeidimus teikimo kanalą, tačiau atsakymas nebuvo gautas arba nebuvo imtasi veiksmų reaguojant į pateiktą informaciją, arba priemonės, kurių buvo imtasi, buvo neveiksmingos; 5) yra pagrindas manyti, kad, pateikus informaciją apie pažeidimą vidiniu informacijos apie pažeidimus teikimo kanalu, pranešėjo anonimiškumas ar asmens konfidencialumas gali būti neužtikrintas arba bus siekiama pažeidimą, apie kurį pranešta, nuslėpti; 6) įstaigoje nėra veikiančio vidinio informacijos apie pažeidimus teikimo kanalo; 7) asmuo negali pasinaudoti vidiniu informacijos apie pažeidimus teikimo kanalu, nes jo su įstaiga nebesieja darbo, tarnybos ar kiti teisiniai santykiai. Taigi, įstatymų leidėjas pirmenybę teikė pranešimų teikimui įstaigoje per vidinį informacijos apie pažeidimus teikimo kanalą, išskyrus įstatyme aiškiai nustatytus atvejus, kai galimybė asmeniui dėl pažeidimo kreiptis tiesiogiai į kompetentingą instituciją iš esmės leistų efektyviau pasiekti įstatymo tikslus.

68.       Pranešėjų apsaugos įstatymo 16 straipsnio, kuris reglamentuoja vidinių informacijos apie pažeidimus teikimo kanalų įdiegimą, 1 dalyje (2018 m. gruodžio 20 d. įstatymo Nr. XIII-1850 redakcija) buvo nustatyta, kad įstaigose, vadovaujantis Vyriausybės nustatytomis sąlygomis, tvarka ir reikalavimais, diegiami vidiniai informacijos apie pažeidimus teikimo kanalai ir užtikrinamas jų funkcionavimas. Už vidinio informacijos apie pažeidimus teikimo kanalo įdiegimą ir jo funkcionavimo užtikrinimą atsakingas įstaigos vadovas (Pranešėjų apsaugos įstatymo 16 str. 3 d.).

69.       Nagrinėjamu atveju aktualus informacijos apie galimą Duomenų subjekto pažeidimą gavimo Kanalu ir pagal šią informaciją pradėto Tyrimo Nr. 2 atlikimo metu galiojęs Lietuvos Respublikos Vyriausybės 2018 m. lapkričio 14 d. nutarimu Nr. 1133 „Dėl Lietuvos Respublikos pranešėjų apsaugos įstatymo įgyvendinimo“ patvirtintas Vidinių informacijos apie pažeidimus teikimo kanalų įdiegimo ir jų funkcionavimo užtikrinimo tvarkos aprašas, kurio 9 punktas nustatė, kad įstaigos vadovas paskiria kompetentingą subjektą, kuris įstaigoje administruoja vidinį kanalą. Minėtame punkte taip pat įtvirtinta, kad šio Tvarkos aprašo reikalavimus įgyvendinančiam kompetentingam subjektui negali būti daromas poveikis ar kitaip trukdoma atlikti jam šiame Tvarkos apraše priskirtas funkcijas. Tvarkos aprašo 2.1 punkte kompetentingas subjektas apibrėžtas kaip įstaigoje paskirtas asmuo, asmenų grupė ar specialus padalinys, kurie administruoja vidinius informacijos apie pažeidimus teikimo kanalus, nagrinėja jais gautą informaciją apie pažeidimus, užtikrina asmens, pateikusio informaciją apie pažeidimus, konfidencialumą. Pagal Tvarkos aprašo 10 punktą, kompetentingas subjektas, įgyvendindamas Tvarkos aprašo reikalavimus, be kita ko, atlieka šias funkcijas: analizuoja ir tiria vidiniu kanalu gautą informaciją apie pažeidimus (10.1 p.); bendradarbiauja su įstaigos darbuotojais, padaliniais, kompetentingomis institucijomis teikdamas ir (ar) gaudamas reikalingą informaciją (10.3 p.); atlieka kitas Tvarkos apraše nustatytas funkcijas (10.5 p.). Pagal Tvarkos aprašo 11 punktą kompetentingas subjektas, vykdydamas jam priskirtas funkcijas, turi teisę: gauti reikalingą informaciją ir duomenis iš jam nepavaldžių įstaigos darbuotojų, padalinių (11.1 p.); tirdamas vidiniu kanalu gautą informaciją apie pažeidimą priimti su tyrimo atlikimu susijusius sprendimus, kurie yra privalomi visiems įstaigos darbuotojams ir padaliniams (11.2 p.).

