Neseniai Lietuvoje paaiškėjęs masinis Nekilnojamojo turto registro (NTR) ir Juridinių asmenų dalyvių informacinės sistemos (JADIS) duomenų nutekinimas sukėlė ne tik politinių klausimų, bet ir atidarė sudėtingą teisinę diskusiją dėl atsakomybės ribų pagal Bendrąjį duomenų apsaugos reglamentą (BDAR). Duomenys nebuvo nutekinti įsilaužus į sistemas, o naudojantis teisėtomis, tačiau kompromituotomis Migracijos departamento darbuotojų paskyromis, juos renkant kelis mėnesius.
Advokatas Rokas Venslauskas, advokatų bendrijos „Lawcorpus“ vadovaujantysis partneris, komentuoja situaciją.
Teisinės atsakomybės ribos po duomenų nutekėjimo
Kyla klausimas, kuriems subjektams – Teisingumo ministerijai, Registrų centrui ar abiem – galėtų kilti teisinė atsakomybė pagal BDAR, priklausomai nuo jų faktinio vaidmens tvarkant duomenis ir užtikrinant jų saugumą. Taip pat svarstoma, ar nukentėjusieji galėtų reikalauti neturtinės žalos atlyginimo, remdamiesi hipotetine duomenų panaudojimo ar piktnaudžiavimo ateityje galimybe.
Atsakymų galima ieškoti Europos Sąjungos Teisingumo Teismo (ESTT) praktikoje, ypač 2023 m. gruodžio 14 d. priimtame sprendime dėl Bulgarijos nacionalinės pajamų agentūros patirto kibernetinio incidento (byla C-340/21).
ESTT praktika dėl duomenų saugumo ir neturtinės žalos
Bulgarijos nacionalinė pajamų agentūra, vykdanti valstybės reikalavimų nustatymą, užtikrinimą ir išieškojimą, pagal BDAR 4 straipsnio 7 punktą atlieka asmens duomenų valdytojo funkcijas. 2019 m. liepos 15 d. žiniasklaida pranešė apie neteisėtą prisijungimą prie agentūros informacinės sistemos ir internete paskelbtus joje saugotus asmens duomenis. Dėl incidento nukentėjo daugiau nei šeši milijonai fizinių asmenų.
Keli šimtai pareiškėjų pateikė ieškinius dėl neturtinės žalos atlyginimo, grindžiamus ilgalaikiu nesaugumo ir kontrolės praradimo jausmu bei nuogąstavimais dėl galimo duomenų panaudojimo ateityje ir šantažo.
Bulgarijos Aukščiausiasis administracinis teismas 2021 m. birželio 2 d. kreipėsi į ESTT dėl prejudicinio sprendimo. ESTT 2023 m. gruodžio 14 d. sprendime aiškino BDAR 5, 24, 32 ir 82 straipsnius, susijusius su duomenų valdytojo atsakomybe, saugumo priemonėmis ir teise į neturtinės žalos atlyginimą.
ESTT pažymėjo, kad vien duomenų saugumo pažeidimo faktas savaime nesukuria prezumpcijos, jog duomenų valdytojas pažeidė BDAR ar kad taikytos priemonės buvo netinkamos. Duomenų valdytojui turi būti suteikta galimybė įrodyti priemonių tinkamumą.
ESTT nurodė: „BDAR 24 ir 32 straipsniai negali būti suprantami taip, kad tretiesiems asmenims be leidimo atskleidus asmens duomenis arba be leidimo gavus prie jų prieigą, to pakanka, kad būtų galima daryti išvadą, jog atitinkamo duomenų valdytojo priimtos priemonės buvo netinkamos, kaip tai suprantama pagal šias nuostatas, net jam nesuteikiant galimybės pateikti priešingus įrodymus.“
Antra, ESTT pabrėžė, kad duomenų valdytojas turi įrodyti, jog jo įdiegtos priemonės buvo pakankamos konkrečiai rizikai suvaldyti, atsižvelgiant į rizikos pavojus, galimas pasekmes asmenų teisėms bei laisvėms, technologijų lygį, sąnaudas ir tvarkymo aplinkybes.
Nors duomenų valdytojas turi tam tikrą diskreciją, ESTT sprendime pažymėjo, kad teismas turi iš esmės įvertinti priemonių pobūdį, turinį, įgyvendinimą ir veiksmingumą. Duomenų valdytojas negali automatiškai išvengti atsakomybės vien todėl, kad duomenis pavogė „hakeriai“ ar kiti tretieji asmenys; institucija ar įmonė gali būti atleista nuo atsakomybės tik įrodžiusi, kad neprisidėjo prie žalos ir ėmėsi visų būtinų apsaugos priemonių.
