Teismas: Valstybinė duomenų apsaugos inspekcija teisėtai ir pagrįstai pripažino UAB „Vinted“ pažeidus BDAR dėl asmens duomenų tvarkymo

Regionų administracinis teismas gegužės 22 d. sprendimu (bylos Nr. eI3-1348-428/2025) atmetė pareiškėjos UAB „Vinted“  skundą atsakovei Valstybinei duomenų apsaugos inspekcijai dėl sprendimų tam tikrų punktų panaikinimo.

Įmonė kreipėsi į teismą su prašymu panaikinti Valstybinės duomenų apsaugos inspekcijos (Inspekcija) administracinius sprendimus, priimtus dėl trijų skirtingų asmens duomenų subjektų skundų, susijusių su tarpvalstybiniu asmens duomenų tvarkymu. Šiuos skundus Inspekcijai perdavė Prancūzijos nacionalinė duomenų apsaugos priežiūros institucija, kadangi įmonės – duomenų valdytojos ar tvarkytojos – pagrindinė arba vienintelė buveinė yra valstybėje narėje, šiuo atveju – Lietuvos Respublikoje.

Asmens duomenų subjektų skunduose buvo nurodyta, kad įmonė atsisakė vykdyti jų prašymus dėl teisės reikalauti ištrinti duomenis („teisės būti pamirštam“) įgyvendinimo, o vienas iš skundų, be to, buvo susijęs su tuo, kad įmonė neatsakė į duomenų subjekto prašymą susipažinti su savo duomenimis.

Inspekcija, išnagrinėjusi šiuos skundus, 2024 m. vasario 5 d. priėmė individualius sprendimus dėl kiekvieno skundo, kuriuose pripažino, kad UAB „Vinted“ veiksmuose buvo padaryti 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrojo duomenų apsaugos reglamento, BDAR) pažeidimai, susiję su trimis pagrindinėmis sritimis: 1) dėl netinkamu asmens duomenų subjektų prašymų ištrinti jų duomenis nagrinėjimu ir nepakankamai bei neaiškiai pateikta informacija, pažeidžiant: a) BDAR 5 straipsnio 1 dalies a punktą, kuriame nustatyta, kad asmens duomenys turi būti tvarkomi sąžiningai ir skaidriai (nagrinėtu atveju duomenų subjektams nebuvo aiškiai paaiškintos jų paskyros blokavimo priežastys ir nebuvo suteikta pakankama informacija apie jų duomenų tvarkymą); b) BDAR 12 straipsnio 1 dalį, kuri įpareigoja duomenų valdytoją pateikti informaciją aiškia, suprantama ir lengvai prieinama forma (įmonės atsakymai duomenų subjektams dėl atsisakymo ištrinti jų duomenis buvo neaiškūs, bendro pobūdžio; c) BDAR 12 straipsnio 4 dalį, pagal kurią, jei duomenų valdytojas atsisako vykdyti duomenų subjekto prašymą, jis privalo pateikti atsisakymo priežastis ir informaciją apie galimybę skųsti tokį sprendimą (nagrinėtais atvejais tokia informacija buvo pateikta pavėluotai arba visai nepateikta); 2) netinkamu atskaitomybės principo neįgyvendinimu, pažeidžiant: a) BDAR 5 straipsnio 2 dalį, kurioje nustatyta, kad duomenų valdytojas turi būti atsakingas už duomenų tvarkymo principų laikymąsi ir gebėti tai įrodyti (įmonė nepateikė pakankamų įrodymų, kad duomenų subjektų teisės buvo tinkamai įgyvendintos, o paskyrų blokavimas buvo pagrįstas; b) BDAR 24 straipsnį, kuris įpareigoja duomenų valdytoją įgyvendinti tinkamas technines ir organizacines priemones, užtikrinančias duomenų tvarkymo atitiktį BDAR (nagrinėjamu atveju įmonė neišsaugojo komunikacijos su vienu iš duomenų subjektų, todėl negalėjo įrodyti, kad duomenų tvarkymas buvo atliktas teisėtai ir skaidriai); 3) asmens duomenų tvarkymu vykdant vadinamąjį šešėlinį blokavimą, kuris buvo atliekamas be aiškaus ir teisėto pagrindo, pažeidžiant: a) BDAR 5 straipsnio 1 dalies a  punktą, nustatantį, kad duomenys turi būti tvarkomi teisėtai (įmonė, taikydama vadinamąjį šešėlinį blokavimą, nenurodė teisėto tokio tvarkymo pagrindo; b) BDAR 6 straipsnio 1 dalies f  punktą, kuris nustato, kad asmens duomenys gali būti tvarkomi tik esant bent vienam iš teisėto tvarkymo pagrindų (nagrinėtu atveju duomenų tvarkymas siekiant vadinamojo šešėlinio blokavimo nebuvo pagrįstas nei naudotojo sutikimu, nei kita teisėta tokio tvarkymo sąlyga, nustatyta BDAR 6 straipsnyje).