70.       VĮ „Regitra“ generalinio direktoriaus 2020 m. balandžio 28 d. įsakymu Nr. (1.1E)-1V-184 patvirtintas Informacijos apie pažeidimus teikimo ir tvarkymo VĮ „Regitra“ tvarkos aprašas, kuriuo buvo įdiegtas vidinis informacijos apie pažeidimus teikimo kanalas. Šio Aprašo 3.3 punkte nustatyta, kad įmonės kompetentingas subjektas – įmonėje paskirtas asmuo, ar asmenų grupė, kurie įgalioti atlikti kompetentingo subjekto funkcijas, apibrėžtas Vidinių informacijos apie pažeidimus teikimo kanalų įdiegimo ir jų funkcionavimo užtikrinimo tvarkos apraše, patvirtintame Vyriausybės 2018 m. lapkričio 14 d. nutarimu Nr. 1133 „Dėl Lietuvos Respublikos pranešėjų apsaugos įstatymo įgyvendinimo“. Atitinkamai, kaip minėta, VĮ „Regitra“ generalinio direktoriaus 2020 m. balandžio 29 d. įsakymu Nr. (1.1E)-1V-188 būtent VĮ „Regitra“ Korupcijos prevencijos (atitikties) pareigūnas E. B., kuris atliko Tyrimą Nr. 2, buvo paskirtas kompetentingu subjektu minėto Vyriausybės nutarimu patvirtinto Tvarkos aprašo prasme, t. y. jis buvo atsakingas už vidinio informacijos apie pažeidimus teikimo kanalo administravimą ir šiuo kanalu gautos informacijos apie pažeidimus nagrinėjimą.

71.       VĮ „Regitra“ generalinio direktoriaus įsakymu patvirtinto Aprašo 26 punkte nustatyta, kad įmonės kompetentingas subjektas, gavęs pateiktą informaciją apie pažeidimą, nedelsdamas imasi vertinti pranešime pateiktą informaciją. Pagal Aprašo 27 punktą, ne vėliau kaip per 2 darbo dienas nuo informacijos užregistravimo dienos įvertinus Aprašo 5.1–5.3 papunkčiuose nurodytais būdais (asmenų teikiama informacija apie pažeidimą) pateiktą informaciją apie pažeidimą, gali būti priimtas vienas iš šių sprendimų (sprendimas įforminamas Įmonės (t. y. VĮ „Regitra“) kompetentingo subjekto rašytine rezoliucija): informaciją apie pažeidimą nustatyta tvarka nagrinėti Įmonėje, jei gautos informacijos apie pažeidimą turinys susijęs su darbo pareigų ir (arba) etikos pažeidimu (27.1 p.); informaciją apie pažeidimą persiųsti nagrinėti įgaliotai tirti institucijai, jei gautos informacijos turinys leidžia pagrįstai manyti, kad yra rengiama, daroma ar padaryta nusikalstama veika, administracinis nusižengimas ar gautos informacijos nagrinėjimas nepriskirtinas Įmonės kompetencijai (27.2 p.); pranešime pateiktos informacijos nenagrinėti, jei paaiškėja Aprašo 29 punkte nurodytos aplinkybės (27.3 p.). Atitinkamai pagal Aprašo 28 puntą, ne vėliau kaip per 2 darbo dienas nuo informacijos gavimo dienos, įvertinus Aprašo 14.1–14.3 papunkčiuose nurodytais būdais (pranešėjų teikiama informacija apie pažeidimą) pateiktą informaciją apie pažeidimą, gali būti priimtas vienas iš šių sprendimų (sprendimas įforminamas Įmonės kompetentingo subjekto rašytine rezoliucija): informaciją apie pažeidimą persiųsti Lietuvos Respublikos prokuratūrai, įgyvendinančiai Pranešėjų apsaugos įstatymo suteiktas kompetentingos institucijos funkcijas, jei pateiktoje informacijoje apie pažeidimą pranešėjas išreiškė valią įgyti Pranešėjų apsaugos įstatyme nustatytą pranešėjo statusą (28.1 p.); informaciją apie pažeidimą nustatyta tvarka nagrinėti Įmonėje, jei pateiktoje informacijoje pranešėjas neišreiškė valios, kad jo pateikta informacija apie pažeidimą būtų nagrinėjama vadovaujantis Pranešėjų apsaugos įstatymu, bei neišreiškė valios įgyti pranešėjo statusą, o informacijos apie pažeidimą turinys susijęs su darbo pareigų ir (arba) etikos pažeidimu (28.2 p.); informaciją apie pažeidimą persiųsti įgaliotai tirti institucijai, jei gautos informacijos turinys leidžia pagrįstai manyti, kad yra rengiama, daroma ar padaryta nusikalstama veika, administracinis nusižengimas ar gautos informacijos nagrinėjimas nepriskirtinas Įmonės kompetencijai (28.3 p.); informacijos apie pažeidimą nenagrinėti, jei nustatytos Aprašo 29 punkte numatytos aplinkybės (28.4 p.). Pateikta informacija apie pažeidimą nenagrinėjama, kai: informacija apie pažeidimą yra grindžiama akivaizdžiai tikrovės neatitinkančiais faktais, informacija yra abstrakti, paremta informaciją pateikusio asmens bendro pobūdžio teiginiais ar asmenine nuomone, kurios neįmanoma patikrinti; kreipiamasi pakartotinai dėl tų pačių aplinkybių, kai prieš tai pateikta informacija apie pažeidimą buvo išnagrinėta ir dėl jos priimtas sprendimas; informaciją apie pažeidimą nagrinėja kita institucija (Aprašo 29 p.)