Trečia, ESTT pripažino, kad tam tikrais atvejais pagrįsta baimė dėl galimo būsimo piktnaudžiavimo nutekėjusiais duomenimis gali būti laikoma neturtine žala pagal BDAR 82 straipsnį.
ESTT išaiškino: „BDAR 82 straipsnio 1 dalis turi būti aiškinama taip, kad duomenų subjekto nuogąstavimai, jog tretieji asmenys gali piktnaudžiauti jo asmens duomenimis dėl šio reglamento pažeidimo, savaime gali reikšti „neturtinę žalą“, kaip ji suprantama pagal šią nuostatą.“
Tai reiškia, kad nukentėjęs asmuo neprivalo įrodyti, jog jo duomenys jau buvo panaudoti sukčiavimui ar kitai neteisėtai veiklai; pakanka tinkamai pagrįsti realų ir pagrįstą nesaugumo jausmą ar baimę dėl galimo būsimo piktnaudžiavimo.
Galimos pasekmės Lietuvos situacijoje
Nors Bulgarijos ir Lietuvos atvejų faktinės aplinkybės skiriasi ( Bulgarijoje – išorinė kibernetinė ataka, Lietuvoje – duomenų rinkimas naudojantis kompromituotomis prieigomis), ESTT suformuluoti principai yra reikšmingi. Abiem atvejais kyla klausimas, ar buvo įgyvendintos tinkamos techninės ir organizacinės priemonės duomenų saugumui užtikrinti pagal BDAR 32 straipsnį.
Lietuvos situacijoje lieka atviras klausimas, kokia apimtimi už galimą BDAR pažeidimą galėtų atsakyti ne tik duomenų valdytojas, bet ir duomenų tvarkytojas. Kadangi BDAR pareigą užtikrinti saugumo priemones nustato abiem subjektams, atsakomybės paskirstymas priklausys nuo to, kuris iš jų faktiškai kontroliavo duomenų saugumo procesus ir priėmė sprendimus dėl rizikų valdymo.
Pagal BDAR 82 straipsnio 2 dalį duomenų valdytojas atsako už žalą, padarytą dėl BDAR neatitinkančio duomenų tvarkymo. Tačiau atsakomybė gali tekti ir duomenų tvarkytojui, jeigu jis neįvykdė BDAR nustatytų pareigų arba veikė nesilaikydamas teisėtų valdytojo nurodymų. Pareiga užtikrinti tinkamas technines ir organizacines saugumo priemones taikoma abiem subjektams.
Todėl, jeigu būtų nustatyta, kad Registrų centras buvo atsakingas už sistemos techninę architektūrą, prieigų kontrolę, stebėseną, incidentų prevenciją ar kitus duomenų saugumo sprendimus ir šiose srityse buvo trūkumų, atsakomybė galėtų tekti ne tik duomenų valdytojui, bet ir Registrų centrui.
Kita vertus, jeigu Registrų centras būtų tinkamai įgyvendinęs visas jam pavestas saugumo priemones, o pažeidimo priežastys susijusios su valdytojo procesais ar prieigų suteikimo politika, atsakomybė galėtų būti siejama pirmiausia su duomenų valdytoju.
Vertinant galimą atsakomybę lemiamą reikšmę turės ne formalūs subjektų pavadinimai, o faktinis jų vaidmuo valdant rizikas ir užtikrinant asmens duomenų saugumą.
Taigi, pagal ESTT praktiką, nors vien duomenų nutekinimo faktas savaime neįrodo BDAR pažeidimo, duomenų valdytojas privalės įrodyti, kad buvo įgyvendinęs adekvačias technines ir organizacines saugumo priemones. Jeigu jos būtų buvusios nepakankamos ir dėl to kilo grėsmė asmens duomenims, nukentėjusieji galėtų reikalauti ne tik turtinės, bet ir neturtinės žalos atlyginimo, atitinkamai įrodę nesaugumo jausmą ir baimę dėl galimo piktnaudžiavimo ateityje.
ESTT sprendimas byloje C-340/21: https://eur-lex.europa.eu/legal-content/LT/TXT/PDF/?uri=CELEX:62021CJ0340