UAB „Vinted“ nurodė, kad skundžiami Inspekcijos administraciniai sprendimai, priimti išnagrinėjus užsienio duomenų apsaugos priežiūros institucijų persiųstus fizinių asmenų skundus dėl jų asmens duomenų tvarkymo UAB „Vinted“ platformos naudotojų paskyrose, yra nemotyvuoti ir nepagrįsti. Teigė, kad ji tinkamai įvertino duomenų subjektų prašymus ištrinti duomenis ir pateikė visą teisės aktų reikalaujamą informaciją, nepažeidė duomenų subjektų pagrindinių teisių ir laisvių, neapribojo jų privatumo ir nesukėlė pavojaus jų duomenų saugumui. Taip pat teigė, kad Inspekcija, nagrinėdama skundus, peržengė jų ribas, kadangi konstatavo pažeidimus, kurių duomenų subjektai net nebuvo aiškiai nurodę ir kuriems buvo suėję atsakomybės senaties terminai. Taip pat buvo ginčijamas sprendimų teisėtumas dėl tariamai pažeistų nagrinėjimo terminų ir netinkamos sprendimų formuluotės, neva neatitinkančios Administracinio nusižengimo kodekso ir Asmens duomenų teisinės apsaugos įstatymo reikalavimų.

Teismas, išnagrinėjęs ginčijamų sprendimų turinį ir visą surinktą didžiulės apimties administracinės bylos medžiagą, konstatavo, kad Inspekcijos sprendimai buvo pagrįsti tiek faktais, tiek teisės normomis. Pripažinta, kad Inspekcija veikė pagal savo kompetenciją ir neperžengė nagrinėtų skundų ribų. Teismas akcentavo, kad priežiūros institucija turi pareigą vertinti ne tik tiesiogines skundų formuluotes, bet ir visą faktinį kontekstą, ypač kai pažeidimai susiję su tuo pačiu faktiniu pagrindu. Taip užtikrinamas išsamus BDAR nuostatų taikymo ir vykdymo vertinimas.

Teismas nurodė, kad vadinamoji šešėlinio blokavimo praktika, kai naudotojams apribojama paskyros veikla be aiškaus informavimo ir galimybės pasinaudoti teisių gynimo priemonėmis, buvo vykdoma neturint teisinio pagrindo, kaip tai nustato BDAR 6 straipsnis, ir pažeidė teisėtumo principą, įtvirtintą BDAR 5 straipsnio 1 dalies a punkte.

Teismas pažymėjo, kad nors toks blokavimas gali būti motyvuojamas siekiu apsaugoti kitus naudotojus nuo galimos piktavališkos veiklos – tai savaime nelaikytina pakankamu pagrindu. Pagal BDAR 6 straipsnio 1 dalies f punktą, teisėtas interesas gali būti taikomas tik tada, kai duomenų tvarkymas yra būtinas siekiamam tikslui pasiekti, nėra kitų, mažiau ribojančių priemonių, ir kai duomenų subjekto teisės bei pagrindinės laisvės nėra svarbesnės už tą interesą. Šešėlinio blokavimo esmė – tyčinis informacijos neatskleidimas naudotojui – prieštarauja BDAR principams, ypač teisėtumo. Naudotojui, kuriam taikoma tokia priemonė, nesuteikiama reali galimybė suprasti, kad jo paskyra buvo apribota, o tuo labiau pasinaudoti jam priklausančiomis teisėmis, tokiomis kaip teisė susipažinti su duomenimis, teisė reikalauti jų ištrynimo ar teisė prieštarauti duomenų tvarkymui.

Toks slaptas ir neproporcingas poveikis pažeidžia duomenų subjekto teises bei apsunkina galimybes ginti savo interesus. Tai ypač aktualu, kai asmeniui net nesuteikiama informacija, koks konkretus pažeidimas jam inkriminuojamas. Duomenų subjektas turi teisę žinoti, kokie jo veiksmai laikomi pažeidimu, kad galėtų nutraukti galimai neteisėtą veiklą arba pasinaudoti teise į gynybą.

Teismo įsitikinimu, šešėlinis blokavimas gali būti taikomas tik tuomet, kai duomenų valdytojo interesai nepažeidžia duomenų subjekto teisių. Šiuo atveju teisinio pagrindo pusiausvyra, kaip ją apibrėžia BDAR 6 straipsnio 1 dalies f punktas, nebuvo užtikrinta.

Be to, teismas konstatavo, kad bendrovė netinkamai įvertino duomenų subjektų prašymus ištrinti jų asmens duomenis – nepakako vien formalaus atsisakymo. Duomenų valdytojas turėjo aktyviai ir argumentuotai įvertinti kiekvieno prašymo pagrįstumą, vadovaudamasis BDAR 17 straipsnyje nustatytais kriterijais.

