LVAT: atskleidusi vaiko sveikatos duomenis trečiajam asmeniui, ugdymo įstaiga pažeidė BDAR nuostatas
Lietuvos vyriausiasis administracinis teismas (LVAT) 2024 m. rugsėjo 11 d. nutartimi atmetė ugdymo įstaigos UAB „Pažinimo medis“ argumentus dėl Valstybinės duomenų apsaugos inspekcijos sprendimo pagrįstumo ir teisėtumo. LVAT pripažino, jog ši ugdymo įstaiga pažeidė Bendrajame duomenų apsaugos reglamente (BDAR) nustatytus reikalavimus.
Nagrinėtu atveju fizinis asmuo kreipėsi į Valstybinę duomenų apsaugos inspekciją, teigdamas, jog ketino leisti savo sūnų lankyti ugdymo įstaigą (darželį), tačiau vaikas nepradėjo lankyti šios įstaigos. Ugdymo įstaiga elektroniniu paštu pranešė Vilniaus miesto savivaldybės administracijos Švietimo aplinkos skyriui, jog nori grąžinti šio vaiko krepšelį, nurodydama, kad vaikas „taip ir nepradėjo lankyti mūsų įstaigos dėl sveikatos būklės“. Į inspekciją kreipęsis fizinis asmuo teigė, jog ugdymo įstaiga neteisėtai tvarko vaiko sveikatos duomenis ir perdavė juos trečiajam asmeniui, nes su įstaiga nebuvo sudaryta ugdymo sutartis, o be ugdymo sutarties vaiko asmens duomenų rinkimas, tvarkymas ir perdavimas trečiajam asmeniui pažeidžia BDAR nuostatas. Inspekcija byloje ginčytu sprendimu pripažino, jog ugdymo įstaiga pažeidė BDAR 5 straipsnio 1 dalies a punktą (asmens duomenys turi būti duomenų subjekto atžvilgiu tvarkomi teisėtu, sąžiningu ir skaidriu būdu (teisėtumo, sąžiningumo ir skaidrumo principas)).
LVAT, įvertinęs BDAR įtvirtintus asmens duomenų apsaugos reikalavimus, pažymėjo, jog BDAR yra įtvirtinta labai plati sveikatos duomenų sąvoka, kuriems, be kita ko, kaip specialiosios kategorijos asmens duomenims, yra taikytina aukštesnio lygio apsauga, t. y. juos draudžiama tvarkyti, išskyrus BDAR 9 straipsnio 2 dalyje nustatytas išimtis. Išnagrinėtoje byloje buvo nustatyta, jog tarp ugdymo įstaigos ir vaiko tėvų nebuvo sudaryta ugdymo sutartis, o ugdymo įstaiga tvarkė šio vaiko, nepradėjusio lankyti įstaigos, asmens duomenis (vardą, pavardę ir gimimo datą) bei neinformavo į inspekciją pasikreipusio fizinio asmens, jog tvarko vaiko sveikatos duomenis.
Įvertinęs tai, LVAT nusprendė, jog teiginys „nepradėjo lankyti mūsų įstaigos dėl sveikatos būklės“ vienareikšmiškai suponuoja apie vaiko sveikatos problemas ar kitas kontraindikacijas, kurios daro įtaką jo galimybei lankyti ugdymo įstaigą (darželį), ir yra duomenys apie duomenų subjekto sveikatos būklę, kaip jie suprantami pagal BDAR. Kadangi ugdymo įstaiga nepateikė įrodymų, patvirtinančių, jog vaiko sveikatos duomenys buvo renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais, turint BDAR 9 straipsnio 2 dalyje įtvirtintą tvarkymo pagrindą, LVAT padarė išvadą, jog ugdymo įstaiga rinko ir tvarkė vaiko sveikatos duomenis neteisėtai.
Be to, nurodžiusi Vilniaus miesto savivaldybės administracijos Švietimo aplinkos skyriui, jog nori grąžinti lėšas, nes vaikas nepradėjo lankyti įstaigos dėl sveikatos būklės, ugdymo įstaiga nepagrįstai atskleidė duomenų subjekto sveikatos duomenis ir šiais veiksmais pažeidė BDAR 5 straipsnio 1 dalies a punkte įtvirtintą teisėtumo bei to paties straipsnio 1 dalies c punkte įtvirtintą duomenų kiekio mažinimo principą.
Lietuvos vyriausiojo administracinio teismo informacija