Valstybinė duomenų apsaugos inspekcija (toliau - VDAI) skyrė Vilniaus miesto savivaldybės administracijai baudą dėl netinkamai tvarkomų įvaikinto vaiko tėvų asmens duomenų. VDAI nustatė, kad Vilniaus miesto savivaldybės administracija pažeidė Bendrojo duomenų apsaugos reglamento (toliau - BDAR) įtvirtintus duomenų tikslumo, vientisumo ir konfidencialumo principus bei neužtikrino tinkamų techninių ir organizacinių duomenų saugumo priemonių. Už tai VDAI skyrė 15 000 Eur baudą. Kokie veiksniai lėmė baudos skyrimą ir ko galėtų pasimokyti kiti duomenų valdytojai? Apie tai supažindina Duomenų apsaugos pareigūnas Allaw.

Kokie pažeidimai lėmė baudos paskyrimą?


VDAI duomenimispareiškėjas, pildydamas prašymą dėl įvaikinto vaiko ugdymo Vilniaus miesto savivaldybės administracijos Centralizuotoje prašymų pateikimo ir gyventojų informacinėje sistemoje (toliau – IS) nurodė savo duomenis, tačiau, pagal Vilniaus miesto savivaldybės administracijos sutartį su VĮ Registrų centru, pagal kurią automatiniu būdu duomenys IS buvo atnaujinami vieną kartą per mėnesį, IS duomenims atsinaujinus automatiniu būdu pareiškėjo kontaktiniai asmens duomenys buvo atnaujinti ir pakeisti į Lietuvos Respublikos gyventojų registre esančius vaiko vieno iš biologinių tėvų kontaktinius duomenis (el. pašto adresą). Kitaip tariant po duomenų sutikslinimo įvaikintojo duomenys buvo pakeisti biologinio vaiko tėvo duomenimis. Taip Vilniaus miesto savivaldybės administracija pažeidė:

 - asmens duomenų tikslumo principąkuris numato, kad asmens duomenys turi būti tikslūs ir prireikus atnaujinami, turi būti imamasi visų pagrįstų priemonių užtikrinti, kad asmens duomenys, kurie nėra tikslūs, atsižvelgiant į jų tvarkymo tikslus, būtų nedelsiant ištrinami arba ištaisomi (BDAR 5 straipsnio 1 dalies d punktas),

 - vientisumo ir konfidencialumo principą, kuris numato, kad asmens duomenys turi būti tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (BDAR 5 straipsnio 1 dalies f punktas).

Baudų išvengti gali padėti savalaikiai BDAR mokymai. Prisijunkite prie savo paskyros ir atnaujinkite BDAR žinias Allaw mokymų erdvėje. Neturite paskyros, tačiau norite sužinoti daugiau apie Allaw paslaugas? Klauskite čia.

Į ką VDAI atsižvelgė spręsdama dėl baudos dydžio?


VDAI pranešime atkreipiamas dėmesys, kad VDAI įvertino visas aplinkybes, reikšmingas taikant atsakomybę Vilniaus miesto savivaldybės administracijai, pavyzdžiui:

  • kad nors nagrinėjamu atveju Vilniaus miesto savivaldybės administracijos padarytas pažeidimas siejamas tik su pavieniais asmenimis (pareiškėjais), tačiau iš esmės nėra atsitiktinis atvejis ir būtų nutikęs bet kuriam asmeniui tokiomis pačiomis aplinkybėmis dėl savivaldybės administracijos netinkamai taikomų techninių ir organizacinių priemonių tvarkant asmens duomenis;
  • kad buvo atskleisti duomenys apie vaiko įvaikinimą, kas yra itin jautrūs duomenys, ir jo tolesnį ugdymą;
  • kad pažeidimas buvo padarytas dėl aplaidumo;
  • kad Vilniaus miesto savivaldybės administracija pažeidimą padarė pakartotinai, dėl analogiško pažeidimo (netinkamo organizacinių ir techninių priemonių įgyvendinimo, neužtikrinant asmens duomenų tikslumo principo tvarkant įvaikinto vaiko asmens duomenis Vilniaus miesto savivaldybės administracijos IS)  2019 m. buvo skirtas papeikimas;
  • į Vilniaus miesto savivaldybės einamųjų metų biudžeto ir kitų praėjusiais metais gautų bendrųjų metinių pajamų dydį