72.       Vadovaujantis Aprašo 33 punktu, visa pagal šį Aprašą gauta informacija priskiriama konfidencialiai informacijai. Įmonės kompetentingas subjektas užtikrina, kad gauta informacija apie pažeidimą ir su tuo susiję duomenys būtų laikomi saugiai ir su jais galėtų susipažinti tik tokią teisę turintys informaciją apie pažeidimą nagrinėjantys asmenys (Aprašo 34 p.).

73.       Apibendrinant aptartą teisinį reguliavimą, matyti, kad VĮ „Regitra“ Korupcijos prevencijos (atitikties) pareigūnas, kaip įmonėje paskirtas asmuo, kuris įgaliotas atlikti kompetentingo subjekto funkcijas administruojant vidinį informacijos apie pažeidimus teikimo kanalą ir nagrinėjant šiuo kanalu gautą informaciją apie pažeidimus, turi teisę gauti visą tyrimui reikalingą informaciją bei duomenis iš jam nepavaldžių įstaigos darbuotojų ir padalinių, taip pat tirdamas vidiniu kanalu gautą informaciją apie pažeidimą priimti su tyrimo atlikimu susijusius sprendimus, kurie yra privalomi visiems įstaigos darbuotojams ir padaliniams, o visa atliekant tyrimą gauta informacija bei duomenys laikomi konfidencialiais. Vis dėlto, vertinant šią kompetenciją iš asmens duomenų apsaugos kylančių reikalavimų kontekste, ji iš esmės susijusi tik su ta informacija, kuri laikytina būtina atitinkamam tyrimui pagal gautą pranešimą atlikti, t. y. jame nurodytoms aplinkybėms patikrinti ir įvertinti. Kita vertus, kaip minėta, galimybė pranešti apie galimus pažeidimus, įskaitant vidiniu informacijos apie pažeidimus teikimo kanalu, taip pat yra svarbi priemonė, prisidedanti prie korupcijos prevencijos bei kontrolės tikslų, taigi ir prie viešojo intereso apsaugos, o viena iš kompetentingam subjektui priskirtų funkcijų yra bendradarbiauti su įstaigos darbuotojais, padaliniais bei kitomis kompetentingomis institucijomis teikiant reikalingą informaciją. Kadangi byloje nagrinėjamu atveju tiek su korupcijos prevencija, tiek su vidiniu Kanalu gautų pranešimų nagrinėjimu susijusios funkcijos buvo priskirtos tam pačiam VĮ „Regitra“ darbuotojui, pastebėtina, jog esant tokiai sutapčiai šių subjektų tarpusavio bendradarbiavimas teikiant reikalingą informaciją išorine (pvz., raštų) forma gali nepasireikšti (nesimaterializuoti), tačiau tai savaime nepaneigia tokio bendradarbiavimo esmės.

Dėl ginčo situacijoje atlikto asmens duomenų tvarkymo atitikties asmens duomenų apsaugos reikalavimams

74.       Įvertinusi VĮ „Regitra“ Korupcijos prevencijos (atitikties) pareigūno, kuris kartu buvo paskirtas administruoti Kanalą bei nagrinėti juo gautą informaciją apie pažeidimus kompetentingu subjektu, statusą, jo savarankiškumą ir iš įstatymų bei juos įgyvendinančių teisės aktų kylančią kompetenciją siekiant viešojo intereso tikslų, išplėstinė teisėjų kolegija prieina prie išvados, kad minėtas pareigūnas, vidiniu įstaigos kanalu gavęs pranešimą apie galimą pažeidimą ir remiantis šiuo pranešimu jam kilus abejonių dėl įstaigos, už kurios korupcijos prevenciją jis tuo pačiu metu buvo atsakingas, darbuotojo galbūt su korupcijos prevencijos tikslais nesuderinamos veiklos darbo metu, nagrinėjamu atveju turėjo ne tik teisę, bet ir pareigą suteiktos kompetencijos ribose organizuoti ir atlikti atitinkamą tyrimą: pirma, kaip administruoti Kanalą bei nagrinėti juo gautą informaciją apie pažeidimus kompetentingu subjektu paskirtas asmuo, atlikti gautame pranešime nurodytų faktinių aplinkybių dėl konkretaus įvykio (galimo pažeidimo), t. y. konkrečią (žinomą) datą įvykusio Sandorio dėl TP pirkimo–pardavimo, tyrimą; antra, kaip Korupcijos prevencijos (atitikties) pareigūnas, t. y. asmuo, kuriam pavesta vykdyti korupcijos prevenciją ir kontrolę VĮ „Regitra“, įvertinęs pranešime pateiktą informaciją ir remiantis ja kilus pagrįstiems įtarimams dėl galimo Duomenų subjekto korupcinio pobūdžio pažeidimo, individualiosios korupcijos prevencijos tikslais įgyvendinti įstaigoje nustatytas priemones, skatinančias korupcijos prevencijos užtikrinimą, tarp kurių – viešųjų ir privačių interesų konfliktų valdymas (Politikos 11.3 p.), taip pat atvejų dėl galimų pažeidimų nustatymo tyrimas (Politikos 11.9 p.).

