Valstybinė duomenų apsaugos inspekcija 2021 m. vasario 26 d. Registrų centrui paskyrė baudą už tai, kad valstybės įmonė neužtikrino nuolatinio duomenų tvarkymo sistemų ir paslaugų konfidencialumo, vientisumo, prieinamumo ir atsparumo, laiku neatkūrė galimybių naudotis asmens duomenimis fizinio ar techninio incidento atveju, kai 2020 m. liepos 20 d. Registrų centro pastate dėl stichinio gamtos reiškinio – itin stiprios liūties – Vilniaus mieste trūko lietaus nuotekų sistemos vamzdis, todėl vanduo pateko į duomenų centro patalpas.
Registrų centras teismo prašė įpareigoti atsakovę iš naujo išnagrinėti bylą dėl administracinės baudos skyrimo, objektyviai ir pagrįstai nustatyti asmens duomenų saugumo pažeidimo subjektus ir jų atsakomybės ribas. Skunde buvo teigiama, kad Valstybinė duomenų apsaugos inspekcija (VDAI) neanalizavo duomenų valdytojų (Sveikatos apsaugos ministerijos ir Teisingumo ministerijos) atsakomybės.
Teismas konstatavo, kad už asmens duomenų apsaugos pažeidimus atsakomybė nustatyta tiek duomenų valdytojui, tiek duomenų tvarkytojui.
Tačiau, vertinant kiekvieno subjekto (duomenų valdytojo ir duomenų tvarkytojo) atsakomybę individualiai, matyti, kad duomenų valdytojas atsakingas už duomenų apsaugos politikos formavimą bendrąja prasme (registro funkcionavimo koordinavimas, valstybės informacinės sistemos tikslų ir valstybės informacinės sistemos valdymas, saugos politikos formavimas ir jos įgyvendinimo organizavimas, priežiūra ir elektroninės informacijos tvarkymas ir pan.), o už registro duomenų tvarkymą, registro informaciją, reikiamas technines ir organizacines saugos priemones ir tokių priemonių laikymąsi, jų įgyvendinimą yra atsakingas duomenų tvarkytojas.
Todėl darytina išvada, kad Valstybinė duomenų apsaugos inspekcija pagrįstai nusprendė, kad už šio incidento padarinių atsiradimą atsakingas duomenų tvarkytojas – VĮ Registrų centras, laiku neįgyvendinęs tinkamų techninių ir organizacinių saugumo priemonių, dėl to įvykus incidentui nepavyko užtikrinti duomenų tvarkymo sistemų prieinamumo per nustatytą 8 val. terminą (elektroninės sveikatos duomenų sistemos atstatymas užtruko ilgiau nei 7 dienas).
Iš VDAI priimto sprendimo matyti, kad, atsižvelgiant į incidento priežastį (liūtis), pareiškėjos veiksmai (pažeidimas) buvo įvertinti kaip netyčiniai. Palankiai įvertintas ir pareiškėjos bendradarbiavimas su VDAI bei dar prieš incidentą įgyvendinti techniniai saugos sprendimai.
Nors valstybės registrų bei informacinių sistemų atstatymas užtruko iki 8 val., o elektroninės sveikatos duomenų sistemos duomenų atstatymas užtruko ilgiau nei 7 dienas ir materialinė žala nebuvo padaryta, tačiau sutiktina su atsakovės argumentais, kad net ir objektyviai ir palankiai vertinant pareiškėjos veiksmus, siekiant kuo efektyvesnio duomenų sistemos veikimo atstatymo, vis dėlto elektroninės sveikatos duomenų sistemos duomenų subjektai galėjo patirti didelių nepatogumų (galimai laiku nesuteiktos medicinos paslaugos, susijusios su registracija dėl medicininės pagalbos, apribota galimybė įsigyti vaistų ir pan.). Taigi, nėra pagrindo teigti, kad VDAI neatsižvelgė į visus įmanomus Registrų centro, kaip registrų ir informacinių sistemų duomenų tvarkytojo, įmanomus veiksmus.
Šis sprendimas per 30 dienų gali būti skundžiamas Lietuvos vyriausiajam administraciniam teismui.
Registrų centras: teismas neanalizavo Registrų centro skunde pateiktų teiginių
„Išnagrinėjus Vilniaus apygardos administracinio teismo sprendimą, kuriuo buvo atmestas Registrų centro skundas dėl Valstybinės duomenų apsaugos inspekcijos (VDAI) įmonei paskirtos baudos, įmonė ketina šį teismo sprendimą skųsti Lietuvos vyriausiajam administraciniam teismui. Įmonės vertinimu, teismas neanalizavo Registrų centro skunde pateiktų teiginių, kuriuose buvo aiškiai, nuosekliai ir detaliai išdėstyti VDAI sprendimo neatitikimai teisės aktuose įtvirtintiems reikalavimams. Be to, įmonės įsitikinimu, tiek VDAI, tiek ir pirmosios instancijos teismas, rėmėsi ne objektyviais faktiniais įrodymais, bet menamais argumentais“, – rašoma Registrų centro komentare žiniasklaidai.