Atkreiptinas dėmesys, kad vadovaujantis Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo 33 str. valdžios institucijoms ir įstaigoms, priklausomai nuo pažeidimo, maksimaliai yra skiriamos 0,5 procento valdžios institucijos ar įstaigos einamųjų metų biudžeto ir kitų praėjusiais metais gautų bendrųjų metinių pajamų dydžio, bet ne didesnę negu trisdešimt tūkstančių eurų arba iki 1 procento valdžios institucijos ar įstaigos einamųjų metų biudžeto ir kitų praėjusiais metais gautų bendrųjų metinių pajamų dydžio, bet ne didesnę negu šešiasdešimt tūkstančių eurų. Tačiau tai nereiškia, kad valdžios institucijos ir įstaigos turėtų atsipalaiduoti, nes valdžios institucijai ar įstaigai, kuri vykdo ūkinę komercinę veiklą, BDAR nuostatų pažeidimą VDAI turi teisę skirti administracinę baudą, nurodytą BDAR.

BDAR 83 straipsnis numato, kad, priklausomai nuo pažeidimo, organizacijai gali būti skirta iki 2 procentų ankstesnių finansinių metų bendros metinės pasaulinės apyvartos arba iki 10 000 000 Eur bauda, priklausomai nuo to kuri suma didesnė arba iki 4 procentų ankstesnių finansinių metų bendros metinės pasaulinės apyvartos arba iki 20 000 000 Eur bauda, priklausomai nuo to kuri suma didesnė.

Ko gali pasimokyti kiti duomenų valdytojai?


Kaip parodė Vilniaus miesto savivaldybės administracijos taikyta praktika, duomenų patikra su valstybės registrais nevisada gali padėti organizacijoms pasiekti norimus rezultatus. VDAI atkreipė dėmesį, kad konkrečiu atveju tokie asmens kontaktiniai duomenys kaip elektroninio pašto adresas, nepriklausomai nuo to, ar jie yra, ir jei yra nurodyti Lietuvos Respublikos gyventojų registre, asmens bet kada gali būti keičiami ir tik pats duomenų subjektas turėtų juos keisti, o ne duomenų valdytojas savavališkai duomenis atnaujinti, remiantis VĮ Registrų centre esančia informacija. Aprašytu atveju, nebuvo pagrindo daryti išvados, kad iš VĮ Registrų centro atnaujinus duomenis buvo gauti būtent pareiškėjo kontaktiniai duomenys, kadangi duomenys buvo atnaujinami net ne pagal pareiškėjo duomenis, nurodytus VĮ Registrų centre, o pagal vaiko duomenis, nors sutarties dėl ugdymo šalis yra ne vaikas, o pareiškėjas. Iš to galima daryti išvadą, kad:

  • duomenų valdytojai turėtų suteikti duomenų subjektams galimybę savo asmens duomenis atnaujinti patiems (prisijungiant prie pvz., savitarnos svetainės / portalo, pateikdami prašymą duomenų valdytojui ar pan.);
  • duomenų valdytojai neturėtų diegti sistemų, leidžiančių automatiškai atnaujinti duomenų subjektų kontaktinių duomenų (el. pašto, tel. nr. ir pan.) remiantis VĮ Registrų centre esančia informacija - kadangi savo kontaktinių duomenų keisti duomenų subjektas yra neapribotas, o jų viešinti nėra įpareigotas;
  • duomenų valdytojai turi periodiškai vykdyti rizikos vertinimą ir įvertinti pasirinktų duomenų saugumo priemonių efektyvumą.



Link to this page