75.       Nagrinėjamu atveju VĮ „Regitra“ Inspekcijai teiktuose paaiškinimuose (pvz., 2022 m. lapkričio 3 d. raštas Nr. S-15173 „Dėl papildomos informacijos pateikimo“) nurodė, kad Duomenų subjekto asmens duomenys buvo renkami ir tvarkomi vadovaujantis BDAR 6 straipsnio 1 dalies c punkte (tvarkyti duomenis būtina, kad būtų įvykdyta duomenų valdytojui taikoma teisinė prievolė) ir e punkte (tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas) numatytomis duomenų tvarkymo teisėtumo sąlygomis. VĮ „Regitra“ paaiškino, kad Tyrimas Nr. 2 buvo atliktas ne tik siekiant patikrinti Kanalu gautą informaciją apie konkrečią datą sudarytą Sandorį dėl TP pirkimo–pardavimo, bet ir šio pranešimo pagrindu kilus įtarimams, jog Duomenų subjektas darbo metu užsiima automobilių prekyba, t. y. korupcijos prevencijos ir kontrolės tikslais. Atitinkamai pareiškėjas ginčo duomenų tvarkymo teisėtumo sąlygas, be kita ko, siejo su Korupcijos prevencijos įstatymu ir Pranešėjų apsaugos įstatymu bei juos įgyvendinančiais teisės aktais.

76.       Šiomis aplinkybėmis darytina išvada, kad Inspekcija nepagrįstai apsiribojo Duomenų subjekto ginčo asmens duomenų (naršymo internete istorijos) tvarkymo patikrinimu išimtinai tik Kanalu gauto pranešimo apie galimą pažeidimą tyrimo aspektu ir iš esmės nevertino šio tyrimo iš korupcijos prevencijos bei kontrolės perspektyvos kylančių asmens duomenų tvarkymo tikslų aspektu bei atitinkamai tokio tvarkymo atitikties BDAR įtvirtintiems asmens duomenų apsaugos reikalavimams. Be to, pripažinusi, kad VĮ „Regitra“ turėjo teisėtą pagrindą tvarkyti Duomenų subjekto asmens duomenis remiantis BDAR 6 straipsnio 1 dalies e punktu, Inspekcija nebevertino šių duomenų tvarkymo BDAR 6 straipsnio 1 dalies c punkto požiūriu, nors būtent pastarasis punktas, kaip teisinis asmens duomenų tvarkymo pagrindas, yra nurodytas ir Asmens duomenų tvarkymo VĮ „Regitra“ taisyklių 11 punkte (be kita ko, VĮ „Regitra“ vidaus administravimo, įskaitant korupcijos prevencijos ir skaidrumo užtikrinimo, tikslais) bei atitinkamai pagal šių Taisyklių 81 punktą vidaus administravimo (korupcijos prevencijos, viešųjų ir privačių interesų valdymo, pranešėjų apsaugos) tikslais VĮ „Regitra“ Korupcijos prevencijos (atitikties) pareigūnui ir buvo suteikta kompetencija tvarkyti darbuotojų asmens duomenis, įskaitant VĮ „Regitra“ jiems darbui suteiktose elektroninėse komunikacijos priemonėse esančius duomenis.

