Pagal BDAR skirta bauda dėl netinkamai tvarkomų įvaikinto vaiko tėvų asmens duomenų
Valstybinė duomenų apsaugos inspekcija nubaudė Vilniaus miesto savivaldybės administraciją už Bendrojo duomenų apsaugos reglamento pažeidimus. 15 tūks. eurų bauda skirta dėl netinkamai tvarkomų įvaikinto vaiko tėvų asmens duomenų.
Valstybinė duomenų apsaugos inspekcija (VDAI) už Bendrojo duomenų apsaugos reglamento (BDAR) pažeidimus Vilniaus miesto savivaldybės administracijai (savivaldybės administracija) skyrė 15 tūkst. eurų administracinę baudą. Bauda skirta už BDAR 5 straipsnio 1 dalies d ir f punktų pažeidimus – tinkamų techninių ir organizacinių priemonių neįgyvendinimo, tuo neužtikrinant tvarkomų asmens duomenų tikslumo, tvarkant įvaikinto vaiko tėvų asmens duomenis.
VDAI, atlikusi tyrimą, nustatė, kad pareiškėjas, pildydamas prašymą dėl įvaikinto vaiko ugdymo savivaldybės administracijos Centralizuotoje prašymų pateikimo ir gyventojų informacinėje sistemoje (IS) nurodė savo duomenis, tačiau, pagal savivaldybės administracijos sutartį su VĮ Registrų centru, pagal kurią automatiniu būdu duomenys IS buvo atnaujinami vieną kartą per mėnesį, IS duomenims atsinaujinus automatiniu būdu pareiškėjo kontaktiniai asmens duomenys buvo atnaujinti ir pakeisti į Lietuvos Respublikos gyventojų registre (tGyventojų registras) esančius vaiko vieno iš biologinių tėvų kontaktinius duomenis (el. pašto adresą).
Savivaldybės administracija, tvarkydama asmens duomenis, privalo vadovautis tikslumo principu, kuris numato, kad asmens duomenys turi būti tikslūs ir prireikus atnaujinami, turi būti imamasi visų pagrįstų priemonių užtikrinti, kad asmens duomenys, kurie nėra tikslūs, atsižvelgiant į jų tvarkymo tikslus, būtų nedelsiant ištrinami arba ištaisomi (BDAR 5 straipsnio 1 dalies d punktas), ir vientisumo ir konfidencialumo principu, kuris numato, kad asmens duomenys turi būti tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (BDAR 5 straipsnio 1 dalies f punktas).
VDAI sprendime, kuriuo savivaldybės administracijai skyrė baudą, nurodė, kad konkrečiu atveju tokie asmens kontaktiniai duomenys kaip elektroninio pašto adresas, nepriklausomai nuo to, ar jie yra, ir jei yra nurodyti Gyventojų registre, asmens bet kada gali būti keičiami ir tik pats duomenų subjektas turėtų juos keisti, o ne duomenų valdytojas savavališkai duomenis atnaujinti, remiantis VĮ Registrų centre esančia informacija. Juo labiau, šiuo atveju nebuvo pagrindo daryti išvados, kad iš Gyventojų registro atnaujinus duomenis buvo gauti būtent pareiškėjo kontaktiniai duomenys, kadangi duomenys buvo atnaujinami net ne pagal pareiškėjo duomenis, nurodytus VĮ Registrų centre, o pagal vaiko duomenis, nors sutarties dėl ugdymo šalis yra ne vaikas, o pareiškėjas. Taigi, savivaldybės administracija, tvarkydama trečiojo asmens (vieno iš vaiko biologinių tėvų) elektroninio pašto adresą, kaip kontaktinį pareiškėjo duomenį, neįgyvendino tinkamų organizacinių ir techninių priemonių, tuo neužtikrino tvarkomų asmens duomenų tikslumo principo ir pažeidė BDAR 5 straipsnio 1 dalies d ir f punktus.
VDAI, spręsdama dėl administracinės baudos dydžio, įvertino visas aplinkybes, reikšmingas taikant atsakomybę savivaldybės administracijai, pavyzdžiui:
– Kad nors nagrinėjamu atveju savivaldybės administracijos padarytas pažeidimas siejamas tik su pavieniais asmenimis (pareiškėjais), tačiau iš esmės nėra atsitiktinis atvejis ir būtų nutikęs bet kuriam asmeniui tokiomis pačiomis aplinkybėmis dėl savivaldybės administracijos netinkamai taikomų techninių ir organizacinių priemonių tvarkant asmens duomenis;
– Kad buvo atskleisti duomenys apie vaiko įvaikinimą, kas yra itin jautrūs duomenys, ir jo tolesnį ugdymą;
– Kad pažeidimas buvo padarytas dėl aplaidumo;
– Kad savivaldybės administracija pažeidimą padarė pakartotinai, dėl analogiško pažeidimo (netinkamo organizacinių ir techninių priemonių įgyvendinimo, neužtikrinant asmens duomenų tikslumo principo tvarkant įvaikinto vaiko asmens duomenis Savivaldybės administracijos IS) savivaldybės administracijai 2019 m. buvo skirtas papeikimas.
Skiriant baudą savivaldybės administracijai taip pat atsižvelgta ir į institucijos einamųjų metų biudžeto ir kitų praėjusiais metais gautų bendrųjų metinių pajamų dydį.
Šis VDAI sprendimas yra neįsiteisėjęs ir gali būti skundžiamas teismui.
Valstybinės duomenų apsaugos inspekcijos informacija