Teismas nurodė, kad pareiškėja taip pat nesilaikė pareigos informuoti duomenų subjektus apie jų prašymų nagrinėjimo eigą ir rezultatus, taip pažeisdama BDAR 5 straipsnio 1 dalies a punkte įtvirtintus sąžiningumo ir skaidrumo principus bei 12 straipsnio 1 ir 4 dalių reikalavimus teikti informaciją aiškia, suprantama ir lengvai prieinama forma. Atsisakydama vykdyti duomenų subjektų prašymus, bendrovė nepateikė aiškių atsisakymo priežasčių ir neinformavo apie galimybę tokį sprendimą apskųsti, kaip to reikalauja BDAR 12 straipsnio 4 dalis.

Taip pat konstatuota, kad pareiškėja neįgyvendino atskaitomybės principo, kaip tai nustatyta BDAR 5 straipsnio 2 dalyje – bendrovė neįrodė, kad jos veiksmai atitiko BDAR nuostatas, o naudotojų paskyrų blokavimas buvo pagrįstas. Taip buvo pažeistas ir BDAR 24 straipsnis, įpareigojantis duomenų valdytoją įdiegti tinkamas technines ir organizacines priemones, užtikrinančias duomenų tvarkymo atitiktį teisės aktams.

Vertindamas sprendimų motyvaciją ir formą, teismas pripažino, kad iš sprendimų turinio aiškiai matyti, jog Inspekcija įvertino kiekvieną skundą ir priėmė atitinkamą sprendimą, todėl formalus trūkumas – aiškios formuluotės apie skundo tenkinimą ar atmetimą nebuvimas rezoliucinėje dalyje – nesudaro pagrindo sprendimus laikyti neteisėtais. Sprendimai atitiko Viešojo administravimo įstatymo ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo (ADTAĮ)  reikalavimus dėl motyvavimo bei informacijos pakankamumo.

Teismas taip pat pažymėjo, kad nagrinėjamu atveju taikyta tarptautinio tarpvalstybinio bendradarbiavimo procedūra, todėl jai netaikytini nacionaliniai ADTAĮ nustatyti trijų mėnesių nuo skundo gavimo nagrinėjimo terminai. Kadangi atsakovė neskyrė administracinių nuobaudų, o tik konstatavo BDAR pažeidimus ir nurodė būtinybę taikyti poveikio priemones, pareiškėjos argumentai dėl administracinės nuobaudos senaties termino praleidimo buvo pripažinti teisiškai nereikšmingais. Teismas pažymėjo, kad skundžiamais sprendimais administracinė atsakomybė nebuvo taikoma.

Taigi teismas konstatavo, kad visos nagrinėtos faktinės aplinkybės ir teisės normos buvo įvertintos tinkamai, o Inspekcija veikė laikydamasi įstatymo ir savo kompetencijos ribų, todėl atmetė pareiškėjos skundą kaip nepagrįstą. Šis teismo sprendimas gali būti skundžiamas.

Ši byla – pirmoji Lietuvoje, kurioje buvo pradėtas modelinis teismo procesas. Pagal Administracinių bylų teisenos įstatymo 127 straipsnio 1 dalį, jeigu yra duomenų, kad teisme yra nagrinėjama daugiau kaip dvidešimt teisės ir faktų požiūriu vienarūšių individualių administracinių bylų, šios bylos gali būti nagrinėjamos modelinio teismo proceso tvarka. Nustačius, kad Regionų administraciniame teisme yra nagrinėjamos 54 administracinės bylos, t. y.  daugiau nei dvidešimt vienarūšių individualių administracinių bylų, kuriose ginčijami Valstybinės duomenų apsaugos inspekcijos sprendimai dėl lietuviško kapitalo startuolio UAB „Vinted“ veiksmų, atliktų skirtingų asmens duomenų subjektų atžvilgiu, teismo pirmininko 2025 m. kovo 10 d. nutartimi buvo nuspręsta skirti bylą nagrinėti modelinio teismo proceso tvarka. „Šiuo metu teismui vis dar patiriant sunkumų dėl pastaruosius kelerius metus trunkančio bylų antplūdžio, pradėtą modelinio teismo procesą matome kaip vieną iš priemonių operatyvesniam ir ekonomiškesniam teismo darbui užtikrinti, – teigė Regionų administracinio teismo pirmininkas dr. Gediminas Užubalis. – Be to, šis reikšmingas precedentas leis formuoti aiškesnę, bendrą praktiką ir taip efektyviau ginti viešąjį interesą ir užtikrinti teisminio proceso ekonomiškumą.“

Regionų administracinio teismo informacija