77.       Atsižvelgiant į tai, pažymėtina, kad Taisyklių 89 punkto nuostatą, su kuria Inspekcija siejo Duomenų subjekto asmens duomenų tvarkymo pažeidimą, ją vertinant kartu su Taisyklių 11 bei 81 punktais, be kita ko, reikia aiškinti korupcijos prevencijos ir vidiniu kanalu teikiamų pranešimų tyrimo teisinio reguliavimo kontekste. Kitaip tariant, Taisyklių 89 punktas, pagal kurį darbuotojo naudojimosi tarnybiniais telefonais ir kompiuteriniu tinklu žurnalų duomenis gali peržiūrėti tik VĮ „Regitra“ Informacinių technologijų departamento darbuotojai VĮ „Regitra“ generalinio direktoriaus raštišku nurodymu, kai aiškiai apibrėžti įtarimai dėl neteisėtų darbuotojo veiksmų, negali būti vertinamas izoliuotai, bet turi būti aiškinamas kitų ginčui aktualių teisės aktų nuostatų kontekste, kaip dalis visuminio teisinio reguliavimo. Įvertinusi prieš tai aptartas Korupcijos prevencijos įstatymo ir Pranešėjų apsaugos įstatymo bei juos įgyvendinančių teisės aktų nuostatas ir iš jų kylančius įgaliojimus korupcijos prevencijos bei pranešimų nagrinėjimo srityje tyrimus atlikti kompetentingiems subjektams, išplėstinė teisėjų kolegija pažymi, kad formalus Taisyklių 89 punkto taikymas korupcijos prevencijos (atitikties) pareigūnui ir administruoti vidinį įstaigos kanalą bei nagrinėti juo gautą informaciją apie pažeidimus kompetentingam subjektui byloje nagrinėjamoje situacijoje reikšmingai apribotų jų savarankiškumą bei korupcijos prevenciją ir pažeidimų tyrimą reglamentuojančiuose teisės aktuose, kurie šiuo atžvilgiu laikytini lex specialis (specialusis įstatymas), viešojo intereso tikslais jiems nustatytų įgaliojimų veiksmingą įgyvendinimą, kadangi savo esme prilygtų reikalavimui nurodytiems subjektams renkant tyrimui būtinus duomenis papildomai gauti kito subjekto, konkrečiai – VĮ „Regitra“ generalinio direktoriaus, sutikimą (leidimą), nors ginčui aktualiuose specialiuosiuose teisės aktuose tokia papildoma sąlyga nėra įtvirtinta. Taisyklių 89 punkto nuostatos formuluotė, kiek tai susiję su korupcijos prevencijos (atitikties) pareigūno ir administruoti vidinį įstaigos kanalą bei nagrinėti juo gautą informaciją apie pažeidimus kompetentingo subjekto įgaliojimais peržiūrėti VĮ „Regitra“ darbuotojų naudojimosi tarnybiniais telefonais ir kompiuteriniu tinklu žurnalų duomenis, juridinės technikos prasme nėra be trūkumų, tačiau šie trūkumai nelaikytini esminiais ir nesudaro pagrindo aptariamą nuostatą aiškinti kaip apribojančią iš kitų (specialiųjų) teisės aktų kylančią nurodytų subjektų kompetenciją tvarkyti tokius asmens duomenis, kadangi iš esmės paneigtų jų, kaip savarankiškų subjektų, statusą ir nebūtų suderinama su įstatymų leidėjo šių subjektų veiklai keliamais viešojo intereso tikslais. Todėl išplėstinė teisėjų kolegija nesutinka su Inspekcijos vertinimu, kad Tyrimą Nr. 2 atlikęs Pareigūnas, tiesiogiai pavesdamas VĮ „Regitra“ Informacinių technologijų departamento darbuotojams pateikti jam Duomenų subjekto lankymosi internete istoriją, veikė viršydamas teisės aktuose nustatytus įgaliojimus. Išplėstinės teisėjų kolegijos vertinimu, šiame procesiniame sprendime išsamiai aptartas ginčui aktualus teisinis reguliavimas apima visus pagal BDAR būtinus asmens duomenų tvarkymo teisinio reguliavimo aspektus, todėl šiuo klausimu pirmosios instancijos teismas nepagrįstai padarė priešingą išvadą. Kita vertus, net ir įgyvendindami korupcijos prevencijos ir kontrolės bei pažeidimų tyrimo srityje suteiktus pakankamai plačius įgaliojimus, minėti subjektai tvarkydami asmens duomenis, be kita ko, privalo laikytis BDAR įtvirtintų asmens duomenų tvarkymo principų reikalavimų.

78.       Kiek tai susiję su Inspekcijos nustatytu BDAR 5 straipsnio 1 dalies a punkte įtvirtinto skaidrumo ir sąžiningumo principo pažeidimu dėl nepakankamai aiškaus VĮ „Regitra“ vidinio reglamentavimo apie darbo priemonių naudojimą asmeniniams poreikiams tenkinti, išplėstinė teisėjų kolegija sutinka, kad šis reglamentavimas juridinės technikos prasme taip pat turi trūkumų, tačiau šie trūkumai savaime nesudaro pagrindo konstatuoti minėto principo pažeidimą, o turi būti vertinami byloje nustatytų aplinkybių ir surinktų įrodymų visumos kontekste. Šiuo aspektu atkreiptinas dėmesys, kad pagal Taisyklių 85 punktą VĮ „Regitra“ užtikrina darbuotojo teisę į privatumą naudojantis VĮ „Regitra“ suteiktomis informacinėmis ir telekomunikacinėmis priemonėmis, tačiau Taisyklių 86 punktu darbuotojai yra aiškiai informuoti, jog jiems naudojant šias priemones asmeniniais tikslais kompiuterinėse darbo vietose saugoma, tarnybiniu elektroniniu paštu ir (ar) kompiuteriniu tinklu perduodama jų asmeninė informacija gali būti atskleista Taisyklių 87 punkte numatytais konkrečiais atvejais, kurių sąrašas yra baigtinis. Atitinkamai Taisyklių 87 punkte įtvirtinta, jog VĮ „Regitra“ pasilieka teisę vykdyti darbuotojų elektroninės komunikacijos stebėjimą, be kita ko, siekiant nustatyti sukčiavimo ar nusižengimų atvejus, taip pat reikalingas prevencines priemones (87.3 p.), darbuotojui skirtų informacinių ir telekomunikacinių technologijų išteklių naudojimą teisėtais tikslais (87.5 p.), apsaugą nuo neteisėtų darbuotojų veiksmų (87.8 p.). Atsižvelgiant į tai, nors VĮ „Regitra“ Etikos kodekso 3.3.2 punktas įtvirtino reikalavimą apskritai nenaudoti darbinei veiklai skirto laiko, įmonės darbo priemonių bei finansinių ir materialinių išteklių, intelektinės nuosavybės savo, savo artimųjų bei kitų asmenų poreikiams tenkinti, Duomenų subjektas, būdamas supažindintas su Taisyklių nuostatomis ir įvertinęs faktą, jog VĮ „Regitra“ suteiktos elektroninės komunikacijos priemonės pagal šias Taisykles tik ribotai gali būti naudojamos asmeniniams poreikiams tenkinti, o jose nustatytais atvejais be atskiro darbuotojų sutikimo VĮ „Regitra“ gali vykdyti darbuotojų elektroninės komunikacijos stebėjimą, t. y. kompiuterinėse darbo vietose saugoma, tarnybiniu elektroniniu paštu ir (ar) kompiuteriniu tinklu perduodama jų asmeninė informacija gali būti atskleista, net ir nesant aiškiai įvardintiems asmeniniams poreikiams, kuriuos darbuotojas pagal Taisykles turi teisę tenkinti naudojant jam suteiktas darbo priemones, neabejotinai galėjo ir turėjo suvokti savo prisiimamą riziką dėl tokių asmens duomenų (naršymo internete istorijos) darbiniame kompiuteryje galimo atskleidimo. Kitaip tariant, Duomenų subjektas galėjo iš anksto aiškiai suvokti ir numatyti tokio jo asmens duomenų tvarkymo tikslus ir su šių asmens duomenų tvarkymu susijusius pavojus (pasekmes), todėl išplėstinė teisėjų kolegija sprendžia, kad šiuo atveju Inspekcija nepagrįstai konstatavo BDAR 5 straipsnio 1 dalies a punkte įtvirtinto skaidrumo ir sąžiningumo principo pažeidimą.

