Po 2020 m. liepos 20 d. VĮ Registrų centro incidento, sutrikdžiusio valstybės registrų ir valstybės informacinių sistemų, kurių tvarkytojas yra VĮ Registrų centras, veikimą, Valstybinė duomenų apsaugos inspekcija (VDAI), atlikusi tyrimą pagal Bendrąjį duomenų apsaugos reglamentą (BDAR), 2021 m. vasario mėn. skyrė baudą dėl netinkamai įgyvendintų techninių ir organizacinių duomenų saugumo priemonių.
VĮ Registrų centrui 15 tūkst. EUR bauda skirta už nustatytus BDAR 32 straipsnio 1 dalies b ir c punktų pažeidimus, t. y. neužtikrinus nuolatinio duomenų tvarkymo sistemų ir paslaugų vientisumo, prieinamumo ir atsparumo, o taip pat teisės aktų nustatytu terminu neatkūrus sąlygų ir galimybių naudotis asmens duomenimis fizinio ar techninio incidento atveju.
VĮ Registrų centro tvarkomi registrai ir valstybės informacinės sistemos, kurios buvo paveiktos įvykusio asmens duomenų saugumo pažeidimo metu:
- Elektroninės sveikatos paslaugų ir bendradarbiavimo infrastruktūros informacinė sistema;
- Nekilnojamo turto registras;
- Nekilnojamojo turto kadastras;
- Juridinių asmenų registras;
- Lietuvos Respublikos gyventojų registras;
- Turto arešto aktų registras;
- Lietuvos Respublikos hipotekos registras;
- Testamentų registras;
- Vedybų sutarčių registras;
- Įgaliojimų registras;
- Neveiksnių ir ribotai veiksnių asmenų registras;
- Sutarčių registras;
- Juridinių asmenų dalyvių informacinė sistema;
- Antstolių informacinė sistema;
- Licencijų informacinė sistema;
- Piniginių lėšų apribojimų informacinė sistema;
- Teisinės pagalbos paslaugų informacinė sistema;
- Metrikacijos paslaugų informacinė sistema;
- Elektroninio parašo ir laiko žymų paslauga;
- Registrų centro dokumentų valdymo sistema;
- Registrų centro personalo administravimo sistema;
- Registrų centro buhalterinės programos.
Atsižvelgiant į tai, kad VĮ Registrų centras yra šių išvardytų 22 registrų ir informacinių sistemų duomenų tvarkytojas ir (ar) duomenų valdytojas, atsižvelgiant į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas bei duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat duomenų tvarkymo keliamus įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms, neįgyvendinus tinkamų techninių ir organizacinių priemonių, kad būtų užtikrintas pavojų atitinkančio lygio saugumas, pažeidus BDAR 32 straipsnio 1 dalies b ir c punktus, taip pat atsižvelgiant į BDAR 83 straipsnio 2 dalies a, d ir g punktuose išvardintus veiksnius (susijusius su pažeidimo pobūdžiu, sunkumu, trukme bei duomenų apimtimi), kurie pripažintini kaip VĮ Registrų centro pažeidimą sunkinantys veiksniai, nuspręsta VĮ Registrų centrui skirti administracinę baudą.
Vadovaujantis Asmens duomenų teisinės apsaugos įstatymu, valdžios institucijai ar įstaigai, pažeidusiai BDAR 83 straipsnio 4 dalies a, b ir c punktų nuostatas, priežiūros institucija turi teisę skirti administracinę baudą iki 0,5 procento valdžios institucijos ar įstaigos einamųjų metų biudžeto ir kitų praėjusiais metais gautų bendrųjų metinių pajamų dydžio, bet ne didesnę negu trisdešimt tūkstančių eurų.
VDAI, nustatydama administracinės baudos dydį, atsižvelgė į BDAR 83 straipsnio 2 dalies b, c, e, f ir h punktuose išvardytus VĮ Registrų centro padarytą pažeidimą švelninančius veiksnius, t. y. tyčios nebuvimą, įdėtas pastangas atstatant pažeistus duomenis, faktų apie duomenų subjektų patirtą materialinę žalą nebuvimo, glaudų bendradarbiavimą su VDAI bei ankstesnių panašaus pobūdžio pažeidimų nebuvimą. VDAI taip pat atsižvelgė, kad VĮ Registrų centras, įgyvendindamas saugumo priemones, yra priklausomas tiek nuo duomenų valdytojo Lietuvos Respublikos sveikatos apsaugos ministerijos, tiek ir nuo kitų institucijų, sprendžiančių valstybės IT išteklių konsolidavimo klausimus, ir nusprendė, kad numatyta bauda yra proporcinga poveikio priemonė siekiant, kad ateityje būtų užtikrintas BDAR nuostatų laikymasis.
VDAI atkreipia dėmesį, kad asmens duomenų saugumo užtikrinimas yra ne tik duomenų valdytojo, bet ir tiesioginė duomenų tvarkytojo pareiga, numatyta BDAR 32 straipsnyje. Už šios pareigos nevykdymą ar netinkamą vykdymą duomenų tvarkytojas atsako tiesiogiai.
Valstybinė duomenų apsaugos inspekcija
