NVSC 12 tūkst. bauda skirta už nustatytus BDAR 5, 13, 24, 32, 35 ir 58 straipsnio 2 dalies f punkto nuostatų pažeidimus. Bendrovei 3 tūkst. bauda skirta už nustatytus BDAR 5, 13, 24, 32 ir 35 straipsnių pažeidimus.
2020 m. pavasarį VDAI, reaguodama į žiniasklaidoje pasirodžiusią informaciją dėl programėle „Karantinas“ vykdomo galimai netinkamo asmens duomenų tvarkymo, pradėjo stebėsenos veiksmus. Įvertinus pirminę informaciją, buvo nuspręsta pradėti tyrimą, o programėle vykdomą asmens duomenų tvarkymą laikinai sustabdyti.
Tyrimo metu buvo nustatyta, kad programėlei pradėjus veikti nuo 2020 m. balandžio mėn. buvo surinkti 677 asmenų duomenys. Ne visų asmenų duomenys buvo surinkti vienodos apimties, tačiau programėle numatyta tvarkyti tokius asmenų duomenis kaip identifikacijos numeris, platumos ir ilgumos koordinatės, šalis, miestas, savivaldybė, pašto kodas, gatvės pavadinimas, namo numeris, vardas, pavardė, asmens kodas, telefono numeris, adresas, 2-asis adresas, ar gyvenamoji vieta deklaruota Lietuvoje ir kita informacija. Pagal pateiktus duomenis nustatyta, kad programėlės duomenų tvarkymas buvo atliekamas ne tik Lietuvos teritorijoje, bet ir Europoje (Estija, Šveicarija ir t.t. ) ir už jos ribų (Indija, JAV ir t. t.).
VDAI, atlikusi tyrimą, nustatė, kad tiek NVSC, tiek Bendrovė yra bendri duomenų valdytojai, nors abi organizacijos neigė tokį jų statusą.
VDAI, spręsdama dėl administracinės baudos skyrimo ir dydžio, atsižvelgė į tai, kad NVSC ir Bendrovė asmens duomenis tvarkė tyčia, dideliu mastu, neteisėtai, tai atliko sistemingai, neužtikrindamos techninių ir organizacinių priemonių tam, kad galėtų įrodyti, kad tvarkydamos asmens duomenis laikosi BDAR reikalavimų, buvo tvarkomi specialiųjų kategorijų asmens duomenys. Be to, Bendrovė, neįvykdė VDAI jai pateikto nurodymo sustabdyti programėlės pagalba surinktų asmens duomenų tvarkymą ir ištrynė dalį asmens duomenų.
VDAI sprendimas teisės aktų nustatyta tvarka per vieną mėnesį nuo jo įteikimo dienos gali būti skundžiamas teismui.
Platesnė tyrimo informacija
Poveikio duomenų apsaugai vertinimas (PDAV). Atlikusi tyrimą VDAI nustatė, kad siekiant tvarkyti duomenis, turėjo būti atliktas poveikio duomenų apsaugai vertinimas (PDAV). BDAR 35 straipsnio 1 dalyje numatyta, kad tais atvejais, kai dėl duomenų tvarkymo rūšies, visų pirma, kai naudojamos naujos technologijos, ir atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, fizinių asmenų teisėms bei laisvėms gali kilti didelis pavojus, duomenų valdytojas, prieš pradėdamas tvarkyti duomenis, atlieka numatytų duomenų tvarkymo operacijų PDAV.
Asmens duomenų tvarkymas programėle laikytinas tvarkymu naudojant naują technologiją, taip pat laikytinas sisteminga stebėsena, kadangi šiuo atveju duomenų tvarkymas vykdytas duomenų subjektų, naudojančių programėlę saviizoliacijos stebėsenos ir kontrolės tikslu. Taip pat programėlės pagalba buvo numatyta tvarkyti didelį skaičių duomenų subjektų asmens duomenų visos Lietuvos teritorijoje ir už jos ribų. Be to, pagal VDAI tyrimo metu surinktą informaciją, darytina išvada, kad asmens duomenų tvarkymą buvo numatoma vykdyti nuolatos. Buvo tvarkomi pažeidžiamais įvardintų asmenų, t. y. pacientų, vaikų, vyresnio amžiaus asmenų ir pan. asmens duomenys, įskaitant, bet neapsiribojant, sveikatos duomenimis.
Be kita ko, VDAI nuomone, NVSC, vykdydamas užkrečiamųjų ligų profilaktikos ir kontrolės funkciją ir tvarkydamas asmens duomenis surinktus programėle, tvarkė ir valstybės informacinius išteklius, o valstybės informacinių išteklių kūrimas ir tvarkymas, neaprašytas valstybės informacinių sistemų nuostatuose, pažeidė BDAR 24 ir 32 straipsnių reikalavimus dėl tinkamų organizacinių priemonių įgyvendinimo ir BDAR 5 straipsnio 1 dalies f punkte numatytą vientisumo ir konfidencialumo principą (asmens duomenys turi būti tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo).
Pažeisti principai. Atsižvelgiant į tai, kad NVSC ir Bendrovė neįrodė programėle vykdyto asmens duomenų tvarkymo teisėtumo, VDAI konstatavo BDAR 5 straipsnio 1 dalyje numatyto teisėtumo principo pažeidimą. Kadangi tikrinimo metu nei NVSC, nei Bendrovė nepripažino esantys duomenų valdytoju, abu neigė savo, kaip duomenų valdytojų, atsakomybę, atitinkamai neįgyvendino ir BDAR 5 straipsnio 2 dalyje įtvirtinto atskaitomybės principo. Taip pat programėlės privatumo politikoje nurodant neteisingą informaciją apie duomenų valdytojus ir tvarkytojus buvo pažeistas skaidrumo principas.
Nurodymo nevykdymas. VDAI atliekant tikrinimą dėl programėle tvarkomų asmens duomenų, buvo svarbu įvertinti tikrąjį asmens duomenų tvarkymo mastą ir jų pobūdį, todėl VDAI Bendrovei nurodė laikinai sustabdyti asmens duomenų tvarkymą programėle, tačiau Bendrovė duomenis ištrynė. Bendrovė ištrindama programėle tvarkytus asmens duomenis netinkamai įgyvendino VDAI jai pateiktą nurodymą ir tuo pažeidė BDAR 58 straipsnio 2 dalies f punktą. Pažymėtina, kad toks VDAI nurodymo nesilaikymas, užtraukia Bendrovei atsakomybę, numatytą BDAR 83 straipsnio 5 dalies e punkte.