79.       Spręsdama dėl Inspekcijos nustatyto BDAR 5 straipsnio 1 dalies c punkte įtvirtinto duomenų kiekio mažinimo principo pažeidimo, išplėstinė teisėjų kolegija atkreipia dėmesį, kad nors Tyrimą Nr. 2 atlikęs VĮ „Regitra“ Korupcijos prevencijos (atitikties) pareigūnas, ginčui aktualiu laikotarpiu turėdamas dvejopą statusą, turėjo pakankamai plačią diskreciją apsispręsti, kokios apimties tyrimą pagal vidiniu Kanalu gautą pranešimą dėl galbūt padarytų pažeidimų būtina atlikti ir atitinkamai kokios apimties duomenis tam būtina rinkti, nagrinėjamos bylos kontekste, vadovaujantis BDAR įtvirtintu tikslo apribojimo principu, visų pirma, svarbu aiškiai atriboti atitinkamų asmens duomenų tvarkymo tikslus, t. y. jų tvarkymą vidiniu įstaigos kanalu gauto pranešimo tyrimo ir kitais, su tokiu pranešimu galbūt susijusiais bei iš jo kylančiais platesniais tikslais, kaip šiuo atveju teigia pareiškėjas – korupcijos prevencijos ir kontrolės. Tai ypač svarbu, kai šie klausimai susiję su tokiais jautriais duomenimis, kaip asmens naršymo internete istorija, prieiga prie kurių gali leisti daryti pakankamai tikslias išvadas apie šių asmenų privatų gyvenimą, kaip antai jų kasdienio gyvenimo įpročius, pomėgius, socialinius ryšius ir pan., kad būtų tvarkomi tik tokie duomenys, kurie būtini siekiant aiškiai apibrėžtų tikslų, be kita ko, laikantis BDAR įtvirtinto duomenų kiekio mažinimo principo.

