Pažeidžiantiems asmens duomenų apsaugos reikalavimus gali tekti atlyginti ir nemenką sumą neturtinės žalos. Lietuvos Aukščiausiasis Teismas (LAT) išnagrinėjo bylą dėl neturtinės žalos atlyginimo, kurioje ieškovė, motyvuodama patirtais išgyvenimais ir nepatogumais, prisiteisė 15 tūkst. Eur, kuomet jos sveikatos duomenys buvo pasisavinti iš sveikatos priežiūros paslaugas teikiančios įmonės (atsakovės) ir paskelbti internete, reikalaujant išpirkos.
Teisme buvo nustatyta, kad gydymo įstaiga saugojo pacientų asmens duomenis, tačiau neužtikrino tinkamų saugumo priemonių: reguliaraus slaptažodžių keitimo, jų sudėtingumo lygio nustatymo, neužtikrino riboto prieigos prie informacijos ir kt. Be to, gydymo įstaiga pradėjo naudoti naują turinio valdymo sistemą, tačiau senosios valdymo sistemos nepanaikino.
Nors duomenys internete buvo paskelbti ne pačios atsakovės, o trečiojo asmens, kuris neteisėtai juos pasisavino, LAT išaiškino, kad gydymo įstaigos veiksmai buvo būtina žalos atsiradimo priežastis, t. y. jei ji būtų tinkamai įvykdžiusi pareigą užtikrinti asmens duomenų apsaugą, tretiesiems asmenims nebūtų buvę galimybės atlikti neteisėtus veiksmus šiuos duomenis pasisavinant ir tada žala ieškovei nebūtų buvusi padaryta. Taigi nors asmens duomenis pasisavino ir paviešino tretieji asmenys, gydymo įstaiga, kaip duomenų valdytoja, neužtikrino asmens duomenų saugumo, todėl jai kyla atsakomybė kompensuoti sukeltą žalą.
„Ši byla yra geras rodiklis organizacijoms, kad asmens duomenų saugumo pažeidimo rizika susijusi ne tik su Valstybinės duomenų apsaugos inspekcijos galimomis skirti baudomis, bet ir duomenų subjektų teisėmis reikalauti turtinės ir neturtinės žalos. Ir nors iki šiol Lietuvos teismai laikėsi konservatyvios pozicijos nepriteisti ar priteisti mažas neturtinės žalos sumas, ši praktika keičiasi ir neturtinės žalos dydis priteisiamas gerokai didesnis. Tokia pozicija aiškiai parodo, kad asmens duomenys yra laikomi svarbiu gėriu, o duomenų valdytojo pareiga užtikrinti asmens duomenų apsaugą yra esminė ir negali būti paneigta argumentuojant, kad pažeidimą atliko kitas asmuo“, – teigia ECOVIS ProventusLaw asocijuota partnerė, duomenų apsaugos ekspertė Brigida Bacienė.
Teismas dar kartą pabrėžė, kad vien lokalinių aktų, reglamentuojančių asmens duomenų apsaugą, priėmimas nepaneigia netinkamo asmens duomenų tvarkymo fakto ir pareigos faktiškai įdiegti technines saugumo priemones. Remiantis Bendrojo duomenų apsaugos reglamento nuostatomis, bet kuris asmuo, patyręs materialinę ar nematerialinę žalą dėl šio reglamento pažeidimo, turi teisę iš duomenų valdytojo arba duomenų tvarkytojo gauti kompensaciją už patirtą žalą.
Lyginant šioje byloje priteistą sumą su ankstesnėmis bylomis, akivaizdu, kad priteista suma gerokai viršija įprastą priteisiamą neturtinės žalos atlyginimo dydį, kuris teisės į privatumą pažeidimo atveju LAT praktikoje svyruoja nuo 1014 Eur iki 4344 Eur, pavyzdžiui, civilinėje byloje, kurioje be sutikimo spaudoje buvo išplatinta apsinuoginusios besilaukiančios ieškovės nuotrauka, ieškovei buvo priteistas 1585 Eur neturtinės žalos atlyginimas.
Tačiau būtina pažymėti, kad teisinė aplinka, susijusi su neturtinės žalos atlyginimu už asmens saugumo pažeidimus, keičiasi. LAT praktikoje pripažįstama, kad nustatant neturtinės žalos dydį būtina atsižvelgti į Europos Žmogaus Teisių Teismo (EŽTT) praktikoje dėl panašių pažeidimų priteisiamus neturtinės žalos dydžius.
Parengė sertifikuota duomenų apsaugos ekspertė (CIPP/E) Brigida Bacienė ir jaunesnioji teisininkė Gabija Bacevičiūtė.