80.       Šiame kontekste pabrėžtina, kad pagal Lietuvos Respublikos vidaus reikalų ministro 2017 m. rugsėjo 13 d. įsakymu Nr. 1V-630 patvirtintų valstybės įmonės „Regitra“ įstatų (toliau – ir Įstatai, ginčui aktuali redakcija, galiojusi iki 2022 m. kovo 4 d.) 2 punktą (2019 m. liepos 8 d. įsakymo Nr. 1V-613 redakcija), VĮ „Regitra“ tikslas – teikti administracines paslaugas ir, tenkinant viešuosius interesus, siekti pelningos veiklos; įmonė veiklą vykdo vidaus reikalų ministrui pavestoje viešojo saugumo (viešosios tvarkos) srityje; įmonėje įgyvendinami socialiniai ir politiniai valstybės tikslai. Pagrindiniai įmonės tikslai, be kita ko, yra registruoti motorines transporto priemones (Įstatų 10.1 p.), atlikti Lietuvos Respublikos kelių transporto priemonių registro tvarkytojo funkcijas (Įstatų 10.2 p.), teikti savininko teises ir pareigas įgyvendinančiai institucijai pasiūlymus motorinių transporto priemonių registracijos tvarkos tobulinimo klausimais (Įstatų 10.3 p.), taip pat vykdyti teisės pažeidimų prevencijos ir eismo saugumo užtikrinimo priemones pagal Įstatų 10.1 papunktyje nustatytas veiklos sritis (Įstatų 10.4 p., 2019 m. liepos 8 d. įsakymo Nr. 1V-613 redakcija). Iš bylos medžiagos matyti, kad Duomenų subjektas ginčui aktualiu laikotarpiu atliko su TP registravimu susijusias funkcijas, o Tyrimas Nr. 2 būtent ir buvo susijęs su jo galbūt darbo metu sudarytu TP pirkimo–pardavimo sandoriu bei dėl šio Sandorio sudarymo kylančiomis teisinėmis prievolėmis atlikti tam tikras TP registravimo procedūras, t. y. tiesiogiai susiję su VĮ „Regitra“ tikslais ir veiklos sritimi bei Duomenų subjekto, kaip VĮ „Regitra“ darbuotojo, vykdytomis funkcijomis. Taigi akivaizdu, jog šiuo atveju vidiniu Kanalu gauto pranešimo pagrindu galėjo kilti pagrįstos abejonės dėl galimo interesų konflikto ir galbūt su korupcijos prevencijos tikslais nesuderinamos Duomenų subjekto veiklos darbo metu, todėl Tyrimą Nr. 2 atlikęs Pareigūnas, atsižvelgiant į jo turėtą dvejopą statusą, kaip minėta, turėjo ne tik teisę, bet ir pareigą suteiktos kompetencijos ribose neapsiriboti vien pranešime nurodytų aplinkybių dėl konkretaus įvykio (Sandorio sudarymo) patikrinimu, o šio pranešimo pagrindu kilus įtarimams, jog Duomenų subjektas darbo metu galbūt užsiima automobilių prekyba, turėjo teisę ir iš esmės privalėjo atlikti taip pat platesnį, su individualiąja korupcijos prevencija, susijusį tyrimą. Atsižvelgdama į tai, išplėstinė teisėjų kolegija toliau byloje susiklosčiusią situaciją dėl Duomenų subjekto asmens duomenų tvarkymo atitikties BDAR 5 straipsnio 1 dalies c punkte įtvirtintam duomenų kiekio mažinimo principui vertins dviem aspektais, t. y. (1) vidiniu kanalu gauto pranešimo tyrimo ir (2) korupcijos prevencijos bei kontrolės tikslais.

81.       Kiek tai susiję su ginčo asmens duomenų tvarkymu tiriant vidiniu kanalu gautame pranešime pateiktą informaciją apie konkrečią datą (2021 m. gegužės 27 d.) galbūt darbo metu VĮ „Regitra“ teritorijoje įvykusį Sandorį, galima būtų sutikti su Inspekcijos vertinimu, jog Duomenų subjekto naršymo internete istorijos duomenys už 6 mėn. laikotarpį nelaikytini būtinais, siekiant paneigti ar patvirtinti šią informaciją. Tačiau, kaip minėta, nagrinėjamu atveju Inspekcija nepagrįstai apsiribojo šių duomenų tvarkymo patikrinimu išimtinai tik Kanalu gauto pranešimo apie galimą pažeidimą tyrimo aspektu ir iš esmės nevertino atlikto tyrimo individualiosios korupcijos prevencijos aspektu. Savo ruožtu būtent individualiosios korupcijos prevencijos tikslų požiūriu, pagal gautame pranešime pateiktą informaciją kilus pagrįstiems įtarimams dėl Duomenų subjekto galbūt darbo metu vykdomos automobilių prekybos, atliekant Tyrimą Nr. 2 objektyviai egzistavo poreikis atlikti platesnės apimties tyrimą, kas sąlygojo ir ginčo duomenų už ilgesnį laikotarpį tvarkymo poreikį. Šiame kontekste išplėstinė teisėjų kolegija atkreipia dėmesį į tai, kad:

81.1.                      Ginčo duomenys (Duomenų subjekto naršymo internete istorija) buvo renkami ir toliau tvarkomi ne atsitiktinai, o susiję su aiškiai apibrėžtais įtarimais dėl Duomenų subjekto galbūt darbo metu vykdomos automobilių prekybos, kurie pagrįstai kilo vertinant Kanalu gautą pranešimą ir jame pateiktą informaciją apie Duomenų subjekto VĮ „Regitra“ teritorijoje, tikėtina, jo darbo metu sudarytą transporto priemonės pirkimo–pardavimo Sandorį bei dėl šio Sandorio sudarymo kylančių teisinių prievolių atlikti tam tikras TP registravimo procedūras galbūt netinkamo vykdymo.

81.2.                      Duomenų subjekto naršymo internete istorijos duomenys buvo renkami už aiškiai apibrėžtą laikotarpį – nuo galimo pažeidimo, apie kurį Kanalu buvo gautas pranešimas ir kuriuo remiantis kilo minėti įtarimai, padarymo mėnesio iki tyrimo atlikimo laikotarpio.

81.3.                      Ginčo duomenys buvo tvarkomi tik Duomenų subjekto veiklos tyrimo metu ir išimtinai tik siekiant deklaruotų tikslų, byloje nenustatyta, jog Duomenų subjekto naršymo internete istorijos duomenys Korupcijos prevencijos (atitikties) pareigūno būtų panaudoti kitais, nei deklaruota, tikslais.

81.4.                      Korupcijos prevencijos (atitikties) pareigūnui renkant minėtus duomenis nebuvo ir negalėjo iš anksto būti žinomas jų turinys (konkrečios Duomenų subjekto lankytos, su darbo funkcijų vykdymu nesusijusios interneto svetainės ir kt.), o vėlesnio jų tvarkymo metu, atsižvelgiant į tai, jog darbuotojas darbo metu gali skirti proporcingą darbo laiko dalį savo asmeninių poreikių įgyvendinimui, Korupcijos prevencijos (atitikties) pareigūnas nevertino ir į tyrimo medžiagą neįtraukė pačių jautriausių naršymo istorijos duomenų, susijusių su darbuotojo (Duomenų subjekto) asmeniniu gyvenimu, pavyzdžiui, apsilankymų interneto bankų, sveikatos įstaigų, socialinių medijų svetainėse, žinių portaluose ir pan.

81.5.                      Dėl ginčo asmens duomenų tvarkymo Duomenų subjektui iš esmės nekilo neigiamos pasekmės – galimas pažeidimas dėl prekybos automobiliais darbo metu nenustatytas, o pažeidimas dėl darbo laiko naudojimo lankymuisi su darbu nesusijusiose svetainėse pripažintas mažareikšmiu, siūlant dėl jo atleisti Duomenų subjektą nuo drausminės atsakomybės, ginčo duomenys nebuvo atskleisti su jais susipažinti teisės neturtintiems asmenims.

81.6.                      Išplėstinė teisėjų kolegija nenustatė ir bylos šalys iš esmės nepateikė argumentų, jog šiuo atveju susiklosčiusioje situacijoje teisėtiems individualiosios korupcijos prevencijos tikslams pasiekti galėjo būti naudojamos akivaizdžiai mažiau ribojančios priemonės. Be to, Duomenų subjektui kilus abejonių dėl jo asmens duomenų tvarkymo teisėtumo, jis turėjo teisę kreiptis į Inspekciją ir šia teise pasinaudojo, o jo skundas buvo išnagrinėtas ir pagal jį priimtas šioje byloje ginčijamas Inspekcijos sprendimas.

82.       Remdamasi tuo, kas išdėstyta, visapusiškai įvertinusi byloje nustatytas aplinkybes ir surinktus įrodymus, išplėstinė teisėjų kolegija prieina prie išvados, kad nagrinėjamu atveju BDAR 5 straipsnio 1 dalies c punkte įtvirtintas duomenų kiekio mažinimo principas taip pat nebuvo pažeistas, ir Duomenų subjekto ginčo asmens duomenų tvarkymas neviršijo to, kas būtina, todėl šių duomenų tvarkymas laikytinas proporcingu teisėtiems tikslams, kurių buvo siekiama.

Dėl procesinės bylos baigties

83.       Apibendrindama byloje nustatytas aplinkybes, išplėstinė teisėjų kolegija konstatuoja, kad pirmosios instancijos teismas iš dalies netinkamai aiškino ir taikė ginčui aktualias teisės aktų nuostatas byloje surinktų įrodymų visumos kontekste, todėl nepagrįstai pareiškėjo skundą tenkino tik iš dalies. Atsižvelgiant į tai, pareiškėjo apeliacinis skundas tenkinamas, o pirmosios instancijos teismo sprendimas pakeičiamas, pareiškėjo skundą tenkinant ir panaikinant atsakovo Sprendimo rezoliucinės dalies 1 ir 2 punktus.

Vadovaudamasi Lietuvos Respublikos administracinių bylų teisenos įstatymo 144 straipsnio 1 dalies 3 punktu, išplėstinė teisėjų kolegija

nutaria:

Pareiškėjo valstybės įmonės „Regitra“ (nuo 2024 m. birželio 7 d. – akcinė bendrovė „Regitra“) apeliacinį skundą tenkinti.

Vilniaus apygardos administracinio teismo (nuo 2024 m. sausio 1 d. – Regionų administracinis teismas) 2023 m. birželio 9 d. sprendimą pakeisti ir jo rezoliucinę dalį išdėstyti taip:

„Pareiškėjo valstybės įmonės „Regitra“ (nuo 2024 m. birželio 7 d. – akcinė bendrovė „Regitra“) skundą tenkinti.

Panaikinti atsakovo Valstybinės duomenų apsaugos inspekcijos 2022 m. gruodžio 22 d. sprendimo Nr. 3R-1160 (2.13-1.E) „Dėl E. B. 2022-01-25 skundo“ rezoliucinės dalies 1 ir 2 punktus.“

Nutartis neskundžiama.

Teisėjai        Rytis Krasauskas

        Beata Martišienė

        Iveta Pelienė

        Egidijus Šileikis

        Skirgailė Žalimienė